Protected Extensible Authentication Protocol

Giu 1, 2021
admin

PEAP è simile nel design a EAP-TTLS, richiedendo solo un certificato PKI lato server per creare un tunnel TLS sicuro per proteggere l’autenticazione dell’utente, e usa certificati a chiave pubblica lato server per autenticare il server. Poi crea un tunnel TLS criptato tra il client e il server di autenticazione. Nella maggior parte delle configurazioni, le chiavi per questa crittografia sono trasportate usando la chiave pubblica del server. Il successivo scambio di informazioni di autenticazione all’interno del tunnel per autenticare il client è quindi criptato e le credenziali dell’utente sono al sicuro dalle intercettazioni.

A partire da maggio 2005, c’erano due sottotipi PEAP certificati per lo standard WPA e WPA2 aggiornato. Essi sono:

  • PEAPv0/EAP-MSCHAPv2
  • PEAPv1/EAP-GTC

PEAPv0 e PEAPv1 si riferiscono entrambi al metodo di autenticazione esterno e sono i meccanismi che creano il tunnel TLS sicuro per proteggere le transazioni di autenticazione successive. EAP-MSCHAPv2 e EAP-GTC si riferiscono ai metodi di autenticazione interni che forniscono l’autenticazione dell’utente o del dispositivo. Un terzo metodo di autenticazione comunemente usato con PEAP è EAP-SIM.

Nei prodotti Cisco, PEAPv0 supporta i metodi interni EAP EAP-MSCHAPv2 e EAP-SIM mentre PEAPv1 supporta i metodi interni EAP EAP-GTC e EAP-SIM. Dato che Microsoft supporta solo PEAPv0 e non supporta PEAPv1, Microsoft lo chiama semplicemente “PEAP” senza la designazione v0 o v1. Un’altra differenza tra Microsoft e Cisco è che Microsoft supporta solo il metodo EAP-MSCHAPv2 e non il metodo EAP-SIM.

Tuttavia, Microsoft supporta un’altra forma di PEAPv0 (che Microsoft chiama PEAP-EAP-TLS) che molti Cisco e altri server e software client di terzi non supportano. PEAP-EAP-TLS richiede l’installazione di un certificato digitale lato client o di una smartcard più sicura. PEAP-EAP-TLS è molto simile nel funzionamento all’originale EAP-TLS, ma fornisce una protezione leggermente maggiore perché le parti del certificato del client che non sono criptate in EAP-TLS sono criptate in PEAP-EAP-TLS. In definitiva, PEAPv0/EAP-MSCHAPv2 è di gran lunga l’implementazione più diffusa di PEAP, a causa dell’integrazione di PEAPv0 nei prodotti Microsoft Windows. Il client CSSC di Cisco ora supporta PEAP-EAP-TLS.

PEAP ha avuto un tale successo sul mercato che persino Funk Software (acquisita da Juniper Networks nel 2005), l’inventore e sostenitore di EAP-TTLS, ha aggiunto il supporto per PEAP nel suo software server e client per reti wireless.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.