Pembatasan klien
Klien iOS tidak akan mendukung EAP-TTLS
dengan PAP
(hanya MsCHAPv2
) kecuali Anda secara manual (melalui komputer) memasang profil.
Klien Windows tidak akan mendukung EAP-TTLS
out-of-box (Anda harus menginstal perangkat lunak seperti secure2w), kecuali mereka memiliki kartu nirkabel Intel.
Android mendukung hampir semua kombinasi EAP
dan PEAP
.
Batasan basis data kata sandi
Jadi, masalah sebenarnya adalah bagaimana kata sandi Anda disimpan.
Jika mereka ada di:
Direktori Aktif , maka Anda dapat menggunakan EAP-PEAP-MsCHAPv2
(kotak Windows) dan EAP-TTLS-MsCHAPv2
(dengan klien iOS).
Jika Anda menyimpan kata sandi di LDAP , Anda dapat menggunakan EAP-TTLS-PAP
(kotak Windows) tetapi Anda akan kehilangan tentang iOS.
Masalah Keamanan Penting
- Keduanya
EAP-TTLS
dan PEAP
gunakan TLS
(Transport Layer Security) over EAP
(Extensible Authentication Protocol).
Seperti yang Anda ketahui, TLS
adalah versi yang lebih baru SSL
dan berfungsi berdasarkan sertifikat yang ditandatangani oleh otoritas pusat tepercaya (Otoritas Sertifikasi - CA).
Untuk membangun sebuah TLS
terowongan, klien harus mengonfirmasi sedang berbicara ke server yang benar (Dalam hal ini, server radius digunakan untuk mengautentikasi pengguna). Itu dilakukan dengan memeriksa apakah server menyajikan sertifikat yang valid, yang dikeluarkan oleh CA yang tepercaya.
Masalahnya adalah: biasanya, Anda tidak akan memiliki sertifikat yang dikeluarkan oleh CA tepercaya, tetapi sertifikat yang dikeluarkan oleh CA ad-hoc yang Anda buat hanya untuk tujuan ini. Sistem operasional akan mengeluh kepada pengguna bahwa ia tidak tahu bahwa CA dan pengguna (yang berorientasi pada Anda) akan dengan senang hati menerimanya.
Tetapi ini menimbulkan risiko keamanan utama:
Seseorang dapat memasang AP nakal di dalam bisnis Anda (dalam tas atau bahkan di laptop), mengkonfigurasinya untuk berbicara dengan server radius sendiri (berjalan di laptop-nya atau di AP nakal sendiri).
Jika klien Anda menemukan AP ini memiliki sinyal yang lebih kuat dari titik akses Anda, mereka akan mencoba menghubungkannya. Akan melihat CA yang tidak dikenal (pengguna menerima), akan membuat TLS
terowongan, akan mengirim informasi otentikasi pada terowongan ini dan jari-jari jahat akan mencatatnya.
Sekarang bagian yang penting: jika Anda menggunakan skema otentikasi teks biasa ( PAP
misalnya), server radius nakal akan memiliki akses ke kata sandi pengguna Anda.
Anda dapat mengatasinya dengan menggunakan sertifikat yang valid yang dikeluarkan oleh Otoritas Sertifikasi yang dipercaya oleh iOS, Windows (dan Android). Atau, Anda dapat mendistribusikan sertifikat root CA untuk pengguna Anda dan memberi tahu mereka untuk menolak koneksi ketika mereka melihat masalah sertifikat (semoga sukses dengan itu).