受保護的可延伸驗證通訊協定 (PEAP) 是可延伸驗證通訊協定 (EAP) 通訊協定的一部分。
PEAP 使用「傳輸層安全性」(TLS) 來建立驗證 PEAP 用戶端 (如無線電腦) 和 PEAP 驗證器 (如執行網路原則伺服器 (NPS) 的伺服器或其他「遠端驗證撥入使用者服務」(RADIUS) 伺服器) 之間的加密通道。
PEAP 與 NPS
PEAP 不會指定驗證方法,但是會提供額外的安全性給其他 EAP 驗證通訊協定 (例如可延伸驗證通訊協定- Microsoft Challenge Handshake 驗證通訊協定第 2 版,EAP-MSCHAP v2),以便透過 PEAP 提供的 TLS 加密通道來操作。PEAP 可做為存取用戶端的驗證方法,透過下列各種網路存取伺服器連線到組織網路。
-
802.1X 無線存取點
-
802.1X 驗證交換器
-
執行 Windows Server® 2008 或 Windows Server® 2008 R2 以及路由及遠端存取服務的虛擬私人網路 (VPN) 伺服器
-
執行 Windows Server 2008 與終端機服務閘道 (TS 閘道) 或 Windows Server® 2008 R2 與遠端桌面閘道 (RD 閘道) 的電腦。
為了同時增強 EAP 通訊協定和網路安全性,PEAP 提供以下功能:
-
提供用戶端和伺服器間的 EAP 方法協商保護的 TLS 通道。此 TLS 通道可避免來自用戶端和網路存取伺服器之間之插入封包的攻擊者造成較不安全的 EAP 類型協商。加密的 TLS 通道也可保護 NPS 伺服器對抗拒絕服務的攻擊。
-
支援訊息的分散和重組,允許使用不提供此功能的 EAP 類型。
-
具有驗證 NPS 伺服器或其他 RADIUS 伺服器功能的用戶端。因為伺服器也會驗證用戶端,因此會產生相互驗證。
-
當 EAP 用戶端驗證 NPS 伺服器提供的憑證時,可保護對抗未授權的無線存取點。此外,不與存取點共用 PEAP 驗證器和用戶端建立的 TLS 主要密碼。因此,存取點無法解密受 PEAP 保護的訊息。
-
PEAP 快速重新連線,可降低用戶端的驗證要求與 NPS 或其他 RADIUS 伺服器的回應之間的延遲。PEAP 快速重新連線也可讓無線用戶端在存取點之間移動,而這些存取點是設定為相同 RADIUS 伺服器的 RADIUS 用戶端,不需要重複要求驗證。如此可降低用戶端與伺服器的資源需求,讓提示使用者輸入認證的次數降至最低。
下表列出 PEAP-MS-CHAP v2 的強度,並將它與 MS-CHAP v2 做比較。
| 特色/功能 | MS-CHAP v2 | PEAP-MS-CHAP v2 |
|---|---|---|
|
使用密碼提供用戶端驗證。 |
是 |
是 |
|
確定伺服器有權存取認證。 |
是 |
是 |
|
驗證伺服器。 |
是 |
是 |
|
避免無線存取點詐騙。 |
否 |
是 |
|
避免未授權的伺服器協商最不安全的驗證方法。 |
否 |
是 |
|
使用以公開金鑰產生的 TLS 金鑰。 |
否 |
是 |
|
提供端對端加密。 |
否 |
是 |
|
避免字典或暴力密碼破解攻擊。 |
否 |
是 |
|
避免再次攻擊。 |
否 |
是 |
|
允許鏈結驗證方法。 |
否 |
是 |
|
需要伺服器提供憑證的用戶端信任。 |
否 |
是 |
PEAP 驗證程序
PEAP 用戶端與驗證者之間的 PEAP 驗證程序分為兩個階段。第一個階段會在 PEAP 用戶端與驗證伺服器之間建立安全的通道。第二個階段提供 PEAP 用戶端與驗證者之間的 EAP 驗證。
TLS 加密通道
