আপনি পিইএপি পরিবর্তে ইএপি-টিটিএলএস কেন ব্যবহার করবেন?


11

আমি যেমন বুঝতে পেরেছি যে ওয়্যারলেস নেটওয়ার্কগুলিতে প্রয়োগ করা হয় তখন ইএপি-টিটিএলএস এবং পিইপি একই স্তরের সুরক্ষা ভাগ করে দেয়। উভয়ই শংসাপত্রের মাধ্যমে সার্ভার সাইড প্রমাণীকরণ সরবরাহ করে।

EAP-TTLS এর অপূর্ণতা মাইক্রোসফ্ট উইন্ডোজে নন নেটিভ সমর্থন হতে পারে তাই প্রতিটি ব্যবহারকারীকে অতিরিক্ত সফ্টওয়্যার ইনস্টল করতে হবে।

EAP-TTLS এর সুবিধাটি কম সুরক্ষিত প্রমাণীকরণ ব্যবস্থার (PAP, CHAP, MS-CHAP) জন্য সমর্থন হতে পারে তবে কেন আপনি আধুনিক এবং সঠিকভাবে সুরক্ষিত ওয়্যারলেস সিস্টেমে এগুলি প্রয়োজন?

আপনার মতামত কি? আমি পিইএপি এর পরিবর্তে কেন ইপি-টিটিএলএস প্রয়োগ করব? ধরা যাক যে আমার বেশিরভাগ উইন্ডোজ ব্যবহারকারী, মাঝারি লিনাক্স ব্যবহারকারী এবং কমপক্ষে আইওএস, ওএসএক্স ব্যবহারকারী রয়েছেন।

উত্তর:


2

আপনি উভয় সমর্থন করতে পারেন, যদি আপনার রেডিয়াস ব্যাকএন্ড এটি সমর্থন করে। তবে কিছু ক্লায়েন্ট "অটো" -কনেক্ট করে (ম্যাক ওএস এক্স> = 10.7 + আইওএস উদাহরণস্বরূপ) এবং তারা একাধিক প্রকারের সমর্থন করলে তারা অনুকূল থেকে কম কাজ করতে পারে, যেহেতু তারা কেবল কোনও সংযুক্তি চেষ্টা করে যতক্ষণ না তাদের মধ্যে একটি কাজ করে অর্থাৎ তারা সংযোগ করে সংযোগ করার একমাত্র উপায় থাকলে কম ঝামেলা সহ

সুতরাং মূলত: কেবল পিইএপি সমর্থন করুন, বা আপনার যদি ক্লায়েন্ট রয়েছে যার জন্য টিটিএলএস প্রয়োজন তা পিইপি + টিটিএলএসকে সমর্থন করুন।


11

ক্লায়েন্টের বিধিনিষেধ

  • আইওএস ক্লায়েন্ট সমর্থন করবে না EAP-TTLSসঙ্গে PAP(শুধুমাত্র MsCHAPv2) যদি না আপনি নিজে (ক কম্পিউটার এর মাধ্যমে) একটি প্রোফাইল ইনস্টল করুন।

  • উইন্ডোজ ক্লায়েন্টগুলিEAP-TTLS আউট অফ-বক্সকে সমর্থন করবে না (আপনার নিরাপদ 2w এর মতো একটি সফ্টওয়্যার ইনস্টল করতে হবে), যদি না তাদের কাছে ইন্টেল ওয়্যারলেস কার্ড থাকে।

  • অ্যান্ড্রয়েডEAP এবং এর প্রায় সব সংমিশ্রণ সমর্থন করে PEAP


পাসওয়ার্ড ডাটাবেস বিধিনিষেধ

সুতরাং, আসল সমস্যাটি হল আপনার পাসওয়ার্ডগুলি কীভাবে সংরক্ষণ করা হয়।

যদি তারা এতে থাকে:

  • সক্রিয় ডিরেক্টরি , তারপরে আপনি EAP-PEAP-MsCHAPv2(উইন্ডোজ বাক্স) এবং EAP-TTLS-MsCHAPv2(আইওএস ক্লায়েন্ট সহ ) ব্যবহার করতে পারেন ।

