Chroniony protokół uwierzytelniania rozszerzonego (PEAP) jest jednym z protokołów uwierzytelniania rozszerzonego (EAP).
Protokół PEAP używa protokołu TLS do utworzenia szyfrowanego kanału między uwierzytelnianym klientem protokołu PEAP, takim jak komputer łączący się bezprzewodowo, a wystawcą uwierzytelnienia PEAP, takim jak serwer NPS lub serwer RADIUS.
Protokół PEAP i serwer zasad sieciowych (NPS)
W protokole PEAP nie określono metody uwierzytelniania, ale udostępniono dodatkowe zabezpieczenia innych protokołów uwierzytelniania EAP, takich jak EAP-MS-CHAP (Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol) w wersji 2, który może przesyłać dane poprzez udostępniany przez protokół PEAP kanał szyfrowany warstwą TLS. Protokół PEAP jest używany jako metoda uwierzytelniania dla klientów dostępu łączących się z siecią organizacji za pośrednictwem następujących typów serwerów dostępu do sieci:
-
Punkty dostępu bezprzewodowego 802.1X
-
Przełączniki uwierzytelniające 802.1X
-
Serwery wirtualnych sieci prywatnych (VPN) z systemem Windows Server® 2008 lub Windows Server® 2008 R2 oraz z usługą Routing i dostęp zdalny
-
Komputery z systemem Windows Server 2008 i bramą usług terminalowych lub z systemem Windows Server® 2008 R2 i bramą usług pulpitu zdalnego
Aby ulepszyć działanie protokołów EAP i zwiększyć bezpieczeństwo sieci, w protokole PEAP udostępniono następujące rozwiązania:
-
Kanał zabezpieczeń TLS umożliwiający ochronę negocjacji metody EAP prowadzonych między klientem i serwerem. Ten kanał zabezpieczeń TLS pomaga uniemożliwić intruzom wprowadzenie pakietów między klientem a serwerem NAP w celu negocjacji mniej bezpiecznego typu protokołu EAP. Szyfrowany kanał TLS stanowi również ochronę przed atakami typu „odmowa usługi” na serwer NPS.
-
Obsługa fragmentacji i ponownego konstruowania komunikatów, która pozwala na używanie typów protokołu EAP nieobsługujących tych funkcji.
-
Klienci z możliwością uwierzytelniania serwera NPS lub innego serwera usługi RADIUS. Ponieważ serwer jest również uwierzytelniany przez klienta, występuje uwierzytelnianie obustronne.
-
Ochrona przed wdrożeniem nieautoryzowanego bezprzewodowego punktu dostępu w momencie uwierzytelnienia przez klienta EAP certyfikatu dostarczonego przez serwer NPS. Ponadto główny klucz tajny protokołu TLS utworzony przez wystawcę uwierzytelnienia PEAP i klienta nie zostaje udostępniony punktowi dostępu. Dlatego punkt dostępu nie może odszyfrowywać komunikatów zabezpieczonych przez protokół PEAP.
-
Szybkie łączenie ponowne za pomocą protokołu PEAP zmniejsza opóźnienie między żądaniem uwierzytelnienia wysłanym przez klienta a odpowiedzią serwera NPS lub innego serwera RADIUS. Szybkie łączenie ponowne za pomocą protokołu PEAP pozwala również na przenoszenie klientów łączących się bezprzewodowo między punktami dostępu skonfigurowanymi jako klienci usługi RADIUS tego samego serwera RADIUS bez ponownego żądania uwierzytelnienia. To powoduje zmniejszenie wymagań dla zasobów zarówno klienta, jak i serwera oraz minimalizuje liczbę sytuacji, kiedy użytkownicy są monitowani o poświadczenia.
Poniższa tabela zawiera zalety protokołu PEAP-MS-CHAP v2 i porównanie z protokołem MS-CHAP v2.
