Protected Extensible Authentication Protocol (PEAP) は、拡張認証プロトコル (EAP) の一部です。

PEAP は Transport Layer Security (TLS) を使用して、ワイヤレス コンピューターなどの、認証の対象となる PEAP クライアントと、ネットワーク ポリシー サーバー (NPS) を実行するサーバーや他のリモート認証ダイヤルイン ユーザー サービス (RADIUS) サーバーなどの PEAP 認証システム間の暗号化チャネルを作成します。

PEAP と NPS

PEAP は認証方法を指定しませんが、PEAP が提供する TLS 暗号化チャネルを通じて動作できる、拡張認証プロトコル - Microsoft チャレンジ ハンドシェイク認証プロトコル Version 2 (EAP-MS-CHAP v2) などの他の EAP 認証プロトコルに対し、追加のセキュリティを提供します。PEAP は、組織のネットワークに次の種類のネットワーク アクセス サーバーを介して接続するアクセス クライアントの認証方法として使用されます。

  • 802.1X ワイヤレス アクセス ポイント

  • 802.1X 認証スイッチ

  • Windows Server® 2008 または Windows Server® 2008 R2 を実行する仮想プライベート ネットワーク (VPN) およびルーティングとリモート アクセス サービス

  • Windows Server 2008 とターミナル サービス ゲートウェイ (TS ゲートウェイ) または Windows Server® 2008 R2 とリモート デスクトップ ゲートウェイ (RD ゲートウェイ) を実行するコンピューター

EAP プロトコルとネットワーク セキュリティの両方を向上させるために、PEAP は次の機能を提供します。

  • クライアントとサーバー間で発生する EAP によるネゴシエーションを保護する TLS チャネル。この TLS チャネルは、攻撃者がクライアントとネットワーク アクセス サーバー間にパケットを送り込んで、EAP によるネゴシエーションのセキュリティを弱めようとするのを防ぐのに役立ちます。TLS チャネルの暗号化も、NPS サーバーに対するサービス拒否攻撃を防ぐのに役立ちます。

  • メッセージの断片化と再アセンブリのサポート。この機能を提供しない EAP の種類を使用できるようにします。

  • クライアントでの、NPS サーバーまたは他の RADIUS サーバーの認証機能。サーバーもクライアントを認証するため、相互認証が行われます。

  • EAP クライアントが NPS サーバーの提供した証明書を認証する時点での、承認されていないワイヤレス アクセス ポイントが展開されることに対する保護。また、PEAP 認証システムおよびクライアントによって作成された TLS マスター シークレットがアクセス ポイントと共有されることはありません。このため、アクセス ポイントは PEAP によって保護されているメッセージの暗号化を解除できません。

  • PEAP のすばやい再接続。クライアントによる認証要求から NPS または他の RADIUS サーバーによる応答までの遅延が短縮されます。また、PEAP のすばやい再接続によって、ワイヤレス クライアントは認証を繰り返し要求することなく、同じ RADIUS サーバーの RADIUS クライアントとして構成されているアクセス ポイント間を移動できるようになります。これにより、クライアントとサーバーで必要になるリソースが軽減され、ユーザーに対して資格情報を求める回数が最小限になります。

次の表では、PEAP-MS-CHAP v2 の機能を MS-CHAP v2 と比較して示しています。

機能 MS-CHAP v2 PEAP-MS-CHAP v2

パスワードを使用したクライアント認証の提供

あり

あり

サーバーが資格情報にアクセスできることの確認

あり

あり

サーバーの認証

あり

あり

ワイヤレス アクセス ポイントのスプーフィング (なりすまし) の防止

なし

あり

承認されていないサーバーによるセキュリティ レベルの最も低い認証方法のネゴシエーションの防止

なし

あり

公開キーを使用して生成された TLS キーの使用

なし

あり

エンド ツー エンドの暗号化の提供

なし

あり

辞書攻撃または総当たり攻撃の防止

なし

あり

リプレイ攻撃の防止

なし

あり

認証方法のチェーンの許可

なし

あり

サーバーが提供した証明書に対するクライアントの信頼の要求

なし

あり

PEAP の認証処理

PEAP クライアントと認証システム間の PEAP 認証は、2 段階で処理されます。第 1 段階では、PEAP クライアントと認証サーバー間に、セキュリティで保護されたチャネルを確立します。第 2 段階では、PEAP クライアントと認証システム間で EAP 認証を行います。

TLS 暗号化チャネル

PEAP 認証の第 1 段階では、PEAP クライアントと NPS サーバー間に TLS チャネルが作成されます。次の手順は、ワイヤレス PEAP クライアント用にこの TLS チャネルが作成される方法を示しています。

