Le protocole PEAP (Protected Extensible Authentication Protocol) fait partie de la famille de protocoles EAP (Extensible Authentication Protocol).
Le protocole PEAP utilise la sécurité TLS (Transport Level Security) pour créer un canal chiffré entre un client PEAP d’authentification, tel qu’un ordinateur sans fil, et un authentificateur PEAP, tel qu’un serveur NPS (Network Policy Server) ou tout autre serveur RADIUS (Remote Authentication Dial-In User Service).
PEAP et NPS
Le protocole PEAP ne spécifie pas de méthode d’authentification, mais il fournit une sécurité supplémentaire pour d’autres protocoles d’authentification EAP, tels que EAP-MSCHAP v2 (Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol version 2), qui peuvent fonctionner par le biais du canal chiffré TLS fourni par PEAP. PEAP est utilisé comme méthode d’authentification pour les clients d’accès qui se connectent au réseau de votre organisation à travers les types de serveurs d’accès réseau suivants :
-
Points d’accès sans fil 802.1X
-
Commutateurs d’authentification 802.1X
-
Serveurs de réseaux privés virtuels (VPN) exécutant Windows Server® 2008 ou Windows Server® 2008 R2 et le serveur Routage et accès à distance.
-
Ordinateurs exécutant Windows Server 2008 et la Passerelle des services Terminal Server (Passerelle TS) ou Windows Server® 2008 R2 et la Passerelle des services Bureau à distance.
Pour améliorer les protocoles EAP et la sécurité réseau, le protocole PEAP fournit les éléments suivants :
-
Un canal TLS protégeant la négociation de méthode EAP qui a lieu entre le client et le serveur. Ce canal TLS permet d’empêcher un agresseur d’injecter des paquets entre le client et le serveur d’accès réseau en vue de provoquer la négociation d’un type EAP moins sécurisé. Le canal TLS chiffré contribue en outre à prévenir les attaques par déni de service contre le serveur NPS.
-
Une prise en charge de la fragmentation et du réassemblage des messages, ce qui permet l’utilisation de types EAP qui ne procurent pas ces fonctionnalités.
-
Clients capables d’authentifier le serveur NPS ou tout autre serveur RADIUS. Étant donné que le serveur authentifie également le client, une authentification mutuelle a lieu.
-
Protection contre le déploiement d’un point d’accès sans fil non autorisé au moment où le client EAP authentifie le certificat fourni par le serveur NPS. En outre, le secret principal TLS créé par l’authentificateur PEAP et le client n’est pas partagé avec le point d’accès. Pour cette raison, le point d’accès est incapable de déchiffrer les messages protégés par le protocole PEAP.
-
Une reconnexion PEAP rapide, ce qui réduit le délai entre une demande d’authentification d’un client et la réponse envoyée par le serveur NPS ou tout autre serveur RADIUS. Par ailleurs, grâce à cette reconnexion rapide PEAP, les clients sans fil peuvent se déplacer entre les points d’accès configurés comme clients RADIUS et un même serveur RADIUS sans avoir à envoyer de demandes d’authentification répétées. Ceci permet de réduire les exigences en ressources pour le client comme pour le serveur et de minimiser le nombre de fois que les utilisateurs sont invités à fournir leurs informations d’identification.
Le tableau suivant présente les avantages du type d’authentification PEAP-MS-CHAP v2 par rapport à MS-CHAP v2.
Caractéristique/Fonction | MS-CHAP v2 | PEAP-MS-CHAP v2 |
---|---|---|
Assure une authentification du client par mot de passe. |
Oui |
Oui |
Permet de s’assurer que le serveur a accès aux informations d’identification. |
Oui |
Oui |
Authentifie le serveur. |
Oui |
Oui |
Empêche l’usurpation d’identité au niveau du point d’accès sans fil. |
Non |
Oui |
Empêche un serveur non autorisé de négocier la méthode d’authentification la moins sécurisée. |
Non |
Oui |
Utilise des clés TLS générées avec une clé publique. |
Non |
Oui |
Assure un chiffrement de bout en bout. |
Non |
Oui |
Prévient les attaques en force ou par dictionnaire. |
Non |
Oui |
Prévient les attaques par relecture. |
Non |
Oui |
Permet le chaînage des méthodes d’authentification. |
Non |
Oui |
Exige la confiance du client envers les certificats fournis par le serveur. |
Non |
Oui |
Processus d’authentification PEAP
Le processus d’authentification PEAP entre le client PEAP et l’authentificateur est divisé en deux étapes. La première étape établit un canal sécurisé entre le client PEAP et le serveur d’authentification. La seconde étape fournit une authentification EAP entre le client PEAP et l’authentificateur.
Canal chiffré TLS
Dans la première étape de l’authentification PEAP, le canal TLS est créé entre le client PEAP et le serveur NPS. La création de ce canal TLS pour les clients sans fil PEAP se déroule selon le schéma suivant.