Właściwość/funkcja | Protokół MS-CHAP v2 | Protokół PEAP-MS-CHAP v2 |
---|---|---|
Umożliwia uwierzytelnianie klienta z użyciem hasła. |
Tak |
Tak |
Zapewnia serwerowi dostęp do poświadczeń. |
Tak |
Tak |
Uwierzytelnia serwer. |
Tak |
Tak |
Zapobiega podszywaniu się w punktach dostępu bezprzewodowego. |
Nie |
Tak |
Zapobiega negocjowaniu najmniej bezpiecznej metody uwierzytelniania przez nieautoryzowany serwer. |
Nie |
Tak |
Używa kluczy zabezpieczeń TLS wygenerowanych za pomocą klucza publicznego. |
Nie |
Tak |
Umożliwia szyfrowanie typu end-to-end. |
Nie |
Tak |
Zapobiega atakom słownikowym i siłowym. |
Nie |
Tak |
Zapobiega atakom metodą powtórzeń. |
Nie |
Tak |
Pozwala tworzyć łańcuch metod uwierzytelniania. |
Nie |
Tak |
Wymaga, aby klient ufał certyfikatom dostarczonym przez serwer. |
Nie |
Tak |
Proces uwierzytelniania PEAP
Proces uwierzytelniania PEAP między klientem protokołu PEAP a wystawcą uwierzytelnienia składa się z dwóch etapów. W pierwszym etapie pomiędzy klientem protokołu PEAP a serwerem uwierzytelniającym zostaje utworzony bezpieczny kanał. Drugi etap umożliwia uwierzytelnienie za pomocą protokołu EAP między klientem protokołu PEAP i wystawcą uwierzytelnienia.
Szyfrowany kanał zabezpieczeń TLS
W pierwszym etapie uwierzytelniania PEAP między klientem protokołu PEAP i serwerem NPS zostaje utworzony kanał TLS. Poniższa procedura ilustruje, w jaki sposób jest tworzony kanał TLS dla klientów protokołu PEAP łączących się bezprzewodowo.
-
Klient protokołu PEAP zostaje skojarzony z punktem dostępu bezprzewodowego, który został skonfigurowany jako klient usługi RADIUS serwera NPS. Skojarzenie oparte na standardzie IEEE 802.11 umożliwia uwierzytelnienie systemu otwartego lub klucza wspólnego przed utworzeniem bezpiecznego skojarzenia między klientem protokołu PEAP i punktem dostępu.
-
Kiedy skojarzenie oparte na standardzie IEEE 802.11 między klientem a punktem dostępu zostanie pomyślnie ustanowione, z punktem dostępu jest negocjowana sesja TLS.
-
Kiedy uwierzytelnienie na poziomie komputera między klientem protokołu PEAP łączącym się bezprzewodowo i serwerem NPS zakończy się pomyślnie, negocjowana jest sesja zabezpieczeń TLS między nimi. Klucz utworzony podczas tych negocjacji jest używany do szyfrowania całej dalszej komunikacji, włączając w to uwierzytelnianie dostępu do sieci pozwalające użytkownikowi nawiązać połączenie z siecią organizacji.
Komunikacja uwierzytelniona za pomocą protokołu EAP
Cała komunikacja protokołu EAP, włącznie z negocjacją protokołu EAP, odbywa się przez kanał TLS i stanowi drugi etap uwierzytelniania PEAP. Poniższa procedura jest rozszerzeniem poprzedniego przykładu, ilustrującym sposób, w jaki odbywa się uwierzytelnienie klientów bezprzewodowych przez serwer NPS z użyciem protokołu PEAP.
Po utworzeniu kanału TLS między serwerem NPS i klientem protokołu PEAP klient przekazuje poświadczenia (nazwę użytkownika i hasło albo certyfikat komputera lub użytkownika) do serwera NPS przez szyfrowany kanał.
Punkt dostępu jedynie przesyła dalej komunikaty między klientem bezprzewodowym a serwerem RADIUS; punkt dostępu (lub monitorująca go osoba) nie może odszyfrować tych komunikatów, ponieważ nie jest to punkt końcowy protokołu TLS.
Serwer NPS uwierzytelnia użytkownika i komputer kliencki za pomocą typu uwierzytelniania wybranego do użytku z protokołem PEAP. Typem uwierzytelnienia może być EAP-TLS (karta inteligentna lub inny certyfikat) lub EAP-MS-CHAP v2 (bezpieczne hasło).
Uwaga | |
W zasadzie sieciowej serwera NPS można skonfigurować protokół PEAP jako metodę uwierzytelniania. |
Typy protokołu EAP
Możliwe jest wybranie jednego z dwóch typów protokołu EAP, nazywanych także typami uwierzytelniania, który będzie używany z protokołem PEAP: EAP-MS-CHAP v2 lub EAP-TLS. Typ EAP-MS-CHAP v2 uwierzytelnia użytkownika za pomocą poświadczeń opartych na haśle (nazwy użytkownika i hasła) oraz uwierzytelnia serwer za pomocą certyfikatu z magazynu certyfikatów komputera serwera. Typ EAP-TLS uwierzytelnia użytkownika i komputer kliencki za pomocą certyfikatów zainstalowanych w magazynie certyfikatów komputera klienckiego lub na karcie inteligentnej oraz uwierzytelnia serwer za pomocą certyfikatu z magazynu certyfikatów komputera serwera.
