O PEAP (EAP protegido) faz parte dos protocolos EAP (Protocolo de Autenticação Extensível).
O PEAP utiliza o TLS (Transport Layer Security) para criar um canal criptografado entre o cliente PEAP de autenticação, por exemplo, um computador sem fio, e um autenticador PEAP, por exemplo, um servidor que executa o NPS (servidor de diretivas de rede) ou RADIUS (Remote Authentication Dial-In User Service).
PEAP e NPS
O PEAP não especifica um método de autenticação, mas fornece segurança adicional a outros protocolos de autenticação EAP, como o EAP-MSCHAP v2 (Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol versão 2), que possam operar pelo canal criptografado TLS fornecido pelo PEAP. O PEAP é usado como um método de autenticação de clientes de acesso que se conectam à rede da sua organização por meio dos seguintes tipos de servidores de acesso à rede:
-
Pontos de acesso sem fio 802.1X
-
Opções de autenticação 802.1X
-
Servidores de rede privada virtual (VPN) executando Windows Server® 2008 ou Windows Server® 2008 R2 e o serviço de Roteamento e Acesso Remoto
-
Computadores executando Windows Server 2008 e o Gateway de Serviços de Terminal (TS Gateway) ou Windows Server® 2008 R2 e o Gateway da Área de Trabalho Remota (RD Gateway).
Para aumentar a segurança dos protocolos EAP e da rede, o PEAP fornece:
-
Um canal TLS que oferece proteção para a negociação de método EAP que ocorre entre cliente e servidor. Esse canal TLS ajuda a impedir que um invasor insira pacotes entre o cliente e servidor de acesso à rede para produzir a negociação de um tipo EAP menos seguro. O canal TLS criptografado também ajuda a impedir ataques de negação de serviço contra o servidor NPS.
-
Suporte para fragmentação e reagrupamento de mensagens, permitindo o uso de tipos EAP que não oferecem essa funcionalidade.
-
Clientes com a capacidade de autenticar o NPS ou outro servidor RADIUS. Como o servidor também autentica o cliente, ocorre uma autenticação mútua.
-
Proteção contra a implantação de um ponto de acesso sem fio não autorizado quando o cliente EAP autentica o certificado fornecido pelo servidor NPS. Além disso, o segredo mestre TLS criado pelo cliente e autenticador PEAP não é compartilhado com o ponto de acesso. Por isso, o ponto de acesso não pode descriptografar as mensagens protegidas pelo PEAP.
-
Reconexão rápida do PEAP, que reduz o atraso no tempo entre a solicitação de autenticação de um cliente e a resposta do NPS ou outro servidor RADIUS. A reconexão rápida do PEAP permite que clientes sem fio se movam entre os pontos de acesso configurados como clientes RADIUS para o mesmo servidor RADIUS, sem solicitações repetidas de autenticação. Isso reduz os requisitos de recursos para o cliente e para o servidor e minimiza o número de vezes que as credenciais dos usuários são solicitadas.
A tabela a seguir relaciona os pontos fortes do PEAP-MS-CHAP v2 e faz uma comparação com o MS-CHAP v2:
| Recurso/função | MS-CHAP v2 | PEAP-MS-CHAP v2 |
|---|---|---|
|
Fornece autenticação de cliente usando senhas. |
Sim |
Sim |
|
Garante que o servidor tenha acesso a credenciais. |
Sim |
Sim |
|
Autentica o servidor. |
Sim |
Sim |
|
Impede falsificações de ponto de acesso sem fio. |
Não |
Sim |
|
Impede que um servidor não autorizado negocie o método de autenticação menos seguro. |
Não |
Sim |
|
Usa chaves TLS geradas com uma chave pública. |
Não |
Sim |
|
Fornece a criptografia de extremidade-a-extremidade. |
Não |
Sim |
|
Impede ataques de dicionário e de força bruta. |
Não |
Sim |
|
Impede ataques por repetição. |
Não |
Sim |
|
Permite o encadeamento de métodos de autenticação. |
Não |
Sim |
|
Requer a confiança de clientes em certificados fornecidos pelo servidor. |
Não |
Sim |
Processo de autenticação PEAP
Há dois estágios no processo de autenticação PEAP entre o cliente PEAP e o autenticador: o primeiro estabelece um canal seguro entre o cliente PEAP e o servidor de autenticação; o segundo fornece a autenticação EAP entre o cliente PEAP e o autenticador.
Canal criptografado TLS
No primeiro estágio da autenticação PEAP, é criado o canal TLS entre o cliente PEAP e o servidor NPS. As etapas a seguir ilustram como esse canal TLS é criado para clientes PEAP sem fio.
