Understanding Wireless Client Authentication

Javier Acuña · ‎01-29-2021

EAP-FAST has three phases:

Phase 0: A unique shared credential is generated by the server. It will be used by client and server to authenticate each other during phase 1. Credential is specific to a user ID and Server Authority ID (A-ID). The PAC needs to be installed on the client. It can be done manually or via a trusted connection where the client is authenticated using another method (for example, certificate-based [TLS] or password-based [MS-CHAP v2]).

Phase 1: The function of this phase is to establish a secure tunnel by using PAC credentials. The AAA server and the end user, or client, use PAC to authenticate each other and establish a secure tunnel. A process similar to TLS is used to verify the identity of the AAA server and to establish a secure tunnel between the client and AAA server. PAC replaces the digital certificate that is used in EAP-TLS and eliminates the need for a PKI to manage the certificates. A tunnel key will be established which will be used in phase 2 for confidentiality and integrity.

Phase 2: The RADIUS server authenticates the user credentials with another EAP, which is protected by the tunnel that is created in Phase 1. The common means of authentication are password and GTCs. EAP FAST.png

daniel_marquez14 · ‎01-29-2021

Excelente Javi adiciono un comentario para mejor entendimiento

EAP-FAST

Cisco desarrolló otro método EAP llamado Autenticación flexible EAP por túnel seguro (EAP-FAST) .

EAP-FAST protege las credenciales mediante el intercambio de un secreto compartido generado por el servidor de autenticación. Este secreto compartido se denomina credencial de acceso protegido (PAC) y se utiliza para la autenticación mutua . Hay tres fases:

Fase 0: el servidor de autenticación genera el PAC y lo transmite al cliente inalámbrico (solicitante).
Fase 1: el servidor de autenticación y el solicitante se autentican entre sí y negocian un túnel TLS.
Fase 2: el usuario final se autentica a través del túnel TLS.

Lo que pasa es que tenemos dos procesos de autenticación, una autenticación interna y otra externa:

La primera autenticación se utiliza para construir el túnel TLS.
La segunda autenticación ocurre dentro del túnel TLS y usamos esto para autenticar al usuario final.

Para que EAP-FAST funcione, necesita un servidor RADIUS. Sin embargo, el servidor RADIUS también debe actuar como servidor EAP-FAST porque necesita generar PAC. Si ya tiene Cisco Secure Access (ACS) o Identity Services Engine (ISE) en su red, EAP-FAST podría ser una opción.

Javier Acuña · ‎01-29-2021

Gracias por tu aporte @daniel_marquez14

carlos_m_perez · ‎01-29-2021

Excelente exposición, Javier. Gracias por compartir conocimiento. Felicitaciones!!!

salazar.daniel.2607 · ‎01-29-2021

Nice work!!!

jpm · ‎01-30-2021

Excelente información!!!!

manuelosorio · ‎01-31-2021

Great Job!

Carlos Arvelo · ‎01-31-2021

Excellent. Thank for your help

Siddharta · ‎02-09-2021

Excelente Explicación. Gracias por compartir conocimientos. Felicitaciones!