在 PEAP 驗證的第一個階段中,會在 PEAP 用戶端與 NPS 伺服器之間建立 TLS 通道。下列步驟說明如何為無線 PEAP 用戶端建立此 TLS 通道。
-
PEAP 用戶端與無線存取點關聯,此無線存取點設定為執行 NPS 的伺服器的 RADIUS 用戶端。以 IEEE 802.11 為基礎的關聯可在 PEAP 用戶端與存取點之間建立安全關聯之前,提供開放系統或共用金鑰驗證。
-
當用戶端與存取點之間成功建立以 IEEE 802.11 為基礎的關聯之後,TLS 工作階段會與存取點協商。
-
在無線 PEAP 用戶端與 NPS 伺服器之間成功完成電腦層級的驗證之後,TLS 工作階段會在兩者之間進行協商。此協商期間衍生的金鑰會用來加密所有後續的通訊,包括可讓使用者連線到組織網路的網路存取驗證。
EAP 驗證的通訊
完整的 EAP 通訊 (包括 EAP 協商) 透過 TLS 通道進行,這是 PEAP 驗證的第二個階段。下列步驟延伸之前的範例,說明無線用戶端如何以使用 PEAP 的 NPS 伺服器完成驗證。
在 NPS 伺服器與 PEAP 用戶端之間建立 TLS 通道之後,用戶端會透過加密通道傳送認證 (使用者名稱及密碼或使用者或電腦憑證) 到 NPS 伺服器。
存取點只在無線用戶端與 RADIUS 伺服器之間轉送訊息;存取點 (或其監視者) 無法解密這些訊息,因為它並非 TLS 端點。
NPS 伺服器以搭配 PEAP 使用所選擇的驗證類型驗證使用者與用戶端電腦。此驗證類型可以是 EAP-TLS (智慧卡或其他憑證) 或 EAP-MS-CHAP v2 (安全密碼)。
 | 附註 |
|
您可以設定 PEAP 做為 NPS 網路原則中的驗證方法。 |
EAP 類型
您可以在兩個 EAP 類型 (也稱為「驗證類型」) 之間選擇,以搭配 PEAP 使用:EAP-MS-CHAP v2 或 EAP-TLS。EAP-MS-CHAP v2 使用密碼認證 (使用者名稱及密碼) 執行使用者驗證,而使用伺服器電腦憑證存放區中的憑證執行伺服器驗證。EAP-TLS 使用用戶端電腦憑證存放區中安裝的憑證或智慧卡執行使用者與用戶端電腦驗證,而使用伺服器電腦憑證存放區中的憑證執行伺服器驗證。
使用 EAP-MS-CHAP v2 的 PEAP
使用 EAP-MS-CHAP v2 的 PEAP (PEAP-MS-CHAP v2) 比 EAP-TLS 容易部署,因為它是使用密碼認證 (使用者名稱及密碼) 完成使用者驗證,而不是使用憑證或智慧卡。只有 NPS 伺服器或其他 RADIUS 伺服器才需要擁有憑證。NPS 伺服器在驗證程序期間使用 NPS 伺服器憑證,對 PEAP 用戶端證明其識別身分。
成功的 PEAP-MS-CHAP v2 驗證需要用戶端在檢查伺服器憑證之後信任 NPS 伺服器。如果要用戶端信任 NPS 伺服器,發出伺服器憑證的憑證授權單位 (CA) 必須在用戶端電腦的「受信任的根憑證授權單位」憑證存放區中擁有自己的不同憑證。
NPS 使用的伺服器憑證可由組織信任的根 CA 簽發,或由用戶端電腦已經信任的公用 CA (例如 VeriSign 或 Thawte) 簽發。
| 附註 |
|
藉由以 TLS 產生金鑰並使用相互驗證避免未授權的伺服器與 PEAP 用戶端協商最不安全的驗證方法,PEAP-MS-CHAP v2 的安全性相較於 MS-CHAP v2 大為改善。 |
使用 EAP-TLS 的 PEAP
使用 Active Directory 憑證服務 (AD CS) 部署公開金鑰基礎結構 (PKI) 時,可以用 EAP-TLS (PEAP-TLS) 搭配 PEAP 使用。相較於使用密碼認證,憑證提供更強的驗證方法。PEAP -TLS 使用憑證執行伺服器驗證;而使用智慧卡 (含有內嵌的憑證) 或在用戶端電腦註冊的憑證 (存放在憑證存放區中的本機電腦上),執行使用者及用戶端電腦驗證。若要使用 PEAP-TLS,您必須部署 PKI。
