Protected Extensible Authentication Protocol

jun 1, 2021
admin

PEAP er udformet på samme måde som EAP-TTLS og kræver kun et PKI-certifikat på serversiden for at oprette en sikker TLS-tunnel til beskyttelse af brugergodkendelse og bruger offentlige nøglecertifikater på serversiden til at godkende serveren. Derefter oprettes der en krypteret TLS-tunnel mellem klienten og godkendelsesserveren. I de fleste konfigurationer transporteres nøglerne til denne kryptering ved hjælp af serverens offentlige nøgle. Den efterfølgende udveksling af autentifikationsoplysninger inden for tunnelen for at autentificere klienten er derefter krypteret, og brugeroplysningerne er beskyttet mod aflytning.

I maj 2005 var der to PEAP-undertyper certificeret for den opdaterede WPA- og WPA2-standard. De er:

  • PEAPv0/EAP-MSCHAPv2
  • PEAPv1/EAP-GTC

PEAPv0 og PEAPv1 henviser begge til den ydre autentifikationsmetode og er de mekanismer, der skaber den sikre TLS-tunnel til beskyttelse af efterfølgende autentifikationstransaktioner. EAP-MSCHAPv2 og EAP-GTC henviser til de indre autentifikationsmetoder, som giver bruger- eller enhedsgodkendelse. En tredje godkendelsesmetode, der almindeligvis anvendes sammen med PEAP, er EAP-SIM.

I Cisco-produkter understøtter PEAPv0 de indre EAP-metoder EAP-MSCHAPv2 og EAP-SIM, mens PEAPv1 understøtter de indre EAP-metoder EAP-GTC og EAP-SIM. Da Microsoft kun understøtter PEAPv0 og ikke understøtter PEAPv1, kalder Microsoft det blot “PEAP” uden v0- eller v1-betegnelsen. En anden forskel mellem Microsoft og Cisco er, at Microsoft kun understøtter EAP-MSCHAPv2-metoden og ikke EAP-SIM-metoden.

Midlertid understøtter Microsoft en anden form for PEAPv0 (som Microsoft kalder PEAP-EAP-TLS), som mange Cisco- og andre tredjepartsservere og -klientsoftware ikke understøtter. PEAP-EAP-TLS kræver installation på klienten af et digitalt certifikat på klientsiden eller et mere sikkert smartcard. PEAP-EAP-TLS fungerer på samme måde som det oprindelige EAP-TLS, men giver lidt mere beskyttelse, fordi de dele af klientcertifikatet, der ikke er krypteret i EAP-TLS, er krypteret i PEAP-EAP-TLS. I sidste ende er PEAPv0/EAP-MSCHAPv2 langt den mest udbredte implementering af PEAP som følge af integrationen af PEAPv0 i Microsoft Windows-produkter. Ciscos CSSC-klient understøtter nu PEAP-EAP-TLS.

PEAP har været så vellykket på markedet, at selv Funk Software (opkøbt af Juniper Networks i 2005), opfinderen og bagmanden af EAP-TTLS, har tilføjet understøttelse af PEAP i deres server- og klientsoftware til trådløse netværk.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.