Síntomas
Después de aplicar el Windows update de 10 de noviembre a un dispositivo, no se puede conectar a una red de empresa WPA-2 que utiliza certificados para la autenticación de servidor o mutua (EAP TLS, PEAP, TTLS).
Causa
En las ventanas de actualización 10 de noviembre, EAP se ha actualizado para admitir TLS 1.2. Esto implica que, si el servidor anuncia soporte para 1.2 de TLS durante la negociación TLS, se utilizará 1.2 de TLS.
Contamos con informes que algunas implementaciones de servidor Radius experimentan un error con TLS 1.2. En este escenario de error autenticación EAP correctamente pero se produce un error en el cálculo de clave MPPE debido a una incorrecta PRF (Pseudo aleatorios función) se utiliza.
Servidores RADIUS que estén afectados
Nota: Esta información se basa en los informes de investigación y socios. Agregaremos más detalles que obtenemos más datos.
Servidor |
Información adicional |
Revisión disponible |
FreeRADIUS 2. x |
2.2.6 para TLS todos según métodos, 2.2.6 - 2.2.8 para TTLS |
Sí |
FreeRADIUS 3. x |
3.0.7 para TLS todos según métodos, 3.0.7-3.0.9 para TTLS |
Sí |
Radiador |
4.14 cuando se utiliza con Net::SSLeay 1.52 o anterior |
Sí |
Administrador de directivas de ClearPass de Aruba |
6.5.1 |
Sí |
Directiva de pulso seguro |
https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB40089 |
Corregir en pruebas |
Cisco identificar servicios motor 2. x |
2.0.0.306 parche 1 |
Corregir en pruebas |
Solución
Revisión recomendada
Trabajar con su administrador de TI para actualizar el servidor Radius a la versión adecuada que incluya una corrección.
Solución temporal para equipos basados en Windows que se ha aplicado la actualización de noviembre
Nota: Microsoft recomienda el uso de TLS 1.2 para la autenticación de EAP, dondequiera que se admite. Aunque todos los problemas conocidos en TLS 1.0 tienen revisiones disponibles, reconocemos que TLS 1.0 es un estándar antiguo que se ha demostrado vulnerable.
Para configurar la versión TLS que EAP utiliza de forma predeterminada, debe agregar un valor DWORD que se denomina TlsVersion a la siguiente subclave del registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13
El valor de esta clave del registro puede ser 0xC0, 0 x 300 o 0xC00.
Notas:
-
Esta clave del registro sólo es aplicable a EAP TLS y PEAP; no afecta el comportamiento TTLS.
-
Si el cliente EAP y servidor EAP están mal configurados por lo que no hay ningún común había configurado TLS versión, se producirá un error en la autenticación y el usuario podría perder la conexión de red. Por lo tanto, se recomienda que sólo los administradores de TI aplican esta configuración y que la configuración de probarse antes de su implementación. Sin embargo, un usuario puede configurar manualmente el número de versión TLS si el servidor admite la versión correspondiente de TLS.
Importante: esta sección, el método o la tarea contiene pasos que indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el registro. Por lo tanto, asegúrese de que sigue estos pasos cuidadosamente. Para una mayor protección, haga una copia de seguridad del registro antes de modificarlo. Entonces, puede restaurar el registro si se produce un problema. Para obtener más información acerca de cómo hacer copia de seguridad y restaurar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 Cómo hacer copia de seguridad y restaurar el registro de Windows
Para agregar estos valores del registro, siga estos pasos:
-
Haga clic en Inicio, haga clic en Ejecutar, escriba regedit en el cuadro Abrir y, a continuación, haga clic en Aceptar.
-
Busque y, a continuación, haga clic en la siguiente subclave del registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13 -
En el menú Edición , seleccione Nuevo y, a continuación, haga clic en Valor DWORD.
-
Escriba TlsVersion como nombre del valor DWORD y, a continuación, presione ENTRAR.
-
Haga clic en TlsVersiony, a continuación, haga clic en Modificar.
-
En el cuadro información del valor , utilice los siguientes valores para las distintas versiones de TLS y, a continuación, haga clic en Aceptar.
Versión TLS
Valor DWORD
TLS 1.0
0xC0
TLS 1.1
0x300
TLS 1.2
0xC00
-
Salga del Editor del registro y reinicie el equipo o reinicie el servicio EapHost.
Más información
Documentación relacionada:
Documento informativo sobre seguridad de Microsoft: actualización para la implementación de EAP de Microsoft que permite el uso de TLS: 14 de octubre de 2014
https://support.microsoft.com/kb/2977292