PEAP 快速重新連線
PEAP 快速重新連線可讓無線用戶端在相同網路上的無線存取點之間移動,不需要在每次與新存取點關聯時重新驗證。
無線存取點設定為 RADIUS 伺服器的 RADIUS 用戶端。如果無線用戶端在設定為相同 RADIUS 伺服器用戶端的存取點之間漫遊,不需要在每個新關聯驗證用戶端。當用戶端移至設定為不同 RADIUS 伺服器的 RADIUS 用戶端的存取點時,雖然會重新驗證用戶端,但此程序比較有效率而快速。
PEAP 快速重新連線可減少用戶端與驗證者之間驗證的回應時間,因為驗證要求會從新存取點轉送到原先執行用戶端連線要求驗證和授權的 NPS 伺服器。因為 PEAP 用戶端與 NPS 伺服器都使用先前快取的 TLS 連線內容 (此集合稱為「TLS 控制碼」),所以 NPS 伺服器可以快速判定用戶端連線為重新連線。
用戶端可以快取多重 PEAP 驗證者的 TLS 控制碼。如果無法使用原始的 NPS 伺服器,用戶端與新驗證者之間必須執行完整驗證。新 PEAP 驗證者的 TLS 控制碼由用戶端快取。對於智慧卡或 PEAP-MS-CHAP v2 驗證,會分別要求使用者提供 PIN 或認證。
PEAP-MS-CHAP v2 驗證:
| 當新存取點是相同 RADIUS 伺服器的用戶端時 | 當新存取點是新 RADIUS 伺服器的用戶端時 |
|---|---|
|
不會在每次用戶端電腦關聯新存取點時都提示輸入認證。 |
在初始關聯時提示使用者輸入認證。下次用戶端電腦關聯屬於此伺服器用戶端的存取點時,就不需要使用者認證。 |
|
RADIUS 伺服器不需要提供憑證。 |
RADIUS 伺服器在此初始關聯提供憑證,讓無線用戶端可驗證 RADIUS 伺服器。下次用戶端電腦關聯屬於此伺服器之用戶端的存取點時,就不需要重新驗證伺服器。 |
PEAP-TLS 驗證:
| 當新存取點是相同 RADIUS 伺服器的用戶端時 | 當新存取點是新 RADIUS 伺服器的用戶端時 |
|---|---|
|
用戶端與伺服器不需要交換憑證。 |
用戶端與伺服器在初始關聯時交換憑證。下次用戶端電腦關聯屬於此伺服器之用戶端的存取點時,就不需要交換憑證。 |
|
不會在每次用戶端電腦關聯新存取點時都提示使用者輸入智慧卡個人識別碼 (PIN)。 |
在初始關聯時提示使用者輸入智慧卡 PIN。下次用戶端電腦關聯屬於此伺服器之用戶端的存取點時,就不會提示使用者輸入 PIN。 |
啟用 PEAP 快速重新連線:
-
PEAP 用戶端 (802.11 無線用戶端) 與 PEAP 驗證者 (RADIUS 伺服器) 都必須啟用快速重新連線。
-
PEAP 用戶端漫遊的所有存取點都必須設定為 RADIUS 伺服器 (PEAP 驗證者) 的 RADIUS 用戶端,而該伺服器中的 PEAP 設定為無線連線的驗證方法。
-
PEAP 用戶端關聯的所有存取點都必須設定為偏好相同的 RADIUS 伺服器 (PEAP 驗證者),以避免每個 RADIUS 伺服器都提示輸入認證。如果無法將存取點設定至偏好的 RADIUS 伺服器,您可以用偏好的 RADIUS 伺服器設定 NPS RADIUS Proxy。
其他資訊
-
PEAP 不支援來賓驗證。
-
當您同時部署 PEAP 與未受 PEAP 保護的 EAP 時,請不要使用包含與不包含 PEAP 的相同 EAP 驗證類型。例如,如果部署 PEAP-TLS,請不要同時部署不含 PEAP 的 EAP-TLS。使用相同類型部署驗證方法會產生安全性弱點。