Korumalı Genişletilebilir Kimlik Doğrulama Protokolü (PEAP), Genişletilebilir Kimlik Doğrulama Protokolü (EAP) protokollerinin bir parçasıdır.

PEAP, kablosuz bilgisayar gibi kimliği doğrulanan bir PEAP istemcisi ile Ağ İlkesi Sunucusu (NPS) veya başka bir Arayan Kullanıcının Uzaktan Kimliğini Doğrulama Hizmeti (RADIUS) sunucusu gibi bir PEAP doğrulayıcısı arasında bir şifreli kanal oluşturmak üzere Aktarım Katmanı Güvenliği'ni (TLS) kullanır.

PEAP ve NPS

PEAP bir kimlik doğrulama yöntemi belirtmez, ancak PEAP tarafından sağlanan TLS şifreli kanalı aracılığıyla çalışabilen Genişletilebilir Kimlik Doğrulama Protokolü-Microsoft Karşılıklı Kimlik Doğrulama Protokolü (EAP-MSCHAP v2) gibi diğer EAP kimlik doğrulama protokolleri için ek güvenlik sağlar. PEAP, aşağıdaki ağ erişim sunucusu türleri üzerinden kuruluş ağınıza bağlanan erişim istemcileri için bir kimlik doğrulama yöntemi olarak kullanılır:

  • 802.1X kablosuz erişim noktaları

  • 802.1X kimlik doğrulama anahtarları

  • Windows Server® 2008 veya Windows Server® 2008 R2 ve Yönlendirme ve Uzaktan Erişim hizmeti çalışan sanal özel ağ (VPN) sunucuları

  • Windows Server 2008 ve Terminal Hizmetleri Ağ Geçidi (TH Ağ Geçidi) veya Windows Server® 2008 R2 ve Uzak Masaüstü Ağ Geçidi (RD Ağ Geçidi) çalışan bilgisayarlar.

PEAP hem EAP protokollerini hem de ağ güvenliğini geliştirmek için şunları sağlar:

  • İstemci ile sunucu arasında oluşan EAP yöntemi görüşmesi için koruma sağlayan bir TLS kanalı. Bu TLS kanalı bir saldırganın istemci ile ağ erişim sunucusu arasında paket sızdırarak daha az güvenli bir EAP türünde görüşmeye neden olmasının engellenmesine yardımcı olur. Şifreli TLS kanalı ayrıca NPS sunucusunda hizmet reddi saldırılarının engellenmesine yardımcı olur.

  • İletilerin parçalanması ve yeniden montajı desteği, bu işlevselliği sağlamayan EAP türlerinin kullanılmasına olanak verir.

  • İstemciler, NPS sunucusunun veya başka bir RADIUS sunucusunun kimlik doğrulamasını yapabilir. Sunucu aynı zamanda istemcinin kimlik doğrulamasını yaptığı için, karşılıklı kimlik doğrulama gerçekleşir.

  • EAP istemcisinin NPS sunucusu tarafından sağlanan sertifikanın kimlik doğrulamasını yaptığı sırada yetkili olmayan bir kablosuz erişim noktasının dağıtılmasına karşı koruma sağlanır. Ayrıca, PEAP doğrulayıcısı ve istemci tarafından oluşturulan TLS ana sırrı erişim noktasıyla paylaşılmaz. Bu nedenle, erişim noktası PEAP tarafından korunan iletilerin şifresini çözemez.

  • Bir istemci tarafından yapılan kimlik doğrulama isteği ile NPS veya başka bir RADIUS sunucusunun yanıt vermesi arasındaki gecikmeyi azaltan PEAP hızlı yeniden bağlanma. PEAP hızlı yeniden bağlanma aynı zamanda yeniden kimlik doğrulama isteği gönderilmesine gerek kalmadan, kablosuz istemcilerin aynı RADIUS sunucusu için RADIUS istemci olarak yapılandırılmış erişim noktaları arasında hareket etmelerine olanak verir. Böylece, hem istemci hem de sunucu gereksinimleri azaltılır ve kullanıcılardan kimlik bilgileri istenme sayısı en aza indirilir.

Aşağıdaki tabloda PEAP-MS-CHAP v2 güçleri listelenir ve MS-CHAP v2 ile karşılaştırması yapılır.

Özellik/işlev MS-CHAP v2 PEAP-MS-CHAP v2

Parolalar kullanarak istemci kimlik doğrulaması yapılmasını sağlar.

Evet

Evet

Sunucunun kimlik bilgilerine erişimi olmasını sağlar.

Evet

Evet

Sunucunun kimlik doğrulamasını yapar.

Evet

Evet

Kablosuz erişim noktası sızdırmasını engeller.

Hayır

Evet

Yetkili olmayan bir sunucunun en az güvenli kimlik doğrulama yöntemini kullanarak görüşmesini engeller.

Hayır

Evet

Bir ortak anahtar tarafından oluşturulan TLS anahtarlarını kullanır.

Hayır

Evet

Sıra ile şifreleme sağlar.

Hayır

Evet

Sözlük veya kaba kuvvet saldırılarını engeller.

Hayır

Evet

Yeniden gönderme saldırılarını engeller.

Hayır

Evet

Kimlik doğrulama yöntemlerinin zincir olarak kullanılmasına izin verir.

Hayır

Evet

Sunucu tarafından sağlanan sertifikalar için istemci güveni gerektirir.

Hayır

Evet

PEAP kimlik doğrulama işlemi

PEAP kimlik doğrulama işleminde PEAP istemcisi ile doğrulayıcı arasında iki aşama vardır. İlk aşamada, PEAP istemcisi ile kimlik doğrulama sunucusu arasında bir güvenli kanal oluşturulur. İkinci aşamada, PEAP istemcisi ile doğrulayıcı arasında EAP kimlik doğrulaması sağlanır.

TLS şifreli kanalı

PEAP kimlik doğrulamasının ilk aşamasında, PEAP istemcisi ile NPS sunucusu arasında TLS kanalı oluşturulur. Aşağıdaki adımlarda, bu TLS kanalının kablosuz PEAP istemciler için nasıl oluşturulduğu gösterilmektedir.

  1. PEAP istemcisi, NPS çalışan bir sunucuya RADIUS istemcisi olarak yapılandırılmış bir kablosuz erişim noktasıyla ilişkilendirilir. PEAP istemcisi ile erişim noktası arasında güvenli bir ilişki oluşturulması için IEEE 802.11 tabanlı ilişki ilk olarak bir Açık Sistem veya Paylaşılan Anahtar Kimlik Doğrulaması sağlar.

  2. İstemci ile erişim noktası arasında IEEE 802.11 tabanlı ilişki oluşturulduktan sonra, erişim noktasıyla TLS oturumu görüşülür.

  3. Kablosuz PEAP istemcisi ile NPS sunucusu arasında bilgisayar düzeyinde kimlik doğrulaması başarıyla tamamlandıktan sonra, TLS oturumu bunların arasında görüşülür. Bu görüşme sırasında türetilen anahtar, kullanıcının kuruluş ağına bağlanmasına izin veren ağ erişimi kimlik doğrulaması da dahil olmak üzere sonraki tüm iletişimi şifrelemek için kullanılır.

EAP ile kimliği doğrulanan iletişim

EAP görüşmesi de dahil tüm EAP iletişimi, TLS kanalı üzerinden gerçekleşir ve PEAP kimlik doğrulamasının ikinci aşamasıdır. Aşağıdaki adımlarda önceki örnek genişletilerek, kablosuz istemcilerin PEAP kullanarak NPS sunucusuyla kimlik doğrulama işlemini nasıl tamamladığı gösterilir.

NPS sunucusu ile PEAP istemcisi arasında TLS kanalı oluşturulduktan sonra, istemci kimlik bilgilerini (kullanıcı adını ve parolayı veya kullanıcı ya da bilgisayar sertifikasını) şifreli kanal üzerinden NPS sunucusuna aktarır.

Erişim noktası iletileri yalnızca kablosuz istemci ile RADIUS sunucusu arasında iletir; erişim noktası (veya onu izleyen kişi) TLS uç noktası olmadığı için bu iletilerin şifresini çözemez.

NPS sunucusu, PEAP ile kullanılmak üzere seçilen kimlik doğrulama türüyle kullanıcının ve istemci bilgisayarın kimliğini doğrular. Kimlik doğrulama türü EAP-TLS (akıllı kart veya başka bir sertifika) ya da EAP-MS-CHAP v2 (güvenli parola) olabilir.

Not

NPS ağ ilkesinde kimlik doğrulama yöntemi olarak PEAP'yi yapılandırabilirsiniz.

EAP türleri

PEAP ile kullanılmak üzere kimlik doğrulama türleri adı da verilen iki EAP türünden birini seçebilirsiniz: EAP-MS-CHAP v2 veya EAP-TLS. EAP-MS-CHAP v2, kullanıcı kimlik doğrulaması için parola tabanlı kimlik bilgilerini (kullanıcı adı ve parola) ve sunucu kimlik doğrulaması için sunucu bilgisayarının sertifika deposundaki bir sertifikayı kullanır. EAP-TLS, kullanıcı ve istemci bilgisayarın kimlik doğrulaması için istemci bilgisayarın sertifika deposunda yüklü olan sertifikaları veya bir akıllı kart ve sunucu kimlik doğrulaması için de sunucu bilgisayarının sertifika deposundaki bir sertifikayı kullanır.

