Protokol PEAP (Protected Extensible Authentication Protocol) je součástí protokolů EAP (Extensible Authentication Protocol).
Protokol PEAP vytváří pomocí protokolu TLS (Transport Layer Security) šifrovaný kanál mezi ověřujícím klientem PEAP, například bezdrátovým počítačem, a ověřovacími daty PEAP, například serverem NPS (Network Policy Server) nebo jiným serverem RADIUS (Remote Authentication Dial-In User Service).
Protokol PEAP a server NPS
Protokol PEAP neurčuje metodu ověřování, ale poskytuje další zabezpečení jiným ověřovacím protokolům EAP, například protokolu EAP-MS-CHAP v2 (Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol verze 2), který může využívat šifrovaný kanál protokolu TLS poskytovaný protokolem PEAP. Protokol PEAP je používán jako metoda ověřování pro přístupové klienty připojující se k síti vaší organizace prostřednictvím následujících typů serverů pro přístup k síti:
-
Bezdrátové přístupové body rozhraní 802.1X
-
Ověřovací přepínače rozhraní 802.1X
-
Servery virtuální privátní sítě (VPN) se systémem Windows Server® 2008 nebo Windows Server® 2008 R2 a službou Směrování a vzdálený přístup
-
Počítače se systémem Windows Server 2008 a službou Brána Terminálové služby (Brána TS) nebo se systémem Windows Server® 2008 R2 a službou Brána vzdálené plochy (Brána VP)
Protokol PEAP zvyšuje zabezpečení protokolu EAP i sítě poskytnutím následujících funkcí:
-
Kanál TLS, který poskytuje ochranu vyjednávání metody protokolu EAP, které probíhá mezi klientem a serverem. Kanál TLS pomáhá zabránit útočníkům ve vniknutí do paketů mezi klientem a serverem NAS za účelem vyjednání méně bezpečného typu protokolu EAP. Šifrovaný kanál TLS také pomáhá zabránit útokům na server NPS, které mají za cíl způsobit odepření služby.
-
Podpora fragmentace a opětovného sestavení zpráv, což umožňuje používat typy protokolu EAP, které tuto funkci neposkytují.
-
Možnost klientů ověřit server NPS nebo jiný server RADIUS. Vzhledem k tomu, že server také ověřuje klienta, dochází ke vzájemnému ověření.
-
Ochrana proti nasazení neautorizovaného bezdrátového přístupového bodu v okamžiku, kdy klient EAP ověřuje certifikát poskytnutý serverem NPS. Hlavní tajný klíč protokolu TLS vytvořený ověřovacími daty PEAP a klientem navíc není sdílen s přístupovým bodem. Přístupový bod proto nemůže dešifrovat zprávy chráněné protokolem PEAP.
-
Rychlé obnovení připojení protokolu PEAP, které zkracuje prodlevu mezi požadavkem na ověření klienta a odpovědí serveru NPS nebo jiného serveru RADIUS. Rychlé obnovení připojení protokolu PEAP dále umožňuje bezdrátovým klientům, aby se přesouvali mezi přístupovými body nakonfigurovanými jako klienti RADIUS stejného serveru RADIUS, aniž by byly nutné opakované požadavky na ověření. Tím se snižují požadavky na zdroje pro klienta i server a minimalizuje se počet opakovaných výzev uživatelům k zadání pověření.
Následující tabulka obsahuje seznam silných stránek protokolu PEAP-MS-CHAP v2 a srovnání s protokolem MS-CHAP v2.