  1. PEAP クライアントが、NPS を実行するサーバーの RADIUS クライアントとして構成されているワイヤレス アクセス ポイントに関連付けられます。IEEE 802.11 ベースの関連付けによりオープン システムまたは共有キー認証が行われ、PEAP クライアントとアクセス ポイント間で、セキュリティで保護された関連付けが確立されます。

  2. クライアントとアクセス ポイント間で IEEE 802.11 ベースの関連付けが正常に確立されると、アクセス ポイントとの TLS セッションがネゴシエートされます。

  3. ワイヤレス PEAP クライアントと NPS サーバー間でコンピューター レベルの認証が正常に完了すると、クライアントとサーバー間で TLS セッションがネゴシエートされます。このネゴシエーション中に生成されたキーは、ユーザーに組織のネットワークへの接続を許可するためのネットワーク アクセス認証も含め、その後のすべての通信の暗号化に使用されます。

EAP により承認された通信

PEAP 認証の第 2 段階では、EAP ネゴシエーションも含めて完全な EAP 通信が TLS チャネルを介して行われます。次の手順では、前の例に続けて、ワイヤレス クライアントが PEAP を使用して NPS サーバーとの認証を完了する方法を示しています。

TLS チャネルが NPS サーバーと PEAP クライアント間で確立されると、クライアントはこの暗号化チャネルを介して資格情報 (ユーザー名とパスワード、またはユーザー証明書かコンピューター証明書) を NPS サーバーに渡します。

アクセス ポイントは、ワイヤレス クライアントと RADIUS サーバー間でのメッセージ転送のみを行います。アクセス ポイントは TLS エンドポイントではないため、アクセス ポイント (またはこれを監視しているユーザー) は、メッセージの暗号化を解除できません。

NPS サーバーが、PEAP と使用するように指定されている認証の種類を使用して、ユーザーとクライアント コンピューターを認証します。この認証の種類は、EAP-TLS (スマート カードまたは他の証明書) か EAP-MS-CHAP v2 (セキュリティで保護されたパスワード) のいずれかです。

NPS ネットワーク ポリシーで PEAP を認証方法として構成できます。

EAP の種類

PEAP で使用する EAP の種類 (認証の種類とも言います) は、EAP-MS-CHAP v2 と EAP-TLS の 2 種類から選択できます。EAP-MS-CHAP v2 では、ユーザー認証にはパスワード ベースの資格情報 (ユーザー名とパスワード) が、サーバー認証にはサーバー コンピューターの証明書ストアにインストールされている証明書が使用されます。EAP-TLS では、ユーザーおよびクライアント コンピューターの認証にはクライアント コンピューターの証明書ストアまたはスマート カードにインストールされている証明書が、サーバー認証にはサーバー コンピューターの証明書ストアにインストールされている証明書が使用されます。

PEAP-MS-CHAP v2 を使用する PEAP

EAP-MS-CHAP v2 を使用する PEAP (PEAP-MS-CHAP v2) は、EAP-TLS よりも簡単に展開できます。これは、証明書やスマート カードではなくパスワード ベースの資格情報 (ユーザー名とパスワード) を使用して、ユーザー認証が行われるためです。証明書が必要とされるのは NPS サーバーや他の RADIUS サーバーのみです。NPS サーバーは、認証処理中に NPS サーバー証明書を使用して、NPS サーバーの識別情報を PEAP クライアントに提供します。

PEAP-MS-CHAP v2 認証が成功するためには、クライアントがサーバー証明書を検証した上で NPS サーバーを信頼する必要があります。クライアントが NPS サーバーを信頼するためには、サーバー証明書を発行した証明機関 (CA) 自体の別の証明書が、クライアント コンピューターの信頼されたルート証明機関証明書ストアにインストールされている必要があります。

NPS が使用するサーバー証明書は、組織の信頼されたルート CA か、クライアント コンピューターによって既に信頼されている公的 CA (VeriSign や Thawte など) により発行されます。

PEAP-MS-CHAP v2 は MS-CHAP v2 と比較して非常にレベルの高いセキュリティを提供できます。PEAP-MS-CHAP v2 では、TLS を使用したキー生成機能が提供され、相互認証が使用されるため、承認されていないサーバーによるセキュリティ レベルの最も低い認証方法での PEAP クライアントとのネゴシエーションが防止されます。

EAP-TLS を使用する PEAP

Active Directory 証明書サービス (AD CS) で公開キー基盤 (PKI) を展開する場合は、EAP-TLS を使用する PEAP (PEAP-TLS) を使用できます。証明書を使用することで、パスワード ベースの資格情報を使用する方法に比べて、非常に強力な認証方法を提供できます。PEAP-TLS では、サーバー認証に証明書を使用し、ユーザーおよびクライアント コンピューターの認証には、証明書が埋め込まれているスマート カードか、クライアント コンピューターに登録されている証明書 (ローカル コンピューターの証明書ストアに格納されている証明書) を使用します。PEAP-TLS を使用するには、PKI を展開する必要があります。