Protokół PEAP z typem EAP-MS-CHAP v2
Protokół PEAP z typem EAP-MS-CHAPv2 (protokół PEAP-MS-CHAP v2) jest łatwiejszy do wdrożenia niż protokół EAP-TLS, ponieważ uwierzytelnianie użytkownika jest realizowane za pomocą poświadczeń opartych na haśle (nazwy użytkownika i hasła) zamiast certyfikatów lub kart inteligentnych. Certyfikat musi mieć jedynie serwer NPS lub inny serwer usługi RADIUS. Certyfikat serwera NPS jest używany przez serwer NPS podczas procesu uwierzytelniania, aby potwierdzić jego tożsamość klientom protokołu PEAP.
Do pomyślnego uwierzytelnienia za pomocą protokołu PEAP-MS-CHAP v2 konieczne jest, aby klient uznał serwer NPS za zaufany po zbadaniu certyfikatu serwera. Aby klient uznał serwer NPS za zaufany, urząd certyfikacji, który wystawił certyfikat serwera, musi mieć własny odrębny certyfikat w magazynie certyfikatów Zaufane główne urzędy certyfikacji na komputerach klienckich.
Certyfikat serwera używany przez serwer NPS może zostać wystawiony przez główny urząd certyfikacji organizacji lub przez publiczny urząd certyfikacji, taki jak VeriSign lub Thawte, który jest już uznawany za zaufany przez komputer kliencki.
Uwaga | |
Protokół PEAP-MS-CHAP v2 udostępnia znacznie lepsze zabezpieczenia niż protokół MS-CHAP v2 dzięki możliwości generowania klucza za pomocą protokołu TLS oraz zastosowaniu uwierzytelniania wzajemnego, które zapobiega negocjowaniu przez nieautoryzowany serwer najmniej bezpiecznej metody uwierzytelniania z klientem protokołu PEAP. |
Protokół PEAP z typem EAP-TLS
Przy wdrażaniu infrastruktury kluczy publicznych (PKI) za pomocą usług certyfikatów w usłudze Active Directory (AD CS, Active Directory Certificate Services) można użyć protokołu PEAP z typem EAP-TLS (protokołu PEAP-TLS). Certyfikaty oferują znacznie silniejszą metodę uwierzytelniania niż metody używające poświadczeń opartych na haśle. Protokół PEAP-TLS uwierzytelniania serwer za pomocą certyfikatów oraz używa kart inteligentnych, które zawierają osadzony certyfikat, albo certyfikatów zarejestrowanych na komputerach klienckich, które są przechowywane w magazynie certyfikatów komputera lokalnego, do uwierzytelniania użytkownika i komputera. Aby używać protokołu PEAP-TLS, należy wdrożyć infrastrukturę PKI.
Szybkie łączenie ponowne za pomocą protokołu PEAP
Szybkie łączenie ponowne za pomocą protokołu PEAP umożliwia klientom łączącym się bezprzewodowo przenoszenie się między punktami dostępu bezprzewodowego tej samej sieci bez ponownego uwierzytelniania za każdym razem, kiedy są kojarzeni z nowym punktem dostępu.
Punkty dostępu bezprzewodowego są konfigurowane jako klienci usługi RADIUS serwerów RADIUS. Jeżeli klient łączący się bezprzewodowo jest przenoszony między punktami dostępu skonfigurowanymi jako klienci tego samego serwera RADIUS, nie jest wymagane uwierzytelnianie klienta przy każdym nowym skojarzeniu. Kiedy klient jest przenoszony do punktu dostępu skonfigurowanego jako klient usługi RADIUS innego serwera RADIUS, klient jest ponownie uwierzytelniany, ale ten proces przebiega dużo wydajniej i szybciej.
Szybkie łączenie ponowne za pomocą protokołu PEAP zmniejsza czas odpowiedzi podczas uwierzytelniania między klientem i wystawcą uwierzytelnienia, ponieważ żądanie uwierzytelnienia jest przesyłane dalej z nowego punktu dostępu do serwera NPS, który pierwotnie przeprowadził uwierzytelnienie i autoryzację żądania połączenia klienta. Ponieważ zarówno klient protokołu PEAP, jak i serwer NPS używają wcześniej buforowanych właściwości połączenia TLS (zbiór takich właściwości jest nazywany dojściem protokołu TLS), serwer NPS może szybko określić, że połączenie klienta jest połączeniem ponownym.
