EAPOL – Extensible Authentication Protocol Over LAN
Es gibt Umgebungen bzw. Anforderungen Server- und Client- Systeme zu härten. Dazu gehört z.B. die Umsetzung der Vorgaben aus PCI-DSS 3.2, gerade im Bankensektor sehr beliebt ;-). Server und Clients dürfen nur noch über das Protokoll TLS 1.2 kommunizieren.
Eine weitere Anforderung aus diesem Katalog ist, das physische Netzwerk vor fremden Zugriffen zu schützen. “Zugangskontrollen mittels einer Port-basierten Authentifizierung ist die zu meist eingesetzte Client-Lösung”.
Bei der Umsetzung dieser beiden Anforderungen, kann es vorkommen, dass die Clientsysteme nicht mehr aus dem Quarantäne Netz kommen. Nach der erfolgreichen EAP-Authentifizierung schlägt die Berechnung des MPPE (Microsoft Point to Point Encryption) Sitzungsschlüssels fehl, weil eine falsche Pseudo-Random-Funktion verwendet wird.
Oft reicht eine Aktualisierung des Radius-Servers aus. Es gibt aber auch Situationen in denen man einfach nicht weiter kommt.
Der Lösungsansatz (Workaround) wäre eine Abschwächung der EAP-Authentifizierung, runter auf TLS 1.0. Der Client bleibt weiterhin gehärtet!
Und das geht so:
In der Registry unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\13 muss ein DWORD-Wert mit der Bezeichnung TlsVersion und dem Wert 0xC0 angelegt werden.
Gefolgt von einem Neustart des Clients.
Der Wert = 0x300 forciert TLS 1.1
Der Wert = 0xC00 forciert TLS 1.2
REG-KEY:
SHA-256: 5495FC62CBA508EA63D961A505B213B5C6723E0616C1973F477C8A3EE186BF41
https://www.der-windows-papst.de/2018/08/14/winhttp-tls-1-2/