O protocolo PEAP (Protected Extensible Authentication Protocol) faz parte dos protocolos EAP (Extensible Authentication Protocol).

O protocolo PEAP utiliza o TLS (Transport Layer Security) para criar um canal encriptado entre um cliente PEAP que se está a autenticar, tal como um computador sem fios, e um autenticador PEAP, tal como um servidor que está a executar o NPS (Servidor de Políticas de Rede) ou outro servidor RADIUS (Remote Authentication Dial-In User Service).

PEAP e NPS

O protocolo PEAP não especifica um método de autenticação, mas fornece segurança adicional para outros protocolos de segurança EAP, tal como o EAP-MS-CHAP v2 (Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol version 2), que pode operar através do canal encriptado TLS fornecido pelo protocolo PEAP. O protocolo PEAP é utilizado como um método de autenticação para clientes de acesso que estejam a ligar à rede da organização através dos seguintes tipos de servidores NAS:

  • Pontos de acesso sem fios 802.1X

  • Comutadores de autenticação 802.1X

  • Servidores VPN (Rede Privada Virtual) com o Windows Server® 2008 ou Windows Server® 2008 R2 em execução e o serviço Encaminhamento e Acesso Remoto

  • Computadores com o Windows Server 2008 e o Gateway de Serviços de Terminal (Gateway TS) ou o Windows Server® 2008 R2 e o Gateway de Ambiente de Trabalho Remoto (Gateway de RD) em execução.

Para melhorar os protocolos EAP e a segurança da rede, o protocolo PEAP fornece:

  • Um canal TLS que fornece protecção para a negociação do método EAP que ocorre entre o cliente e o servidor. Este canal TLS ajuda a impedir que um atacante injecte pacotes entre o cliente e o servidor NAS para provocar a negociação de um método EAP menos seguro. O canal TLS encriptado também ajuda a impedir ataques denial-of-service contra o servidor NPS.

  • Suporte para a fragmentação e reassemblagem de mensagens, permitindo a utilização de tipos de EAP que não fornecem esta funcionalidade.

  • Clientes com capacidade para autenticar o servidor NPS ou outro servidor RADIUS. Visto que o servidor também autentica o cliente, é efectuada a autenticação mútua.

  • Protecção contra a implementação de um ponto de acesso sem fios não autorizado no momento em que o cliente EAP autentica o certificado fornecido pelo servidor NPS. Além disso, o segredo mestre de TLS criado pelo autenticador e pelo cliente do protocolo PEAP não é partilhado com o ponto de acesso. Devido a este facto, o ponto de acesso não pode desencriptar as mensagens protegidas pelo protocolo PEAP.

  • Restabelecimento rápido de ligações PEAP, que reduz o atraso entre um pedido de autenticação de um cliente e a resposta pelo NPS ou outro servidor RADIUS. O restabelecimento rápido de ligações PEAP também permite que os clientes sem fios se desloquem entre pontos de acesso configurados como clientes RADIUS para o mesmo servidor RADIUS sem pedidos de autenticação repetidos. Isto reduz os requisitos de recursos para clientes e servidores, minimizando igualmente o número de vezes que as credenciais são pedidas aos utilizadores.

A tabela seguinte lista as vantagens do PEAP-MS-CHAP v2 e compara-o com o MS-CHAP v2.

Funcionalidade/função MS-CHAP v2 PEAP-MS-CHAP v2

Fornece autenticação de clientes utilizando palavras-passe.

Sim

Sim

Certifica-se de que o servidor tem acesso a credenciais.

Sim

Sim

Autentica o servidor.

Sim

Sim

Impede o spoofing de pontos de acesso sem fios.

Não

Sim

Impede que um servidor não autorizado negoceie o método de autenticação menos seguro.

Não

Sim

Utiliza chaves TLS geradas com uma chave pública.

Não

Sim

Fornece encriptação ponto-a-ponto.

Não

Sim

Impede ataques de dicionário ou força bruta.

Não

Sim

Impede ataques de repetição.

Não

Sim

Permite o encadeamento de métodos de autenticação.

Não

Sim

Requer a fidedignidade de cliente dos certificados fornecidos pelo servidor.

Não

Sim

Processo de autenticação PEAP

Existem duas fases no processo de autenticação PEAP entre o cliente PEAP e o autenticador. A primeira fase estabelece um canal seguro entre o cliente PEAP e o servidor de autenticação. A segunda fase proporciona a autenticação EAP entre o cliente PEAP e o autenticador.

Canal TLS encriptado

Na primeira fase da autenticação PEAP, é criado um canal TLS entre o cliente PEAP e o servidor NPS. Os passos seguintes ilustram o modo como este canal TLS é criado para os clientes PEAP sem fios.

