A PEAP protokoll - áttekintés

A PEAP nem határoz meg hitelesítési módszert, de további biztonságot nyújt más EAP hitelesítési protokolloknak, például az EAP-MSCHAP v2 protokollnak, amely a PEAP által biztosított TLS titkosított csatornán működtethető. A PEAP hitelesítési módszerként használatos az olyan hozzáférési ügyfelek esetében, akik a hálózati elérést biztosító kiszolgálók következő típusainak valamelyikén keresztül csatlakoznak a vállalati hálózathoz:

• 802.1X vezeték nélküli hozzáférési pontok
  
  
• 802.1X hitelesítő kapcsolók
  
  
• A Windows Server® 2008 vagy Windows Server® 2008 R2 rendszert és az Útválasztás és távelérés szolgáltatást futtató virtuális magánhálózati (VPN) kiszolgálók
  
  
• A Windows Server 2008 operációs rendszert és a Terminálszolgáltatási átjáró vagy a Windows Server® 2008 R2 Távoli asztali átjáró szolgáltatást futtató számítógépek.
  
  

Az EAP protokoll és a hálózati biztonság kibővítéséhez a PEAP protokoll a következőket nyújtja:

• Egy TLS-csatornát, amely védelmet biztosít az ügyfél és a kiszolgáló közötti EAP módszeregyeztetéshez. Ez a TLS-csatorna segít megelőzni, hogy egy támadó csomagokat helyezzen az ügyfél és a hálózati hozzáférést biztosító kiszolgáló közé, amely az egy kevésbé biztonságos EAP-típusban való megegyezést eredményezheti. A titkosított TLS-csatorna a hálózati házirend-kiszolgáló ellen irányuló szolgáltatásmegtagadásos támadásokat is segít megelőzni.
  
  
• Támogatást az üzenetek darabolásához és összeillesztéséhez, lehetővé téve az olyan EAP-típusok használatára, amelyek nem rendelkeznek ezzel a szolgáltatással.
  
  
• A képességet, hogy az ügyfelek hitelesíthessék a hálózati házirend-kiszolgálót vagy más RADIUS-kiszolgálókat. Mivel a kiszolgáló ugyanúgy hitelesíti az ügyfelet, kölcsönös hitelesítés történik.
  
  
• Védelmet a nem hitelesített vezeték nélküli hozzáférési pontok felállítása ellen abban a pillanatban, ahogy az EAP-ügyfél hitelesíti a hálózati házirend-kiszolgáló által nyújtott tanúsítványt. Továbbá a TLS-főkulcs, amelyet a PEAP-hitelesítő és az ügyfél hoznak létre, nincs megosztva a hozzáférési ponttal. Emiatt a hozzáférési pont nem tudja visszafejteni a PEAP által védett üzeneteket.
  
  
• Gyors PEAP újracsatlakozást, amely csökkenti a késedelmet az ügyfél hitelesítési kérelme és a hálózati házirend-kiszolgáló vagy más RADIUS-kiszolgáló válasza közt. A PEAP gyors újracsatlakozása azt is lehetővé teszi az ügyfelek számára, hogy az azonos RADIUS-kiszolgálón RADIUS-ügyfélként konfigurált hozzáférési pontok között ismételt hitelesítési kérelmek nélkül mozogjanak. Ez kevesebb erőforrást követel mind az ügyféltől, mind a kiszolgálótól, és minimálisra csökkenti azon alkalmak számát, amikor a felhasználóknak meg kell adniuk hitelesítési adataikat.
  
  

A következő táblázat felsorolja a PEAP-MS-CHAP v2 protokoll előnyeit, és összehasonlítja az MS-CHAP v2 protokollal.

A PEAP hitelesítési folyamat a PEAP-ügyfél és a hitelesítő között két szakaszból áll. Az első szakasz létrehoz egy biztonságos csatornát a PEAP-ügyfél és a hitelesítő kiszolgáló között. A második szakasz EAP hitelesítést biztosít a PEAP-ügyfél és a hitelesítő között.

Két EAP-típus, más néven hitelesítési típus közül választhat a PEAP protokollal való használatra. EAP-MS-CHAP v2 vagy EAP-TLS. Az EAP-MS-CHAP v2 jelszóalapú hitelesítési adatokat (felhasználói név és jelszó) használ a felhasználó hitelesítésére, és a kiszolgáló számítógép tanúsítványtárolójában tárolt tanúsítványokat a kiszolgálók hitelesítésére. Az EAP-TLS vagy az ügyfélszámítógép tanúsítványtárolójában telepített tanúsítványokat, vagy intelligens kártyát használ felhasználók vagy ügyfélszámítógépek hitelesítésére, és a kiszolgáló számítógép tanúsítványtárolójában lévő tanúsítványt a kiszolgáló hitelesítésére.

