PEAP (Protected Extensible Authentication-Protokoll) ist Teil von EAP (Extensible Authentication-Protokoll).

Von PEAP wird TLS (Transport Layer Security) zur Erstellung eines verschlüsselten Kanals zwischen einem sich authentifizierenden PEAP-Client, z. B. einem Drahtloscomputer, und einem PEAP-Authentifikator, z. B. einem Server mit Netzwerkrichtlinienserver (Network Policy Server, NPS) oder einem RADIUS-Server (Remote Authentication Dial-In User Service), verwendet.

PEAP und NPS

PEAP gibt keine Authentifizierungsmethode an, sondern bietet zusätzliche Sicherheit für andere EAP-Authentifizierungsprotokolle wie beispielsweise EAP-MS-CHAP v2 (Extensible Authentication-Protokoll-Microsoft Challenge Handshake Authentication-Protokoll, Version 2), die über den durch PEAP bereitgestellten TLS-verschlüsselten Kanal eingesetzt werden können. PEAP wird als Authentifizierungsmethode für Zugriffsclients verwendet, die über die folgenden Typen von Netzwerkzugriffsservern eine Verbindung mit Ihrer Organisation herstellen:

  • 802.1X-Drahtloszugriffspunkte

  • 802.1X-Authentifizierungsswitches

  • VPN-Server (Virtual Private Network, virtuelles privates Netzwerk) unter Windows Server® 2008 oder Windows Server® 2008 R2 und der Routing- und RAS-Dienst

  • Computer unter Windows Server 2008 und mit Terminaldienstegateway (TS Gateway) oder Computer unter Windows Server® 2008 R2 und mit Remotedesktopgateway (RD Gateway).

Zur Verbesserung von EAP und der Netzwerksicherheit bietet PEAP Folgendes:

  • Einen TLS-Kanal, der Schutz für die EAP-Methodenaushandlung bietet, die zwischen Client und Server erfolgt. Dieser TLS-Kanal verhindert, dass ein Angreifer zwischen dem Client und dem Netzwerkzugriffsserver Pakete einfügt, um die Aushandlung eines weniger sicheren EAP-Typs zu bewirken. Der verschlüsselte TLS-Kanal hilft auch bei der Vermeidung von Denial-of-Service-Angriffen auf den Netzwerkrichtlinienserver.

  • Unterstützung für die Fragmentierung und Reassemblierung von Nachrichten, wodurch die Verwendung von EAP-Typen ermöglicht wird, die diese Funktionalität nicht bieten.

  • Clients mit der Fähigkeit zur Authentifizierung des Netzwerkrichtlinienservers oder eines anderen RADIUS-Servers. Da der Server auch den Client authentifiziert, erfolgt eine gegenseitige Authentifizierung.

  • Schutz vor der Bereitstellung eines nicht autorisierten Drahtloszugriffspunkts (Wireless Access Point, WAP), wenn der EAP-Client das Zertifikat authentifiziert, das vom NPS bereitgestellt wird. Darüber hinaus wird der geheime TLS-Hauptschlüssel, der vom PEAP-Authentifikator und -Client erstellt wird, nicht für den Zugriffspunkt freigegeben. Aus diesem Grund kann der Zugriffspunkt die von PEAP geschützten Nachrichten nicht entschlüsseln.

  • Schnelle PEAP-Wiederherstellung, wodurch die Zeitverzögerung zwischen der Authentifizierungsanforderung eines Clients und der Antwort des NPS oder RADIUS-Servers verringert wird. Außerdem wird mit der schnellen PEAP-Wiederherstellung Drahtlosclients das Wechseln zwischen Zugriffspunkten, die als RADIUS-Clients für den gleichen RADIUS-Server konfiguriert sind, ohne wiederholte Authentifizierungsanforderungen ermöglicht. Dadurch werden die Ressourcenanforderungen für Client und Server reduziert, und die Anzahl der Aufforderungen der Benutzer zur Eingabe von Anmeldeinformationen wird minimiert.

Die folgende Tabelle enthält eine Aufstellung der Vorteile von PEAP-MS-CHAP v2 sowie einen Vergleich mit MS-CHAP v2.

Feature/Funktion MS-CHAP v2 PEAP-MS-CHAP v2

Ermöglicht die Clientauthentifizierung mithilfe von Kennwörtern.

Ja

Ja

Stellt sicher, dass der Server Zugriff auf Anmeldeinformationen hat.

Ja

Ja

Authentifiziert den Server.

Ja

Ja

Verhindert das Spoofing von Drahtloszugriffspunkten.

Nein

Ja

Verhindert das Aushandeln der am wenigsten sicheren Authentifizierungsmethode durch einen nicht autorisierten Server.