Klient może buforować dojścia protokołu TLS dla wielu wystawców uwierzytelnienia PEAP. Jeżeli pierwotny serwer NPS jest niedostępny, pomiędzy klientem i nowym wystawcą uwierzytelnienia musi się odbyć pełne uwierzytelnienie. Klient buforuje dojście protokołu TLS dla nowego wystawcy uwierzytelnienia PEAP. W przypadku kart inteligentnych lub uwierzytelniania za pomocą protokołu PEAP-MS-CHAP v2 użytkownik jest monitowany o podanie odpowiednio osobistego numeru identyfikacyjnego (PIN) lub poświadczeń.
Uwierzytelnianie za pomocą protokołu PEAP-MS-CHAP v2:
Jeśli nowy punkt dostępu jest klientem tego samego serwera RADIUS | Jeśli nowy punkt dostępu jest klientem nowego serwera RADIUS |
---|---|
Użytkownik nie jest monitowany o poświadczenia za każdym razem, kiedy komputer kliencki jest kojarzony z nowym punktem dostępu. |
Użytkownik jest monitowany o poświadczenia podczas tego początkowego kojarzenia. Następnym razem, kiedy komputer kliencki zostanie skojarzony z punktem dostępu będącym klientem tego serwera, nie będą wymagane poświadczenia użytkownika. |
Udostępnianie certyfikatu przez serwer RADIUS nie jest wymagane. |
Serwer RADIUS udostępnia certyfikat podczas tego początkowego kojarzenia, dzięki czemu klient łączący się bezprzewodowo może uwierzytelnić się na serwerze RADIUS. Następnym razem, kiedy komputer kliencki zostanie skojarzony z punktem dostępu będącym klientem tego serwera, serwer nie musi być ponownie uwierzytelniany. |
Uwierzytelnianie za pomocą protokołu PEAP-TLS:
Jeśli nowy punkt dostępu jest klientem tego samego serwera RADIUS | Jeśli nowy punkt dostępu jest klientem nowego serwera RADIUS |
---|---|
Nie jest wymagana wymiana certyfikatów między klientem i serwerem. |
Klient i serwer wymieniają certyfikaty podczas tego początkowego kojarzenia. Następnym razem, kiedy komputer kliencki zostanie skojarzony z punktem dostępu będącym klientem tego serwera, certyfikaty nie są wymieniane. |
Użytkownik nie jest monitowany o numer PIN karty inteligentnej za każdym razem, kiedy komputer kliencki jest kojarzony z nowym punktem dostępu. |
Użytkownik jest monitowany o numer PIN karty inteligentnej w czasie tego początkowego kojarzenia. Następnym razem, kiedy komputer kliencki zostanie skojarzony z punktem dostępu będącym klientem tego serwera, użytkownik nie jest monitowany o podanie numeru PIN. |
Aby włączyć szybkie łączenie ponowne za pomocą protokołu PEAP:
-
Zarówno klient protokołu PEAP (klient sieci bezprzewodowej 802.11), jak i wystawca uwierzytelnienia PEAP (serwer RADIUS) muszą mieć włączoną opcję szybkiego łączenia ponownego.
-
Wszystkie punkty dostępu, między którymi jest przenoszony klient protokołu PEAP, muszą zostać skonfigurowane jako klienci usługi RADIUS serwera RADIUS (wystawcy uwierzytelnienia PEAP), dla którego protokół PEAP jest skonfigurowany jako metoda uwierzytelniania dla połączeń bezprzewodowych.
-
Dla wszystkich punktów dostępu, z którymi jest kojarzony klient protokołu PEAP, należy skonfigurować ten sam preferowany serwer RADIUS (wystawcę uwierzytelnienia PEAP), co pozwoli uniknąć monitowania o poświadczenia od każdego serwera RADIUS. Jeśli dla punktu dostępu nie można skonfigurować preferowanego serwera RADIUS, można skonfigurować serwer NPS jako serwer proxy RADIUS z preferowanym serwerem RADIUS.
Dodatkowe informacje
-
Protokół PEAP nie obsługuje uwierzytelniania gościa.
-
Kiedy zostanie wdrożony protokół PEAP i protokół EAP bez ochrony w protokole PEAP, nie należy używać tego samego typu uwierzytelnienia EAP z protokołem PEAP i bez protokołu PEAP. Jeśli na przykład wdrożono protokół PEAP-TLS, nie należy osobno wdrażać metody EAP-TLS bez protokołu PEAP. Wdrażanie metod uwierzytelniania o takim samym typie tworzy lukę w zabezpieczeniach.