Autentisering: Den heliga graalen för Windows -PEAP-ersättaren TEAP

Autentisering nätverksautentisering Windows 10-TEAP-PEAP-Dib-CCIE-CCDE-Conscia-Sverige

Säkerhet är, som alltid, hett och många av våra kunder använder nätverksautentisering för att autentisera både klienter som ansluter via trådlöst, såväl som via trådbundna nät. I grund och botten är det två saker man vill veta innan man ger någon autentisering till nätverket, här kommer PEAP, TEAP och nätverksautentisering i Windows 10 in:

  • Är datorn som användaren ansluter via betrodd?
  • Är användaren som loggar in betrodd? Och har den rätt användarnamn och lösenord?

Autentisering via PEAP

Autentisering av datorn sker oftast med hjälp av certifikat som distribueras via till exempel Microsoft AD. Autentisering av användaren sker sedan genom inloggning mot till exempel AD. För att skicka uppgifter på ett säkert sätt, byggs en tunnel upp i form av Protected EAP (PEAP).

Jämför det här med en vanlig websession till din bank där du först etablerar en TLS-session och verifierar bankens certifikat i din webläsare. Sedan loggar du in med dina uppgifter. PEAP fyller samma funktion för nätverksautentisering. Inuti tunneln som byggs upp av PEAP, kan sedan inre EAP-metoder användas för själva autentiseringen. Dessa är EAP-TLS när certifikat används och MS-CHAPv2 för att verifiera användarnamn och lösenord. Vad är då utmaningen med nuvarande autentiseringslösningar?

Verifiera dator, användare och login i Windows: EAP Chaining

Idag är det en utmaning att utföra det som kallas för EAP chaining. Det vill säga att verifiera både att datorn är betrodd och att användaren är betrodd och har korrekta inloggningsuppgifter. Om datorn är betrodd vill du till exempel ge den behörighet att nå AD-miljön och andra servrar som behövs för att ladda ner GPO, hålla datorn uppdaterad och så vidare. Däremot är det inte säkert att du vill ge den full behörighet till hela nätverket. När användaren sedan loggar in, vet inte autentiseringsservern om det är från en betrodd dator för den informationen tillhör en tidigare EAP-session.

Autentisering av dator och användare i samma session: TEAP

Cisco har varit en föregångare, som många gånger förr, då de löste denna problematik med en version av EAP som heter EAP-FAST. Dock har det krävt att användare har AnyConnect för att kunna använda EAP-FAST och inte den inbyggda supplikanten som finns i Windows. Detta är nu på väg att ändras.

Nätverksautentisering i Windows 10

I nästa version av Windows, Windows 10 2004 som släpps inom kort, kommer Windows för första gången att ha stöd för Tunnel EAP (Tunnel Extensible Authentication Protocol, TEAP) i den inbyggda supplikanten. TEAP är en öppen standard som Cisco har varit med att utveckla baserat på EAP-FAST. Vad är då speciellt med denna? Är det verkligen en helig graal?

Trots att TEAP har varit en standard sen 2014, är det först nu det kommer att gå att få denna nätverksautentisering med Windows 10. Det speciella med TEAP är att den stödjer EAP chaining. Det är nu alltså möjligt att autentisera både dator och användare i samma EAP-session. Då kan man säkerställa att båda dator och användare är betrodda. Detta utan att behöva installera en tredjepartsklient. Förhoppningen är att andra tillverkare såsom Apple nu ska följa efter så att TEAP stöds av fler leverantörer.

Vill du veta mer om TEAP, ISE, eller nätverksautentisering?

Fråga oss

 

Läs om autentisering, Zero Trust, DNS-tunnling i bloggen

Kontakta oss!
Svar inom 24h