El protocolo de autenticación extensible protegido (PEAP) forma parte de los protocolos de autenticación extensibles (EAP).
PEAP usa Seguridad de la capa de transporte (TLS) para crear un canal cifrado entre un cliente de autenticación PEAP, como un equipo inalámbrico, y un autenticador PEAP, como un servidor que ejecuta NPS (Servidor de directivas de redes) o un servidor RADIUS (Servicio de autenticación remota telefónica de usuario).
PEAP y NPS
PEAP no especifica ningún método de autenticación, sino que proporciona seguridad adicional para otros protocolos de autenticación EAP, como el Protocolo de autenticación extensible con Protocolo de autenticación por desafío mutuo de Microsoft versión 2 (EAP-MS-CHAP v2), que pueden operar a través del canal cifrado TLS que proporciona PEAP. PEAP se usa como un método de autenticación para clientes de acceso que tratan de conectarse a la red de la organización a través de los siguientes tipos de servidores de acceso a la red:
-
Puntos de acceso inalámbrico 802.1X
-
Conmutadores de autenticación 802.1X
-
Servidores de red privada virtual (VPN) que ejecutan Windows Server® 2008 o Windows Server® 2008 R2 y el Servicio de enrutamiento y acceso remoto
-
Equipos que ejecutan Windows Server 2008 y Puerta de enlace de Terminal Services (puerta de enlace de TS) o Windows Server® 2008 R2 y Puerta de enlace de Escritorio remoto
Para mejorar los protocolos EAP y la seguridad de red, PEAP proporciona:
-
Un canal TLS que proporciona protección para la negociación del método EAP que se produce entre el cliente y el servidor. Este canal TLS ayuda a impedir que un atacante inserte paquetes entre el cliente y el servidor de acceso a la red para dar lugar a la negociación de un tipo de EAP menos seguro. El canal TLS cifrado también ayuda a evitar ataques por denegación de servicio contra el servidor NPS.
-
Compatibilidad con la fragmentación y reensamblado de mensajes, lo que permite el uso de tipos de EAP que no proporcionan esta funcionalidad.
-
Clientes con la capacidad de autenticar el servidor NPS u otro servidor RADIUS. Como el servidor también autentica el cliente, se produce una autenticación mutua.
-
Protección frente a la implementación de un punto de acceso inalámbrico no autorizado en el momento en que el cliente EAP autentica el certificado proporcionado por el servidor NPS. Además, el secreto principal de TLS creado por el cliente y el autenticador PEAP no se comparte con el punto de acceso. Como consecuencia, el punto de acceso no puede descifrar los mensajes protegidos con PEAP.
-
Reconexión rápida de PEAP, que reduce el retardo entre la solicitud de autenticación de un cliente y la respuesta del servidor NPS u otro servidor RADIUS. La reconexión rápida de PEAP también permite a los clientes inalámbricos moverse entre puntos de acceso configurados como clientes RADIUS en el mismo servidor RADIUS sin repetir las solicitudes de autenticación. De esta forma, se reducen los requisitos de recursos del cliente y el servidor, y se minimiza el número de veces que se solicitan las credenciales a los usuarios.
La siguiente tabla enumera los puntos fuertes de PEAP-MS-CHAP v2 y los compara con MS-CHAP v2.
| Característica/función | MS-CHAP v2 | PEAP-MS-CHAP v2 |
|---|---|---|
|
Proporciona autenticación de clientes mediante contraseñas. |
Sí |
Sí |
|
Garantiza que el servidor tenga acceso a las credenciales. |
Sí |
Sí |
|
Autentica el servidor. |
Sí |
Sí |
|
Impide la suplantación de puntos de acceso inalámbricos. |
No |
Sí |
|
Impide que un servidor no autorizado negocie el método de autenticación menos seguro. |
No |
Sí |
|
Usa claves TLS generadas con una clave pública. |
No |
Sí |
|
Proporciona cifrado de un extremo a otro. |
No |
Sí |
|
Impide ataques de diccionario o de fuerza bruta. |
No |
Sí |
|
Impide ataques de reproducción. |
No |
Sí |
|
Permite el encadenamiento de métodos de autenticación. |
No |
Sí |
|
Requiere la confianza del cliente en certificados proporcionados por el servidor. |
No |
Sí |
Proceso de autenticación de PEAP
Existen dos fases en el proceso de autenticación de PEAP entre el cliente PEAP y el autenticador. La primera fase establece un canal seguro entre el cliente PEAP y el servidor de autenticación. La segunda fase proporciona autenticación EAP entre el cliente PEAP y el autenticador.
Canal cifrado TLS
En la primera fase de la autenticación PEAP, se crea el canal TLS entre el cliente PEAP y el servidor NPS. Los siguientes pasos muestran la creación de este canal TLS para clientes PEAP inalámbricos.
