Přehled protokolu PEAP

Protokol PEAP neurčuje metodu ověřování, ale poskytuje další zabezpečení jiným ověřovacím protokolům EAP, například protokolu EAP-MS-CHAP v2 (Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol verze 2), který může využívat šifrovaný kanál protokolu TLS poskytovaný protokolem PEAP. Protokol PEAP je používán jako metoda ověřování pro přístupové klienty připojující se k síti vaší organizace prostřednictvím následujících typů serverů pro přístup k síti:

• Bezdrátové přístupové body rozhraní 802.1X
  
  
• Ověřovací přepínače rozhraní 802.1X
  
  
• Servery virtuální privátní sítě (VPN) se systémem Windows Server® 2008 nebo Windows Server® 2008 R2 a službou Směrování a vzdálený přístup
  
  
• Počítače se systémem Windows Server 2008 a službou Brána Terminálové služby (Brána TS) nebo se systémem Windows Server® 2008 R2 a službou Brána vzdálené plochy (Brána VP)
  
  

Protokol PEAP zvyšuje zabezpečení protokolu EAP i sítě poskytnutím následujících funkcí:

• Kanál TLS, který poskytuje ochranu vyjednávání metody protokolu EAP, které probíhá mezi klientem a serverem. Kanál TLS pomáhá zabránit útočníkům ve vniknutí do paketů mezi klientem a serverem NAS za účelem vyjednání méně bezpečného typu protokolu EAP. Šifrovaný kanál TLS také pomáhá zabránit útokům na server NPS, které mají za cíl způsobit odepření služby.
  
  
• Podpora fragmentace a opětovného sestavení zpráv, což umožňuje používat typy protokolu EAP, které tuto funkci neposkytují.
  
  
• Možnost klientů ověřit server NPS nebo jiný server RADIUS. Vzhledem k tomu, že server také ověřuje klienta, dochází ke vzájemnému ověření.
  
  
• Ochrana proti nasazení neautorizovaného bezdrátového přístupového bodu v okamžiku, kdy klient EAP ověřuje certifikát poskytnutý serverem NPS. Hlavní tajný klíč protokolu TLS vytvořený ověřovacími daty PEAP a klientem navíc není sdílen s přístupovým bodem. Přístupový bod proto nemůže dešifrovat zprávy chráněné protokolem PEAP.
  
  
• Rychlé obnovení připojení protokolu PEAP, které zkracuje prodlevu mezi požadavkem na ověření klienta a odpovědí serveru NPS nebo jiného serveru RADIUS. Rychlé obnovení připojení protokolu PEAP dále umožňuje bezdrátovým klientům, aby se přesouvali mezi přístupovými body nakonfigurovanými jako klienti RADIUS stejného serveru RADIUS, aniž by byly nutné opakované požadavky na ověření. Tím se snižují požadavky na zdroje pro klienta i server a minimalizuje se počet opakovaných výzev uživatelům k zadání pověření.
  
  

Následující tabulka obsahuje seznam silných stránek protokolu PEAP-MS-CHAP v2 a srovnání s protokolem MS-CHAP v2.

Proces ověřování pomocí protokolu PEAP mezi klientem PEAP a ověřovatelem tohoto protokolu se skládá ze dvou fází. Během první fáze je vytvořen zabezpečený kanál mezi klientem PEAP a ověřujícím serverem. V druhé fázi dojde mezi klientem a ověřovatelem protokolu PEAP k ověřování pomocí protokolu EAP.

Můžete si zvolit, který ze dvou typů protokolu EAP, také označovaných jako typy ověřování, chcete používat s protokolem PEAP: EAP-MS-CHAP v2 nebo EAP-TLS. Typ EAP-MS-CHAP v2 používá k ověření uživatele pověření založená na heslu (uživatelské jméno a heslo) a k ověření serveru certifikát v úložišti certifikátů serverového počítače. Typ EAP-TLS používá k ověření uživatele a klientského počítače buď certifikát nainstalovaný v úložišti certifikátů klientského počítače nebo čipovou kartu a k ověření serveru certifikát v úložišti certifikátů serverového počítače.

