Konfigurieren von PEAP für MAC RADIUS-Authentifizierung

Extensible Authentication Protocol (EAP) ist ein erweiterbares Protokoll, das Unterstützung für mehrere Authentifizierungsmethoden bietet, einschließlich kennwortbasierter Authentifizierungsmethoden und sichererer zertifikatbasierter Authentifizierungsmethoden. EAP erleichtert die Aushandlung zwischen dem Authentifikator oder Switching-Gerät und dem Authentifizierungsserver, um zu bestimmen, welche Authentifizierungsmethode für einen Supplicant verwendet werden soll. Die standardmäßige Authentifizierungsmethode für die MAC RADIUS-Authentifizierung ist EAP-MD5, bei der der Server dem Client einen zufälligen Abfragewert sendet und der Client seine Identität nachweist, indem er die Herausforderung und sein Kennwort mit MD5 hasht. Da EAP-MD5 nur die Clientauthentifizierung und nicht die Serverauthentifizierung bereitstellt, kann es anfällig für Spoofing-Angriffe sein.

Sie können das Protected Extensible Authentication Protocol, auch bekannt als Protected EAP oder einfach PEAP, konfigurieren, um die Sicherheitslücken von EAP-MD5 zu beheben. PEAP ist ein Protokoll, das EAP-Pakete in einem verschlüsselten und authentifizierten TLS-Tunnel (Transport Layer Security) kapselt. PEAP wird als äußeres Authentifizierungsprotokoll bezeichnet, da es den Tunnel einrichtet und nicht direkt an der Authentifizierung der Endpunkte beteiligt ist. Das interne Authentifizierungsprotokoll, das zur Authentifizierung der MAC-Adresse des Clients innerhalb des Tunnels verwendet wird, ist Microsoft Challenge Handshake Authentication Protocol Version 2 (MS-CHAPv2). Der verschlüsselte Informationsaustausch innerhalb des Tunnels stellt sicher, dass die Anmeldedaten der Benutzer vor Lauschangriffen geschützt sind.

Einer der Vorteile von PEAP bei Verwendung mit MS-CHAPv2 besteht darin, dass nur ein serverseitiges Zertifikat zum Einrichten des sicheren Tunnels erforderlich ist und serverseitige Zertifikate mit öffentlichem Schlüssel zur Authentifizierung des Servers verwendet werden. Dadurch entfällt der Mehraufwand, der mit der Bereitstellung digitaler Zertifikate für jeden Client verbunden ist, für den eine Authentifizierung erforderlich ist.

Sobald ein Client auf dem Switch mit MAC RADIUS-Authentifizierung authentifiziert wurde, können nachfolgende Clients denselben äußeren Tunnel verwenden, der vom ersten Client eingerichtet wurde, um mit dem Server zu kommunizieren. Dies wird mithilfe der von SSL bereitgestellten Funktion zur Wiederaufnahme von Sitzungen erreicht. Durch die Wiederaufnahme von Sitzungen wird die Latenz verringert, die auftreten kann, wenn nachfolgende Clients auf den Aufbau eines neuen TLS-Tunnels warten.

Bevor Sie das PEAP-Authentifizierungsprotokoll für die MAC RADIUS-Authentifizierung konfigurieren, stellen Sie sicher, dass der Authentifizierungsserver auch für die Verwendung von PEAP mit MS-CHAPv2 als internem Authentifizierungsprotokoll konfiguriert ist. Informationen zum Konfigurieren des Authentifizierungsservers finden Sie in der Dokumentation Ihres Servers.

HINWEIS:

Das Authentifizierungsprotokoll kann sowohl global über die Option als auch lokal über den interface all individuellen Schnittstellennamen konfiguriert werden. Wenn das Authentifizierungsprotokoll sowohl für eine einzelne Schnittstelle als auch für alle Schnittstellen konfiguriert ist, überschreibt die lokale Konfiguration für diese Schnittstelle die globale Konfiguration.

So konfigurieren Sie das PEAP-Authentifizierungsprotokoll für die MAC RADIUS-Authentifizierung: