Översikt över PEAP

I PEAP anges inte någon autentiseringsmetod, men det medför ytterligare säkerhet för andra EAP-autentiseringsprotokoll t.ex. Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol version 2 (EAP-MS-CHAP v2), som kan fungera genom den TLS-krypterade kanal som PEAP skapar. PEAP används som en autentiseringsmetod för åtkomstklienter som ansluter till organisationens nätverk genom följande typer av nätverksåtkomstservrar:

• 802.1X trådlösa åtkomstpunkter
  
  
• 802.1X autentiserande växlar
  
  
• Virtual private network (VPN)-servrar som kör Windows Server® 2008 eller Windows Server® 2008 R2 och tjänsten Routning och fjärråtkomst
  
  
• Datorer som kör Windows Server 2008 och Terminal Services Gateway (TS Gateway) eller Windows Server® 2008 R2 och Remote Desktop Gateway (RD Gateway).
  
  

Som en förbättring av både EAP-protokollen och nätverkssäkerheten ger PEAP:

• En TLS-kanal som skyddar den förhandling om EAP-metod som sker mellan klienten och servern. TLS-kanalen bidrar till att förhindra att en sabotör skickar in paket mellan klienten och nätverksåtkomstservern så att en mindre säker EAP-typ används. Den krypterade TLS-kanalen bidrar också till att förhindra DoS-attacker (Denial of Service) mot NPS-servern.
  
  
• Stöd för uppdelning och ihopsättning av meddelanden, vilket gör att EAP-typer som inte har den funktionen kan användas.
  
  
• En möjlighet för klienter att autentisera NPS-servern eller en annan RADIUS-server. Eftersom servern även autentiserar klienten sker en ömsesidig autentisering.
  
  
• Skydd mot distribution av en oauktoriserad trådlös åtkomstpunkt (WAP) när EAP-klienten autentiserar det certifikat som tillhandahålls av NPS-servern. Dessutom delas inte den hemliga TLS-huvudnyckeln som skapas av PEAP-autentiseraren och klienten med åtkomstpunkten. Av den anledningen kan åtkomstpunkten inte dekryptera meddelanden som skyddas av PEAP.
  
  
• Med PEAP sker en snabb återanslutning, vilket minskar tidsfördröjningen mellan klientens autentiseringsbegäran och svaret från NPS-servern eller en annan RADIUS-server. Den snabba återanslutningen med PEAB gör också att trådlösa klienter tillåts att flytta mellan de åtkomstpunkter som konfigurerats som RADIUS-klienter till samma RADIUS-server utan upprepade autentiseringsbegäranden. Det minskar resurskraven på både klienten och servern och minimerar antalet gånger som användare måste ange autentiseringsuppgifter.
  
  

I nedanstående tabell visas PEAP-MS-CHAP v2 fördelar och jämförs med MS-CHAP v2.

Den finns två skeden i PEAP-autentiseringsprocessen mellan PEAP-klienten och autentiseraren. I det första skedet etableras en säker kanal mellan PEAP-klienten och autentiseringsservern. I det andra skedet sker EAP-autentisering mellan PEAP-klienten och autentiseraren.

Du kan välja att använda någon av följande två EAP-typer, som också kallas autentiseringstyper, med PEAP: EAP-MS-CHAP v2 eller EAP-TLS. Med EAP-MS-CHAP v2 används lösenordsbaserade autentiseringsuppgifter (användarnamn och lösenord) för användarautentisering och ett certifikat i serverns datorcertifikatarkiv för serverautentisering. Med EAP-TLS används antingen certifikat som installerats i klientdatorns certifikatarkiv eller ett smartkort för användar- och klientdatorautentisering och ett certifikat i serverns datorcertifikatarkiv för serverautentisering.

PEAP med EAP-MS-CHAPv2 (PEAP-MS-CHAP v2) är lättare att distribuera än EAP-TLS, eftersom användarautentiseringen utförs med lösenordsbaserade autentiseringsuppgifter (användarnamn och lösenord) i stället för certifikat eller smartkort. Bara NPS-servern eller någon annan slags RADIUS-server måste ha ett certifikat. Under autentiseringsprocessen används NPS-servercertifikatet av NPS-servern för att styrka dess identitet mot PEAP-klienterna.

En lyckad PEAP-MS-CHAP v2-autentisering kräver att klienten litar på NPS-servern när servercertifikatet undersökts. För att klienten ska lita på NPS-servern måste utfärdaren av servercertifikatet ha ett annat certifikat på klientdatorernas lagringsplats för betrodda rotcertifikatutfärdare.

Det servercertifikat som används av NPS kan utfärdas av antingen organisationens betrodda rotcertifikatutfärdare eller en offentlig certifikatutfärdare, t.ex. Verisign eller Thawte, som redan är betrodda av klientdatorn.

	OBS
	Med PEAP-MS-CHAP v2 förbättras säkerheten markant i förhållande till MS-CHAP v2 eftersom nycklar genereras med TLS och ömsesidig autentisering används, vilket hindrar en obehörig server från att förhandla om den minst säkra autentiseringsmetoden med PEAP-klienten.

När du distribuerar en infrastruktur för offentliga nycklar (PKI) med Active Directory® Certificate Services (AD CS) kan du använda PEAP med EAP-TLS (PEAP-TLS). Certifikat är en betydligt säkrare autentiseringsmetod än metoder med lösenordsbaserade autentiseringsuppgifter. PEAP-TLS använder certifikat för serverautentisering och antingen smartkort med ett inbyggt certifikat eller certifikat som registrerats på klientdatorer och lagras i den lokala datorns certifikatarkiv för användar- och klientdatorautentisering. Du måste distribuera en PKI för att kunna använda PEAP-TLS.

Med PEAP:s snabba återanslutning kan trådlösa klienter flytta mellan trådlösa åtkomstpunkter på samma nätverk utan att omautentiseras varje gång de kopplas till en ny åtkomstpunkt.

Trådlösa åtkomstpunkter konfigureras som RADIUS-klienter till RADIUS-servrar. Om trådlösa klienter växlar mellan de åtkomstpunkter som konfigurerats som RADIUS-klienter till samma RADIUS-server är autentisering av klienten inte nödvändig vid varje ny association. När en klient flyttas till en åtkomstpunkt som konfigurerats som en RADIUS-klient till en annan RADIUS-server går processen mycket snabbare och effektivare, även om klienten omautentiseras.

Med PEAP:s snabba återanslutning minskar svarstiden för autentisering mellan klienten och autentiseraren eftersom autentiseringsbegäran vidarebefordras från den nya åtkomstpunkten till den NPS-server som ursprungligen utförde autentiseringen och auktoriseringen av klientens anslutningsbegäran. Eftersom både PEAP-klienten och NPS-servern använder tidigare cachelagrade TLS-anslutningsegenskaper (den samling som kallas TLS-referenser) kan NPS-servern snabbt avgöra om klientanslutningen är en återanslutning.

I klienten kan TLS-referenser för flera PEAP-autentiserare cachelagras. Om den ursprungliga NPS-servern inte är tillgänglig måste en fullständig autentisering mellan klienten och den nya autentiseraren göras. TLS-referensen för den nya PEAP-autentiseraren cachelagras av klienten. Vid autentisering med smartkort eller PEAP-MS-CHAP v2 uppmanas användaren att ange PIN-koden eller autentiseringsuppgifterna.