Omówienie protokołu PEAP

W protokole PEAP nie określono metody uwierzytelniania, ale udostępniono dodatkowe zabezpieczenia innych protokołów uwierzytelniania EAP, takich jak EAP-MS-CHAP (Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol) w wersji 2, który może przesyłać dane poprzez udostępniany przez protokół PEAP kanał szyfrowany warstwą TLS. Protokół PEAP jest używany jako metoda uwierzytelniania dla klientów dostępu łączących się z siecią organizacji za pośrednictwem następujących typów serwerów dostępu do sieci:

• Punkty dostępu bezprzewodowego 802.1X
  
  
• Przełączniki uwierzytelniające 802.1X
  
  
• Serwery wirtualnych sieci prywatnych (VPN) z systemem Windows Server® 2008 lub Windows Server® 2008 R2 oraz z usługą Routing i dostęp zdalny
  
  
• Komputery z systemem Windows Server 2008 i bramą usług terminalowych lub z systemem Windows Server® 2008 R2 i bramą usług pulpitu zdalnego
  
  

Aby ulepszyć działanie protokołów EAP i zwiększyć bezpieczeństwo sieci, w protokole PEAP udostępniono następujące rozwiązania:

• Kanał zabezpieczeń TLS umożliwiający ochronę negocjacji metody EAP prowadzonych między klientem i serwerem. Ten kanał zabezpieczeń TLS pomaga uniemożliwić intruzom wprowadzenie pakietów między klientem a serwerem NAP w celu negocjacji mniej bezpiecznego typu protokołu EAP. Szyfrowany kanał TLS stanowi również ochronę przed atakami typu „odmowa usługi” na serwer NPS.
  
  
• Obsługa fragmentacji i ponownego konstruowania komunikatów, która pozwala na używanie typów protokołu EAP nieobsługujących tych funkcji.
  
  
• Klienci z możliwością uwierzytelniania serwera NPS lub innego serwera usługi RADIUS. Ponieważ serwer jest również uwierzytelniany przez klienta, występuje uwierzytelnianie obustronne.
  
  
• Ochrona przed wdrożeniem nieautoryzowanego bezprzewodowego punktu dostępu w momencie uwierzytelnienia przez klienta EAP certyfikatu dostarczonego przez serwer NPS. Ponadto główny klucz tajny protokołu TLS utworzony przez wystawcę uwierzytelnienia PEAP i klienta nie zostaje udostępniony punktowi dostępu. Dlatego punkt dostępu nie może odszyfrowywać komunikatów zabezpieczonych przez protokół PEAP.
  
  
• Szybkie łączenie ponowne za pomocą protokołu PEAP zmniejsza opóźnienie między żądaniem uwierzytelnienia wysłanym przez klienta a odpowiedzią serwera NPS lub innego serwera RADIUS. Szybkie łączenie ponowne za pomocą protokołu PEAP pozwala również na przenoszenie klientów łączących się bezprzewodowo między punktami dostępu skonfigurowanymi jako klienci usługi RADIUS tego samego serwera RADIUS bez ponownego żądania uwierzytelnienia. To powoduje zmniejszenie wymagań dla zasobów zarówno klienta, jak i serwera oraz minimalizuje liczbę sytuacji, kiedy użytkownicy są monitowani o poświadczenia.
  
  

Poniższa tabela zawiera zalety protokołu PEAP-MS-CHAP v2 i porównanie z protokołem MS-CHAP v2.

Proces uwierzytelniania PEAP między klientem protokołu PEAP a wystawcą uwierzytelnienia składa się z dwóch etapów. W pierwszym etapie pomiędzy klientem protokołu PEAP a serwerem uwierzytelniającym zostaje utworzony bezpieczny kanał. Drugi etap umożliwia uwierzytelnienie za pomocą protokołu EAP między klientem protokołu PEAP i wystawcą uwierzytelnienia.

Możliwe jest wybranie jednego z dwóch typów protokołu EAP, nazywanych także typami uwierzytelniania, który będzie używany z protokołem PEAP: EAP-MS-CHAP v2 lub EAP-TLS. Typ EAP-MS-CHAP v2 uwierzytelnia użytkownika za pomocą poświadczeń opartych na haśle (nazwy użytkownika i hasła) oraz uwierzytelnia serwer za pomocą certyfikatu z magazynu certyfikatów komputera serwera. Typ EAP-TLS uwierzytelnia użytkownika i komputer kliencki za pomocą certyfikatów zainstalowanych w magazynie certyfikatów komputera klienckiego lub na karcie inteligentnej oraz uwierzytelnia serwer za pomocą certyfikatu z magazynu certyfikatów komputera serwera.

