Защищенный расширяемый протокол аутентификации

PEAP также является аббревиатурой от Personal Egress Air Packs .

Защищенный расширяемый протокол аутентификации , также известный как Protected EAP или просто PEAP , представляет собой протокол, который инкапсулирует расширяемый протокол аутентификации (EAP) в зашифрованный и аутентифицированный Transport Layer Security (TLS) туннель . ^[1]^[2]^[3]^[4] Целью было исправить недостатки EAP; EAP предполагал защищенный канал связи, например, обеспечиваемый физической безопасностью, поэтому средства защиты разговора EAP не предоставлялись. ^[5]

PEAP был совместно разработан компаниями Cisco Systems , Microsoft и RSA Security . PEAPv0 был версией, включенной в Microsoft Windows XP , и номинально был определен в Draft-kamath-pppext-peapv0-00 . PEAPv1 и PEAPv2 были определены в разных версиях Draft-josefsson-pppext-eap-tls-eap . PEAPv1 был определен в Draft-josefsson-pppext-eap-tls-eap-00 через Draft-josefsson-pppext-eap-tls-eap-05 , ^[6] и PEAPv2 был определен в версиях, начинающихся с Draft-josefsson-pppext-eap-tls-eap-06 . ^[7]

Протокол определяет только объединение нескольких механизмов EAP, а не какой-либо конкретный метод. ^[3]^[8] Однако EAP-MSCHAPv2 и EAP-GTC . наиболее часто поддерживаются методы ^{[ нужна ссылка ]}

Обзор

PEAP по своей конструкции аналогичен EAP-TTLS : для создания безопасного туннеля TLS для защиты аутентификации пользователя требуется только сертификат PKI на стороне сервера, а на стороне сервера используются сертификаты открытого ключа для аутентификации сервера . Затем он создает зашифрованный TLS туннель между клиентом и сервером аутентификации. В большинстве конфигураций ключи для этого шифрования передаются с использованием открытого ключа сервера. Последующий обмен аутентификационной информацией внутри туннеля для аутентификации клиента затем шифруется, и учетные данные пользователя защищены от подслушивания.

По состоянию на май 2005 года существовало два подтипа PEAP, сертифицированных для обновленных стандартов WPA и WPA2 . Они есть:

PEAPv0/EAP-MSCHAPv2
PEAPv1/EAP-GTC

PEAPv0 и PEAPv1 относятся к внешнему методу аутентификации и представляют собой механизмы, создающие безопасный туннель TLS для защиты последующих транзакций аутентификации. EAP-MSCHAPv2 и EAP-GTC относятся к методам внутренней аутентификации, которые обеспечивают аутентификацию пользователя или устройства. Третий метод аутентификации, обычно используемый с PEAP, — это EAP-SIM .

В продуктах Cisco PEAPv0 поддерживает внутренние методы EAP EAP-MSCHAPv2 и EAP-SIM, а PEAPv1 поддерживает внутренние методы EAP EAP-GTC и EAP-SIM. Поскольку Microsoft поддерживает только PEAPv0 и не поддерживает PEAPv1, Microsoft просто называет его «PEAP» без обозначения v0 или v1. Еще одно различие между Microsoft и Cisco заключается в том, что Microsoft поддерживает только метод EAP-MSCHAPv2, а не метод EAP-SIM.

Однако Microsoft поддерживает другую форму PEAPv0 (которую Microsoft называет PEAP-EAP-TLS), которую многие серверные и клиентские программы Cisco и других сторонних производителей не поддерживают. PEAP-EAP-TLS требует установки клиентом на стороне клиента цифрового сертификата или более безопасной смарт-карты. PEAP-EAP-TLS по работе очень похож на исходный EAP-TLS, но обеспечивает немного большую защиту, поскольку части сертификата клиента, незашифрованные в EAP-TLS, зашифрованы в PEAP-EAP-TLS. В конечном счете, PEAPv0/EAP-MSCHAPv2 на сегодняшний день является наиболее распространенной реализацией PEAP благодаря интеграции PEAPv0 в продукты Microsoft Windows . Клиент Cisco CSSC (производство прекращено в 2008 г.) ^[9]) теперь поддерживает PEAP-EAP-TLS.