-
Le client PEAP s’associe avec un point d’accès sans fil qui est configuré comme client RADIUS d’un serveur NPS. Une association basée sur la norme IEEE 802.11 fournit une authentification OSA (Open System Authentication) ou par clé partagée avant qu’une association sécurisée ne soit créée entre le client PEAP et le point d’accès.
-
Une fois l’association IEEE 802.11 établie entre le client et le point d’accès, la session TLS est négociée avec le point d’accès.
-
Après authentification mutuelle au niveau de l’ordinateur, le client PEAP sans fil et le serveur NPS négocient la session TLS. La clé dérivée de cette négociation est utilisée pour chiffrer toutes les communications ultérieures, notamment l’authentification de l’accès réseau qui permet à l’utilisateur de se connecter au réseau de l’organisation.
Communication authentifiée par le protocole EAP
L’intégralité de la communication EAP, y compris la négociation EAP, a lieu à travers le canal TLS et représente la deuxième étape de l’authentification PEAP. Les étapes suivantes étendent l’exemple précédent et illustrent comment les clients sans fil effectuent l’authentification avec le serveur NPS à l’aide du protocole PEAP.
Une fois le canal TLS créé entre le serveur NPS et le client PEAP, ce dernier transmet les informations d’identification (nom d’utilisateur et mot de passe ou certificat d’utilisateur ou d’ordinateur) au serveur NPS à travers le canal chiffré.
Le point d’accès ne fait que transférer les messages entre le client sans fil et le serveur RADIUS ; le point d’accès (ou la personne qui le surveille) ne peut pas déchiffrer ces messages car il ne constitue pas le point de terminaison TLS.
Le serveur NPS authentifie l’utilisateur et l’ordinateur client avec le type d’authentification qui a été sélectionné pour être utilisé avec PEAP. Le type d’authentification peut être soit EAP-TLS (carte à puce ou autre certificat), soit EAP-MS-CHAP v2 (mot de passe sécurisé).
Remarques | |
Vous pouvez configurer PEAP comme méthode d’authentification dans la stratégie réseau NPS. |
Types EAP
Vous avez le choix entre deux types EAP, appelés également types d’authentification, à utiliser avec PEAP : EAP-MS-CHAP v2 ou EAP-TLS. EAP-MS-CHAP v2 utilise des informations d’identification par mot de passe (nom d’utilisateur et mot de passe) pour authentifier l’utilisateur et un certificat dans le magasin de certificats de l’ordinateur serveur pour authentifier le serveur. EAP-TLS utilise, pour authentifier l’utilisateur et l’ordinateur client, soit des certificats installés dans le magasin de certificats de l’ordinateur client, soit une carte à puce et, pour authentifier le serveur, un certificat dans le magasin de certificats de l’ordinateur serveur.
Protocole PEAP avec EAP-MS-CHAP v2
PEAP-MS-CHAP v2 (PEAP avec EAP-MS-CHAP v2) est plus facile à déployer que la méthode EAP-TLS parce que l’authentification de l’utilisateur s’effectue à l’aide d’informations d’identification par mot de passe (nom d’utilisateur et mot de passe) au lieu de certificats ou de cartes à puce. Seul le serveur NPS ou tout autre serveur RADIUS doit avoir un certificat. Le certificat de serveur NPS est utilisé par le serveur NPS durant le processus d’authentification pour prouver son identité aux clients PEAP.
L’authentification PEAP-MS-CHAP v2 requiert que le client fasse confiance au serveur NPS après avoir examiné le certificat de serveur. Pour que le client fasse confiance au serveur NPS, l’autorité de certification qui a délivré le certificat de serveur doit être légitimée par son propre certificat dans le magasin de certificats des Autorités de certification racine de confiance sur les ordinateurs clients.
Le certificat de serveur employé par NPS peut être délivré soit par l’autorité de certification racine de confiance de votre organisation, soit par une autorité de certification publique, comme Verisign ou Thawte, approuvée par l’ordinateur client.
Remarques | |
PEAP-MS-CHAP v2 offre une sécurité considérablement améliorée par rapport à MS-CHAP v2 en permettant la génération de clés avec TLS et en utilisant l’authentification mutuelle, ce qui empêche un serveur non autorisé de négocier la méthode d’authentification la moins sécurisée avec le client PEAP. |
Protocole PEAP avec EAP-TLS
Si vous déployez une infrastructure à clé publique avec les services de certificats Active Directory, vous pouvez utiliser l’authentification PEAP-TLS (PEAP avec EAP-TLS). Les certificats fournissent une méthode d’authentification bien plus forte que les méthodes reposant sur des informations d’identification par mot de passe. PEAP-TLS authentifie le serveur à l’aide de certificats mais utilise, pour authentifier l’utilisateur et l’ordinateur client, soit des cartes à puces, qui contiennent un certificat incorporé, soit des certificats inscrits à des ordinateurs clients et qui sont stockés sur l’ordinateur local dans le magasin de certificats. Pour utiliser PEAP-TLS, vous devez déployer une infrastructure à clé publique.
