[gelöst] EAP-TLS oder PEAP MS-CHAPv2

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

[gelöst] EAP-TLS oder PEAP MS-CHAPv2

Beitrag von joe2017 » 26.12.2020 07:19:42

Schönen guten morgen zusammen,

ich habe jetzt etwas recherchiert und bin mir aktuell nicht sicher, welche Methode sicherer ist.

EAP-TLS oder PEAP MS-CHAPv2

Wenn ich das richtig verstanden habe, wird bei EAP-TLS ein reines Zertifikat für die Anmeldung im WLAN verwendet.
Bei PEAP MS-CHAPv2 wird ein Zertifikat für die Verschlüsselung von meinem Benutzer/Passwort verwendet.

Wenn ich das falsch verstanden habe, klärt mich bitte auf.

Ich habe unterschiedliche Clients (Windows, Android) in meiem Netzwerk welche sich verbinden müssen.
Die ganze Zeit dachte ich, dass PEAP MS-CHAPv2 für die Verbindung sicherer ist, da ich Benutzer, Passwort und Zertifikat benötige. Eine reine Zertifikat Verbindung (EAP-TLS) war mir da zu unsicher.
Aktuell habe ich sogar noch einen Mac Filter, welcher natürlich keine riesen Sicherheit darstellt. Jedoch ist das noch eine kleine weitere Hürde. Auf diesen könnte ich am ehrsten verzichten.

Was sagen die experten zu diesem Thema?

Vielen Dank für eure Meinung.
Zuletzt geändert von joe2017 am 06.03.2021 05:53:51, insgesamt 1-mal geändert.

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: EAP-TLS oder PEAP MS-CHAPv2

Beitrag von joe2017 » 26.12.2020 09:03:38

Also ich habe mittlerweile herausgefunden, dass PEAP MS-CHAPv2 wohl sicherheitstechnisch eine ziemliche Katastrophe ist.
Daher werde ich mir EAP-TLS mal genauer anschauen.

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: EAP-TLS oder PEAP MS-CHAPv2

Beitrag von wanne » 26.12.2020 15:12:38

Also ich habe mittlerweile herausgefunden, dass PEAP MS-CHAPv2 wohl sicherheitstechnisch eine ziemliche Katastrophe ist.
Dem kann ich mir nur anschließen. Wenn du es irgend wie vermeiden kannst...
EAP-TLS ist eher schmerzhaft. Aber für wi.dows Clienten oft der einzige Weg.
Wenns irgend wie geht nimm wpa-psk mit sehr langen pws.
Ansonsten ist rs im allgemeinen eher kontraproduktiv großen Aufwand in die Absicherung von Funklanälen zu legen. Dein Anwendungen sollten mit unsicheren Netzen zurecht kommen sonst bekommst du meist an ganz anderen Stellen Probleme.

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: EAP-TLS oder PEAP MS-CHAPv2

Beitrag von joe2017 » 27.12.2020 09:02:10

Wieso ist EAP-TLS schmerzhaft? Hast du hier schlechte Erfahrungen gemacht?

Psk ist noch schlimmer, da dieser im klartext auf den Devices liegt. Dieser kann immer ausgelesen werden.

Da wäre peap-mschapv2 noch besser, da hier wenigstens eine Verschlüsselung stattfindet.

Was wäre der Rat von den Experten? Wie sichert ihr eure WLAN Netze ab? Was ist die beste und sicherste Methode.

Wenn ich das richtig gelesen habe, ist EAP-TLS aktuell die einzige Methode welche noch nicht gebrochen wurde.

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: EAP-TLS oder PEAP MS-CHAPv2

Beitrag von joe2017 » 27.12.2020 09:55:41

Ich bin mir jetzt nicht sicher. Aber ich könnte auch was verwechselt haben.

eap-mschapv2 ist eine Katastrophe!
Peap-mschapv2 verwendet ein Zertifikat zur Verschlüsselung. Daher müsste das doch wieder sicher sein. Oder hab ich jetzt etwas falsch verstanden?