Nein

Ja

Verwendet mit einem öffentlichen Schlüssel generierte TLS-Schlüssel.

Nein

Ja

Ermöglicht die End-to-End-Verschlüsselung.

Nein

Ja

Verhindert Wörterbuch- oder Brute-Force-Angriffe.

Nein

Ja

Verhindert Replay-Angriffe.

Nein

Ja

Lässt das Verketten von Authentifizierungsmethoden zu.

Nein

Ja

Erfordert, dass der Client vom Server bereitgestellten Zertifikaten vertraut.

Nein

Ja

PEAP-Authentifizierungsvorgang

Beim PEAP-Authentifizierungsvorgang zwischen dem PEAP-Client und dem Authentifikator gibt es zwei Phasen. In der ersten Phase wird ein sicherer Kanal zwischen dem PEAP-Client und dem authentifizierenden Server eingerichtet. In der zweiten Phase wird die EAP-Authentifizierung zwischen dem PEAP-Client und dem Authentifikator bereitgestellt.

TLS-verschlüsselter Kanal

In der ersten Phase der PEAP-Authentifizierung wird der TLS-Kanal zwischen dem PEAP-Client und dem Netzwerkrichtlinienserver erstellt. Die folgenden Schritte veranschaulichen, wie dieser TLS-Kanal für PEAP-Drahtlosclients erstellt wird.

  1. Der PEAP-Client wird einem Drahtloszugriffspunkt zugeordnet, der als RADIUS-Client für einen Server mit NPS konfiguriert ist. Eine IEEE 802.11-basierte Zuordnung ermöglicht eine Authentifizierung mit einem offenen System bzw. eine Authentifizierung mit einem vorinstallierten Schlüssel, bevor eine sichere Zuordnung zwischen dem PEAP-Client und dem Zugriffspunkt erstellt wird.

  2. Nachdem die IEEE 802.11-basierte Zuordnung erfolgreich zwischen dem Client und dem Zugriffspunkt erstellt wurde, wird die TLS-Sitzung mit dem Zugriffspunkt ausgehandelt.

  3. Nachdem die Authentifizierung auf Computerebene zwischen dem PEAP-Drahtlosclient und dem Netzwerkrichtlinienserver erfolgreich abgeschlossen wurde, wird die TLS-Sitzung zwischen beiden ausgehandelt. Der bei dieser Aushandlung abgeleitete Schlüssel wird zum Verschlüsseln der gesamten nachfolgenden Kommunikation verwendet, einschließlich der Authentifizierung des Netzwerkzugriffs, was dem Benutzer das Herstellen einer Verbindung mit dem Netzwerk der Organisation ermöglicht.

EAP-authentifizierte Kommunikation

Die gesamte EAP-Kommunikation, einschließlich der EAP-Aushandlung, erfolgt über den TLS-Kanal und stellt die zweite Phase der PEAP-Authentifizierung dar. Die folgenden Schritte erweitern das vorherige Beispiel und veranschaulichen, wie Drahtlosclients die Authentifizierung mit dem Netzwerkrichtlinienserver mithilfe von PEAP ausführen.

Nachdem der TLS-Kanal zwischen dem Netzwerkrichtlinienserver und dem PEAP-Client erstellt wurde, übergibt der Client die Anmeldeinformationen (Benutzername und Kennwort oder ein Benutzer- oder Computerzertifikat) über den verschlüsselten Kanal an den Netzwerkrichtlinienserver.

Der Zugriffspunkt leitet Nachrichten nur zwischen dem Drahtlosclient und dem RADIUS-Server weiter. Der Zugriffspunkt (oder eine Person, die diesen überwacht) kann diese Nachricht nicht entschlüsseln, da es sich nicht um den TLS-Endpunkt handelt.

Der Netzwerkrichtlinienserver authentifiziert den Benutzer und den Clientcomputer mit dem Authentifizierungstyp, der für die Verwendung mit PEAP ausgewählt ist. Als Authentifizierungstyp kommen EAP-TLS (Smartcard oder sonstiges Zertifikat) oder EAP-MS-CHAP v2 (sicheres Kennwort) in Frage.

Hinweis

Sie können PEAP als Authentifizierungsmethode in NPS-Netzwerkrichtlinien konfigurieren.

EAP-Typen

Sie haben die Wahl zwischen den folgenden beiden EAP-Typen (oder Authentifizierungstypen) für die Verwendung mit PEAP: EAP-MS-CHAP v2 oder EAP-TLS. EAP-MS-CHAP v2 verwendet kennwortbasierte Anmeldeinformationen (Benutzername und Kennwort) für die Benutzerauthentifizierung, und ein Zertifikat im Zertifikatspeicher des Servercomputers für die Serverauthentifizierung. EAP-TLS verwendet entweder Zertifikate, die im Zertifikatspeicher des Clientcomputers installiert sind, oder eine Smartcard für die Authentifizierung von Benutzern und Clientcomputern, und ein Zertifikat im Zertifikatspeicher des Servercomputers für die Serverauthentifizierung.

PEAP mit EAP-MS-CHAP v2

PEAP mit EAP-MS-CHAPv2 (PEAP-MS-CHAP v2) kann einfacher bereitgestellt werden als EAP-TLS, da die Benutzerauthentifizierung mithilfe von kennwortbasierten Anmeldeinformationen (Benutzername und Kennwort) anstelle von Zertifikaten oder Smartcards erfolgt. Nur für den Netzwerkrichtlinienserver oder einen anderen RADIUS-Server ist ein Zertifikat erforderlich. Mithilfe des Zertifikats weist der Netzwerkrichtlinienserver während des Authentifizierungsvorgangs seine Identität gegenüber PEAP-Clients nach.

Für eine erfolgreiche PEAP-MS-CHAP v2-Authentifizierung muss der Client dem Netzwerkrichtlinienserver vertrauen, nachdem das Serverzertifikat überprüft wurde. Damit der Client dem Netzwerkrichtlinienserver vertraut, muss die Zertifizierungsstelle, die das Serverzertifikat ausgestellt hat, ein eigenes unterschiedliches Zertifikat im Zertifikatspeicher für vertrauenswürdige Stammzertifizierungsstellen auf Clientcomputern aufweisen.

Das vom Netzwerkrichtlinienserver verwendete Serverzertifikat kann von der vertrauenswürdigen Stammzertifizierungsstelle Ihrer Organisation oder von einer öffentlichen Zertifizierungsstelle wie beispielsweise VeriSign oder Thawte ausgestellt werden, die für den Clientcomputer bereits vertrauenswürdig ist.

Hinweis

PEAP-MS-CHAP v2 bietet im Vergleich zu MS-CHAP v2 eine wesentlich verbesserte Sicherheit durch die Schlüsselgenerierung mithilfe von TLS und die gegenseitige Authentifizierung. Dadurch wird verhindert, dass ein nicht autorisierter Server die am wenigsten sichere Authentifizierungsmethode mit dem PEAP-Client aushandelt.

PEAP mit EAP-TLS

Wenn Sie eine Public Key-Infrastruktur (Public Key Infrastructure, PKI) mit Active Directory-Zertifikatsdiensten (Active Directory Certificate Services, AD CS) bereitstellen, können Sie PEAP mit EAP-TLS (PEAP-TLS) verwenden. Zertifikate bieten eine wesentlich stärkere Authentifizierungsmethode als die Methoden, die kennwortbasierte Anmeldeinformationen verwenden. PEAP-TLS verwendet Zertifikate für die Serverauthentifizierung und entweder Smartcards, die ein eingebettetes Zertifikat enthalten, oder für Clientcomputer registrierte Zertifikate, die auf dem lokalen Computer im Zertifikatspeicher gespeichert sind, für die Authentifizierung von Benutzern und Clientcomputern. Für die Verwendung von PEAP-TLS müssen Sie eine PKI bereitstellen.

Schnelle PEAP-Wiederherstellung

Mithilfe der schnellen PEAP-Wiederherstellung können Drahtlosclients zwischen Drahtloszugriffspunkten im selben Netzwerk wechseln, ohne jedes Mal erneut authentifiziert zu werden, wenn sie einem neuen Zugriffspunkt zugeordnet werden.

Drahtloszugriffspunkte werden als RADIUS-Clients für RADIUS-Server konfiguriert. Falls ein Drahtlosclient zwischen Zugriffspunkten wechselt, die als Clients für denselben RADIUS-Server konfiguriert sind, muss der Client nicht bei jeder Neuzuordnung authentifiziert werden. Wenn ein Client zu einem Zugriffspunkt wechselt, der als RADIUS-Client für einen anderen RADIUS-Server konfiguriert ist, ist dieser Vorgang wesentlich effizienter und schneller, obwohl der Client erneut authentifiziert wird.

Die schnelle PEAP-Wiederherstellung reduziert die Antwortzeit für die Authentifizierung zwischen Client und Authentifikator, da die Authentifizierungsanforderung vom neuen Zugriffspunkt an den Netzwerkrichtlinienserver weitergeleitet wird, der ursprünglich die Authentifizierung und Autorisierung für die Clientverbindungsanforderung ausführte. Sowohl der PEAP-Client als auch der Netzwerkrichtlinienserver verwenden zuvor zwischengespeicherte TLS-Verbindungseigenschaften (diese Sammlung wird als TLS-Handle bezeichnet). Deshalb kann der Netzwerkrichtlinienserver schnell ermitteln, dass es sich bei der Clientverbindung um eine erneute Verbindung handelt.