  • আপনি যদি এলডিএপ-এ পাসওয়ার্ড সঞ্চয় করেন EAP-TTLS-PAPতবে আপনি (উইন্ডোজ বাক্স) ব্যবহার করতে পারেন তবে আপনি iOS সম্পর্কে হারিয়ে যাবেন।


গুরুত্বপূর্ণ সুরক্ষা উদ্বেগ

  • উভয় EAP-TTLSএবং PEAPব্যবহার TLS(ট্রান্সপোর্ট লেয়ার সিকিউরিটি) উপর EAP(এক্সটেনসেবল প্রমাণীকরণ প্রোটোকল)।

আপনি যেমন জানেন যে TLSএটি একটি নতুন সংস্করণ SSLএবং বিশ্বস্ত কেন্দ্রীয় কর্তৃপক্ষের (শংসাপত্র কর্তৃপক্ষ - সিএ) স্বাক্ষরিত শংসাপত্রগুলির ভিত্তিতে কাজ করে।

একটি TLSটানেল স্থাপন করতে , ক্লায়েন্টকে অবশ্যই এটি সঠিক সার্ভারের সাথে কথা বলার বিষয়টি নিশ্চিত করতে হবে (এই ক্ষেত্রে, ব্যবহারকারীদের অনুমোদনের জন্য ব্যাসার্ধের সার্ভার ব্যবহার করা হয়েছে)। এটি এটি করে যে সার্ভার কোনও বিশ্বস্ত সিএ দ্বারা জারি করা বৈধ শংসাপত্র উপস্থাপন করেছে কিনা তা যাচাই করে does

সমস্যাটি হ'ল: সাধারণত, আপনার কাছে বিশ্বস্ত সিএ দ্বারা জারি করা শংসাপত্র থাকবে না, তবে কেবলমাত্র এই উদ্দেশ্যে আপনি তৈরি করেছেন এমন একটি অ্যাড-হক সিএ জারি করে। অপারেশনাল সিস্টেম ব্যবহারকারীদের কাছে অভিযোগ করবে যে এটি জানে না যে সিএ এবং ব্যবহারকারীরা (আপনার দ্বারা অভিযুক্ত) আনন্দের সাথে এটি গ্রহণ করবে।

তবে এটি একটি বড় সুরক্ষার ঝুঁকি তৈরি করেছে:

কেউ আপনার ব্যবসায়ের ভিতরে একটি দুর্বৃত্ত এপি সেটআপ করতে পারেন (ব্যাগে বা এমনকি ল্যাপটপেও), নিজের ব্যাসার্ধ সার্ভারের সাথে কথা বলার জন্য এটি কনফিগার করতে পারেন (তার ল্যাপটপে বা নিজস্ব দুর্বৃত্ত এপিতে) running

যদি আপনার ক্লায়েন্টরা এই এপিটিকে আরও শক্তিশালী সিগন্যাল পেতে থাকে তবে আপনার অ্যাক্সেস পয়েন্টগুলি, তারা এর সাথে সংযোগ দেওয়ার চেষ্টা করবে। একটি অজানা সিএ দেখতে পাবেন (ব্যবহারকারীরা গ্রহণ করবেন), একটি TLSসুড়ঙ্গ স্থাপন করবে, এই টানেলটিতে প্রমাণীকরণের তথ্য প্রেরণ করবে এবং দুর্বৃত্ত ব্যাসার্ধ এটি লগ করবে।

এখন গুরুত্বপূর্ণ অংশ: আপনি যদি সরল পাঠ্য প্রমাণীকরণের স্কিম ব্যবহার করেন ( PAPউদাহরণস্বরূপ), দুর্বৃত্ত ব্যাসার্ধের সার্ভারটিতে আপনার ব্যবহারকারীর পাসওয়ার্ডগুলির অ্যাক্সেস থাকবে।

আপনি আইওএস, উইন্ডোজ (এবং অ্যান্ড্রয়েড) বিশ্বাস উভয়ই একটি শংসাপত্র কর্তৃপক্ষ দ্বারা জারি করা একটি বৈধ শংসাপত্র ব্যবহার করে এটি সমাধান করতে পারেন। অথবা, আপনি সিএ রুট শংসাপত্রগুলি আপনার ব্যবহারকারীদেরকে বিতরণ করতে পারেন এবং শংসাপত্রের সমস্যাগুলি দেখলে সংযোগ অস্বীকার করতে তাদের অবহিত করতে পারেন (এর সাথে সৌভাগ্য)।