PEAP のすばやい再接続

PEAP のすばやい再接続では、ワイヤレス クライアントが同じネットワーク上のワイヤレス アクセス ポイント間を移動できます。ワイヤレス クライアントが新しいアクセス ポイントとの関連付けを行うたびに認証される必要がありません。

ワイヤレス アクセス ポイントは、RADIUS サーバーの RADIUS クライアントとして構成されます。同じ RADIUS サーバーのクライアントとして構成されているアクセス ポイント間を移動する場合、ワイヤレス クライアントは新しい関連付けを行うたびに認証される必要はありません。クライアントが別の RADIUS サーバーの RADIUS クライアントとして構成されているアクセス ポイントに移動する場合は、クライアントは再認証されますが、これは非常に効率的にすばやく処理されます。

PEAP のすばやい再接続では、新しいアクセス ポイントから、最初にクライアント接続要求に対する認証および承認を行った NPS サーバーに認証要求が転送されるため、クライアントと認証システム間の認証にかかる応答時間が短縮されます。PEAP クライアントでも NPS サーバーでも、既にキャッシュされている TLS 接続プロパティ (TLS ハンドルと呼ばれるコレクション) を使用するため、クライアント接続が再接続されたことを NPS サーバーですばやく特定できます。

クライアントは、複数の PEAP 認証システムに対する TLS ハンドルをキャッシュできます。最初の NPS サーバーが利用できない場合は、クライアントと新しい認証システム間で完全な認証が行われます。新しい PEAP 認証システムの TLS ハンドルが、クライアントによってキャッシュされます。スマート カードまたは PEAP-MS-CHAP v2 認証の場合、それぞれ PIN または資格情報の入力が求められます。

PEAP-MS-CHAP v2 認証を使用する場合 :

新しいアクセス ポイントが同じ RADIUS サーバーのクライアントである場合 新しいアクセス ポイントが新しい RADIUS サーバーのクライアントである場合

新しいアクセス ポイントにクライアント コンピューターが関連付けられるたびに、資格情報の入力が求められません。

最初の関連付けにおいて資格情報の入力が求められます。その後同じサーバーのクライアントである別のアクセス ポイントにクライアント コンピューターが関連付けられたときは、ユーザー資格情報は必要ありません。

RADIUS サーバーは、証明書を提供する必要はありません。

RADIUS サーバーは最初の関連付けにおいて証明書を提供し、ワイヤレス クライアントが RADIUS サーバーに対する認証を実行できるようにします。その後同じサーバーのクライアントである別のアクセス ポイントにクライアント コンピューターが関連付けられたときは、サーバーは再認証される必要はありません。

PEAP-TLS 認証を使用する場合 :

新しいアクセス ポイントが同じ RADIUS サーバーのクライアントである場合 新しいアクセス ポイントが新しい RADIUS サーバーのクライアントである場合

クライアントとサーバーは、証明書を交換する必要がありません。

クライアントとサーバーは、最初の関連付けにおいて証明書を交換します。その後同じサーバーのクライアントである別のアクセス ポイントにクライアント コンピューターが関連付けられたときは、証明書は交換されません。

新しいアクセス ポイントにクライアント コンピューターが関連付けられるたびに、スマート カードの暗証番号 (PIN) の入力が求められません。

最初の関連付けにおいてスマート カードの PIN の入力が求められます。その後同じサーバーのクライアントである別のアクセス ポイントにクライアント コンピューターが関連付けられたときは、PIN の入力は求められません。

PEAP のすばやい再接続を有効にするには

  • PEAP クライアント (802.11 ワイヤレス クライアント) および PEAP 認証システム (RADIUS サーバー) の両方で、すばやい再接続が有効である必要があります。

  • PEAP クライアントの移動先となるすべてのアクセス ポイントを、ワイヤレス接続の認証方法に PEAP が構成されている RADIUS サーバー (PEAP 認証システム) の RADIUS クライアントとして構成する必要があります。

  • すべての RADIUS サーバーから資格情報の提供が求められないようにするためには、PEAP クライアントが関連付けられるすべてのアクセス ポイントで、同じ RADIUS サーバー (PEAP 認証システム) が優先されるように構成されている必要があります。アクセス ポイントで任意の RADIUS サーバーを優先するように構成できない場合は、NPS RADIUS プロキシに優先 RADIUS サーバーを構成できます。

追加情報
  • PEAP ではゲスト認証をサポートしていません。

  • PEAP と、PEAP で保護されていない EAP の両方を展開する場合は、PEAP を使用する場合と使用しない場合の両方に同じ EAP 認証の種類を使用することは避けてください。たとえば、PEAP-TLS を展開する場合は、PEAP を使用しない EAP-TLS を展開しないようにします。同じ種類の認証方法を使用すると、セキュリティが脆弱になります。


目次