PEAP оказался настолько успешным на рынке, что даже Funk Software (приобретенная Juniper Networks в 2005 году), изобретатель и сторонник EAP-TTLS , добавила поддержку PEAP в свое серверное и клиентское программное обеспечение для беспроводных сетей.

PEAPv0 с EAP-MSCHAPv2

MS-CHAPv2 — это старый протокол аутентификации, который Microsoft представила в NT4.0 SP4 и Windows 98.

PEAPv0/EAP-MSCHAPv2 — это наиболее распространенная форма PEAP, которую обычно называют PEAP. Внутренним протоколом аутентификации является Microsoft от протокол аутентификации Challenge Handshake , что означает, что он позволяет осуществлять аутентификацию в базах данных, поддерживающих формат MS-CHAPv2, включая Microsoft NT и Microsoft Active Directory.

После EAP-TLS PEAPv0/EAP-MSCHAPv2 является вторым наиболее широко поддерживаемым стандартом EAP в мире. Существуют клиентские и серверные реализации от различных поставщиков, включая поддержку во всех последних выпусках от Microsoft , Apple Computer и Cisco . Существуют и другие реализации, такие как xsupplicant из проекта Open1x.org и wpa_supplicant .

Как и в случае с другими типами 802.1X и EAP, динамическое шифрование с PEAP можно использовать .

Сертификат CA должен использоваться на каждом клиенте для аутентификации сервера каждому клиенту, прежде чем клиент отправит учетные данные аутентификации. Если сертификат CA не проверен, как правило, легко внедрить поддельную точку беспроводного доступа, которая затем позволяет собирать рукопожатия MS-CHAPv2 . ^[10]

В MS-CHAPv2 было обнаружено несколько слабых мест, некоторые из которых значительно снижают сложность атак методом перебора, делая их возможными на современном оборудовании. ^[11]

PEAPv1 с EAP-GTC

PEAPv1/ EAP-GTC был создан Cisco для обеспечения совместимости с существующими системами аутентификации на основе карт токенов и каталогов через защищенный канал. Несмотря на то, что Microsoft была соавтором стандарта PEAP, Microsoft никогда не добавляла поддержку PEAPv1 в целом, что означает, что PEAPv1/EAP-GTC не имеет встроенной поддержки ОС Windows . Поскольку Cisco обычно рекомендует облегченные протоколы EAP, такие как протоколы LEAP и EAP-FAST , вместо PEAP, последний не получил такого широкого распространения, как некоторые надеялись.

Поскольку Microsoft не заинтересована в поддержке PEAPv1 и не продвигает ее со стороны Cisco, аутентификация PEAPv1 используется редко. ^{[ когда? ]} Даже в Windows 7 , выпущенной в конце 2009 года, Microsoft не добавила поддержку какой-либо другой системы аутентификации, кроме MSCHAPv2.

Мобильные телефоны Nokia E66 и более поздних версий поставляются с версией Symbian , которая включает поддержку EAP-GTC.

LDAP (облегченный протокол доступа к каталогам) поддерживает только EAP-GTC. ^{[ нужна ссылка ]}

Ссылки

^ «Понимание обновленных стандартов WPA и WPA2» . ЗДНет . 02.06.2005 . Проверено 17 июля 2012 г.
^ PEAP от Microsoft, версия 0, черновик-kamath-pppext-peapv0-00 , §1.1
^ Перейти обратно: ^а ^б Защищенный протокол EAP (PEAP), версия 2, черновик-josefsson-pppext-eap-tls-eap-10 , аннотация
^ Защищенный протокол EAP (PEAP), версия 2, черновик-josefsson-pppext-eap-tls-eap-10 , §1
^ Защищенный протокол EAP (PEAP), версия 2, черновик-josefsson-pppext-eap-tls-eap-07 , §1
^ Защищенный протокол EAP (PEAP), Draft-josefsson-pppext-eap-tls-eap-05 , §2.3
^ Защищенный протокол EAP (PEAP), Draft-josefsson-pppext-eap-tls-eap-06 , §2.3
^ Защищенный протокол EAP (PEAP), версия 2, черновик-josefsson-pppext-eap-tls-eap-10 , §2
^ «Объявление об окончании продажи и срока службы клиента Cisco Secure Services версии 4.0» . Циско . Проверено 4 мая 2021 г.
^ «Человек посередине в туннельных протоколах аутентификации» (PDF) . Исследовательский центр Нокиа . Проверено 14 ноября 2013 г.
^ «Разделяй и властвуй: взлом MS-CHAPv2 со 100% вероятностью успеха» . 16 марта 2016 г. Архивировано из оригинала 16 марта 2016 г. Проверено 19 октября 2022 г.