1
সত্যিই দুর্দান্ত স্টাফ এবং এখানে শক্ত সুরক্ষা জ্ঞান উত্থাপনের জন্য ধন্যবাদ
বোর্ন এন 5 ইয়ার্স

8

PEAPv0, PEAPv1 এবং TTLS একই সুরক্ষা বৈশিষ্ট্য রয়েছে।

পিইএপি হ'ল ইএপি বহনকারী ইস্পের চারপাশে একটি এসএসএল মোড়ক। টিটিএলএস হল ব্যাসের টিএলভিগুলির চারপাশে একটি এসএসএল মোড়ক যা রেডিয়াস প্রমাণীকরণের বৈশিষ্ট্যগুলি বহন করে।

EAP-TTLS-PAP EAP-PEAP- র ক্ষেত্রে দরকারী হতে পারে যদি ব্যাকএন্ড প্রমাণীকরণ ডাটাবেস শংসাপত্রগুলি যেমন একটি বিবর্তনযোগ্য হ্যাশ ফর্ম্যাটে যেমন বিগক্রিপ্ট বা MSCHAP (NT-OWF) এর সাথে সামঞ্জস্যপূর্ণ নয় এমন কোনও ফর্ম ব্যবহার করে তবে এই ক্ষেত্রে ব্যবহার করে প্রমাণীকরণ সম্ভব নয় CHAP ভিত্তিক কোনও পদ্ধতি

আপনি যখন EAP-PEAPv1-GTC ব্যবহার করে পিএপি অনুকরণ করতে পারেন তবে এটি ক্লায়েন্টদের দ্বারা বহুল সমর্থনযোগ্য নয়।

পিইএপি-তে পিইএপি সংস্করণ আলোচনার মাথাব্যথা এবং historicalতিহাসিক অসুবিধাগুলি (পিআরএফ থেকে মাস্টার কী প্রাপ্ত করার সময় ক্লায়েন্ট ম্যাজিক হিসাবে) আকারে টিটিএলএসের সাথে কিছু সংযুক্ত লাগেজ রয়েছে যা প্রাথমিক বাস্তবায়নের পথে চলেছে।

আমি সাধারণত দেখি যে এমইপিড ক্লায়েন্টগুলিতে যেমন এমইপিড ক্লায়েন্টগুলিতে প্রয়োগ করা হয়েছে যেমন পিইএপি সহ ওয়্যারলেস গিয়ারে গ্রাহক মডিউলগুলি ল্যাপটপ কম্পিউটার এবং মোবাইল হ্যান্ডসেট দ্বারা বেশি ব্যবহৃত হয়।

EAP-TTLS তৃতীয় পক্ষের সফ্টওয়্যার ইনস্টল না করে উইন্ডোজ ক্লায়েন্টগুলিতে historতিহাসিকভাবে সমর্থন করা যায় নি। EAP-TTLS এখন উইন্ডোজ 8 দিয়ে শুরু করে সমর্থিত।

কিছু অতিরিক্ত চিন্তা:

EAP-TTLS একটি রেডিয়াস বিক্রেতা আবিষ্কার করেছিলেন। EAP-PEAPv0 মাইক্রোসফ্ট আবিষ্কার করেছিল। EAP-PEAPv1 আইইটিএফ প্রক্রিয়া থেকে বেরিয়ে এসেছিল।

পিইএপিভি 2-তে কিছু অতিরিক্ত আইইটিএফ কাজ ছিল যা অভ্যন্তরীণ প্রমাণীকরণ পদ্ধতিতে ক্রিপ্টো বাইন্ডিংয়ের মাধ্যমে সিস্টেমটিকে আরও সুরক্ষিত করে তুলত। এটি যতটা কাছে বলতে পারি তেমন কোথাও যায় নি।