Der Client kann TLS-Handles für mehrere PEAP-Authentifikatoren zwischenspeichern. Falls der ursprüngliche Netzwerkrichtlinienserver nicht verfügbar ist, muss die vollständige Authentifizierung zwischen dem Client und dem neuen Authentifikator erfolgen. Der TLS-Handle für den neuen PEAP-Authentifikator wird vom Client zwischengespeichert. Für die Authentifizierung mit Smartcards oder PEAP-MS-CHAP v2 wird der Benutzer aufgefordert, die PIN bzw. die Anmeldeinformationen einzugeben.

Mit PEAP-MS-CHAP v2-Authentifizierung:

Wenn der neue Zugriffspunkt als Client für denselben RADIUS-Server fungiert Wenn der neue Zugriffspunkt als Client für einen neuen RADIUS-Server fungiert

Der Benutzer wird nicht jedes Mal zur Eingabe der Anmeldeinformationen aufgefordert, wenn der Clientcomputer einem neuen Zugriffspunkt zugeordnet wird.

Der Benutzer wird bei der ersten Zuordnung zur Eingabe der Anmeldeinformationen aufgefordert. Wenn der Clientcomputer das nächste Mal einem Zugriffspunkt zugeordnet wird, der ein Client für diesen Server ist, sind keine Benutzeranmeldeinformationen erforderlich.

Der RADIUS-Server muss kein Zertifikat bereitstellen.

Der RADIUS-Server stellt bei der ersten Zuordnung ein Zertifikat bereit, damit der Drahtlosclient für den RADIUS-Server authentifiziert werden kann. Wenn der Clientcomputer das nächste Mal einem Zugriffspunkt zugeordnet wird, der ein Client für diesen Server ist, muss der Server nicht erneut authentifiziert werden.

Mit PEAP-TLS-Authentifizierung:

Der neue Zugriffspunkt fungiert als Client für den gleichen RADIUS-Server. Der neue Zugriffspunkt fungiert als Client für einen neuen RADIUS-Server.

Der Client und der Server müssen kein Zertifikate austauschen.

Der Client und der Server tauschen bei der ersten Zuordnung Zertifikate aus. Wenn der Clientcomputer das nächste Mal einem Zugriffspunkt zugeordnet wird, der ein Client für diesen Server ist, werden keine Zertifikate ausgetauscht.

Der Benutzer wird nicht jedes Mal zur Eingabe einer Smartcard-PIN aufgefordert, wenn der Clientcomputer einem neuen Zugriffspunkt zugeordnet wird.

Der Benutzer wird bei der ersten Zuordnung zur Eingabe einer Smartcard-PIN aufgefordert. Wenn der Clientcomputer das nächste Mal einem Zugriffspunkt zugeordnet wird, der ein Client für diesen Server ist, wird der Server nicht zur Eingabe der PIN aufgefordert.

So aktivieren Sie die schnelle PEAP-Wiederherstellung

  • Sowohl für den PEAP-Client (802.11-Drahtlosclient) als auch den PEAP-Authentifikator (RADIUS-Server) muss die schnelle Wiederherstellung aktiviert sein.

  • Alle Zugriffspunkte, zwischen denen der PEAP-Client wechselt, müssen als RADIUS-Clients für einen RADIUS-Server (PEAP-Authentifikator) konfiguriert sein, für den PEAP als Authentifizierungsmethode für Drahtlosverbindungen konfiguriert ist.

  • Für alle Zugriffspunkte, denen der PEAP-Client zugeordnet wird, muss derselbe bevorzugte RADIUS-Server (PEAP-Authentifikator) konfiguriert sein, um zu verhindern, dass jeder RADIUS-Server zur Eingabe von Anmeldeinformationen auffordert. Wenn für den Zugriffspunkt kein bevorzugter RADIUS-Server konfiguriert werden kann, können Sie einen NPS-RADIUS-Proxy mit einem bevorzugten RADIUS-Server konfigurieren.

Zusätzliche Informationen
  • Die Gastauthentifizierung wird von PEAP nicht unterstützt.

  • Wenn Sie sowohl PEAP als auch EAP ohne Schutz durch PEAP bereitstellen, sollten Sie nicht denselben EAP-Authentifizierungstyp mit und ohne PEAP verwenden. Wenn Sie beispielsweise PEAP-TLS bereitstellen, sollten Sie nicht auch EAP-TLS ohne PEAP bereitstellen. Durch die Bereitstellung von Authentifizierungsmethoden desselben Typs entsteht ein Sicherheitsrisiko.


Inhaltsverzeichnis