web-dev-qa-db-fra.com

EAP-TLS contre EAP-TTLS contre EAP-PEAP

J'ai du mal à comprendre les différences entre les 3.

Si je comprends bien, avec EAP-TLS, le client (homologue) et le serveur (authentificateur) ont tous deux besoin d'un certificat. L'authentification se fait en effectuant essentiellement une négociation TLS (qui garantit que le client est bien celui qu'il prétend être)

Alors qu'avec EAP-TTLS, l'authentification du client semble facultative selon le RFC et la prise de contact TLS ne se fait que pour créer un tunnel sécurisé qui peut être utilisé pour effectuer d'autres méthodes d'authentification. Est-ce correct?

Et en quoi le PEAP diffère-t-il maintenant de l'EAP-TTLS? À ma connaissance, cela fait essentiellement la même chose.

18
netik

Sur EAP-TLS vous avez raison, les deux parties nécessitent un certificat. Avec un certificat côté client, un mot de passe compromis ne suffit pas pour pénétrer dans les systèmes compatibles EAP-TLS car l'intrus doit toujours avoir le certificat côté client.

Sur EAP-TTLS , vous avez à nouveau raison. Une fois que le serveur est authentifié en toute sécurité auprès du client via son certificat CA et éventuellement du client auprès du serveur, le serveur peut alors utiliser la connexion sécurisée établie ("tunnel") pour authentifier le client.

[~ # ~] peap [~ # ~] est une encapsulation, n'est pas une méthode, mais vous avez à nouveau presque raison. PEAP est de conception similaire à EAP-TTLS, ne nécessitant qu'un certificat PKI côté serveur pour créer un tunnel TLS sécurisé pour protéger l'authentification des utilisateurs, et utilise des certificats de clé publique côté serveur pour authentifier le serveur. Il crée ensuite un tunnel TLS chiffré entre le client et le serveur d'authentification.

La différence est la suivante: PEAP est un wrapper SSL autour d'EAP portant EAP. TTLS est un wrapper SSL autour de TLV de diamètre (valeurs de longueur de type) portant des attributs d'authentification RADIUS).

Toutes ces informations disponibles sur Wikipedia

19
OscarAkaElvis