2

ডিস্ক ইটার যেমন লিখেছেন, লোকেরা টিটিএলএস ব্যবহারের প্রধান কারণ আপনি নিজের ব্যাসার্ধ সার্ভারটিকে সেইভাবে ক্লিয়ারটেক্সট পাসওয়ার্ড দেখতে দেওয়ার অনুমতি দিতে পারেন যা আপনার অনুমোদনের ব্যাকএন্ডের উপর নির্ভর করে কার্যকর হতে পারে।

পিইএপি-র পক্ষে থাকতে পারে এমন একটি নতুন বিবেচনাটি হ'ল সোহ এএফএফটি কেবল রেডিয়াস সার্ভারের কাছে উপস্থিত হয় যদি এটি জিজ্ঞাসা করে, এবং মাইক্রোসফ্ট সিস্টেমে এটি চাওয়ার একমাত্র উপায় পিইএপি সেশনের সময়। সুতরাং আপনি যদি এজেন্টহীন মূল্যায়নের বাইরে এজেন্টের মতো মূল্যায়ন পেতে চান (সম্ভবত আরও আগত এভি বিক্রেতাদের সমর্থন) আপনি পিইপি চাইবেন, তবে যদি আপনি নগ্ন পাসওয়ার্ড নিয়ে কোনও 1-ফ্যাক্টর OAUTH ব্যাকএন্ডের আশেপাশে কাজ করতে চান তবে (কারণ) হেক, বড় আইডিপিগুলি যে কোনও অভ্যন্তরীণ টানেল পরিষেবা সরবরাহ করবে না সেগুলিও কম প্রাপ্য এবং তাদের ব্যবহারকারীরা এটি টাইপ করার পক্ষে যথেষ্ট নির্বোধ) টিটিএলএস ব্যবহার করুন।


1

অতিরিক্ত সফ্টওয়্যার সহ ক্লায়েন্ট স্থানীয়ভাবে বনাম বনাম কী সমর্থন করে এবং সার্ভারটি কোন অভ্যন্তরীণ প্রমাণীকরণের পদ্ধতি সমর্থন করে তা আপনাকে বিবেচনা করতে হবে।

পিইএপি এবং ইএপি-টিটিএলএস আপনাকে সার্ভারের সনাক্তকরণের বৈধতা দেওয়ার জন্য ডিজাইন করা হয়েছে, তবে আপনাকে নিশ্চিত করতে হবে যে শংসাপত্রগুলি বৈধতা দেওয়ার জন্য ক্লায়েন্টগুলি সঠিকভাবে কনফিগার হয়েছে।

পিইএপি এবং এমএস-CHAPv2 ক্লায়েন্টদের দ্বারা সু-সমর্থিত, তবে যদি আপনার সার্ভারটি এমএস-CHAPv2 সমর্থন করে না (কারণ আপনি ক্লিয়ারটেক্সট পাসওয়ার্ড সংরক্ষণ করেন না), আপনাকে অন্য একটি সমাধান নিয়ে আসতে হবে। লোকেরা EAP-TTLS এবং PAP ব্যবহার করে দেখবে এটাই প্রধান কারণ।


1

আমি মনে করি স্বয়ংক্রিয় সংযোগ উভয় বিকল্প থেকে উপকৃত হবে, আরও বিকল্প কম ঝামেলা ... যেমন। যদি অটো-সংযুক্তি টিটিএলএস-পিএপি প্রথমে চেষ্টা করে এবং তারপরে পিইএপি-এমএসসিএপি, টিটিএলএস-পিএপি উপলব্ধ থাকে তবে স্বতঃ সংযোগটি আরও দ্রুত হয়। সুতরাং মূলত: উভয়কে সমর্থন করুন, আমি কোনও অসুবিধা দেখতে পাচ্ছি না।

যেহেতু এমএসএইচএপিএস সুরক্ষা বিচ্ছিন্ন হয়েছে (ttls- এর মাধ্যমে ক্লিয়ারটেক্সট পাসওয়ার্ড সহ গুগল) "পিইএপি-এমএসএইচএইচপি'র মতো নিরাপত্তার স্তর রয়েছে।


-3

আমি EAP-TTLS এবং PEAP এর মধ্যে সুরক্ষার কোনও পার্থক্য জানি না, সুতরাং এটি মূলত সমর্থন করতে নেমে আসে, যেখানে পিইএপি বিজয়ী।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.