A PEAP protokoll az EAP protokollok közé tartozik.

A PEAP a TLS (Transport Layer Security) protokollal hoz létre titkosított csatornát a hitelesített PEAP-ügyfél, például egy vezeték nélküli számítógép, és a PEAP-hitelesítő, például egy hálózati házirend-kiszolgálót (NPS) futtató kiszolgáló, vagy más RADIUS (Remote Authentication Dial-In User Service) kiszolgáló között.

A PEAP és a hálózati házirend-kiszolgáló

A PEAP nem határoz meg hitelesítési módszert, de további biztonságot nyújt más EAP hitelesítési protokolloknak, például az EAP-MSCHAP v2 protokollnak, amely a PEAP által biztosított TLS titkosított csatornán működtethető. A PEAP hitelesítési módszerként használatos az olyan hozzáférési ügyfelek esetében, akik a hálózati elérést biztosító kiszolgálók következő típusainak valamelyikén keresztül csatlakoznak a vállalati hálózathoz:

  • 802.1X vezeték nélküli hozzáférési pontok

  • 802.1X hitelesítő kapcsolók

  • A Windows Server® 2008 vagy Windows Server® 2008 R2 rendszert és az Útválasztás és távelérés szolgáltatást futtató virtuális magánhálózati (VPN) kiszolgálók

  • A Windows Server 2008 operációs rendszert és a Terminálszolgáltatási átjáró vagy a Windows Server® 2008 R2 Távoli asztali átjáró szolgáltatást futtató számítógépek.

Az EAP protokoll és a hálózati biztonság kibővítéséhez a PEAP protokoll a következőket nyújtja:

  • Egy TLS-csatornát, amely védelmet biztosít az ügyfél és a kiszolgáló közötti EAP módszeregyeztetéshez. Ez a TLS-csatorna segít megelőzni, hogy egy támadó csomagokat helyezzen az ügyfél és a hálózati hozzáférést biztosító kiszolgáló közé, amely az egy kevésbé biztonságos EAP-típusban való megegyezést eredményezheti. A titkosított TLS-csatorna a hálózati házirend-kiszolgáló ellen irányuló szolgáltatásmegtagadásos támadásokat is segít megelőzni.

  • Támogatást az üzenetek darabolásához és összeillesztéséhez, lehetővé téve az olyan EAP-típusok használatára, amelyek nem rendelkeznek ezzel a szolgáltatással.

  • A képességet, hogy az ügyfelek hitelesíthessék a hálózati házirend-kiszolgálót vagy más RADIUS-kiszolgálókat. Mivel a kiszolgáló ugyanúgy hitelesíti az ügyfelet, kölcsönös hitelesítés történik.

  • Védelmet a nem hitelesített vezeték nélküli hozzáférési pontok felállítása ellen abban a pillanatban, ahogy az EAP-ügyfél hitelesíti a hálózati házirend-kiszolgáló által nyújtott tanúsítványt. Továbbá a TLS-főkulcs, amelyet a PEAP-hitelesítő és az ügyfél hoznak létre, nincs megosztva a hozzáférési ponttal. Emiatt a hozzáférési pont nem tudja visszafejteni a PEAP által védett üzeneteket.

  • Gyors PEAP újracsatlakozást, amely csökkenti a késedelmet az ügyfél hitelesítési kérelme és a hálózati házirend-kiszolgáló vagy más RADIUS-kiszolgáló válasza közt. A PEAP gyors újracsatlakozása azt is lehetővé teszi az ügyfelek számára, hogy az azonos RADIUS-kiszolgálón RADIUS-ügyfélként konfigurált hozzáférési pontok között ismételt hitelesítési kérelmek nélkül mozogjanak. Ez kevesebb erőforrást követel mind az ügyféltől, mind a kiszolgálótól, és minimálisra csökkenti azon alkalmak számát, amikor a felhasználóknak meg kell adniuk hitelesítési adataikat.

A következő táblázat felsorolja a PEAP-MS-CHAP v2 protokoll előnyeit, és összehasonlítja az MS-CHAP v2 protokollal.

Szolgáltatás/funkció MS-CHAP v2 PEAP-MS-CHAP v2

Ügyfél-hitelesítést biztosít jelszavakkal.

Igen

Igen

Biztosítja, hogy a kiszolgáló hozzáférjen a hitelesítési adatokhoz.

Igen

Igen

Hitelesíti a kiszolgálót.

Igen

Igen

Megelőzi a vezeték nélküli hozzáférési pontokkal való visszaélést.

Nem

Igen

Megakadályozza, hogy a nem hitelesített kiszolgálók a legkevésbé biztonságos hitelesítési módszerben egyezzenek meg.

Nem

Igen

Nyilvános kulccsal létrehozott TLS-kulcsokat használ.