  1. O cliente PEAP associa-se com um ponto de acesso sem fios que está configurado como um cliente RADIUS de um servidor que está a executar o NPS. Uma associação baseada em IEEE 802.11 fornece uma Autenticação de Sistema Aberto ou Chave Partilhada antes que seja criada uma associação segura entre o cliente PEAP e o ponto de acesso.

  2. Após a associação baseada em IEEE 802.11 ser estabelecida com êxito entre o cliente e o ponto de acesso, a sessão TLS é negociada com o ponto de acesso.

  3. Depois de a autenticação de nível de computador ser concluída com êxito entre o cliente PEAP sem fios e o servidor NPS, a sessão TLS é negociada entre estes. A chave que é derivada durante esta negociação é utilizada para encriptar todas as comunicações subsequentes, incluindo a autenticação de acesso de rede que permite que o utilizador estabeleça ligação à rede da organização.

Comunicação autenticada por EAP

A comunicação EAP completa, incluindo a negociação EAP, ocorre através do canal TLS e é a segunda fase da autenticação PEAP. Os passos seguintes expandem o exemplo anterior e ilustram o modo como os clientes sem fios concluem a autenticação com o servidor NPS utilizando o protocolo PEAP.

Após o canal TLS ser criado entre o servidor NPS e o cliente PEAP, o cliente transmite as credenciais (nome de utilizador e palavra-passe ou um certificado de utilizador ou computador) para o servidor NPS através do canal encriptado.

O ponto de acesso só reencaminha mensagens entre o cliente sem fios e o servidor RADIUS; o ponto de acesso (ou a pessoa que o está a monitorizar) não consegue desencriptar estas mensagens porque não é o ponto final TLS.

O servidor NPS autentica o utilizador e o cliente computador com o tipo de autenticação que está seleccionado para utilização com o protocolo PEAP. O tipo de autenticação pode ser EAP-TLS (smart card ou outro certificado) ou EAP-MS-CHAP v2 (palavra-passe segura).

Nota

Pode configurar o protocolo PEAP como método de autenticação na política de segurança NPS.

Tipos de EAP

Pode optar entre dois tipos de EAP, também denominados tipos de autenticação, para utilização com o protocolo PEAP: EAP-MS-CHAP v2 ou EAP-TLS. O EAP-MS-CHAP v2 utiliza credenciais baseadas em palavras-passe (nome de utilizador e palavra-passe) para autenticação de utilizadores e um certificado existente no arquivo de certificados do computador servidor para autenticação de servidores. O EAP-TLS utiliza certificados instalados no arquivo de certificados do computador cliente ou um smart card para autenticação de utilizadores e computadores cliente e um certificado existente no arquivo de certificados do computador servidor para autenticação de servidores.

PEAP com EAP-MS-CHAP v2

O PEAP com EAP-MS-CHAPv2 (PEAP-MS-CHAP v2) é mais fácil de implementar do que o EAP-TLS porque a autenticação dos utilizadores é efectuada com credenciais baseadas em palavras-passe (nome de utilizador e palavra-passe) em vez de certificados ou smart cards. Apenas o servidor NPS ou outro servidor RADIUS tem de ter um certificado. O certificado de servidor NPS é utilizado pelo servidor NPS durante o processo de autenticação para provar a respectiva identidade perante os clientes PEAP.

A autenticação PEAP-MS-CHAP v2 com êxito requer que o cliente considere o servidor NPS fidedigno após examinar o certificado de servidor. Para que o cliente considere o servidor NPS fidedigno, a autoridade de certificação (AC) que emitiu o certificado de servidor tem de ter um certificado próprio diferente no arquivo de certificados Autoridades de Certificação de Raiz Fidedigna dos computadores cliente.

O certificado de servidor utilizado pelo NPS pode ser emitido pela AC de raiz fidedigna da organização ou por uma AC pública, tal como a VeriSign ou a Thawte, que já é considerada fidedigna pelo computador cliente.

Nota

O PEAP-MS-CHAP v2 permite uma segurança mais avançada do que o MS-CHAP v2, fornecendo a geração de chaves com TLS e utilizando a autenticação mútua, que impede que um servidor não autorizado negoceie o método de autenticação menos seguro com o cliente PEAP.

PEAP com EAP-TLS

Quando implementa uma PKI (public key infrastructure) com os Serviços de Certificados do Active Directory (AD CS), pode utilizar o PEAP com EAP-TLS (PEAP-TLS). Os certificados proporcionam um método de autenticação muito mais potente do que os métodos que utilizam credenciais baseadas em palavras-passe. O PEAP-TLS utiliza certificados para autenticação de servidores e smart cards (que contêm um certificado incorporado) ou certificados inscritos nos computadores cliente (que estão armazenados no arquivo de certificados do computador local) para autenticação de utilizadores e clientes. Para utilizar o PEAP-TLS, tem de implementar uma PKI.