Protokol PEAP s protokolem EAP-MS-CHAPv2 (PEAP-MS-CHAP v2) lze snadněji nasadit než protokol EAP-TLS, protože ověření uživatele je provedeno pomocí pověření založených na heslu (uživatelské jméno a heslo) místo certifikátů nebo čipových karet. Certifikát musí mít pouze server NPS nebo jiný server RADIUS. Certifikát serveru NPS je používán serverem NPS v průběhu procesu ověřování za účelem prokazování jeho identity klientům protokolu PEAP.

Úspěšné ověřování protokolem PEAP-MS-CHAP v2 vyžaduje, aby klient důvěřoval serveru NPS po kontrole certifikátu serveru. Aby klient důvěřoval serveru NPS, musí mít certifikační autorita, která certifikát serveru vydala, svůj vlastní odlišný certifikát v úložišti důvěryhodných kořenových certifikátů certifikační autority v klientských počítačích.

Certifikát serveru používaný serverem NPS může být vydán důvěryhodnou kořenovou certifikační autoritou organizace nebo veřejnou certifikační autoritou, jako je například Verisign nebo Thawte, které již klientský počítač důvěřuje.

	Poznámka
	Protokol PEAP-MS-CHAP v2 poskytuje výrazné vylepšení zabezpečení pomocí metody MS-CHAPv2 tím, že poskytuje generování klíče pomocí protokolu TLS a používá vzájemné ověřování, zabraňuje neautorizovanému serveru vyjednávat nejméně zabezpečenou metodu klientem PEAP.

Pokud nasazujete infrastrukturu veřejných klíčů (PKI) se službou AD CS (Active Directory Certificate Services), můžete použít protokol PEAP s protokolem EAP-TLS (PEAP-TLS). Certifikáty poskytují mnohem silnější metodu ověřování než metody používající pověření na základě hesla. Protokol PEAP-TLS používá certifikáty pro ověřování serverů a čipové karty, které obsahují vložený certifikát, nebo certifikáty zapsané v klientských počítačích, které jsou uloženy v úložišti certifikátů místního počítače, pro ověřování uživatelských a klientských počítačů. Chcete-li používat protokol PEAP-TLS, musíte nasadit infrastrukturu veřejných klíčů.

Rychlé obnovení připojení protokolu PEAP umožňuje klientům bezdrátové sítě přesunutí mezi bezdrátovými přístupovými body ve stejné síti, aniž by docházelo k novému ověřování při každém spojení s novým přístupovým bodem.

Bezdrátové přístupové body jsou nakonfigurovány jako klienti RADIUS pro servery RADIUS. Pokud se klient bezdrátové sítě přesunuje mezi přístupovými body, které jsou nakonfigurovány jako klienti stejného serveru RADIUS, není po klientovi vyžadováno ověření při každém novém spojení. Jestliže se klient přesune k přístupovému bodu, který je nakonfigurován jako klient RADIUS pro jiný server RADIUS, dojde k novému ověření klienta. Tento proces však proběhne mnohem účinněji a rychleji.

Rychlé obnovení připojení protokolu PEAP zkracuje dobu odpovědi ověřování mezi klientem a ověřovatelem, protože požadavek na ověření je předáván z nového přístupového bodu na server NPS, který provedl původní ověření a autorizaci požadavku na připojení klienta. Klient protokolu PEAP i server NPS použijí vlastnosti připojení protokolu TLS uložené v mezipaměti (kolekce těchto vlastností se nazývá popisovač protokolu TSL), proto může server NPS rychle určit, že v případě daného klienta jde o obnovení připojení.

Klientský počítač může ve své mezipaměti ukládat popisovače TSL více ověřovatelů protokolu PEAP. Není-li původní server NPS dostupný, dojde mezi klientem a novým ověřovatelem k úplnému ověřování. Popisovač protokolu TSL pro nového ověřovatele protokolu PEAP uloží klient do mezipaměti. U ověřování pomocí čipových karet je uživatel vyzván k zadání kódu PIN a u ověřování pomocí protokolu PEAP-MS-CHAP v2 k zadání pověření.