Защищенный расширяемый протокол аутентификации

Протокол, инкапсулирующий протокол расширяемой аутентификации

PEAP также является аббревиатурой от Personal Egress Air Packs (персональные аварийные воздушные пакеты) .

Защищенный расширяемый протокол аутентификации , также известный как защищенный EAP или просто PEAP , представляет собой протокол, который инкапсулирует расширяемый протокол аутентификации (EAP) в зашифрованный и аутентифицированный туннель Transport Layer Security (TLS) . ^{[1] [2] [3] [4]} Целью было исправление недостатков EAP; EAP предполагал защищенный канал связи, такой как тот, который обеспечивается физической безопасностью, поэтому средства для защиты разговора EAP не были предусмотрены. ^[5]

PEAP был совместно разработан Cisco Systems , Microsoft и RSA Security . PEAPv0 была версией, включенной в Microsoft Windows XP , и была номинально определена в draft-kamath-pppext-peapv0-00. PEAPv1 и PEAPv2 были определены в различных версиях draft-josefsson-pppext-eap-tls-eap . PEAPv1 был определен в draft-josefsson-pppext-eap-tls-eap-00 через draft-josefsson-pppext-eap-tls-eap-05, ^[6] а PEAPv2 был определен в версиях, начинающихся с draft-josefsson-pppext-eap-tls-eap-06. ^[7]

Протокол определяет только цепочку нескольких механизмов EAP, а не какой-либо конкретный метод. ^{[3] [8]} Однако чаще всего поддерживаются методы EAP-MSCHAPv2 и EAP-GTC . ^{[ необходима ссылка ]}

Обзор

PEAP похож по конструкции на EAP-TTLS , требуя только серверный сертификат PKI для создания защищенного туннеля TLS для защиты аутентификации пользователя и используя серверные сертификаты открытого ключа для аутентификации сервера. Затем он создает зашифрованный туннель TLS между клиентом и сервером аутентификации. В большинстве конфигураций ключи для этого шифрования передаются с использованием открытого ключа сервера. Последующий обмен информацией аутентификации внутри туннеля для аутентификации клиента затем шифруется, и учетные данные пользователя защищены от перехвата.

По состоянию на май 2005 года было два подтипа PEAP, сертифицированных для обновленных стандартов WPA и WPA2 . Это:

• PEAPv0/EAP-MSCHAPv2
• PEAPv1/EAP-GTC

PEAPv0 и PEAPv1 оба относятся к внешнему методу аутентификации и являются механизмами, которые создают безопасный туннель TLS для защиты последующих транзакций аутентификации. EAP-MSCHAPv2 и EAP-GTC относятся к внутренним методам аутентификации, которые обеспечивают аутентификацию пользователя или устройства. Третий метод аутентификации, обычно используемый с PEAP, — это EAP-SIM .

В продуктах Cisco PEAPv0 поддерживает внутренние методы EAP EAP-MSCHAPv2 и EAP-SIM, тогда как PEAPv1 поддерживает внутренние методы EAP EAP-GTC и EAP-SIM. Поскольку Microsoft поддерживает только PEAPv0 и не поддерживает PEAPv1, Microsoft просто называет его "PEAP" без обозначения v0 или v1. Другое различие между Microsoft и Cisco заключается в том, что Microsoft поддерживает только метод EAP-MSCHAPv2, а не метод EAP-SIM.

Однако Microsoft поддерживает другую форму PEAPv0 (которую Microsoft называет PEAP-EAP-TLS), которую многие серверы и клиентское программное обеспечение Cisco и других сторонних производителей не поддерживают. PEAP-EAP-TLS требует установки клиентом клиентского цифрового сертификата или более защищенной смарт-карты. PEAP-EAP-TLS очень похож по работе на оригинальный EAP-TLS, но обеспечивает немного большую защиту, поскольку части клиентского сертификата, которые не зашифрованы в EAP-TLS, зашифрованы в PEAP-EAP-TLS. В конечном счете, PEAPv0/EAP-MSCHAPv2 является наиболее распространенной реализацией PEAP из-за интеграции PEAPv0 в продукты Microsoft Windows . Клиент CSSC от Cisco (выпуск которого прекращен в 2008 году ^[9] ) теперь поддерживает PEAP-EAP-TLS.

PEAP оказался настолько успешным на рынке, что даже компания Funk Software (приобретенная Juniper Networks в 2005 году), изобретатель и сторонник EAP-TTLS , добавила поддержку PEAP в свое серверное и клиентское программное обеспечение для беспроводных сетей.

PEAPv0 с EAP-MSCHAPv2

MS-CHAPv2 — старый протокол аутентификации, который Microsoft представила в NT4.0 SP4 и Windows 98.