-
O cliente PEAP associa-se a um ponto de acesso sem fio configurado como um cliente RADIUS para um servidor que executa o NPS. Uma associação baseada em IEEE 802.11 fornece uma autenticação de chave compartilhada ou de sistema aberto antes de uma associação segura ser criada entre o cliente PEAP e o ponto de acesso.
-
Depois que a associação IEEE 802.11 é estabelecida com êxito entre o cliente e o ponto de acesso, a sessão TLS é negociada com o ponto de acesso.
-
Após a conclusão bem-sucedida da autenticação no nível de computador entre o cliente PEAP sem fio e o servidor NPS, a sessão TLS é negociada entre eles. A chave derivada dessa negociação é usada para criptografar todas as comunicações subsequentes, incluindo a autenticação de acesso à rede que permite a conexão do usuário com a rede da organização.
Comunicação autenticada por EAP
A comunicação EAP completa, incluindo a negociação EAP, ocorre pelo canal TLS e é o segundo estágio da autenticação PEAP. As etapas a seguir estendem o exemplo anterior e mostram como os clientes sem fio concluem a autenticação com o servidor NPS usando o PEAP.
Depois que o canal TLS é criado entre o servidor NPS e o cliente PEAP, o cliente informa as credenciais (nome de usuário e senha ou um certificado de usuário ou computador) ao servidor NPS pelo canal criptografado.
O ponto de acesso apenas encaminha mensagens entre o cliente sem fio e o servidor RADIUS; o ponto de acesso (ou a pessoa que o monitora) não pode descriptografar essas mensagens porque ele não é o ponto de extremidade TLS.
O servidor NPS autentica o usuário e o computador cliente com o tipo de autenticação selecionado para ser usado com o PEAP. O tipo de autenticação pode ser EAP-TLS (cartão inteligente ou outro certificado) ou EAP-MS-CHAP v2 (senha de segurança).
 | Observação |
|
Você pode configurar o PEAP como o método de autenticação na diretiva de rede do NPS. |
Tipos de EAP
Você pode escolher um dos dois tipos de EAP, também chamados de tipos de autenticação, para usar com o PEAP: EAP-MS-CHAP v2 ou EAP-TLS. O EAP-MS-CHAP v2 utiliza credenciais baseadas em senha (nome de usuário e senha) para a autenticação de usuário e um certificado no repositório de certificados do computador servidor para a autenticação de servidor. O EAP-TLS utiliza certificados instalados no repositório de certificados do computador cliente ou um cartão inteligente para a autenticação de usuário e de computador cliente, e um certificado do repositório de certificados do computador servidor para a autenticação de servidor.
PEAP com EAP-MS-CHAP v2
O PEAP com EAP-MS-CHAPv2 (PEAP-MS-CHAP v2) é mais fácil de implantar que o EAP-TLS, porque a autenticação de usuário é realizada com credenciais baseadas em senha (nome de usuário e senha), em vez de certificados ou cartões inteligentes. Somente o NPS ou outro servidor RADIUS precisa ter um certificado. O certificado de servidor NPS é usado pelo servidor NPS durante o processo de autenticação para provar sua identidade para os clientes PEAP.
A autenticação bem-sucedida de PEAP-MS-CHAP v2 exige a confiança do cliente no servidor NPS após o exame do certificado do servidor. Para que o cliente confie no servidor NPS, a autoridade de certificação (CA) que emitiu o certificado do servidor deverá ter um certificado diferente próprio no repositório de certificados das Autoridades de Certificação Raiz Confiáveis nos computadores clientes.
O certificado de servidor usado pelo NPS pode ser emitido pela autoridade de certificação raiz confiável da sua organização ou por uma autoridade de certificação pública, como Verisign ou Thawte, que já contam com a confiança do computador cliente.
| Observação |
|
O PEAP-MS-CHAP v2 oferece uma segurança significativamente aprimorada em relação ao MS-CHAP v2, permitindo a geração de chaves com TLS e usando a autenticação mútua, que impede que um servidor não autorizado negocie o método de autenticação menos seguro com o cliente PEAP. |
PEAP com EAP-TLS
Ao implantar uma infraestrutura de chave pública (PKI) com os Serviços de Certificados do Active Directory (AD CS), você pode usar o PEAP com EAP-TLS (PEAP-TLS). Os certificados fornecem um método de autenticação mais seguro que os métodos que utilizam credenciais baseadas em senha. O PEAP-TLS utiliza certificados para a autenticação de servidor e cartões inteligentes, que contêm um certificado incorporado, ou certificados registrados nos computadores clientes contidos no repositório de certificados do computador local para a autenticação de usuário e de computador cliente. Para usar o PEAP-TLS, é necessário implantar a PKI.