Vlastnost/funkce | MS-CHAP v2 | PEAP-MS-CHAP v2 |
---|---|---|
Poskytuje ověření klienta pomocí hesel. |
Ano |
Ano |
Zajišťuje, že server má přístup k pověřením uživatele. |
Ano |
Ano |
Ověřuje server. |
Ano |
Ano |
Zabraňuje zneužití bezdrátového přístupového bodu. |
Ne |
Ano |
Zabraňuje neoprávněnému serveru vyjednat nejméně zabezpečenou metodu ověřování. |
Ne |
Ano |
Používá klíče TLS generované pomocí veřejného klíče. |
Ne |
Ano |
Poskytuje šifrování podél celého spojení. |
Ne |
Ano |
Zabraňuje útoku slovníkovou metodou nebo přímým útokům. |
Ne |
Ano |
Zabraňuje útokům opakovací metodou. |
Ne |
Ano |
Umožňuje řetězit metody ověřování. |
Ne |
Ano |
Vyžaduje důvěryhodnost klienta nebo certifikáty poskytnuté serverem. |
Ne |
Ano |
Proces ověření PEAP
Proces ověřování pomocí protokolu PEAP mezi klientem PEAP a ověřovatelem tohoto protokolu se skládá ze dvou fází. Během první fáze je vytvořen zabezpečený kanál mezi klientem PEAP a ověřujícím serverem. V druhé fázi dojde mezi klientem a ověřovatelem protokolu PEAP k ověřování pomocí protokolu EAP.
Zašifrovaný kanál protokolu TLS
V první fázi ověřování protokolem PEAP je vytvořen kanál TLS mezi klientem PEAP a serverem NPS. Následující postup znázorňuje, jak je tento kanál TLS vytvořen pro bezdrátové klienty PEAP.
-
Klient PEAP je přidružen bezdrátovému přístupovému bodu, který je konfigurován jako klient RADIUS pro server NPS. Spojení založené na standardu IEEE 802.11 poskytuje ověření prostřednictvím otevřeného systému nebo sdíleného klíče před vytvořením zabezpečeného spojení mezi klientem PEAP a přístupovým bodem.
-
Po úspěšném vytvoření spojení založeném na standardu IEEE 802.11 mezi klientem a přístupovým bodem je s přístupovým bodem vyjednána relace protokolu TLS.
-
Po úspěšném dokončení ověření na úrovni počítače mezi bezdrátovým klientem PEAP a serverem NPS je mezi nimi také vyjednána relace TLS. Klíč odvozený během tohoto vyjednávání je použit k zašifrování veškeré následující komunikace, včetně ověřování přístupu k síti, které umožňuje uživatelům připojení k síti organizace.
Komunikace ověřená pomocí protokolu EAP
K úplné komunikaci pomocí protokolu EAP, včetně vyjednávání protokolu EAP, dochází prostřednictvím kanálu protokolu TLS a jedná se o druhou fázi ověřování protokolem PEAP. Následující postup rozšiřuje předchozí příklad a znázorňuje, jak bezdrátoví klienti dokončují ověřování se serverem NPS pomocí protokolu PEAP.
Po vytvoření kanálu TLS mezi serverem NPS a klientem PEAP předá klient pověření (uživatelské jméno a heslo nebo certifikát uživatele nebo počítače) serveru NPS prostřednictvím šifrovaného kanálu.
Přístupový bod slouží pouze k předávání zpráv mezi klientem bezdrátové sítě a serverem RADIUS. Přístupový bod (ani osoba sledující přístupový bod) nemůže tyto zprávy dešifrovat, protože přístupový bod není koncovým bodem protokolu TLS.
Server NPS ověří uživatele a klientský počítač pomocí typu ověřování, který je vybrán pro použití s protokolem PEAP. Typ ověřování může být protokol EAP-TLS (čipová karta nebo jiný certifikát) nebo protokol EAP-MS-CHAP v2 (zabezpečené heslo).
Poznámka | |
Protokol PEAP lze konfigurovat jako metodu ověřování v zásadách sítě serveru NPS. |
Typy protokolů EAP
Můžete si zvolit, který ze dvou typů protokolu EAP, také označovaných jako typy ověřování, chcete používat s protokolem PEAP: EAP-MS-CHAP v2 nebo EAP-TLS. Typ EAP-MS-CHAP v2 používá k ověření uživatele pověření založená na heslu (uživatelské jméno a heslo) a k ověření serveru certifikát v úložišti certifikátů serverového počítače. Typ EAP-TLS používá k ověření uživatele a klientského počítače buď certifikát nainstalovaný v úložišti certifikátů klientského počítače nebo čipovou kartu a k ověření serveru certifikát v úložišti certifikátů serverového počítače.