PEAPv0/EAP-MSCHAPv2 — наиболее распространенная форма PEAP, которая обычно называется PEAP. Внутренний протокол аутентификации — это Microsoft Challenge Handshake Authentication Protocol , что означает, что он позволяет выполнять аутентификацию в базах данных, поддерживающих формат MS-CHAPv2, включая Microsoft NT и Microsoft Active Directory.

После EAP-TLS , PEAPv0/EAP-MSCHAPv2 является вторым по распространенности стандартом EAP в мире. Существуют клиентские и серверные реализации этого стандарта от различных поставщиков, включая поддержку во всех последних выпусках от Microsoft , Apple Computer и Cisco . Существуют и другие реализации, такие как xsupplicant из проекта Open1x.org и wpa_supplicant .

Как и в случае с другими типами 802.1X и EAP, с PEAP можно использовать динамическое шифрование .

Сертификат CA должен использоваться на каждом клиенте для аутентификации сервера для каждого клиента, прежде чем клиент отправит учетные данные аутентификации. Если сертификат CA не проверен, в общем случае тривиально ввести поддельную беспроводную точку доступа, которая затем позволяет собирать рукопожатия MS-CHAPv2 . ^[10]

В MS-CHAPv2 было обнаружено несколько уязвимостей, некоторые из которых значительно снижают сложность атак методом подбора, делая их осуществимыми с использованием современного оборудования. ^[11]

PEAPv1 с EAP-GTC

PEAPv1/ EAP-GTC был создан Cisco для обеспечения взаимодействия с существующими системами аутентификации на основе карт токенов и каталогов через защищенный канал. Несмотря на то, что Microsoft была соавтором стандарта PEAP, Microsoft никогда не добавляла поддержку PEAPv1 в целом, что означает, что PEAPv1/EAP-GTC не имеет собственной поддержки ОС Windows . Поскольку Cisco обычно рекомендовала легкие протоколы EAP, такие как протоколы LEAP и EAP-FAST вместо PEAP, последний не получил такого широкого распространения, как некоторые надеялись.

Ввиду отсутствия интереса со стороны Microsoft к поддержке PEAPv1 и отсутствия продвижения со стороны Cisco, аутентификация PEAPv1 используется редко. ^{[ когда? ]} Даже в Windows 7 , выпущенной в конце 2009 года, Microsoft не добавила поддержку какой-либо другой системы аутентификации, кроме MSCHAPv2.

Мобильные телефоны Nokia E66 и более поздние версии поставляются с версией Symbian , которая включает поддержку EAP-GTC.

LDAP (легкий протокол доступа к каталогам) поддерживает только EAP-GTC. ^{[ необходима ссылка ]}

Ссылки

1. "Понимание обновленных стандартов WPA и WPA2". ZDNet . 2005-06-02 . Получено 2012-07-17 .
2. PEAP версии 0 от Microsoft, draft-kamath-pppext-peapv0-00, §1.1
3. Защищенный протокол EAP (PEAP) версии 2, draft-josefsson-pppext-eap-tls-eap-10, аннотация
4. Защищенный протокол EAP (PEAP) версии 2, draft-josefsson-pppext-eap-tls-eap-10, §1
5. Защищенный протокол EAP (PEAP) версии 2, draft-josefsson-pppext-eap-tls-eap-07, §1
6. Защищенный протокол EAP (PEAP), draft-josefsson-pppext-eap-tls-eap-05, §2.3
7. Защищенный протокол EAP (PEAP), draft-josefsson-pppext-eap-tls-eap-06, §2.3
8. Защищенный протокол EAP (PEAP) версии 2, draft-josefsson-pppext-eap-tls-eap-10, §2
9. "Объявление о прекращении продаж и прекращении поддержки Cisco Secure Services Client v4.0". Cisco . Получено 2021-05-04 .
10. "Man-in-the-Middle in Tunneled Authentication Protocols" (PDF) . Исследовательский центр Nokia . Получено 14 ноября 2013 г. .
11. "Divide and Conquer: Взлом MS-CHAPv2 со 100% вероятностью успеха". 2016-03-16. Архивировано из оригинала 2016-03-16 . Получено 2022-10-19 .

Внешние ссылки

• Камат, Вивек; Палекар, Эшвин; Водрич, Марк (25 октября 2002 г.). PEAP версии 0 от Microsoft (реализация в Windows XP SP1). IETF . Идентификатор draft-kamath-pppext-peapv0-00.
• draft-josefsson-pppext-eap-tls-eap - Спецификации протокола EAP-TLS