A Protected Extensible Authentication Protocol

jún 1, 2021
admin

PEAP felépítése hasonló az EAP-TTLS-hez, csak egy szerveroldali PKI-tanúsítványt igényel a biztonságos TLS-alagút létrehozásához a felhasználói hitelesítés védelme érdekében, és a szerveroldali nyilvános kulcsú tanúsítványokat használ a szerver hitelesítéséhez. Ezután titkosított TLS-alagutat hoz létre az ügyfél és a hitelesítési kiszolgáló között. A legtöbb konfigurációban a titkosítás kulcsai a kiszolgáló nyilvános kulcsának használatával kerülnek továbbításra. A hitelesítési információknak az alagúton belüli, az ügyfél hitelesítésére szolgáló cseréje ezután titkosított, és a felhasználói hitelesítő adatok biztonságban vannak a lehallgatástól.

2005 májusában két PEAP altípus volt tanúsítva a frissített WPA és WPA2 szabványhoz. Ezek a következők:

  • PEAPv0/EAP-MSCHAPv2
  • PEAPv1/EAP-GTC

A PEAPv0 és a PEAPv1 egyaránt a külső hitelesítési módszerre utal, és ezek a mechanizmusok hozzák létre a biztonságos TLS-alagutat a későbbi hitelesítési tranzakciók védelmére. Az EAP-MSCHAPv2 és az EAP-GTC a belső hitelesítési módszerekre utal, amelyek a felhasználó vagy az eszköz hitelesítését biztosítják. A PEAP-pal gyakran használt harmadik hitelesítési módszer az EAP-SIM.

A Cisco termékein belül a PEAPv0 támogatja az EAP-MSCHAPv2 és az EAP-SIM belső EAP módszereket, míg a PEAPv1 az EAP-GTC és az EAP-SIM belső EAP módszereket. Mivel a Microsoft csak a PEAPv0-t támogatja, és nem támogatja a PEAPv1-et, a Microsoft egyszerűen “PEAP”-nek nevezi a v0 vagy v1 jelölés nélkül. Egy másik különbség a Microsoft és a Cisco között, hogy a Microsoft csak az EAP-MSCHAPv2 módszert támogatja, az EAP-SIM módszert nem.

A Microsoft azonban támogatja a PEAPv0 egy másik formáját (amelyet a Microsoft PEAP-EAP-TLS-nek nevez), amelyet sok Cisco és más harmadik fél szerver- és kliensszoftver nem támogat. A PEAP-EAP-TLS megköveteli egy kliensoldali digitális tanúsítvány vagy egy biztonságosabb intelligens kártya kliensoldali telepítését. A PEAP-EAP-TLS működése nagyon hasonló az eredeti EAP-TLS-hez, de valamivel nagyobb védelmet nyújt, mivel az ügyféltanúsítványnak az EAP-TLS-ben titkosítatlan részei a PEAP-EAP-TLS-ben titkosítva vannak. Végül a PEAPv0/EAP-MSCHAPv2 messze a PEAP legelterjedtebb implementációja, a PEAPv0 Microsoft Windows termékekbe való integrálása miatt. A Cisco CSSC kliense már támogatja a PEAP-EAP-TLS-t.

A PEAP olyan sikeres volt a piacon, hogy még a Funk Software (amelyet 2005-ben felvásárolt a Juniper Networks), az EAP-TTLS feltalálója és támogatója is hozzáadta a PEAP támogatását a vezeték nélküli hálózatokhoz készült kiszolgáló- és kliensszoftveréhez.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.