Reconnexion rapide PEAP
La reconnexion rapide PEAP permet aux clients sans fil de se déplacer entre les points d’accès sans fil sur le même réseau sans être authentifiés à chaque fois qu’ils s’associent à un nouveau point d’accès.
Les points d’accès sans fil sont configurés en tant que clients RADIUS des serveurs RADIUS. Lorsqu’un client sans fil se déplace entre des points d’accès configurés en tant que clients du même serveur RADIUS, le client n’est pas obligé d’être authentifié à chaque nouvelle association. Lorsqu’un client s’associe à un point d’accès configuré en tant que client RADIUS d’un autre serveur RADIUS, le client est à nouveau authentifié, mais ce processus a lieu de manière beaucoup plus fluide.
La reconnexion rapide PEAP réduit le temps de réponse nécessaire à l’authentification entre le client et l’authentificateur, car la demande d’authentification est transférée du nouveau point d’accès au serveur NPS qui, à l’origine, a effectué l’authentification et l’autorisation pour la demande de connexion du client. Le client PEAP et le serveur NPS utilisant tous deux des propriétés de connexion TLS mises en cache précédemment (on appelle ces propriétés descripteur TLS), le serveur NPS peut déterminer rapidement que la connexion cliente est une reconnexion.
Le client peut placer dans un cache les descripteurs TLS de plusieurs authentificateurs PEAP. Si le serveur NPS d’origine n’est pas disponible, une authentification complète doit avoir lieu entre le client et le nouvel authentificateur. Le descripteur TLS du nouvel authentificateur PEAP est mis en cache par le client. Pour l’authentification par cartes à puce ou PEAP-EAP-MS-CHAP v2, il est demandé à l’utilisateur de fournir respectivement le code confidentiel ou les informations d’identification.
Avec l’authentification PEAP-MS-CHAP v2 :
Lorsque le nouveau point d’accès est un client du même serveur RADIUS | Lorsque le nouveau point d’accès est un client d’un nouveau serveur RADIUS |
---|---|
L’utilisateur n’a pas à fournir d’informations d’identification à chaque fois que l’ordinateur client s’associe à un nouveau point d’accès. |
L’utilisateur doit fournir des informations d’identification lors de cette association initiale. En revanche, la prochaine fois que l’ordinateur client s’associera à un point d’accès client de ce serveur, les informations d’identification ne seront pas exigées. |
Le serveur RADIUS n’est pas obligé de fournir un certificat. |
Le serveur RADIUS fournit un certificat lors de cette association initiale de façon que le client sans fil puisse s’authentifier auprès du serveur RADIUS. En revanche, la prochaine fois que l’ordinateur client s’associera à un point d’accès client de ce serveur, il ne sera pas nécessaire d’authentifier à nouveau le serveur. |
Avec l’authentification PEAP-TLS :
Lorsque le nouveau point d’accès est un client du même serveur RADIUS | Lorsque le nouveau point d’accès est un client d’un nouveau serveur RADIUS |
---|---|
Le client et le serveur ne sont pas obligés d’échanger des certificats. |
Le client et le serveur échangent des certificats lors de cette association initiale. En revanche, la prochaine fois que l’ordinateur client s’associera à un point d’accès client de ce serveur, aucun certificat ne sera exigé. |
L’utilisateur n’a pas à fournir de numéro d’identification personnel (PIN) de carte à puce à chaque fois que l’ordinateur client s’associe à un nouveau point d’accès. |
L’utilisateur doit fournir un code confidentiel de carte à puce lors de cette association initiale. En revanche, la prochaine fois que l’ordinateur client s’associera à un point d’accès client de ce serveur, il ne sera pas nécessaire de fournir le code confidentiel. |
Pour activer la reconnexion rapide PEAP :
-
La reconnexion rapide doit être activée sur le client PEAP (client sans fil 802.11) et sur l’authentificateur PEAP (serveur RADIUS).
-
Tous les points d’accès auxquels le client PEAP s’associe doivent être configurés en tant que clients RADIUS d’un serveur RADIUS (l’authentificateur PEAP) pour lequel le protocole PEAP est configuré en tant que méthode d’authentification pour les connexions sans fil.
-
Tous les points d’accès auxquels le client PEAP s’associe doivent être configurés de façon à préférer le même serveur RADIUS (l’authentificateur PEAP) afin d’éviter d’avoir à fournir des informations d’identification à chaque serveur RADIUS. Si le point d’accès ne peut pas être configuré de façon à préférer un serveur RADIUS, vous pouvez configurer un proxy RADIUS NPS avec un serveur RADIUS préféré.
Informations supplémentaires
-
Le protocole PEAP ne prend pas en charge l’authentification d’invité.
-
Lorsque vous déployez PEAP et EAP sans protection PEAP, n’utilisez pas le même type d’authentification EAP avec et sans PEAP. Par exemple, si vous déployez PEAP-TLS, ne déployez pas EAP-TLS sans PEAP. Le déploiement de méthodes d’authentification du même type crée une vulnérabilité de la sécurité.