Protokol PEAP s protokolem EAP-MS-CHAP v2
Protokol PEAP s protokolem EAP-MS-CHAPv2 (PEAP-MS-CHAP v2) lze snadněji nasadit než protokol EAP-TLS, protože ověření uživatele je provedeno pomocí pověření založených na heslu (uživatelské jméno a heslo) místo certifikátů nebo čipových karet. Certifikát musí mít pouze server NPS nebo jiný server RADIUS. Certifikát serveru NPS je používán serverem NPS v průběhu procesu ověřování za účelem prokazování jeho identity klientům protokolu PEAP.
Úspěšné ověřování protokolem PEAP-MS-CHAP v2 vyžaduje, aby klient důvěřoval serveru NPS po kontrole certifikátu serveru. Aby klient důvěřoval serveru NPS, musí mít certifikační autorita, která certifikát serveru vydala, svůj vlastní odlišný certifikát v úložišti důvěryhodných kořenových certifikátů certifikační autority v klientských počítačích.
Certifikát serveru používaný serverem NPS může být vydán důvěryhodnou kořenovou certifikační autoritou organizace nebo veřejnou certifikační autoritou, jako je například Verisign nebo Thawte, které již klientský počítač důvěřuje.
Poznámka | |
Protokol PEAP-MS-CHAP v2 poskytuje výrazné vylepšení zabezpečení pomocí metody MS-CHAPv2 tím, že poskytuje generování klíče pomocí protokolu TLS a používá vzájemné ověřování, zabraňuje neautorizovanému serveru vyjednávat nejméně zabezpečenou metodu klientem PEAP. |
Protokol PEAP s protokolem EAP-TLS
Pokud nasazujete infrastrukturu veřejných klíčů (PKI) se službou AD CS (Active Directory Certificate Services), můžete použít protokol PEAP s protokolem EAP-TLS (PEAP-TLS). Certifikáty poskytují mnohem silnější metodu ověřování než metody používající pověření na základě hesla. Protokol PEAP-TLS používá certifikáty pro ověřování serverů a čipové karty, které obsahují vložený certifikát, nebo certifikáty zapsané v klientských počítačích, které jsou uloženy v úložišti certifikátů místního počítače, pro ověřování uživatelských a klientských počítačů. Chcete-li používat protokol PEAP-TLS, musíte nasadit infrastrukturu veřejných klíčů.
Rychlé obnovení připojení protokolu PEAP
Rychlé obnovení připojení protokolu PEAP umožňuje klientům bezdrátové sítě přesunutí mezi bezdrátovými přístupovými body ve stejné síti, aniž by docházelo k novému ověřování při každém spojení s novým přístupovým bodem.
Bezdrátové přístupové body jsou nakonfigurovány jako klienti RADIUS pro servery RADIUS. Pokud se klient bezdrátové sítě přesunuje mezi přístupovými body, které jsou nakonfigurovány jako klienti stejného serveru RADIUS, není po klientovi vyžadováno ověření při každém novém spojení. Jestliže se klient přesune k přístupovému bodu, který je nakonfigurován jako klient RADIUS pro jiný server RADIUS, dojde k novému ověření klienta. Tento proces však proběhne mnohem účinněji a rychleji.
Rychlé obnovení připojení protokolu PEAP zkracuje dobu odpovědi ověřování mezi klientem a ověřovatelem, protože požadavek na ověření je předáván z nového přístupového bodu na server NPS, který provedl původní ověření a autorizaci požadavku na připojení klienta. Klient protokolu PEAP i server NPS použijí vlastnosti připojení protokolu TLS uložené v mezipaměti (kolekce těchto vlastností se nazývá popisovač protokolu TSL), proto může server NPS rychle určit, že v případě daného klienta jde o obnovení připojení.