Nem

Igen

Végpontok közötti titkosítást nyújt.

Nem

Igen

Megakadályozza a szótáras, illetve találgatásos támadásokat.

Nem

Igen

Megakadályozza az ismétléses támadásokat.

Nem

Igen

Lehetővé teszi a hitelesítési módszerekből való láncképzést.

Nem

Igen

Ügyfél-megbízhatóságot vagy a kiszolgáló által nyújtott hitelesítést igényel.

Nem

Igen

PEAP hitelesítési folyamat

A PEAP hitelesítési folyamat a PEAP-ügyfél és a hitelesítő között két szakaszból áll. Az első szakasz létrehoz egy biztonságos csatornát a PEAP-ügyfél és a hitelesítő kiszolgáló között. A második szakasz EAP hitelesítést biztosít a PEAP-ügyfél és a hitelesítő között.

TLS titkosított csatorna

A PEAP hitelesítés első szakaszában a PEAP-ügyfél és a hálózati házirend-kiszolgáló között létrejön a TLS-csatorna. A következő lépések bemutatják, hogyan jön létre ez a TLS-csatorna a vezeték nélküli PEAP-ügyfelek esetében.

  1. A PEAP-ügyfél hozzá lesz rendelve egy olyan vezeték nélküli hozzáférési ponthoz, amely egy, a hálózati házirend-kiszolgálót futtató kiszolgálóhoz RADIUS-ügyfélként lett konfigurálva. Az IEEE 802.11-alapú hozzárendelés nyílt rendszerű vagy megosztott kulcsos hitelesítést nyújt, mielőtt a PEAP-ügyfél és a hozzáférési pont között létrejön a biztonságos hozzárendelés.

  2. Miután az ügyfél és a hozzáférési pont között sikeresen létrejött az IEEE 802.11-alapú hozzárendelés, a TLS-munkamenet egyeztetve lesz a hozzáférési ponttal.

  3. Miután a vezeték nélküli PEAP-ügyfél és a hálózati házirend-kiszolgáló között a számítógépszintű hitelesítés sikeresen befejeződött, a TLS-munkamenet egyeztetve lesz közöttük. Minden további kommunikáció az ebből az egyeztetésből származó kulccsal lesz titkosítva, beleértve a hálózati hozzáférési hitelesítést is, amely lehetővé teszi a felhasználó számára a vállalati hálózathoz való csatlakozást.

EAP-hitelesített kommunikáció

A teljes EAP-kommunikáció, az EAP-egyeztetést is beleértve, a TLS-csatornán keresztül történik, és a PEAP-hitelesítés második szakaszát képezi. A következő lépések kiegészítik az előbbi példát, és bemutatják, hogy a vezeték nélküli ügyfelek hogyan fejezhetik be a hitelesítést a PEAP protokollt alkalmazó hálózati házirend-kiszolgálóval.

Miután a hálózati házirend-kiszolgáló és a PEAP-ügyfél között létrejött a TLS-csatorna, az ügyfél megadja hitelesítő adatait (a felhasználói nevet és jelszót, illetve a felhasználói vagy számítógépes tanúsítványt) a hálózati házirend-kiszolgálónak a titkosított csatornán keresztül.

A hozzáférési pont csak továbbítja az üzeneteket a vezeték nélküli ügyfelek és a RADIUS-kiszolgáló között, a hozzáférési pont (vagy az azt figyelő személy) nem tudja visszafejteni ezeket az üzeneteket, mivel nem ez a TLS végpont.

A hálózati házirend-kiszolgáló hitelesíti a felhasználót és az ügyfélszámítógépet a PEAP protokollhoz kijelölt hitelesítési típussal. A hitelesítés típusa lehet EAP-TLS (intelligens kártya vagy más tanúsítvány) vagy EAP-MS-CHAP v2 (biztonságos jelszó).

Megjegyzés

A PEAP protokoll konfigurálható hitelesítési módszerként a hálózati házirend-kiszolgáló hálózati házirendjében.

EAP-típusok

Két EAP-típus, más néven hitelesítési típus közül választhat a PEAP protokollal való használatra. EAP-MS-CHAP v2 vagy EAP-TLS. Az EAP-MS-CHAP v2 jelszóalapú hitelesítési adatokat (felhasználói név és jelszó) használ a felhasználó hitelesítésére, és a kiszolgáló számítógép tanúsítványtárolójában tárolt tanúsítványokat a kiszolgálók hitelesítésére. Az EAP-TLS vagy az ügyfélszámítógép tanúsítványtárolójában telepített tanúsítványokat, vagy intelligens kártyát használ felhasználók vagy ügyfélszámítógépek hitelesítésére, és a kiszolgáló számítógép tanúsítványtárolójában lévő tanúsítványt a kiszolgáló hitelesítésére.

