Sinn und Unsinn von EAP

21/01/2009 - 14:33 von Steffen Schulz | Report spam
Hallo,


Fuer die Entwicklung von Authentifikationsprotokollen stellt sich mir
derzeit die Frage, welchen Stellenwert EAP in der Praxis hat.

Mir sind drei wesentliche Vorteile bekannt:

- EAP kann in vielen Protokollen verwendet werden, sodass neue
EAP-methoden gleich an mehreren Stellen verfuegbar werden.
- In grossen Umgebungen kann man das gekapselte Protokoll direkt an
einen zentralen AAA-Server durchreichen(radius und so), was weniger
Aerger mit Synchronisation macht.
- Kuerzlich gelesen: Wenn ein Server etwa ueber eine Agent-Software am
Client beschliesst, dass der Client nicht ausreichend sicher ist,
kann er den Zugang zB durch Kontakt zur Firewall so manipulieren dass
der Client erstmal nur Zugriff auf recovery-Dienste hat. Das wird
offenbar auch gemacht.

Es gibt aber auch wesentliche Nachteile:

- Komplexitaet.
- Handshake braucht wesentlich laenger, was aus Benutzersicht
kritisch sein kann
- Mehr Code fuer Protokoll-Handling
- Es gibt jetzt zwei Punkte im Netz, wo der Admin auth-mechanismen
reglementieren muss
- Mein AAA Server regelt Firewall policy? Da werden doch
Abhaengigkeiten aufgebaut, die man lieber nicht haben will?
- Unter den zig EAP-methoden fuer Benutzerauth. gibt es keine, die
resistent gegen die Kombination MITM/bruteforce ist.

Besonders am Client ist doch EAP schlichtweg overkill? Angenommen ein
lokaler Agent stellt fest, dass das System nicht im korrekten Zustand
ist, warum muss ich dann ueber EAP den Netzzugang manipulieren. Ich
kann doch client-seitig automatisch eine Verbindung zu einem
recovery-dienst aufbauen lassen?

Man hat hier mal wieder einen Konflikt zwischen Flexibilitaet und
Erweiterbarkeit und Effizienz/Einfachheit. Mich wuerder interessieren,
ob ihr andere Argumente fuer/gegen EAP habt.

Ich kann mir zB vorstellen, dass die ganzen kommerziellen Anwendungen
und Plugins in der Praxis nicht so super kompatibel sind.


Anwendungsfall ist ein Szenario im Bereich trusted computing, dh die
Aussage des "lokalen Agenten" hat tatsaechlich einen Wert(attestation)
und die Komplexitaet der Anwendung ist wichtiger als im Normalfall, da
man keinen kompletten Linux/Windows-Kern mit libs darunter sitzen hat.


danke,
Steffen
 

Lesen sie die antworten

#1 Michael Ströder
21/01/2009 - 16:59 | Warnen spam
Steffen Schulz wrote:
- Unter den zig EAP-methoden fuer Benutzerauth. gibt es keine, die
resistent gegen die Kombination MITM/bruteforce ist.



Was ist mit EAP/TLS mit Client-Zertifikaten?

Ciao, Michael.

Ähnliche fragen