Reconexão rápida do PEAP
A reconexão rápida do PEAP permite que clientes sem fio se movimentem entre os pontos de acesso sem fio na mesma rede, sem precisar de nova autenticação toda vez que se associam a um novo ponto de acesso.
Os pontos de acesso sem fio são configurados como clientes RADIUS para servidores RADIUS. Se um cliente sem fio se movimentar entre os pontos de acesso que estão configurados como clientes para o mesmo servidor RADIUS, esse cliente não precisará ser autenticado a cada nova associação. Quando um cliente muda para um ponto de acesso configurado como um cliente RADIUS para um servidor RADIUS diferente, embora o cliente seja autenticado novamente, esse processo ocorre de forma mais rápida e eficiente.
A reconexão rápida do PEAP reduz o tempo de resposta da autenticação entre cliente e autenticador, porque a solicitação de autenticação é encaminhada do novo ponto de acesso para o servidor NPS que originalmente executou a autenticação e a autorização da solicitação de conexão do cliente. Como o cliente PEAP e o servidor NPS utilizam propriedades da conexão TLS armazenadas anteriormente em cache (cuja coleção é chamada de identificador TLS), o servidor NPS pode determinar rapidamente se a conexão do cliente é uma reconexão.
O cliente pode armazenar em cache os identificadores TLS para vários autenticadores PEAP. Se o servidor NPS original não estiver disponível, a autenticação completa deverá ocorrer entre o cliente e o novo autenticador. O identificador TLS do novo autenticador PEAP é armazenado em cache pelo cliente. Para a autenticação de cartões inteligentes ou PEAP-MS-CHAP v2, o usuário é solicitado a fornecer o PIN ou as credenciais, respectivamente.
Com autenticação PEAP-MS-CHAP v2:
| Quando o novo ponto de acesso é um cliente para o mesmo servidor RADIUS | Quando o novo ponto de acesso é um cliente para um novo servidor RADIUS |
|---|---|
|
As credenciais do usuário não são solicitadas toda vez que o computador cliente se associa a um novo ponto de acesso. |
O usuário deverá fornecer as credenciais na associação inicial. Da próxima vez que o computador cliente se associar a um ponto de acesso que é um cliente desse servidor, as credenciais do usuário não serão necessárias. |
|
Não é necessário o servidor RADIUS fornecer um certificado. |
O servidor RADIUS fornece um certificado na associação inicial para que o cliente sem fio possa ser autenticado no servidor RADIUS. Da próxima vez que o computador cliente se associar a um ponto de acesso que é um cliente desse servidor, o servidor não precisará ser autenticado novamente. |
Com autenticação PEAP-TLS:
| Quando o novo ponto de acesso é um cliente para o mesmo servidor RADIUS | Quando o novo ponto de acesso é um cliente para um novo servidor RADIUS |
|---|---|
|
O cliente e o servidor não precisam trocar certificados. |
O cliente e o servidor trocam certificados na associação inicial. Da próxima vez que o computador cliente se associar a um ponto de acesso que é um cliente desse servidor, não haverá troca de certificados. |
|
O usuário não precisa informar um número de identificação pessoal (PIN) do cartão inteligente toda vez que o computador cliente se associa a um novo ponto de acesso. |
O usuário deverá fornecer o PIN do cartão inteligente na associação inicial. Da próxima vez que o computador cliente se associar a um ponto de acesso que é um cliente desse servidor, o usuário não precisará fornecer o PIN. |
Para habilitar a reconexão rápida do PEAP:
-
A reconexão rápida deverá estar habilitada para o cliente PEAP (cliente sem fio 802.11) e para o autenticador PEAP (servidor RADIUS).
-
Todos os pontos de acesso aos quais o cliente se associa deverão ser configurados como clientes RADIUS para um servidor RADIUS (o autenticador PEAP), no qual o PEAP está configurado como método de autenticação para conexões sem fio.
-
Todos os pontos de acesso aos quais o cliente PEAP se associa deverão ser configurados para preferir o mesmo servidor RADIUS (autenticador PEAP), para evitar a solicitação de credenciais de cada servidor RADIUS. Se não for possível configurar o ponto de acesso para preferir um servidor RADIUS, configure um proxy NPS RADIUS com um servidor RADIUS preferencial.
Informações adicionais
-
O PEAP não oferece suporte à autenticação de convidado.
-
Quando você implantar PEAP e EAP não protegidos pelo PEAP, não utilize o mesmo tipo de autenticação EAP com e sem PEAP. Por exemplo, se você implantar o PEAP-TLS, não implante também o EAP-TLS sem PEAP. A implantação de métodos de autenticação com o mesmo tipo cria uma vulnerabilidade de segurança.