Внешние ссылки

Камат, Вивек; Палекар, Ашвин; Водрич, Марк (25 октября 2002 г.). PEAP версии 0 от Microsoft (реализация в Windows XP SP1) . IETF . Идентификатор черновика-kamath-pppext-peapv0-00.
Draft-josefsson-pppext-eap-tls-eap — спецификации протокола EAP-TLS.

[1] «Понимание обновленных стандартов WPA и WPA2» . ЗДНет . 02.06.2005 . Проверено 17 июля 2012 г.

[2] PEAP от Microsoft, версия 0, черновик-kamath-pppext-peapv0-00 , §1.1

[peapv2-10_abstract-3] Перейти обратно: ^а ^б Защищенный протокол EAP (PEAP), версия 2, черновик-josefsson-pppext-eap-tls-eap-10 , аннотация

[4] Защищенный протокол EAP (PEAP), версия 2, черновик-josefsson-pppext-eap-tls-eap-10 , §1

[5] Защищенный протокол EAP (PEAP), версия 2, черновик-josefsson-pppext-eap-tls-eap-07 , §1

[6] Защищенный протокол EAP (PEAP), Draft-josefsson-pppext-eap-tls-eap-05 , §2.3

[7] Защищенный протокол EAP (PEAP), Draft-josefsson-pppext-eap-tls-eap-06 , §2.3

[8] Защищенный протокол EAP (PEAP), версия 2, черновик-josefsson-pppext-eap-tls-eap-10 , §2

[9] «Объявление об окончании продажи и срока службы клиента Cisco Secure Services версии 4.0» . Циско . Проверено 4 мая 2021 г.

[Man-in-the-Middle_in_Tunneled_Authentication_Protocols-10] «Человек посередине в туннельных протоколах аутентификации» (PDF) . Исследовательский центр Нокиа . Проверено 14 ноября 2013 г.

[11] «Разделяй и властвуй: взлом MS-CHAPv2 со 100% вероятностью успеха» . 16 марта 2016 г. Архивировано из оригинала 16 марта 2016 г. Проверено 19 октября 2022 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

v т и Аутентификация
Аутентификация API	Аутентификация BSD (BSD Auth) Электронная аутентификация (eAuth) Общий API служб безопасности (GSSAPI) Служба аутентификации и авторизации Java (JAAS) Подключаемые модули аутентификации (PAM) Простой уровень аутентификации и безопасности (SASL) Интерфейс поставщика поддержки безопасности (SSPI) API универсальной базы данных XCert (XUDA)
Аутентификация протоколы	АКФ2 Соглашение об аутентификации и ключах (AKA) Аутентификация на основе CAVE Протокол аутентификации с вызовом и рукопожатием (CHAP) MS-CHAP Центральная служба аутентификации (CAS) CRAM-MD5 Диаметр Расширяемый протокол аутентификации (EAP) Протокол идентификации хоста (HIP) ИндиАут Керберос Менеджер локальной сети NT-менеджер локальной сети (NTLM) OAuth OpenID OpenID Connect (OIDC) соглашения о ключах с аутентификацией паролем Протоколы Протокол аутентификации пароля (PAP) Защищенный расширяемый протокол аутентификации (PEAP) Служба удаленного доступа с коммутируемым доступом (RADIUS) Средство контроля доступа к ресурсам (RACF) Протокол безопасного удаленного пароля (SRP) ТАКАКС Ву-Лам
Категория Коммонс