Klientský počítač může ve své mezipaměti ukládat popisovače TSL více ověřovatelů protokolu PEAP. Není-li původní server NPS dostupný, dojde mezi klientem a novým ověřovatelem k úplnému ověřování. Popisovač protokolu TSL pro nového ověřovatele protokolu PEAP uloží klient do mezipaměti. U ověřování pomocí čipových karet je uživatel vyzván k zadání kódu PIN a u ověřování pomocí protokolu PEAP-MS-CHAP v2 k zadání pověření.
Ověřování protokolem PEAP-MS-CHAP v2:
Nový přístupový bod je klientem stejného serveru RADIUS | Nový přístupový bod je klientem nového serveru RADIUS |
---|---|
Uživatel není vyzván k zadání pověření při každém spojení klientského počítače s novým přístupovým bodem. |
Uživatel je vyzván k zadání pověření při prvním spojení. Při dalším spojení klientského počítače s přístupovým bodem, který je klientem stejného serveru, není zadání uživatelských pověření vyžadováno. |
Poskytnutí certifikátu serveru RADIUS není vyžadováno. |
Server RADIUS poskytne certifikát při prvním spojení, aby mohlo dojít k ověření klienta bezdrátové sítě pro tento server RADIUS. Při dalším spojení klientského počítače s přístupovým bodem, který je klientem stejného serveru, není nové ověření vyžadováno. |
Ověřování protokolem PEAP-TLS:
Nový přístupový bod je klientem stejného serveru RADIUS | Nový přístupový bod je klientem nového serveru RADIUS |
---|---|
Výměna certifikátů mezi klientským počítačem a serverem není vyžadována. |
Výměna certifikátů mezi klientským počítačem a serverem proběhne při prvním spojení. Při dalším spojení klientského počítače s přístupovým bodem, který je klientem stejného serveru, není výměna certifikátů vyžadována. |
Uživatel není vyzván k zadání kódu PIN čipové karty při každém spojení klientského počítače s novým přístupovým bodem. |
Uživatel je vyzván k zadání kódu PIN karty Smart Card při prvním spojení. Při dalším spojení klientského počítače s přístupovým bodem, který je klientem stejného serveru, není zadání kódu PIN vyžadováno. |
Povolení rychlého obnovení připojení protokolu PEAP:
-
Rychlé obnovení připojení musí být povoleno jak u klienta protokolu PEAP (klient bezdrátové sítě standardu 802.11), tak u ověřovatele protokolu PEAP (server RADIUS).
-
Všechny přístupové body, mezi nimiž se klient protokolu PEAP pohybuje, musí být nakonfigurovány jako klienti RADIUS pro server RADIUS (ověřovatel protokolu PEAP), na němž je protokol PEAP nakonfigurován jako metoda ověřování bezdrátového připojení.
-
Všechny přístupové body, s nimiž se klient protokolu PEAP spojuje, musí být nakonfigurovány tak, aby upřednostňovaly stejný server RADIUS (ověřovatel protokolu PEAP), aby uživatel nebyl každým serverem RADIUS znovu vyzýván k zadání pověření. Není-li možné přístupový bod takto nakonfigurovat, můžete nakonfigurovat server proxy NPS RADIUS s upřednostňovaným serverem RADIUS.
Další informace
-
Protokol PEAP nepodporuje ověřování účtu Guest.
-
Pokud nasazujete jak protokol PEAP tak protokol EAP bez ochrany PEAP, nepoužívejte stejný typ ověření pro protokol EAP s protokolem PEAP a bez něj. Pokud například nasazujete protokol PEAP-TLS, nenasazujte také protokol EAP-TLS bez protokolu PEAP. Nasazení dvou metod ověření stejného typu činí zabezpečení zranitelnějším.