Restabelecimento rápido de ligações PEAP

O restabelecimento rápido de ligações PEAP permite que os clientes sem fios se desloquem entre pontos de acesso sem fios existentes na mesma rede sem que tenham de repetir o processo de autenticação sem que se associem a um novo ponto de acesso.

Os pontos de acesso sem fios são configurados como clientes RADIUS para os servidores RADIUS. Se um cliente sem fios se deslocar entre pontos de acesso configurados como clientes para o mesmo servidor RADIUS, esse cliente não terá de ser autenticado em cada nova associação. Quando um cliente se desloca para um ponto de acesso configurado como cliente RADIUS de um servidor RADIUS diferente, apesar de ser novamente autenticado, este processo ocorre com muito mais eficiência e rapidez.

O restabelecimento rápido de ligações PEAP reduz o tempo de resposta da autenticação entre o cliente e o autenticador, porque o pedido de autenticação é reencaminhado do novo ponto de acesso para o servidor NPS que efectuou originalmente a autenticação e a autorização do pedido de ligação do cliente. Visto que tanto o cliente PEAP como o servidor NPS utilizam as propriedades da ligação TLS colocadas anteriormente em cache (sendo o conjunto destas designado por identificador TLS), o servidor NPS poderá determinar rapidamente que a ligação do cliente é, na realidade, um restabelecimento de ligação.

O cliente pode colocar em cache identificadores TLS de vários autenticadores PEAP. Se o servidor NPS original não estiver disponível, tem de ocorrer autenticação completa entre o cliente e o novo autenticador. O identificador TLS para o novo autenticador PEAP é colocado em cache pelo cliente. Para smart cards ou autenticação PEAP-MS-CHAP v2, é pedido ao utilizador para fornecer o PIN ou as credenciais, respectivamente.

Com autenticação PEAP-MS-CHAP v2:

Quando o novo ponto de acesso é um cliente para o mesmo servidor RADIUS Quando o novo ponto de acesso é um cliente para um novo servidor RADIUS

Não é pedido ao utilizador para introduzir credenciais sempre que o computador cliente é associado a um novo ponto de acesso.

É pedido ao utilizador para introduzir as credenciais nesta associação inicial. Da próxima vez que o computador cliente se associar a um ponto de acesso que seja cliente deste servidor, as credenciais de utilizador não são requeridas.

O servidor RADIUS não tem de fornecer um certificado.

O servidor RADIUS fornece um certificado nesta associação inicial, para que o cliente sem fios possa efectuar a autenticação perante o servidor RADIUS. Da próxima vez que o computador cliente se associar a um ponto de acesso que seja cliente deste servidor, o utilizador não terá de ser novamente autenticado.

Com autenticação PEAP-TLS:

Quando o novo ponto de acesso é um cliente para o mesmo servidor RADIUS Quando o novo ponto de acesso é um cliente para um novo servidor RADIUS

O cliente e o servidor não têm de trocar certificados.

O cliente e o servidor trocam certificados nesta associação inicial. Da próxima vez que o computador cliente se associar a um ponto de acesso que seja cliente deste servidor, não são trocados certificados.

Não é pedido ao utilizador para introduzir o PIN (personal identification number) de um smart card sempre que o computador cliente é associado a um novo ponto de acesso.

É pedido ao utilizador para introduzir o PIN de um smart card nesta associação inicial. Da próxima vez que o computador cliente se associar a um ponto de acesso que seja cliente deste servidor, não será pedido ao utilizador para introduzir o PIN.

Para activar o restabelecimento rápido de ligações PEAP:

  • O cliente PEAP (cliente sem fios 802.11) e o autenticador PEAP (servidor RADIUS) têm de ter o restabelecimento rápido de ligações activado.

  • Todos os pontos de acesso para os quais o cliente PEAP se deslocar têm de estar configurados como clientes RADIUS de um servidor RADIUS (o autenticador PEAP), para o qual o protocolo PEAP esteja configurado como método de autenticação de ligações sem fios.

  • Todos os pontos de acesso aos quais o cliente PEAP se associar têm de estar configurados para preferirem o mesmo servidor RADIUS (autenticador PEAP), para impedir que cada servidor RADIUS lhes peça as credenciais. Se não for possível configurar o ponto de acesso para preferir um servidor RADIUS, poderá configurar um proxy RADIUS NPS com um servidor RADIUS preferencial.

Informações adicionais
  • O protocolo PEAP não suporta a autenticação de convidados.

  • Se implementar o PEAP e o EAP não protegido por PEAP, não utilize o mesmo tipo de autenticação EAP com e sem o PEAP. Por exemplo, se implementar o PEAP-TLS, não implemente também o EAP-TLS sem PEAP. A implementação de métodos de autenticação do mesmo tipo cria uma vulnerabilidade de segurança.


Sumário