Protokół PEAP z typem EAP-MS-CHAPv2 (protokół PEAP-MS-CHAP v2) jest łatwiejszy do wdrożenia niż protokół EAP-TLS, ponieważ uwierzytelnianie użytkownika jest realizowane za pomocą poświadczeń opartych na haśle (nazwy użytkownika i hasła) zamiast certyfikatów lub kart inteligentnych. Certyfikat musi mieć jedynie serwer NPS lub inny serwer usługi RADIUS. Certyfikat serwera NPS jest używany przez serwer NPS podczas procesu uwierzytelniania, aby potwierdzić jego tożsamość klientom protokołu PEAP.

Do pomyślnego uwierzytelnienia za pomocą protokołu PEAP-MS-CHAP v2 konieczne jest, aby klient uznał serwer NPS za zaufany po zbadaniu certyfikatu serwera. Aby klient uznał serwer NPS za zaufany, urząd certyfikacji, który wystawił certyfikat serwera, musi mieć własny odrębny certyfikat w magazynie certyfikatów Zaufane główne urzędy certyfikacji na komputerach klienckich.

Certyfikat serwera używany przez serwer NPS może zostać wystawiony przez główny urząd certyfikacji organizacji lub przez publiczny urząd certyfikacji, taki jak VeriSign lub Thawte, który jest już uznawany za zaufany przez komputer kliencki.

	Uwaga
	Protokół PEAP-MS-CHAP v2 udostępnia znacznie lepsze zabezpieczenia niż protokół MS-CHAP v2 dzięki możliwości generowania klucza za pomocą protokołu TLS oraz zastosowaniu uwierzytelniania wzajemnego, które zapobiega negocjowaniu przez nieautoryzowany serwer najmniej bezpiecznej metody uwierzytelniania z klientem protokołu PEAP.

Przy wdrażaniu infrastruktury kluczy publicznych (PKI) za pomocą usług certyfikatów w usłudze Active Directory (AD CS, Active Directory Certificate Services) można użyć protokołu PEAP z typem EAP-TLS (protokołu PEAP-TLS). Certyfikaty oferują znacznie silniejszą metodę uwierzytelniania niż metody używające poświadczeń opartych na haśle. Protokół PEAP-TLS uwierzytelniania serwer za pomocą certyfikatów oraz używa kart inteligentnych, które zawierają osadzony certyfikat, albo certyfikatów zarejestrowanych na komputerach klienckich, które są przechowywane w magazynie certyfikatów komputera lokalnego, do uwierzytelniania użytkownika i komputera. Aby używać protokołu PEAP-TLS, należy wdrożyć infrastrukturę PKI.

Szybkie łączenie ponowne za pomocą protokołu PEAP umożliwia klientom łączącym się bezprzewodowo przenoszenie się między punktami dostępu bezprzewodowego tej samej sieci bez ponownego uwierzytelniania za każdym razem, kiedy są kojarzeni z nowym punktem dostępu.

Punkty dostępu bezprzewodowego są konfigurowane jako klienci usługi RADIUS serwerów RADIUS. Jeżeli klient łączący się bezprzewodowo jest przenoszony między punktami dostępu skonfigurowanymi jako klienci tego samego serwera RADIUS, nie jest wymagane uwierzytelnianie klienta przy każdym nowym skojarzeniu. Kiedy klient jest przenoszony do punktu dostępu skonfigurowanego jako klient usługi RADIUS innego serwera RADIUS, klient jest ponownie uwierzytelniany, ale ten proces przebiega dużo wydajniej i szybciej.

Szybkie łączenie ponowne za pomocą protokołu PEAP zmniejsza czas odpowiedzi podczas uwierzytelniania między klientem i wystawcą uwierzytelnienia, ponieważ żądanie uwierzytelnienia jest przesyłane dalej z nowego punktu dostępu do serwera NPS, który pierwotnie przeprowadził uwierzytelnienie i autoryzację żądania połączenia klienta. Ponieważ zarówno klient protokołu PEAP, jak i serwer NPS używają wcześniej buforowanych właściwości połączenia TLS (zbiór takich właściwości jest nazywany dojściem protokołu TLS), serwer NPS może szybko określić, że połączenie klienta jest połączeniem ponownym.

Klient może buforować dojścia protokołu TLS dla wielu wystawców uwierzytelnienia PEAP. Jeżeli pierwotny serwer NPS jest niedostępny, pomiędzy klientem i nowym wystawcą uwierzytelnienia musi się odbyć pełne uwierzytelnienie. Klient buforuje dojście protokołu TLS dla nowego wystawcy uwierzytelnienia PEAP. W przypadku kart inteligentnych lub uwierzytelniania za pomocą protokołu PEAP-MS-CHAP v2 użytkownik jest monitowany o podanie odpowiednio osobistego numeru identyfikacyjnego (PIN) lub poświadczeń.