Panoramica del protocollo PEAP

Il protocollo PEAP non specifica un metodo di autenticazione ma incrementa la sicurezza per altri protocolli di autenticazione EAP, ad esempio EAP-MSCHAP v2 (Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol version 2), che possono utilizzare il canale crittografato TLS fornito da PEAP. Il protocollo PEAP viene utilizzato come metodo di autenticazione per i computer client della rete dell'organizzazione mediante i seguenti tipi di server di accesso alla rete:

• Punti di accesso wireless 802.1X
  
  
• Commutatori di autenticazione 802.1X
  
  
• Server VPN (Virtual Private Network, rete privata virtuale) che eseguono Windows Server® 2008 o Windows Server® 2008 R2 e il servizio Routing e Accesso remoto
  
  
• Computer che eseguono Windows Server 2008 e Gateway di Servizi terminale oppure Windows Server® 2008 R2 e Gateway Desktop remoto.
  
  

Per migliorare i protocolli EAP e la sicurezza della rete, PEAP assicura:

• Un canale TLS per la protezione della negoziazione del metodo EAP tra client e server. Questo contribuisce a evitare che l'autore di un attacco inserisca pacchetti tra il client e il server di accesso alla rete per determinare la negoziazione di un tipo EAP che garantisce una sicurezza inferiore. Il canale TLS crittografato contribuisce inoltre a evitare attacchi di tipo Denial of Service contro il server che esegue Server dei criteri di rete.
  
  
• Supporto per la frammentazione e il riassemblaggio dei messaggi, consentendo l'utilizzo di tipi EAP che non lo prevedono.
  
  
• Client in grado di autenticare il server che esegue Server dei criteri di rete o un altro server RADIUS. Dato che il server autentica a sua volta il client, si verifica un'autenticazione reciproca.
  
  
• Protezione dalla distribuzione di un punto di accesso wireless non autorizzato quando il client EAP autentica il certificato fornito dal server dei criteri di rete. Inoltre, il master secret TLS creato dall'autenticatore PEAP e dal client non viene condiviso con il punto di accesso. Di conseguenza, il punto di accesso non può decifrare il messaggio protetto mediante PEAP.
  
  
• Supporto per la riconnessione rapida, che consente di ridurre l'intervallo di attesa tra la richiesta di autenticazione di un client e la risposta da parte di Server dei criteri di rete o altro server RADIUS. La riconnessione rapida PEAP consente inoltre ai client wireless di spostarsi tra punti di accesso configurati come client RADIUS per lo stesso server RADIUS senza richieste di autenticazione ripetute e di ridurre i requisiti del client e del server in termini di risorse nonché il numero di richieste di credenziali agli utenti.
  
  

Nella tabella seguente sono elencati i punti di forza di PEAP-MS-CHAP v2 in confronto a MS-CHAP v2:

Il processo di autenticazione PEAP tra client e autenticatore PEAP è costituito da due fasi. La prima consiste nell'impostazione di un canale sicuro tra il client PEAP e il server di autenticazione, la seconda nell'autenticazione EAP tra il client e l'autenticatore EAP.

È possibile scegliere tra due tipi EAP, definiti anche tipi di autenticazione, da utilizzare con il protocollo PEAP: EAP-MS-CHAP v2 o EAP-TLS. Per l'autenticazione dell'utente, EAP-MS-CHAP v2 utilizza credenziali basate su password (nome utente e password), mentre per l'autenticazione del server utilizza un certificato contenuto nell'archivio certificati del server. EAP-TLS utilizza certificati installati nell'archivio certificati del computer client o una smart card per l'autenticazione dell'utente e del computer client e un certificato dell'archivio certificati del computer server per l'autenticazione del server.

Il protocollo PEAP con EAP-MS-CHAPv2 (PEAP-MS-CHAP v2) è più semplice da distribuire rispetto a EAP-TLS, poiché l'autenticazione utente viene eseguita con credenziali basate su password, ovvero nome utente e password, anziché con certificati o smart card. In questo caso solo Server dei criteri di rete o un altro server RADIUS deve disporre di un certificato. Il certificato di server dei criteri di rete viene utilizzato da Server dei criteri di rete durante il processo di autenticazione per dimostrare la propria identità a client PEAP.

Affinché l'autenticazione PEAP-MS-CHAP v2 riesca, il client deve considerare attendibile Server dei criteri di rete dopo aver esaminato il certificato del server. Affinché il client consideri attendibile il Server dei criteri di rete, è necessario che l'autorità di certificazione rilasciata dal certificato del server disponga di un proprio certificato nell'archivio delle autorità di certificazione radice disponibili nell'elenco locale sui computer client.

Il certificato server utilizzato da Server dei criteri di rete può essere emesso dall'Autorità di certificazione radice attendibile dell'organizzazione o da un'Autorità di certificazione pubblica, ad esempio VeriSign o Thawte, già considerata attendibile dal computer client.

	Nota
	PEAP-MS-CHAP v2 offre una maggiore sicurezza di MS-CHAP v2 poiché utilizza la generazione di chiavi con TLS e l'autenticazione reciproca che impedisce a un server non autorizzato di negoziare il metodo di autenticazione meno sicuro con il client PEAP.

Quando si distribuisce un'infrastruttura a chiave pubblica con Servizi certificati Active Directory, è possibile utilizzare il protocollo PEAP con EAP-TLS. I certificati offrono un metodo di autenticazione molto più efficace rispetto a quelli che utilizzano credenziali basate su password. Il protocollo PEAP-TLS utilizza certificati per l'autenticazione del server e certificati o smart card, con certificato incorporato, oppure certificati registrati sul computer client archiviati sul computer locale nell'archivio certificati, per l'autenticazione dell'utente o del computer client. Per utilizzare PEAP-TLS, è necessario distribuire un'infrastruttura a chiave pubblica.

La riconnessione rapida PEAP consente ai client wireless di spostarsi tra i punti di accesso wireless sulla stessa rete senza dover essere nuovamente autenticati ogni volta che vengono associati a un punto di accesso.

I punti di accesso wireless vengono configurati come client RADIUS di server RADIUS. Se un client wireless si sposta tra punti di accesso configurati come client sullo stesso server RADIUS, al client non è richiesta l'autenticazione per ogni nuova associazione. Sebbene venga nuovamente autenticato, quando un client si sposta su un punto di accesso configurato come client RADIUS su un server RADIUS diverso, il processo viene eseguito in modo molto più rapido ed efficiente.

La riconnessione rapida fornita da PEAP riduce il tempo di risposta per l'autenticazione tra client e autenticatore poiché la richiesta di autenticazione viene inoltrata dal nuovo punto di accesso a Server dei criteri di rete che ha originariamente eseguito l'autenticazione e l'autorizzazione della richiesta di connessione del client. Poiché sia il client PEAP che Server dei criteri di rete utilizzano proprietà di connessione TLS precedentemente memorizzate nella cache, il cui insieme è denominato handle di TLS, Server dei criteri di rete può determinare rapidamente che la connessione del client è una riconnessione.

Il client può memorizzare nella cache handle di TLS per più autenticatori PEAP. Se il Server dei criteri di rete originale non è disponibile, è necessario che avvenga un'autenticazione completa tra il client e il nuovo autenticatore. Il nuovo handle di TLS dell'autenticatore PEAP viene memorizzato nella cache dal client. Per l'autenticazione con smart card o PEAP-MS-CHAP v2, all'utente viene chiesto di fornire rispettivamente il PIN o le credenziali.