EAP-MS-CHAP v2 ile PEAP

EAP-TLS ile karşılaştırıldığında, EAP-MS-CHAPv2 ile PEAP (PEAP-MS-CHAP v2) dağıtımı daha kolaydır; çünkü kullanıcı kimlik doğrulaması, sertifikalar veya akıllı kartlar yerine parola tabanlı kimlik bilgileri kullanılarak gerçekleştirilir. Sertifika almak için yalnızca NPS sunucusu veya başka bir RADIUS sunucusu gerekir. NPS sunucu sertifikası, NPS sunucusu tarafından kimliğini PEAP istemcilere kanıtlamak üzere kimlik doğrulama işlemi sırasında kullanılır.

PEAP-MS-CHAP v2 kimlik doğrulamasının başarılı olması için, istemcinin sunucu sertifikasını inceledikten sonra NPS sunucusuna güvenmesi gerekir. İstemcinin NPS sunucusuna güvenmesi için, sunucu sertifikasını yayımlayan sertifika yetkilisinin (CA), istemci bilgisayarlardaki Güvenilen Kök Sertifika Yetkilileri sertifika deposunda kendine ait bir sertifikası olması gerekir.

NPS tarafından kullanılan sunucu sertifikası, kuruluşunuzun güvenilen kök CA'sı veya istemci bilgisayar tarafından zaten güvenilen VeriSign ya da Thawte gibi bir ortak CA tarafından yayımlanabilir.

Not

PEAP-MS-CHAP v2, anahtar oluşturmada TLS kullanılmasına olanak verdiği ve yetkili olmayan bir sunucunun PEAP istemcisiyle görüşürken en az güvenli olan kimlik doğrulama yöntemini kullanmasını engelleyen karşılıklı kimlik doğrulama yöntemini kullanması nedeniyle, MS-CHAP v2 ile karşılaştırıldığında çok daha fazla güvenlik sağlar.

EAP-TLS ile PEAP

Active Directory Sertifika Hizmetleri'ni (AD CS) kullanarak bir ortak anahtar altyapısını (PKI) dağıtırken, EAP-TLS ile PEAP (PEAP-TLS) kullanabilirsiniz. Sertifikalar, parola tabanlı kimlik bilgilerinin kullanıldığı yöntemlere göre çok daha güçlü bir kimlik doğrulama yöntemi sunar. PEAP-TLS, sunucu kimlik doğrulaması için sertifikaları ve bir katıştırılmış sertifika içeren akıllı kartları veya kullanıcı ve istemci bilgisayarın kimlik doğrulaması için yerel bilgisayardaki sertifika deposunda depolanan istemci bilgisayarlara kaydettirilmiş sertifikaları kullanır. PEAP-TLS kullanmak için bir PKI dağıtmalısınız.

PEAP hızlı yeniden bağlanma

PEAP hızlı yeniden bağlanma, kablosuz istemcilerin yeni bir erişim noktasıyla her ilişki kurduklarında kimliklerinin yeniden doğrulanmasına gerek kalmadan, aynı ağdaki kablosuz erişim noktaları arasında hareket etmelerine olanak verir.

Kablosuz erişim noktaları, RADIUS sunucular için RADIUS istemci olarak yapılandırılır. Bir kablosuz istemci aynı RADIUS sunucusu için istemci olarak yapılandırılmış erişim noktaları arasında gezinirse, istemci için her yeni ilişkide yeniden kimlik doğrulaması yapılması gerekmez. Bir istemci farklı bir RADIUS sunucusu için RADIUS istemci olarak yapılandırılmış bir erişim noktasına geldiğinde istemcinin kimlik doğrulaması yeniden yapılır, ancak bu işlem çok daha verimli ve hızlı gerçekleştirilir.

PEAP hızlı yeniden bağlanma, istemci ve doğrulayıcı arasında gerçekleştirilen kimlik doğrulamasının yanı süresini azaltır, çünkü kimlik doğrulama isteği, yeni erişim noktasından, istemci bağlantı isteği için kimlik doğrulamasını ve yetkilendirmeyi gerçekleştiren NPS sunucusuna iletilir. Hem PEAP istemcisi hem de NPS sunucusu önceden önbelleğe alınan TLS bağlantı özelliklerini (tümüne TLS tanıtıcısı adı verilir) kullandığı için, NPS sunucusu istemci bağlantısının bir yeniden bağlanma işlemi olduğunu hızla belirleyebilir.

