Protected Extensible Authentication Protocol - Protected Extensible Authentication Protocol

PEAP er også et akronym for Personal Egress Air Packs .

Den Protected Extensible Authentication Protocol , også kendt som Protected EAP eller blot PEAP , er en protokol, indkapsler Extensible Authentication Protocol (EAP) inden en krypteret og autentificeret Transport Layer Security (TLS) tunnel . Formålet var at rette mangler i EAP; EAP antog en beskyttet kommunikationskanal, såsom den, der leveres af fysisk sikkerhed, så faciliteter til beskyttelse af EAP-samtalen blev ikke leveret.

PEAP blev udviklet i fællesskab af Cisco Systems , Microsoft og RSA Security . PEAPv0 var den version, der fulgte med Microsoft Windows XP og blev nominelt defineret i draft-kamath-pppext-peapv0-00 . PEAPv1 og PEAPv2 blev defineret i forskellige versioner af draft-josefsson-pppext-eap-tls-eap . PEAPv1 blev defineret i draft-josefsson-pppext-eap-tls-eap-00 gennem draft-josefsson-pppext-eap-tls-eap-05 , og PEAPv2 blev defineret i versioner begyndende med draft-josefsson-pppext-eap-tls- eap-06 .

Protokollen specificerer kun sammenkædning af flere EAP-mekanismer og ikke nogen specifik metode. Brug af EAP-MSCHAPv2- og EAP-GTC- metoderne understøttes dog mest.

Oversigt

PEAP ligner i design til EAP-TTLS , som kun kræver en server-side PKI certifikat for at skabe en sikker TLS tunnel til beskyttelse brugergodkendelse, og anvendelser server-side offentlig nøgle certifikater til at autentificere serveren. Derefter oprettes en krypteret TLS- tunnel mellem klienten og godkendelsesserveren. I de fleste konfigurationer transporteres nøglerne til denne kryptering ved hjælp af serverens offentlige nøgle. Den efterfølgende udveksling af godkendelsesoplysninger inde i tunnelen for at godkende klienten krypteres derefter, og brugerlegitimationsoplysninger er sikre fra aflytning.

Fra maj 2005 var der to PEAP-undertyper certificeret til den opdaterede WPA- og WPA2- standard. De er:

  • PEAPv0 / EAP-MSCHAPv2
  • PEAPv1 / EAP-GTC

PEAPv0 og PEAPv1 henviser begge til den ydre godkendelsesmetode og er de mekanismer, der skaber den sikre TLS-tunnel for at beskytte efterfølgende godkendelsestransaktioner. EAP-MSCHAPv2 og EAP-GTC henviser til de indre godkendelsesmetoder, der giver bruger- eller enhedsgodkendelse . En tredje godkendelsesmetode, der almindeligvis anvendes med PEAP, er EAP-SIM .

Inden for Cisco-produkter understøtter PEAPv0 indre EAP-metoder EAP-MSCHAPv2 og EAP-SIM, mens PEAPv1 understøtter indre EAP-metoder EAP-GTC og EAP-SIM. Da Microsoft kun understøtter PEAPv0 og ikke understøtter PEAPv1, kalder Microsoft det simpelthen "PEAP" uden v0 eller v1-designatoren. En anden forskel mellem Microsoft og Cisco er, at Microsoft kun understøtter EAP-MSCHAPv2-metoden og ikke EAP-SIM-metoden.

Imidlertid understøtter Microsoft en anden form for PEAPv0 (som Microsoft kalder PEAP-EAP-TLS), som mange Cisco og anden tredjeparts server- og klientsoftware ikke understøtter. PEAP-EAP-TLS kræver klientinstallation af et digitalt certifikat på klientsiden eller et mere sikkert smartcard. PEAP-EAP-TLS ligner meget i drift den originale EAP-TLS, men giver lidt mere beskyttelse, fordi dele af klientcertifikatet, der ikke er krypteret i EAP-TLS, er krypteret i PEAP-EAP-TLS. I sidste ende er PEAPv0 / EAP-MSCHAPv2 langt den mest udbredte implementering af PEAP på grund af integrationen af ​​PEAPv0 i Microsoft Windows- produkter. Ciscos CSSC-klient (ophørt i 2008) understøtter nu PEAP-EAP-TLS.

PEAP har haft så stor succes på markedet, at selv Funk Software (erhvervet af Juniper Networks i 2005), opfinderen og bagmanden for EAP-TTLS , tilføjede support til PEAP i deres server- og klientsoftware til trådløse netværk.

PEAPv0 med EAP-MSCHAPv2

MS-CHAPv2 er en gammel godkendelsesprotokol, som Microsoft introducerede med NT4.0 SP4 og Windows 98.

PEAPv0 / EAP-MSCHAPv2 er den mest almindelige form for PEAP i brug, og hvad der normalt kaldes PEAP. Den indre Authentication Protocol er Microsofts 's Challenge Handshake Authentication Protocol , hvilket betyder at det giver mulighed for godkendelse til databaser, der understøtter MS-CHAPv2 format, herunder Microsoft NT og Microsoft Active Directory.

Bag EAP-TLS er PEAPv0 / EAP-MSCHAPv2 den næststørste EAP-standard i verden. Der er klient- og serverimplementeringer af det fra forskellige leverandører, herunder support i alle nylige udgivelser fra Microsoft , Apple Computer og Cisco . Der findes andre implementeringer, såsom xsupplicant fra Open1x.org-projektet og wpa_supplicant .

Som med andre 802.1X- og EAP-typer kan dynamisk kryptering bruges med PEAP.

Der skal bruges et CA-certifikat til hver klient for at godkende serveren for hver klient, før klienten indsender godkendelseslegitimationsoplysninger. Hvis CA-certifikatet ikke er valideret, er det generelt trivielt at indføre et falskt trådløst adgangspunkt, som derefter tillader indsamling af MS-CHAPv2- håndtryk.

Der er fundet flere svagheder i MS-CHAPv2, hvoraf nogle alvorligt reducerer kompleksiteten af ​​brutale kraftangreb, hvilket gør dem gennemførlige med moderne hardware.

PEAPv1 med EAP-GTC

PEAPv1 / EAP-GTC blev oprettet af Cisco for at give interoperabilitet med eksisterende tokenkort og biblioteksbaserede godkendelsessystemer via en beskyttet kanal. Selvom Microsoft co-opfandt PEAP-standarden, tilføjede Microsoft aldrig support til PEAPv1 generelt, hvilket betyder, at PEAPv1 / EAP-GTC ikke har nogen indbygget Windows OS-support. Da Cisco typisk har anbefalet lette EAP-protokoller som LEAP og EAP-FAST- protokoller i stedet for PEAP, er sidstnævnte ikke blevet vedtaget så vidt som nogle havde håbet.

Uden interesse fra Microsoft for at understøtte PEAPv1 og ingen promovering fra Cisco, bruges PEAPv1-godkendelse sjældent. Selv i Windows 7 , der blev frigivet i slutningen af ​​2009, har Microsoft ikke tilføjet understøttelse af andet autentificeringssystem end MSCHAPv2.

Nokia E66 og senere mobiltelefoner leveres med en version af Symbian, som inkluderer EAP-GTC support.

LDAP (Lightweight Directory Access Protocol) understøtter kun EAP-GTC.

Referencer

eksterne links