cancel
Showing results for 
Search instead for 
Did you mean: 
cancel

Understanding Wireless Client Authentication

1159
Views
130
Helpful
8
Comments
Javier Acuña
VIP Engager

EAP-FAST has three phases:

Phase 0: A unique shared credential is generated by the server. It will be used by client and server to authenticate each other during phase 1. Credential is specific to a user ID and Server Authority ID (A-ID). The PAC needs to be installed on the client. It can be done manually or via a trusted connection where the client is authenticated using another method (for example, certificate-based [TLS] or password-based [MS-CHAP v2]).

Phase 1: The function of this phase is to establish a secure tunnel by using PAC credentials. The AAA server and the end user, or client, use PAC to authenticate each other and establish a secure tunnel. A process similar to TLS is used to verify the identity of the AAA server and to establish a secure tunnel between the client and AAA server. PAC replaces the digital certificate that is used in EAP-TLS and eliminates the need for a PKI to manage the certificates. A tunnel key will be established which will be used in phase 2 for confidentiality and integrity.

Phase 2: The RADIUS server authenticates the user credentials with another EAP, which is protected by the tunnel that is created in Phase 1. The common means of authentication are password and GTCs.EAP FAST.png

8 Comments
daniel_marquez14
Beginner

Excelente Javi adiciono un comentario para mejor entendimiento

EAP-FAST

Cisco desarrolló otro método EAP llamado Autenticación flexible EAP por túnel seguro (EAP-FAST) .

EAP-FAST protege las credenciales mediante el intercambio de un secreto compartido generado por el servidor de autenticación. Este secreto compartido se denomina credencial de acceso protegido (PAC) y se utiliza para la autenticación mutua . Hay tres fases:

  • Fase 0: el servidor de autenticación genera el PAC y lo transmite al cliente inalámbrico (solicitante).
  • Fase 1: el servidor de autenticación y el solicitante se autentican entre sí y negocian un túnel TLS.
  • Fase 2: el usuario final se autentica a través del túnel TLS.

Lo que pasa es que tenemos dos procesos de autenticación, una autenticación interna y otra externa:

  • La primera autenticación se utiliza para construir el túnel TLS.
  • La segunda autenticación ocurre dentro del túnel TLS y usamos esto para autenticar al usuario final.

Para que EAP-FAST funcione, necesita un servidor RADIUS. Sin embargo, el servidor RADIUS también debe actuar como servidor EAP-FAST porque necesita generar PAC. Si ya tiene Cisco Secure Access (ACS) o Identity Services Engine (ISE) en su red, EAP-FAST podría ser una opción.

Javier Acuña
VIP Engager

Gracias por tu aporte @daniel_marquez14 

carlos_m_perez
Beginner

Excelente exposición, Javier. Gracias por compartir conocimiento. Felicitaciones!!!

Nice work!!!

jpm
Beginner
Beginner

Excelente información!!!!

manuelosorio
Beginner

Great Job!

Carlos Arvelo
Beginner

Excellent. Thank for your help 

Siddharta
Beginner

Excelente Explicación. Gracias por compartir conocimientos. Felicitaciones!