İstemci, birden çok PEAP doğrulayıcısı için TLS tanıtıcılarını önbelleğe alabilir. Özgün NPS sunucusu kullanılamıyorsa, istemci ile yeni doğrulayıcı arasında tam kimlik doğrulaması gerçekleştirilmelidir. Yeni PEAP doğrulayıcısının TLS tanıtıcısı istemci tarafından önbelleğe alınır. Akıllı kartlar veya PEAP-MS-CHAP v2 kimlik doğrulaması için, kullanıcıdan PIN değerini veya kimlik bilgilerini sağlaması istenir.

PEAP-MS-CHAP v2 kimlik doğrulaması ile:

Yeni erişim noktası aynı RADIUS sunucusu için bir istemci olduğunda Yeni erişim noktası yeni bir RADIUS sunucusu için bir istemci olduğunda

İstemci bilgisayar yeni bir erişim noktasıyla her ilişki kurduğunda kullanıcıdan kimlik bilgileri istenmez.

İlk ilişkilendirme sırasında kullanıcıdan kimlik bilgileri istenir. İstemci bilgisayar bu sunucu için istemci olan bir erişim noktasıyla yeniden ilişki kurduğunda, kullanıcı kimlik bilgilerinin sağlanması gerekmez.

RADIUS sunucusunun bir sertifika sağlaması gerekmez.

RADIUS sunucusu ilk ilişkilendirme sırasında bir sertifika sağlayarak, kablosuz istemcinin RADIUS sunucusunda kimliğinin doğrulanabilmesine olanak verir. İstemci bilgisayar bu sunucu için istemci olan bir erişim noktasıyla yeniden ilişki kurduğunda, sunucuda yeniden kimlik doğrulaması yapılması gerekmez.

PEAP-TLS kimlik doğrulaması ile:

Yeni erişim noktası aynı RADIUS sunucusu için bir istemci olduğunda Yeni erişim noktası yeni bir RADIUS sunucusu için bir istemci olduğunda

İstemci ve sunucunun sertifika değişimi yapmaları gerekmez.

İstemci ve sunucu ilk ilişkilendirme sırasında sertifika değişimi yapar. İstemci bilgisayar bu sunucu için istemci olan bir erişim noktasıyla yeniden ilişki kurduğunda sertifika değişimi yapılmaz.

İstemci bilgisayar yeni bir erişim noktasıyla her ilişki kurduğunda kullanıcıdan bir akıllı kart kişisel tanımlama numarası (PIN) istenmez.

İlk ilişkilendirme sırasında kullanıcıdan akıllı kart PIN değeri istenir. İstemci bilgisayar bu sunucu için istemci olan bir erişim noktasıyla yeniden ilişki kurduğunda kullanıcıdan PIN istenmez.

PEAP hızlı yeniden bağlanmayı etkinleştirmek için:

  • Hem PEAP istemcisinde (802.11 kablosuz istemci) hem de PEAP doğrulayıcısında (RADIUS sunucusunun) hızlı yeniden bağlanma özelliği etkinleştirilmiş olmalıdır.

  • PEAP istemcisinin gezindiği tüm erişim noktalarının, kablosuz bağlantılar için kimlik doğrulama yöntemi olarak PEAP'nin yapılandırılmış olduğu bir RADIUS sunucusu (RADIUS doğrulayıcısı) için RADIUS istemciler olarak yapılandırılması gerekir.

  • PEAP istemcisinin ilişki kurduğu tüm erişim noktalarının, her RADIUS sunucusunda kimlik bilgilerinin sorulmasını engellemek için, aynı RADIUS sunucusunu (PEAP doğrulayıcısı) tercih edecek biçimde yapılandırılmaları gerekir. Erişim noktası bir RADIUS sunucusunu tercih edecek biçimde yapılandırılamazsa, tercih edilen bir RADIUS sunucusuyla bir NPS RADIUS proxy sunucu yapılandırabilirsiniz.

Ek bilgiler
  • PEAP konuk kimlik doğrulamasını desteklemez.

  • Hem PEAP hem de EAP'yi PEAP tarafından korunmadan dağıttığınızda, PEAP kullanılan ve kullanılmayan durumlarda aynı EAP kimlik doğrulaması türünü kullanmayın. Örneğin PEAP-TLS'yi dağıtırsanız, PEAP olmadan EAP-TLS'yi de dağıtmayın. Aynı tür kimlik doğrulama yöntemlerini dağıtmak bir güvenlik açığına neden olur.


İçindekiler