-
El cliente PEAP se asocia con un punto de acceso inalámbrico que está configurado como un cliente RADIUS de un servidor que ejecuta NPS. Una asociación basada en IEEE 802.11 proporciona una autenticación de sistema abierto o de claves compartidas antes de crear una asociación segura entre el cliente PEAP y el punto de acceso.
-
Después de establecer correctamente una asociación basada en IEEE 802.11 entre el cliente y el punto de acceso, se negocia la sesión de TLS con el punto de acceso.
-
Después de que se complete correctamente una autenticación a nivel de equipo entre el cliente PEAP inalámbrico y el servidor NPS, se negocia la sesión TLS entre ellos. La clave que se deriva durante esta negociación se usará para cifrar toda la comunicación posterior, incluida la autenticación de acceso a la red que permite al usuario conectarse a la red de la organización.
Comunicación autenticada mediante EAP
Toda la comunicación EAP, incluida la negociación EAP, se produce a través del canal TLS y es la segunda fase de la autenticación PEAP. Los siguientes pasos amplían el ejemplo anterior e ilustran el modo en que los clientes inalámbricos completan la autenticación con el servidor NPS mediante PEAP.
Después de que se haya creado el canal TLS entre el servidor NPS y el cliente PEAP, el cliente pasa las credenciales (nombre de usuario y contraseña o un certificado de usuario o de equipo) al servidor NPS a través del canal cifrado.
El punto de acceso sólo reenvía mensajes entre el cliente inalámbrico y el servidor RADIUS; el punto de acceso (o una persona que lo supervise) no puede descifrar estos mensajes porque no es el extremo TLS.
El servidor NPS autentica el usuario y el equipo cliente con el tipo de autenticación que se ha seleccionado para su uso con PEAP. El tipo de autenticación puede ser EAP-TLS (tarjeta inteligente u otro certificado) o EAP-MS-CHAP v2 (contraseña segura).
 | Nota |
|
Puede configurar PEAP como el método de autenticación en la directiva de red de NPS. |
Tipos de EAP
Se puede elegir entre dos tipos de EAP, también denominados tipos de autenticación, para su uso con PEAP: EAP-MS-CHAP v2 o EAP-TLS. EAP-MS-CHAP v2 usa credenciales basadas en contraseña (nombre de usuario y contraseña) para la autenticación de usuarios y un certificado en el almacén de certificados del equipo servidor para la autenticación de servidores. EAP-TLS usa certificados instalados en el almacén de certificados del equipo cliente o una tarjeta inteligente para la autenticación de usuarios y de equipos cliente, y un certificado en el almacén de certificados del equipo servidor para la autenticación de servidores.
PEAP con EAP-MS-CHAP v2
PEAP con EAP-MS-CHAPv2 (PEAP-MS-CHAP v2) es más fácil de implementar que EAP-TLS ya que la autenticación de usuarios se realiza usando credenciales basadas en contraseñas (nombre de usuario y contraseña) en lugar de certificados o tarjetas inteligentes. Sólo el servidor NPS u otro servidor RADIUS debe disponer de un certificado. El servidor NPS usa el certificado del servidor NPS durante el proceso de autenticación para demostrar su identidad a los clientes PEAP.
Una autenticación PEAP-MS-CHAP v2 correcta requiere que el cliente confíe en el servidor NPS después de examinar el certificado del servidor. Para que el cliente confíe en el servidor NPS, la entidad de certificación (CA) que emitió el certificado del servidor debe disponer de su certificado propio y distinto en el almacén de certificados de las entidades de certificación raíz de confianza de los equipos cliente.
El certificado de servidor que usa NPS puede estar emitido por la entidad de certificación raíz de confianza de su organización o una entidad de certificación pública, como Verisign o Thawte, en la que ya confíe el equipo cliente.
| Nota |
|
PEAP-MS-CHAP v2 ofrece una seguridad considerablemente mayor que MS-CHAP v2 al proporcionar generación de claves con TLS y por el uso de la autenticación mutua, que impide que un servidor no autorizado pueda negociar el método de autenticación menos seguro con el cliente PEAP. |
PEAP con EAP-TLS
Cuando se implementa una infraestructura de clave pública (PKI) con Servicios de certificados de Active Directory (AD CS), se puede usar PEAP con EAP-TLS (PEAP-TLS). Los certificados ofrecen un método de autenticación mucho más seguro que los métodos que usan credencias basadas en contraseñas. PEAP-TLS usa certificados para la autenticación de servidores y tarjetas inteligentes, que contienen un certificado incrustado, o certificados inscritos en los equipos cliente, almacenados en el almacén de certificados del equipo local, para la autenticación de usuarios y equipos cliente. Para usar PEAP-TLS, debe implementar una PKI.
