Два дни след новината за уязвимостта на байпас на сигурността на Vocera Wi-Fi VoIP комуникатор PEAP, получих потвърждение от Cisco че техният модел 7921 Wi-Fi VoIP телефон също е уязвим към същия проблем, когато цифровите сертификати не са криптографски проверени. Както Cisco, така и Vocera ми казаха, че възнамеряват да коригират бъдещи внедрявания на PEAP и да направят необходимите стъпки, за да гарантират автентичността на сертификата.
Два дни след новината за Vocera Wi-Fi VoIP комуникатор PEAP уязвимост за заобикаляне на сигурността, получих потвърждение от Cisco, че техният модел 7921 Wi-Fi VoIP телефон също е уязвим към същия проблем, при който цифровите сертификати не са криптографски проверени. Както Cisco, така и Vocera ми казаха, че възнамеряват да коригират бъдещи внедрявания на PEAP и да направят необходимите стъпки, за да гарантират автентичността на сертификата. Cisco пусна следното изявление.
„Cisco потвърждава, че безжичният IP телефон на Cisco модел 7921 в момента не валидира сървърни сертификати, когато е конфигуриран да използва PEAP (MS-CHAPv2). Моделът Cisco 7920 не поддържа PEAP. Cisco планира дългосрочно решение за активиране на опцията за валидиране от страна на клиента на сървърни сертификати с PEAP; в момента обаче нямаме времева линия за това кога ще бъде налична надстройка на софтуера. За да заобиколят проблема, администраторите могат да конфигурират EAP-TLS като алтернатива на PEAP, като същевременно гарантират взаимно удостоверяване клиент-сървър."
Въпреки че EAP-TLS може да бъде заобиколно решение на този проблем, той може да не е подходящ за всички поради административните разходи. EAP-TLS удостоверяването изисква не само сертификат на сървъра за удостоверяване, но и клиента. Това означава, че всяка безжична VoIP слушалка трябва да получи цифров сертификат.
Другото възможно заобиколно решение, което споменах за същата уязвимост на Vocera, беше да продължа да използвам режим на PEAP удостоверяване, но да използвам много дълъг и СЛУЧАЙНО 32-знакова буквено-цифрова парола за всяка слушалка. Паролата от 32 знака предлага повече от 2 до 128-ма ентропия, което прави офлайн атаките в речника невъзможни. PEAP удостоверяването обикновено ви позволява да използвате сравнително кратка парола, но не можете да я използвате тук, защото външният слой на поверителност, осигурен от PEAP, е нарушен. Фактът, че внедряването на PEAP на Cisco и Vocera не успя да провери цифровите сертификати, ги прави такива несигурен като Cisco LEAP. За съжаление произволните пароли от 32 знака не са практични и потребителите често просто повтарят по-къса парола, което означава, че те все още са лесни за разбиване.
Правилното изпълнение на PEAP предлага подобни нива на защита като тези на SSL, където външният слой е толкова надежден, че потребителските идентификационни данни обикновено се предават в чист вид. PEAP използва силен TLS външен слой на защита, като използва асиметричен обмен на RSA ключове и обикновено a по-слаб вътрешен метод за защита, използващ базирано на CHAP удостоверяване, което разчита на хеширано предизвикателство отговори. Но наличието на тези два слоя защита може за съжаление да е накарало доставчици като Cisco и Vocera да решат пряк път, където биха се отказали от критичния външен слой на защита, вярвайки, че вътрешният слой е такъв достатъчно.
Доставчиците са използвали този пряк път за по-добра производителност при безжичен роуминг, но правилният начин да станат още по-добри производителността при роуминг е да внедрите PMK кеширане в инфраструктурата на точката за достъп и НЕ да използвате преки пътища криптография. Поне с протокола LEAP знаехте, че няма външен слой на защита и поне можехте да се опитате да го вземете предвид, когато задавате политики за пароли. Наличието на счупен PEAP механизъм за удостоверяване дава на хората фалшиво чувство за сигурност, което е дори по-лошо, отколкото просто да останете с LEAP.