Protected Extensible Authentication Protocol - Protected Extensible Authentication Protocol

PEAP je také zkratka pro Personal Egress Air Packs .

Protected Extensible Authentication Protocol , známý také jako Protected EAP nebo prostě PEAP , je protokol, který zapouzdřuje Extensible Authentication Protocol (EAP) v rámci jedné šifrované a ověřené Transport Layer Security (TLS) tunelu . Účelem bylo opravit nedostatky v EAP; EAP předpokládal chráněný komunikační kanál, jako je ten poskytovaný fyzickým zabezpečením, takže zařízení pro ochranu konverzace EAP nebyla poskytována.

PEAP byl společně vyvinut společností Cisco Systems , Microsoft a RSA Security . PEAPv0 byla verze zahrnutá do systému Microsoft Windows XP a byla nominálně definována v konceptu-kamath-pppext-peapv0-00 . PEAPv1 a PEAPv2 byly definovány v různých verzích konceptu-josefsson-pppext-eap-tls-eap . PEAPv1 byl definován v konceptu-josefsson-pppext-eap-tls-eap-00 prostřednictvím konceptu-josefsson-pppext-eap-tls-eap-05 a PEAPv2 byl definován ve verzích začínajících draft-josefsson-pppext-eap-tls- eap-06 .

Protokol specifikuje pouze zřetězení více mechanismů EAP a nikoli žádnou konkrétní metodu. Nejčastěji je však podporováno použití metod EAP-MSCHAPv2 a EAP-GTC .

Přehled

PEAP má podobný design jako EAP-TTLS , vyžaduje pouze certifikát PKI na straně serveru k vytvoření zabezpečeného tunelu TLS k ochraně autentizace uživatele a k ověření serveru používá certifikáty veřejného klíče na straně serveru. Poté vytvoří šifrovaný tunel TLS mezi klientem a ověřovacím serverem. Ve většině konfigurací jsou klíče pro toto šifrování přenášeny pomocí veřejného klíče serveru. Následná výměna ověřovacích informací uvnitř tunelu k ověření klienta je poté zašifrována a pověření uživatele jsou chráněna před odposlechem.

V květnu 2005 existovaly dva podtypy PEAP certifikované pro aktualizovaný standard WPA a WPA2 . Oni jsou:

  • PEAPv0 / EAP-MSCHAPv2
  • PEAPv1 / EAP-GTC

PEAPv0 a PEAPv1 odkazují na metodu vnější autentizace a jsou mechanismy, které vytvářejí zabezpečený tunel TLS k ochraně následných transakcí autentizace. EAP-MSCHAPv2 a EAP-GTC odkazují na vnitřní metody ověřování, které poskytují ověření uživatele nebo zařízení. Třetí metodou ověřování běžně používanou v protokolu PEAP je EAP-SIM .

V rámci produktů Cisco podporuje PEAPv0 vnitřní metody EAP EAP-MSCHAPv2 a EAP-SIM, zatímco PEAPv1 podporuje vnitřní metody EAP EAP-GTC a EAP-SIM. Protože Microsoft podporuje pouze PEAPv0 a nepodporuje PEAPv1, Microsoft jej jednoduše nazývá „PEAP“ bez označení v0 nebo v1. Další rozdíl mezi společnostmi Microsoft a Cisco spočívá v tom, že společnost Microsoft podporuje pouze metodu EAP-MSCHAPv2, nikoli metodu EAP-SIM.

Společnost Microsoft však podporuje jinou formu PEAPv0 (kterou společnost Microsoft nazývá PEAP-EAP-TLS), kterou mnoho serverů Cisco a jiných serverů a klientů nepodporuje. PEAP-EAP-TLS vyžaduje klientskou instalaci digitálního certifikátu na straně klienta nebo bezpečnější čipové karty. PEAP-EAP-TLS je v provozu velmi podobný původnímu EAP-TLS, ale poskytuje o něco větší ochranu, protože části klientského certifikátu, které nejsou šifrované v EAP-TLS, jsou šifrovány v PEAP-EAP-TLS. Nakonec je PEAPv0 / EAP-MSCHAPv2 zdaleka nejrozšířenější implementací PEAP díky integraci PEAPv0 do produktů Microsoft Windows . Klient Cisco CSSC (ukončen v roce 2008) nyní podporuje PEAP-EAP-TLS.

PEAP byl na trhu tak úspěšný, že dokonce Funk Software (získaný společností Juniper Networks v roce 2005), vynálezce a podporovatel EAP-TTLS , přidal podporu pro PEAP do svého serverového a klientského softwaru pro bezdrátové sítě.

PEAPv0 s EAP-MSCHAPv2

MS-CHAPv2 je starý ověřovací protokol, který společnost Microsoft zavedla s NT4.0 SP4 a Windows 98.

PEAPv0 / EAP-MSCHAPv2 je nejběžnější používaná forma PEAP a obvykle se označuje jako PEAP. Vnitřní Authentication Protocol je Microsoft ‚s Challenge Handshake Authentication Protocol , což znamená, že umožňuje ověřování k databázím, které podporují formát MS-CHAPv2, včetně Microsoft NT a Microsoft Active Directory.

Za protokolem EAP-TLS je PEAPv0 / EAP-MSCHAPv2 druhým nejrozšířenějším standardem EAP na světě. Existují jeho klientské a serverové implementace od různých dodavatelů, včetně podpory ve všech nedávných vydáních společností Microsoft , Apple Computer a Cisco . Existují i ​​další implementace, například xsupplicant z projektu Open1x.org a wpa_supplicant .

Stejně jako u jiných typů 802.1X a EAP lze u PEAP použít dynamické šifrování.

Certifikát CA musí být použit u každého klienta k ověření serveru u každého klienta, než klient odešle přihlašovací údaje. Pokud certifikát CA není ověřen, je obecně triviální zavést falešný bezdrátový přístupový bod, který pak umožňuje shromažďování handshake MS-CHAPv2 .

V MS-CHAPv2 bylo nalezeno několik slabin, z nichž některé výrazně snižují složitost útoků hrubou silou, což je umožňuje s moderním hardwarem.

PEAPv1 s EAP-GTC

PEAPv1 / EAP-GTC byl vytvořen společností Cisco, aby poskytoval interoperabilitu s existujícími autentizačními systémy založenými na tokenových kartách a adresářích prostřednictvím chráněného kanálu. Přestože Microsoft společně vynalezl standard PEAP, Microsoft nikdy nepřidal podporu pro PEAPv1 obecně, což znamená, že PEAPv1 / EAP-GTC nemá žádnou nativní podporu Windows OS. Vzhledem k tomu, že společnost Cisco místo PEAP obvykle doporučovala lehké protokoly EAP, jako jsou protokoly LEAP a EAP-FAST , nebyly tyto protokoly přijaty tak široce, jak někteří doufali.

Bez zájmu společnosti Microsoft o podporu protokolu PEAPv1 a bez podpory společnosti Cisco se ověřování pomocí protokolu PEAPv1 používá jen zřídka. Ani v systému Windows 7 vydaném na konci roku 2009 společnost Microsoft nepřidala podporu pro žádný jiný ověřovací systém než MSCHAPv2.

Mobilní telefony Nokia E66 a novější se dodávají s verzí Symbian, která zahrnuje podporu EAP-GTC.

LDAP (Lightweight Directory Access Protocol) podporuje pouze EAP-GTC.

Reference

externí odkazy