Protokol Protected Extensible Authentication Protocol

Čvn 1, 2021
admin

PEAP má podobný design jako EAP-TTLS, vyžaduje pouze certifikát PKI na straně serveru k vytvoření bezpečného tunelu TLS pro ochranu ověření uživatele a k ověření serveru používá certifikáty veřejného klíče na straně serveru. Poté vytvoří šifrovaný tunel TLS mezi klientem a ověřovacím serverem. Ve většině konfigurací se klíče pro toto šifrování přenášejí pomocí veřejného klíče serveru. Následná výměna ověřovacích informací uvnitř tunelu za účelem ověření klienta je pak šifrována a pověření uživatele jsou v bezpečí před odposlechem.

K květnu 2005 byly pro aktualizovaný standard WPA a WPA2 certifikovány dva podtypy protokolu PEAP. Jsou to:

  • PEAPv0/EAP-MSCHAPv2
  • PEAPv1/EAP-GTC

PEAPv0 i PEAPv1 se týkají vnější metody ověřování a jsou to mechanismy, které vytvářejí zabezpečený tunel TLS pro ochranu následných transakcí ověřování. EAP-MSCHAPv2 a EAP-GTC se vztahují k vnitřním metodám ověřování, které zajišťují ověření uživatele nebo zařízení. Třetí metodou ověřování běžně používanou s protokolem PEAP je EAP-SIM.

V produktech Cisco podporuje protokol PEAPv0 vnitřní metody EAP EAP-MSCHAPv2 a EAP-SIM, zatímco protokol PEAPv1 podporuje vnitřní metody EAP EAP-GTC a EAP-SIM. Protože společnost Microsoft podporuje pouze PEAPv0 a nepodporuje PEAPv1, nazývá jej jednoduše „PEAP“ bez označení v0 nebo v1. Další rozdíl mezi společnostmi Microsoft a Cisco spočívá v tom, že společnost Microsoft podporuje pouze metodu EAP-MSCHAPv2, nikoliv metodu EAP-SIM.

Společnost Microsoft však podporuje jinou formu protokolu PEAPv0 (kterou společnost Microsoft nazývá PEAP-EAP-TLS), kterou mnoho serverů a klientských programů společnosti Cisco a jiných třetích stran nepodporuje. Protokol PEAP-EAP-TLS vyžaduje instalaci digitálního certifikátu na straně klienta nebo bezpečnější čipové karty. Protokol PEAP-EAP-TLS funguje velmi podobně jako původní protokol EAP-TLS, ale poskytuje o něco větší ochranu, protože části klientského certifikátu, které jsou v protokolu EAP-TLS nešifrované, jsou v protokolu PEAP-EAP-TLS šifrovány. Nakonec je PEAPv0/EAP-MSCHAPv2 zdaleka nejrozšířenější implementací protokolu PEAP, a to díky integraci protokolu PEAPv0 do produktů Microsoft Windows. Klient CSSC společnosti Cisco nyní podporuje protokol PEAP-EAP-TLS.

PEAP byl na trhu tak úspěšný, že i společnost Funk Software (kterou v roce 2005 koupila společnost Juniper Networks), vynálezce a podporovatel protokolu EAP-TTLS, přidala podporu protokolu PEAP do svého serverového a klientského softwaru pro bezdrátové sítě.

.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.