Reconexión rápida de PEAP
La reconexión rápida de PEAP permite a los clientes inalámbricos moverse entre puntos de acceso inalámbricos de la misma red sin tener que volver a autenticarse cada vez que se asocian a un nuevo punto de acceso.
Los puntos de acceso inalámbricos están configurados como clientes RADIUS a servidores RADIUS. Si un cliente inalámbrico se desplaza entre puntos de acceso que están configurados como clientes del mismo servidor RADIUS, no será necesario que el cliente se autentique en cada nueva asociación. Cuando un cliente se mueve a un punto de acceso que está configurado como un cliente RADIUS de un servidor RADIUS distinto, si bien el cliente debe volver a autenticarse, este proceso se realiza de un modo más rápido y eficaz.
La reconexión rápida de PEAP reduce el tiempo de respuesta para la autenticación entre cliente y autenticador porque la solicitud de autenticación se reenvía desde el nuevo punto de acceso al servidor NPS que originalmente realizó la autenticación y autorización para la solicitud de conexión del cliente. Como tanto el cliente PEAP como el servidor NPS usan las propiedades de la conexión TLS previamente almacenadas en la memoria caché (la colección de dichas propiedades se denomina identificador de TLS), el servidor NPS puede determinar rápidamente que la conexión del cliente es una reconexión.
El cliente puede almacenar en la memoria caché identificadores TLS para varios autenticadores PEAP. Si el servidor NPS original no está disponible, deberá realizarse una autenticación completa entre el cliente y el nuevo autenticador. El identificador de TLS para el nuevo autenticador de PEAP se almacena en la memoria caché por el cliente. Para la autenticación mediante tarjetas inteligentes o PEAP-MS-CHAP v2, se solicita al usuario que proporcione el NIP o las credenciales, respectivamente.
Con autenticación PEAP-MS-CHAP v2:
| Cuando el nuevo punto de acceso es un cliente del mismo servidor RADIUS | Cuando el nuevo punto de acceso es un cliente de un nuevo servidor RADIUS |
|---|---|
|
No se solicitan al usuario credenciales cada vez que el equipo cliente se asocia a un nuevo punto de acceso. |
Se solicitan las credenciales al usuario en esta asociación inicial. La siguiente vez que el equipo cliente se asocie a un punto de acceso que sea cliente de este servidor, no se requerirán credenciales de usuario. |
|
No es necesario que el servidor RADIUS proporcione un certificado. |
El servidor RADIUS proporciona un certificado en esta asociación inicial de forma que el cliente inalámbrico pueda autenticarse ante el servidor RADIUS. La siguiente vez que el equipo cliente se asocie a un punto de acceso que sea cliente de este servidor, no se requerirá que el servidor vuelva a autenticarse. |
Con autenticación PEAP-TLS:
| Cuando el nuevo punto de acceso es un cliente del mismo servidor RADIUS | Cuando el nuevo punto de acceso es un cliente de un nuevo servidor RADIUS |
|---|---|
|
No se requiere que el cliente y el servidor intercambien certificados. |
El cliente y el servidor intercambian certificados en esta asociación inicial. La siguiente vez que el equipo cliente se asocie a un punto de acceso que sea cliente de este servidor, no se intercambiarán certificados. |
|
No se solicita al usuario un número de identificación personal (NIP) de tarjeta inteligente cada vez que el equipo cliente se asocia a un nuevo punto de acceso. |
Se solicita el NIP de tarjeta inteligente al usuario en esta asociación inicial. La siguiente vez que el equipo cliente se asocie a un punto de acceso que sea cliente de este servidor, no se solicitará el NIP al cliente. |
Para habilitar la reconexión rápida de PEAP:
-
Tanto el cliente PEAP (cliente inalámbrico 802.11) como el autenticador PEAP (servidor RADIUS) deben tener habilitada la reconexión rápida.
-
Todos los puntos de acceso a los que se desplace el cliente PEAP deben estar configurados como clientes RADIUS de un servidor RADIUS (el autenticador PEAP) que tienen configurado PEAP como método de autenticación para las conexiones inalámbricas.
-
Todos los puntos de acceso a los que se asocia el cliente PEAP deben estar configurados para preferir el mismo servidor RADIUS (autenticador PEAP) y, de esta manera, evitar que soliciten las credenciales desde todos los servidores RADIUS. Si no se puede configurar el punto de acceso para que prefiera un servidor RADIUS, puede configurar un proxy RADIUS NPS con un servidor RADIUS preferido.
Información adicional
-
PEAP no admite la autenticación de invitados.
-
Cuando implemente tanto PEAP como EAP sin protección PEAP, no use el mismo tipo de autenticación EAP con y sin PEAP. Por ejemplo, si implementa PEAP-TLS, no implemente también EAP-TLS sin PEAP. La implementación de métodos de autenticación del mismo tipo crea una vulnerabilidad de seguridad.