Protected Extensible Authentication Protocol

kesä 1, 2021
admin

PEAP on rakenteeltaan samanlainen kuin EAP-TTLS, sillä se vaatii vain palvelinpuolen PKI-varmenteen turvallisen TLS-tunnelin luomiseen käyttäjän todennuksen suojaamiseksi, ja se käyttää palvelinpuolen julkisen avaimen varmenteita palvelimen todennukseen. Sen jälkeen se luo salatun TLS-tunnelin asiakkaan ja todentamispalvelimen välille. Useimmissa kokoonpanoissa tämän salauksen avaimet siirretään käyttämällä palvelimen julkista avainta. Tämän jälkeen tunnelin sisällä tapahtuva todennustietojen vaihto asiakkaan todentamiseksi salataan, ja käyttäjän tunnistetiedot ovat turvassa salakuuntelulta.

Toukokuussa 2005 oli kaksi PEAP-alatyyppiä sertifioitu päivitettyä WPA- ja WPA2-standardia varten. Ne ovat:

  • PEAPv0/EAP-MSCHAPv2
  • PEAPv1/EAP-GTC

PEAPv0 ja PEAPv1 viittaavat molemmat ulkoiseen todennusmenetelmään ja ovat mekanismeja, jotka luovat suojatun TLS-tunnelin myöhempien todennustapahtumien suojaamiseksi. EAP-MSCHAPv2 ja EAP-GTC viittaavat sisäisiin todennusmenetelmiin, jotka tarjoavat käyttäjän tai laitteen todennuksen. Kolmas PEAP:n kanssa yleisesti käytetty todennusmenetelmä on EAP-SIM.

Ciscon tuotteissa PEAPv0 tukee sisäisiä EAP-menetelmiä EAP-MSCHAPv2 ja EAP-SIM, kun taas PEAPv1 tukee sisäisiä EAP-menetelmiä EAP-GTC ja EAP-SIM. Koska Microsoft tukee vain PEAPv0:ta eikä PEAPv1:tä, Microsoft kutsuu sitä yksinkertaisesti PEAP:ksi ilman v0- tai v1-tunnusta. Toinen ero Microsoftin ja Ciscon välillä on se, että Microsoft tukee vain EAP-MSCHAPv2-menetelmää eikä EAP-SIM-menetelmää.

Mikäli Microsoft tukee toista PEAPv0-muotoa (jota Microsoft kutsuu PEAP-EAP-TLS:ksi), jota monet Ciscon ja muiden kolmansien osapuolten palvelin- ja asiakasohjelmistot eivät tue. PEAP-EAP-TLS edellyttää, että asiakas asentaa asiakaspuolelle digitaalisen varmenteen tai turvallisemman älykortin. PEAP-EAP-TLS on toiminnaltaan hyvin samankaltainen kuin alkuperäinen EAP-TLS, mutta tarjoaa hieman paremman suojan, koska EAP-TLS:ssä salaamattomat asiakkaan varmenteen osat salataan PEAP-EAP-TLS:ssä. Loppujen lopuksi PEAPv0/EAP-MSCHAPv2 on ylivoimaisesti yleisin PEAP-toteutus, koska PEAPv0 on integroitu Microsoft Windows -tuotteisiin. Ciscon CSSC-asiakasohjelma tukee nyt PEAP-EAP-TLS:ää.

PEAP on menestynyt markkinoilla niin hyvin, että jopa Funk Software (jonka Juniper Networks osti vuonna 2005), EAP-TTLS:n keksijä ja tukija, lisäsi PEAP:n tuen langattomien verkkojen palvelin- ja asiakasohjelmistoihinsa.

Vastaa

Sähköpostiosoitettasi ei julkaista.