PEAP protokoll EAP-MS-CHAP v2 hitelesítési típussal

A PEAP protokoll EAP-MS-CHAPv2 típussal (PEAP-MS-CHAP v2) könnyebben telepíthető, mint az EAP-TLS, mivel a felhasználó hitelesítése jelszóalapú hitelesítési adatokkal történik (felhasználói név és jelszó) a tanúsítványok és intelligens kártyák helyett. Csak a hálózati házirend-kiszolgálóknak és más RADIUS-kiszolgálóknak van szükségük tanúsítványra. Az NPS-kiszolgáló tanúsítványát a hálózati házirend-kiszolgáló használja a hitelesítési folyamat során a PEAP-ügyfelek azonosítására.

A sikeres PEAP-MS-CHAP v2 hitelesítés feltétele, hogy az ügyfél megbízzon a hálózati házirend-kiszolgálóban, miután ellenőrizte a kiszolgáló tanúsítványát. Ahhoz, hogy az ügyfél megbízzon a hálózati házirend-kiszolgálóban, a kiszolgáló tanúsítványát kibocsátó hitelesítésszolgáltatónak (CA) rendelkeznie kell saját tanúsítványával az ügyfélszámítógépek Megbízható legfelső szintű hitelesítésszolgáltatók tanúsítványtárolóiban.

A hálózati házirend-kiszolgáló kiszolgálói tanúsítványának kibocsátója lehet a vállalat megbízható legfelső szintű hitelesítésszolgáltatója, vagy egy nyilvános hitelesítésszolgáltató, például a Verisign vagy a Thawte, amelyben az ügyfélszámítógép már megbízik.

Megjegyzés

A PEAP-MS-CHAP v2 a TLS protokollal való kulcsgenerálás és a kölcsönös hitelesítés biztosításával magasabb szintű biztonságot nyújt az MS-CHAP v2 típusnál, meggátolva, hogy a nem hitelesített kiszolgálók a legkevésbé biztonságos hitelesítési módszerben egyezzenek meg a PEAP-ügyféllel.

PEAP protokoll EAP-TLS hitelesítési típussal

Nyilvános kulcsokra épülő infrastruktúra (PKI) telepítésekor az Active Directory tanúsítványszolgáltatásokkal (AD CS) a PEAP protokollt az EAP-TLS hitelesítési típussal is használhatja (PEAP-TLS). A tanúsítványok a jelszó-alapú hitelesítési adatoknál jóval erősebb hitelesítési módszert biztosítanak. A PEAP-TLS protokoll tanúsítványokat használ a kiszolgálók hitelesítésére, a felhasználók és az ügyfélszámítógépek hitelesítésére pedig beágyazott tanúsítványokat tartalmazó intelligens kártyákat, vagy az ügyfélszámítógépekhez igényelt, és a helyi számítógép tanúsítványtárolójában tárolttanúsítványokat. A PEAP-TLS típus alkalmazásához PKI infrastruktúrát kell telepítenie.

PEAP gyors újracsatlakozás

A PEAP gyors újracsatlakozás lehetővé teszi a vezeték nélküli ügyfelek számára, hogy egy hálózat vezeték nélküli hozzáférési pontjai között anélkül mozogjanak, hogy az újabb hozzáférési pontokhoz való hozzárendeléskor újra kellene hitelesíteni őket.

A RADIUS-kiszolgálók számára a vezeték nélküli hozzáférési pontok RADIUS-ügyfelekként vannak konfigurálva. Ha a vezeték nélküli ügyfél olyan hozzáférési pontok közt mozog, amelyek ugyanahhoz a RADIUS-kiszolgálóhoz ügyfélként vannak konfigurálva, az ügyfelet nem szükséges minden új hozzárendelésnél hitelesíteni. Ha az ügyfél olyan hozzáférési ponthoz mozog, amely egy másik RADIUS-kiszolgálóhoz van RADIUS-ügyfélként konfigurálva, a hitelesítési folyamat az ügyfél újrahitelesítése ellenére is sokkal hatékonyabban és gyorsabban zajlik.

A PEAP gyors újracsatlakozás csökkenti a hitelesítés válaszidejét az ügyfél és a hitelesítő között, mivel a hitelesítési kérelem az új hozzáférési ponttól ahhoz a hálózati házirend-kiszolgálóhoz lesz irányítva, amely eredetileg elvégezte az ügyfélcsatlakozási kérelem hitelesítését és engedélyezését. Mivel mind a PEAP, mind a hálózati házirend-kiszolgáló használja a korábban gyorsítótárazott TLS-kapcsolati tulajdonságokat (amelyek gyűjteménye a TLS-leíró), a hálózati házirend-kiszolgáló gyorsan megállapíthatja, hogy az ügyfél csatlakozása újracsatlakozás-e.

