Feljegyzés magamnak

Még az ősszel kaptam egy megbízást. Mondanom sem kell, eddig esélyem sem volt foglalkozni vele… és most is éppen csak beleharaptam a témába, éppen csak elkezdtem anyagot gyűjteni.

De azért lepődtem már meg.

Nézzük például az EAP autentikációt. Azt ugye tudjuk, hogy az EAP alapvetően nem egy önálló autentikáció, sokkal inkább egy keretrendszer. Mint az MMC: beletűzdeljük a snap-in-eket és így lesz egy jól használható valami belőle. Az EAP-ba ilyesmiket szoktak beledöfni, hogy TLS (melyről tudjuk, hogy az SSL leszármazottja), illetve MS-CHAPv2. (Bónusz kérdés: mi a különbség az MS-CHAPv2 és NTLMv2 között? Bónusz válasz: a módszer ugyanaz. Csak máshol használjuk.)
No, most jön a meglepődés. Vajon MS rendszerekben wifi autentikációhoz melyik EAP sündísznót használjuk? Az EAP-TLS-t? Ahol tudjuk, hogy a TLS elődje az tkp. Netscape kreálmány? Vagy inkább az MS saját édes gyermekét?
Persze, hogy az EAP-TLS-t. Az MS édes gyermeke… most nem kapott lapot.

De mielőtt szottyosra zokognánk a kispárnánkat, olvassunk tovább.

Nemcsak EAP van a világon… létezik PEAP is. Mi a különbség? Úgy van, nagyon jól éreztél rá: a ‘P’ betű. ‘P’, mint Protected. Anélkül, hogy túlzottan belemennék a részletekbe, a különbség lényege az, hogy az EAP esetén a felek kölcsönös becsületsértegetése nyilvános, míg a PEAP esetén már ez is titkosított. És igen, a PEAP-nál már egyenrangú a PEAP-TLS és a PEAP-MSCHAPv2.

1 Comment

  1. Nagy Balázs

    2009-02-28 at 13:58

    Szakdogához szakirodalom-gyűjtés közben találkoztam a témával. Ha a magyarázat is érdekel valakit, megosztom:
    Az EAP nem titkosítja az átvitt forgalmat, így az MSCHAPv2 esetén a hash alapján a jelszó szótáras módszerrel visszafejthető lenne. Márpedig WiFi-nél ugye ott röpköd minden a levegőben. PEAP esetén mint írta JoeP is, már az authentikációs folyamat is titkosított, itt nincs ilyen probléma.
    (Természetesen ugyanez igaz a vezetékes ethernet 802.1x-es hitelesítése esetén is, mert bár ott nehezebb elkapni a kósza csomagokat, ugyanazt a keretrendszert használja kliens-oldalon mint a vezeték nélküli)

Leave a Reply