EAP, PEAP, MS-CHAPv2

[teret4242]

Hallo,

kann mir jemand bitte in eigenen Worten erklären, welche Aufgabe folgende Protokolle in einer Netzwerk-Infrastruktur mit 802.1X haben:

- EAP
- PEAP
- MS-CHAPv2

Die Erklärung muss gar nicht mal zu technisch sein, ich bräuchte nur mal ein Überblick was was ist und wofür es benötigt wird, denn die Definitionen aus dem Internet bringen mich überhaupt nicht weiter.

Zum Beispiel versteh ich auch nicht warum bei PEAP zusätzlich MS-CHAPv2 benötigt wird.
Laut Microsoft sind das wohl zwei unterschiedliche Authentifizierungsarten, beim Einsatz von einm RADIUS-Server werden allerdings beide in Kombination benötigt... Hää ???

http://technet.microsoft.com/de-de/libr ... 10%29.aspx


Gruß

[syssi]

EAP ist ein Protokoll, um sehr flexibel eine Authentifizierung zu gewaehrleisten. Das Protokoll definiert, wie ein Geheimnis in einem Briefumschlag transportiert und ausgeliefert und vielleicht sogar ein neuer Briefumschlag in die andere Richtung zurueck geliefert wird. Vertraust du nicht in deinen Brieftraeger, dann sicherst du diese Transaktion noch einmal zusaetzlich ab. Dies schaffst du mit der Hilfe von PEAP. In unserem Beispiel machen wir um den Brief noch einmal extra Klebeband. Nun haben wir sicher verpacktes EAP = PEAP. In unserem Briefumschlag ist unser Geheimnis. Das Geheimnis besteht aus einem "Password authentication algorithms". Es stehe einige zur Auswahl: EAP-MD5, MS-CHAPv1, Kerberos V, MS-CHAPv1, MS-CHAPv2. Viele haben Nachteile, benoetigen zusaetzliche Geheimnisse (die beiden Seiten kennen muessen), sind bereits geknackt oder sind leicht verwundbar. Sie lassen sich aber alle in einen (P)EAP-Briefumschlag stecken.

Gruss syssi

[wanne]

EAP ist ein Standard zum Authentfizieren in Netzwerken. (Ursprünglich für's LAN. Es gibt aber WLAN-Standards die das gleiche für WLAN spezifizieren.) Eine typische ist EAP-MD5. Die Nachteile sind das schwache Passwörter recht einfach gebrutforced werden können und das sich das Netzwerk nicht gegenüber dem Client authentifiziert. (Sprich, Du konntrollierst zwar wer sich bei dir anmeldet aber der Client weiß nie ob er sich im falschen Netzwerk befindet. MS-CHAP MS-CHAPv2 und das dank Cisco recht weit verbreitete LEAP sind altenativen. Sie sind aber alle drei vollständig gebrochen. (Die Anmeldung kann so umgewandelt werden, dass es nurnoch nötig ist ein DES zu knacken. Das ist zwar sehr rechenintensiv aber mittlerweile für wenig Geld auf spezialhardware in wenigen stunden machbar.) Der Vorteil ist, das das MS für Microsoft steht und Windows das dementsprechend direkt unterstützt. EAP-PWD ist ein recht neues Verfahren das diese Nachteile nicht mehr haben soll.
PEAP EAP-TTLS oder EAP-TLS begegnen diesen Schwächen indem sie ein beliebiges der obigen Verfahren einfach in TLS (der Nachfolger von SSL) packen. Die Anmeldung erfolgt über eine gesciherte Verbindung und so werden die Angriffe elegant beseitigt. (Im Prinzip könnte man da auch klartextpaswörter versenden da ja die gesamte Verbindung verschlüsselt ist.) Typisch ist PEAP mit MS-CHAPv2 weill das Windows out of the box kann. Leider prüfen viele Clienten (Handys) per default die Zertifikate nicht was das ganze dann ziemlich Nutzlos macht. (Verschlüsslug hilft nur wenn der Schlüssel geheim ist...) außerdem braucht man erst mal ein Zertifikat. Weswegen ich eher zu EAP-PWD oder EAP-MD5 raten würde. (Zu beachten sind bei letzterem eben, dass man starke Passwörter nutzt. (8-Stellen Kleinbuchstaben und zahlen sind slbst auf PCs kein Problem!)