Wireless Hacking – WPA/WPA2 ENTERPRISE, Mecanismos de Autenticación en un servidor Radius – Parte XX – Seguridad en Sistemas y Técnicas de Hacking. TheHackerWay (THW)

Existen diferentes tipos de autenticación en un servidor Radius, algunos de los cuales en el “mundo real” son utilizados con mayor frecuencia principalmente por su soporte en algunas plataformas tan conocidas y extendidas como Windows y MAC. En concreto los mecanismos de autenticación más conocidos y con los que normalmente se suele trabajar cuando se configura un servidor radius son:

PEAP
EAP-TTLS
EAP-TLS
LEAP
EAP-FAST

Sin embargo, de los citados anteriormente, sin lugar a dudas el más utilizado es PEAP, probablemente porque se encuentra soportado de forma nativa en sistemas Windows, PEAP son las iniciales de Protected Extensible Authentication Protocol y se encuentra divido en dos tipos:

PEAP versión 0 con EAP-MSCHAP-V2 (El cual es el mas popular dado su soporte nativo en plataformas Windows)
PEAP versión 1 con EAP-GTC

Ahora bien, se procede a explicar un poco los mecanismos de autenticación anteriores, siendo conscientes de que son solamente los más extendidos, pero que en realidad existen muchos más tipos de autenticación EAP.

PEAP

Protected Extensible Authentication Protocol es un mecanismo de autenticación que se ha convertido en uno de los más extendidos, probablemente a causa de que se encuentra soportado de forma nativa en plataformas windows, especialmente la versión PEAP 0 la cual funciona con EAP-MSCHAP-V2, la versión 1 no se encuentra soportada de forma nativa en máquinas windows, por lo que no se ha vuelto tan popular como la versión 0, sin embargo es un mecanismo de autenticación robusto basado en la generación dinámica de tokens para los usuarios autenticados.

Ahora bien, para que este mecanismo sea “seguro” es obligatorio que el servidor tenga instalados certificados que puedan ser validados por el cliente para que este sepa a donde se esta conectando, esta medida de seguridad habilita lo que es conocido como autenticación mutua, es decir, que el cliente sabe donde se esta autenticando y el servidor sabe quien se esta autenticando con él. Sobre PEAP existe una versión adicional que permite el uso de certificados en el lado del cliente y el servidor llamada PEAP-EAP-TLS, sin embargo se trata de una solución propietaria soportada solamente por Microsoft y no se encuentra tan extendida.

La siguiente imagen enseña el funcionamiento de PEAP.

En el paso 1 se establece un túnel cifrado donde no es obligatorio el certificado del cliente (como se ha indicado anteriormente) y se realiza un intercambio de Certificado del Servidor/clave y el caso de que sea posible establecer dicho túnel de forma correcta, se genera un mensaje EAP Success lo que indica que el túnel se encuentra creado y ahora es posible intercambiar paquetes utilizando dicho túnel. En el paso 2 simplemente se sigue un modelo de “reto-respuesta” similar al modelo que se implementa en WEP, donde el servidor de autenticación envía un challange al cliente y este debe resolverlo utilizando su clave, en el caso de que dicho reto sea exitoso, esto indicará que la autenticación es correcta.

EAP-TTLS

Se trata de un mecanismo muy robusto que permite que las comunicaciones se realicen en un túnel cifrado de comunicación y obliga a que el servidor se autentique con un certificado y opcionalmente permite el uso de certificados en el lado del cliente también. Se trata de un mecanismo considerablemente robusto ya que en el caso de que un atacante pueda acceder a las credenciales de acceso de un cliente, aun necesitará el certificado correspondiente para el establecimiento del túnel, con lo cual necesitará un trabajo “extra”. Se trata de una solución que no se encuentra tan extendida como PEAP con EAP-MSCHAP-V2 debido a que no cuenta con soporte nativo para plataformas Windows.

EAP-TLS

Se trata de un mecanismo de autenticación muy similar al EAP-TTLS sin embargo tiene una diferencia que le hace ser, probablemente el mecanismo de seguridad más fuerte de todos los EAP que se encuentran disponibles, esta diferencia es que EAP-TLS tiene como requerimiento OBLIGATORIO que tanto el cliente como el servidor utilicen certificados para realizar el proceso de establecimiento del túnel cifrado y posterior autenticación. Se trata del mecanismo más robusto que actualmente puede establecerse sobre un servidor Radius, no obstante tiene la dificultad de que en entornos con un número de clientes medio, la distribución de los certificados puede ser un proceso bastante delicado y complicado