Az ügyfél gyorsítótárazhatja a TLS-leírókat a további PEAP hitelesítők számára. Ha az eredeti hálózati házirend-kiszolgáló nem érhető el, teljes hitelesítésnek kell történnie az ügyfél és az új hitelesítő között. Az új PEAP hitelesítő TLS-leíróját az ügyfél gyorsítótárazza. Az intelligens kártyák vagy a PEAP-MS-CHAP v2 hitelesítés esetében az ügyfélnek meg kell adnia a PIN-kódot, illetve a hitelesítési adatokat.

PEAP-MS-CHAP v2 hitelesítéssel:

Ha az új hozzáférési pont ugyanazon RADIUS-kiszolgáló ügyfele Ha az új hozzáférési pont egy új RADIUS-kiszolgáló ügyfele

A felhasználónak nem kell megadnia hitelesítő adatait minden alkalommal, amikor az ügyfélszámítógép egy új hozzáférési ponthoz rendelődik.

A felhasználónak ennél a kezdeti hozzárendelésnél kell megadnia hitelesítő adatait. A következő alkalommal, amikor az ügyfélszámítógép olyan hozzáférési ponthoz rendelődik, amely ennek a kiszolgálónak az ügyfele, a felhasználói hitelesítő adatokra nincs szükség.

A RADIUS-kiszolgálónak nem kell tanúsítványt bemutatnia.

A RADIUS-kiszolgáló ennél a kezdeti hozzárendelésnél mutatja be a tanúsítványt, hogy a vezeték nélküli ügyfél hitelesítve lehessen a RADIUS-kiszolgálóhoz. A következő alkalommal, amikor az ügyfélszámítógép olyan hozzáférési ponthoz rendelődik, amely ennek a kiszolgálónak az ügyfele, a kiszolgáló újrahitelesítésére nincs szükség.

PEAP-TLS hitelesítéssel:

Ha az új hozzáférési pont ugyanazon RADIUS-kiszolgáló ügyfele Ha az új hozzáférési pont egy új RADIUS-kiszolgáló ügyfele

Az ügyfélnek és a kiszolgálónak nem kell tanúsítványt cserélniük.

Az ügyfél és a kiszolgáló ennél a kezdeti hozzárendelésnél cseréli ki a tanúsítványokat. A következő alkalommal, amikor az ügyfélszámítógép olyan hozzáférési ponthoz rendelődik, amely ennek a kiszolgálónak az ügyfele, a tanúsítványok cseréjére nem kerül sor.

A felhasználónak nem kell megadnia az intelligens kártya személyes azonosítószámát (PIN-kódját) minden alkalommal, amikor az ügyfélszámítógép egy új hozzáférési ponthoz rendelődik.

A felhasználónak ennél a kezdeti hozzárendelésnél kell megadnia az intelligens kártya PIN-kódját. A következő alkalommal, amikor az ügyfélszámítógép olyan hozzáférési ponthoz rendelődik, amely ennek a kiszolgálónak az ügyfele, a felhasználónak nem kell megadnia a PIN-kódot.

PEAP gyors újracsatlakozás engedélyezése:

  • A PEAP-ügyfélnél (802.11 vezeték nélküli ügyfél) és a PEAP-hitelesítőnél (RADIUS-kiszolgáló) egyaránt engedélyezve kell lennie a gyors újracsatlakozásnak.

  • Minden hozzáférési pontnak, amelyhez a PEAP-ügyfél mozoghat, RADIUS-ügyfélként kell konfigurálva lennie egy RADIUS-kiszolgálóhoz (a PEAP-hitelesítőhöz), amelyen a vezeték nélküli kapcsolatok hitelesítési módszereként a PEAP protokoll van beállítva.

  • Minden hozzáférési pontnak, amelyhez a PEAP-ügyfél hozzárendelődik, ugyanazt a RADIUS-kiszolgálót (PEAP-hitelesítőt) kell előnyben részesítenie, elkerülve, hogy más RADIUS-kiszolgálók elkérjék a hitelesítő adatokat. Ha a hozzáférési pont nem állítható egy RADIUS-kiszolgáló előnyben részesítésére, a hálózati házirend-kiszolgáló RADIUS-proxyt egy előnyben részesített RADIUS-kiszolgálóhoz konfigurálhatja.

További információ
  • A PEAP protokoll nem támogatja a vendéghitelesítést.

  • Ha az EAP protokollt a PEAP protokollal együtt és anélkül is telepíti, ne használja ugyanazt az EAP hitelesítési típust mindkét esetben. Ha például PEAP-TLS típust telepít, ne telepítsen egyidejűleg EAP-TLS típust PEAP nélkül. Az azonos típusú hitelesítési módszerek telepítése biztonsági rést hoz létre.


Tartalom