wanne
Moderator
Beiträge: 7447
Registriert: 24.05.2010 12:39:42

Re: EAP-TLS oder PEAP MS-CHAPv2

Beitrag von wanne » 29.12.2020 01:04:00

Peap-mschapv2 verwendet ein Zertifikat zur Verschlüsselung. Daher müsste das doch wieder sicher sein. Oder hab ich jetzt etwas falsch verstanden?
Die Zertifikatsvalidierung in x509 ist leider alles andere als einfach und für peap halt einfach nicht teil des Standards. Ob und wie bleibt den Clienten überlassen. Windows 10 verhält sich noch am besten und fragt den Nutzer hin und wieder ob der Fingerprint korrekt ist. In der Realität überprüft diese Meldung genau niemand. Android kann man irgend wo in den Tiefen der Einstellungen die CA festlegen. Damit würde man, wenn man eine eigene CA nur für WIFI betreibt sicher fahren. Kenne keinen der das so macht. Debian hat ne undokumentiert Option irgend wo in den Untiefen des wpa-supplicants mit der man den CN festlegen, und damit eine öffentliche CA nehmen kann... Es wird auch sonst wo nicht besser...
Was übrig bleibt ist das kaputte mschapv2, was man wirklich nicht eben mal mit seinem Laptop knacken kann. Aber halt doch nicht wirklich ein Hindernis darstellt.
Wer glaubt dass die Angriffe kompliziert sind, soll einfach mal in die Suchmschiene seiner wahl "mschapv2 cloud cracker" oder "mschapv2 online cracker" eingeben da findet man Dienste die das für $16 oder $20 für dich machen inklusive Anleitung was du in deinem KALI-Linux einstellen musst um das PEAP vor dem mschapv2 auszuhebeln.
Wieso ist EAP-TLS schmerzhaft? Hast du hier schlechte Erfahrungen gemacht?
Ich habe noch nie jemanden gesehen, der das real zum laufen gebracht hat. Und mindestens einen Versuch.
Psk ist noch schlimmer, da dieser im klartext auf den Devices liegt. Dieser kann immer ausgelesen werden.
Nein.
a) nein. Muss er nicht. (Guck dir WPA-Passphrase an)
b) Ändert aber auch nichts. Wer auf dem Device sitzt und im Klartext mit scheiden kann hat immer zugriff auf alle WPA-Enterprise-Keys. Auch wenn selbst die vom CCC das nicht blicken und immer ihre WPA-Enterprise WIFis beswerben. Nein. Wirf einfach den Wireshark an und der spuckt dir alles im Klartext aus, was im WLAN läuft, sobald du dem WPA-Modul konfiguriert hast.
Schutz vor kompromitierten Devises ist bescheuert und alles, was dir das verspricht ist absoluter Bullshit.
Ansonsten bleibt natürlich noch die Frage was du schützen willst: MD5 oder sowas kann deine Passwörter natürlich schützen den Traffic übers WLAN aber halt nicht.
rot: Moderator wanne spricht, default: User wanne spricht.

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: EAP-TLS oder PEAP MS-CHAPv2

Beitrag von joe2017 » 25.02.2021 08:00:31

Entschuldigung ich bin leider erst jetzt wieder zu diesem Thema gekommen.

Wenn ich das jetzt richtig verstanden habe bleibt mir eigentlich nur PEAP MS-CHAPv2 für meine Konfiguration. Das werde ich mir noch mal genauer anschauen.

Benutzeravatar
bluestar
Beiträge: 2334
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: EAP-TLS oder PEAP MS-CHAPv2

Beitrag von bluestar » 25.02.2021 22:44:44

Du solltest dir mal EAP-TTLS anschauen, da kommst du ohne Client-Zertifikate aus und kannst im TLS—Tunnel einfach Benutzername&Passwort zur Anmeldung nutzen.

slu
Beiträge: 2136
Registriert: 23.02.2005 23:58:47

Re: EAP-TLS oder PEAP MS-CHAPv2

Beitrag von slu » 28.02.2021 17:07:55

Wir verwenden auch EAP-TTLS und das ist gar kein Problem.
Die Clients brauchen nicht zwingend ein Zertifikat z.B. Gäste, aber mit CA ("feste" Geräte) lässt sich das Zertifikat des RADIUS Servers sicher überprüfen.

Auch Windows kann das (etwas umständlich zum einrichten weil er den AD Benutzer verwenden will).
Ich kann nicht nachvollziehen warum man hier WPA2-PSK empfiehlt, das hat doch nur Nachteile.

Vorteil RADIUS mit EAP-TTLS:
* VLAN Zuweisung mit dem Login
* durch unterschiedliche VLANS nur eine SSID
* jeder Benutzer hat eigene Zugangsdaten
* möchte man einem Benutzer/Gerät den Zugang entziehen sperrt/löscht man den RADIUS Benutzer

Siehe auch:
https://www.intel.com/content/www/us/en ... eless.html
Gruß
slu

Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.

Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: EAP-TLS oder PEAP MS-CHAPv2

Beitrag von joe2017 » 01.03.2021 12:13:24

Hast du hierzu eine gute Anleitung?
Ich hatte das bereits mit freeradius getestet, aber bin nicht ganz durchgestiegen.
Die Einrichtung von PEAP MS-CHAPv2 war natürlich wesentlich einfacher.

Aber Danke für euren Input!

slu
Beiträge: 2136
Registriert: 23.02.2005 23:58:47

Re: EAP-TLS oder PEAP MS-CHAPv2

Beitrag von slu » 01.03.2021 13:04:43

joe2017 hat geschrieben: ↑ zum Beitrag ↑
01.03.2021 12:13:24
Ich hatte das bereits mit freeradius getestet, aber bin nicht ganz durchgestiegen.
Hab das mit dem Freeradius auf der pfSense realisiert, was genau wäre die Frage?
Gruß
slu

Das Server Reinheitsgebot:
Debian Bookworm, sonst nichts.

Stolzer Gewinner der Jessie Release Wette:
https://wiki.debianforum.de/Jessie_Release_Wette#SIEGER

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: EAP-TLS oder PEAP MS-CHAPv2

Beitrag von joe2017 » 06.03.2021 05:53:19

Vielen Dank für die Information.
Ich werde mir das noch mal genauer anschauen.

Schönes Wochenende

Antworten