Protocolo de autenticação extensível protegido - Protected Extensible Authentication Protocol

PEAP também é um acrônimo para Personal Egress Air Packs .

O protocolo de autenticação extensível protegido , também conhecido como EAP protegido ou simplesmente PEAP , é um protocolo que encapsula o protocolo de autenticação extensível (EAP) em um túnel TLS ( Transport Layer Security ) criptografado e autenticado . O objetivo era corrigir deficiências no EAP; O EAP presumiu um canal de comunicação protegido, como aquele fornecido pela segurança física, portanto, recursos para proteção da conversa EAP não foram fornecidos.

O PEAP foi desenvolvido em conjunto pela Cisco Systems , Microsoft e RSA Security . PEAPv0 era a versão incluída no Microsoft Windows XP e foi definida nominalmente em draft-kamath-pppext-peapv0-00 . PEAPv1 e PEAPv2 foram definidos em diferentes versões de draft-josefsson-pppext-eap-tls-eap . PEAPv1 foi definido em draft-josefsson-pppext-eap-tls-eap-00 por meio de draft-josefsson-pppext-eap-tls-eap-05 , e PEAPv2 foi definido em versões começando com draft-josefsson-pppext-eap-tls- eap-06 .

O protocolo especifica apenas o encadeamento de vários mecanismos EAP e não qualquer método específico. No entanto, o uso dos métodos EAP-MSCHAPv2 e EAP-GTC são os mais comumente aceitos.

Visão geral

PEAP é semelhante em design ao EAP-TTLS , exigindo apenas um certificado PKI do lado do servidor para criar um túnel TLS seguro para proteger a autenticação do usuário e usa certificados de chave pública do lado do servidor para autenticar o servidor. Em seguida, ele cria um túnel TLS criptografado entre o cliente e o servidor de autenticação. Na maioria das configurações, as chaves para essa criptografia são transportadas usando a chave pública do servidor. A troca de informações de autenticação que se segue dentro do túnel para autenticar o cliente é então criptografada e as credenciais do usuário ficam protegidas de espionagem.

Em maio de 2005, havia dois subtipos PEAP certificados para o padrão WPA e WPA2 atualizado . Eles são:

  • PEAPv0 / EAP-MSCHAPv2
  • PEAPv1 / EAP-GTC

PEAPv0 e PEAPv1 referem-se ao método de autenticação externa e são os mecanismos que criam o túnel TLS seguro para proteger as transações de autenticação subsequentes. EAP-MSCHAPv2 e EAP-GTC referem - se aos métodos de autenticação internos que fornecem autenticação de usuário ou dispositivo. Um terceiro método de autenticação comumente usado com PEAP é o EAP-SIM .

Nos produtos Cisco, o PEAPv0 oferece suporte aos métodos EAP internos EAP-MSCHAPv2 e EAP-SIM, enquanto o PEAPv1 oferece suporte aos métodos EAP internos EAP-GTC e EAP-SIM. Como a Microsoft só oferece suporte a PEAPv0 e não oferece suporte a PEAPv1, a Microsoft simplesmente o chama de "PEAP" sem o designador v0 ou v1. Outra diferença entre a Microsoft e a Cisco é que a Microsoft só oferece suporte ao método EAP-MSCHAPv2 e não ao método EAP-SIM.

No entanto, a Microsoft oferece suporte a outra forma de PEAPv0 (que a Microsoft chama de PEAP-EAP-TLS) que muitos Cisco e outros softwares de cliente e servidor de terceiros não oferecem suporte. PEAP-EAP-TLS requer a instalação do cliente de um certificado digital do lado do cliente ou um cartão inteligente mais seguro. PEAP-EAP-TLS é muito semelhante em operação ao EAP-TLS original, mas fornece um pouco mais de proteção porque partes do certificado do cliente que não são criptografadas em EAP-TLS são criptografadas em PEAP-EAP-TLS. Em última análise, PEAPv0 / EAP-MSCHAPv2 é de longe a implementação mais prevalente de PEAP, devido à integração de PEAPv0 em produtos Microsoft Windows . O cliente CSSC da Cisco (descontinuado em 2008) agora oferece suporte a PEAP-EAP-TLS.

O PEAP tem tido tanto sucesso no mercado que até a Funk Software (adquirida pela Juniper Networks em 2005), o inventor e patrocinador do EAP-TTLS , adicionou suporte para PEAP em seu software de servidor e cliente para redes sem fio.

PEAPv0 com EAP-MSCHAPv2

MS-CHAPv2 é um protocolo de autenticação antigo que a Microsoft introduziu com NT4.0 SP4 e Windows 98.

PEAPv0 / EAP-MSCHAPv2 é a forma mais comum de PEAP em uso, e o que geralmente é referido como PEAP. O protocolo de autenticação interno é o Challenge Handshake Authentication Protocol da Microsoft , o que significa que permite a autenticação em bancos de dados que suportam o formato MS-CHAPv2, incluindo Microsoft NT e Microsoft Active Directory.

Atrás do EAP-TLS , o PEAPv0 / EAP-MSCHAPv2 é o segundo padrão EAP mais amplamente suportado no mundo. Existem implementações de cliente e servidor de vários fornecedores, incluindo suporte em todos os lançamentos recentes da Microsoft , Apple Computer e Cisco . Existem outras implementações, como o xsupplicant do projeto Open1x.org e wpa_supplicant .

Como com outros tipos 802.1X e EAP, a criptografia dinâmica pode ser usada com PEAP.

Um certificado CA deve ser usado em cada cliente para autenticar o servidor para cada cliente antes que o cliente envie as credenciais de autenticação. Se o certificado CA não for validado, em geral é trivial introduzir um Ponto de Acesso Wireless falso que então permite a coleta de handshakes MS-CHAPv2 .

Vários pontos fracos foram encontrados no MS-CHAPv2, alguns dos quais reduzem drasticamente a complexidade dos ataques de força bruta, tornando-os viáveis ​​com hardware moderno.

PEAPv1 com EAP-GTC

PEAPv1 / EAP-GTC foi criado pela Cisco para fornecer interoperabilidade com o cartão token existente e sistemas de autenticação baseados em diretório por meio de um canal protegido. Mesmo que a Microsoft tenha co-inventado o padrão PEAP, a Microsoft nunca adicionou suporte para PEAPv1 em geral, o que significa que PEAPv1 / EAP-GTC não tem suporte para sistema operacional Windows nativo . Uma vez que a Cisco normalmente recomenda protocolos EAP leves, como os protocolos LEAP e EAP-FAST em vez do PEAP, este último não foi amplamente adotado como alguns esperavam.

Sem interesse da Microsoft em oferecer suporte ao PEAPv1 e sem promoção da Cisco, a autenticação PEAPv1 raramente é usada. Mesmo no Windows 7 , lançado no final de 2009, a Microsoft não adicionou suporte para nenhum outro sistema de autenticação além do MSCHAPv2.

Os telefones celulares Nokia E66 e posteriores são fornecidos com uma versão do Symbian que inclui suporte para EAP-GTC.

O LDAP (Lightweight Directory Access Protocol) suporta apenas EAP-GTC.

Referências

links externos