A PEAP protokoll EAP-MS-CHAPv2 típussal (PEAP-MS-CHAP v2) könnyebben telepíthető, mint az EAP-TLS, mivel a felhasználó hitelesítése jelszóalapú hitelesítési adatokkal történik (felhasználói név és jelszó) a tanúsítványok és intelligens kártyák helyett. Csak a hálózati házirend-kiszolgálóknak és más RADIUS-kiszolgálóknak van szükségük tanúsítványra. Az NPS-kiszolgáló tanúsítványát a hálózati házirend-kiszolgáló használja a hitelesítési folyamat során a PEAP-ügyfelek azonosítására.

A sikeres PEAP-MS-CHAP v2 hitelesítés feltétele, hogy az ügyfél megbízzon a hálózati házirend-kiszolgálóban, miután ellenőrizte a kiszolgáló tanúsítványát. Ahhoz, hogy az ügyfél megbízzon a hálózati házirend-kiszolgálóban, a kiszolgáló tanúsítványát kibocsátó hitelesítésszolgáltatónak (CA) rendelkeznie kell saját tanúsítványával az ügyfélszámítógépek Megbízható legfelső szintű hitelesítésszolgáltatók tanúsítványtárolóiban.

A hálózati házirend-kiszolgáló kiszolgálói tanúsítványának kibocsátója lehet a vállalat megbízható legfelső szintű hitelesítésszolgáltatója, vagy egy nyilvános hitelesítésszolgáltató, például a Verisign vagy a Thawte, amelyben az ügyfélszámítógép már megbízik.

	Megjegyzés
	A PEAP-MS-CHAP v2 a TLS protokollal való kulcsgenerálás és a kölcsönös hitelesítés biztosításával magasabb szintű biztonságot nyújt az MS-CHAP v2 típusnál, meggátolva, hogy a nem hitelesített kiszolgálók a legkevésbé biztonságos hitelesítési módszerben egyezzenek meg a PEAP-ügyféllel.

Nyilvános kulcsokra épülő infrastruktúra (PKI) telepítésekor az Active Directory tanúsítványszolgáltatásokkal (AD CS) a PEAP protokollt az EAP-TLS hitelesítési típussal is használhatja (PEAP-TLS). A tanúsítványok a jelszó-alapú hitelesítési adatoknál jóval erősebb hitelesítési módszert biztosítanak. A PEAP-TLS protokoll tanúsítványokat használ a kiszolgálók hitelesítésére, a felhasználók és az ügyfélszámítógépek hitelesítésére pedig beágyazott tanúsítványokat tartalmazó intelligens kártyákat, vagy az ügyfélszámítógépekhez igényelt, és a helyi számítógép tanúsítványtárolójában tárolttanúsítványokat. A PEAP-TLS típus alkalmazásához PKI infrastruktúrát kell telepítenie.

A PEAP gyors újracsatlakozás lehetővé teszi a vezeték nélküli ügyfelek számára, hogy egy hálózat vezeték nélküli hozzáférési pontjai között anélkül mozogjanak, hogy az újabb hozzáférési pontokhoz való hozzárendeléskor újra kellene hitelesíteni őket.

A RADIUS-kiszolgálók számára a vezeték nélküli hozzáférési pontok RADIUS-ügyfelekként vannak konfigurálva. Ha a vezeték nélküli ügyfél olyan hozzáférési pontok közt mozog, amelyek ugyanahhoz a RADIUS-kiszolgálóhoz ügyfélként vannak konfigurálva, az ügyfelet nem szükséges minden új hozzárendelésnél hitelesíteni. Ha az ügyfél olyan hozzáférési ponthoz mozog, amely egy másik RADIUS-kiszolgálóhoz van RADIUS-ügyfélként konfigurálva, a hitelesítési folyamat az ügyfél újrahitelesítése ellenére is sokkal hatékonyabban és gyorsabban zajlik.

A PEAP gyors újracsatlakozás csökkenti a hitelesítés válaszidejét az ügyfél és a hitelesítő között, mivel a hitelesítési kérelem az új hozzáférési ponttól ahhoz a hálózati házirend-kiszolgálóhoz lesz irányítva, amely eredetileg elvégezte az ügyfélcsatlakozási kérelem hitelesítését és engedélyezését. Mivel mind a PEAP, mind a hálózati házirend-kiszolgáló használja a korábban gyorsítótárazott TLS-kapcsolati tulajdonságokat (amelyek gyűjteménye a TLS-leíró), a hálózati házirend-kiszolgáló gyorsan megállapíthatja, hogy az ügyfél csatlakozása újracsatlakozás-e.

Az ügyfél gyorsítótárazhatja a TLS-leírókat a további PEAP hitelesítők számára. Ha az eredeti hálózati házirend-kiszolgáló nem érhető el, teljes hitelesítésnek kell történnie az ügyfél és az új hitelesítő között. Az új PEAP hitelesítő TLS-leíróját az ügyfél gyorsítótárazza. Az intelligens kártyák vagy a PEAP-MS-CHAP v2 hitelesítés esetében az ügyfélnek meg kell adnia a PIN-kódot, illetve a hitelesítési adatokat.