Protected Extensible Authentication Protocol

jun 1, 2021
admin

PEAP har samma utformning som EAP-TTLS och kräver endast ett PKI-certifikat på serversidan för att skapa en säker TLS-tunnel för att skydda användarautentiseringen och använder offentliga nyckelcertifikat på serversidan för att autentisera servern. Den skapar sedan en krypterad TLS-tunnel mellan klienten och autentiserings-servern. I de flesta konfigurationer transporteras nycklarna för denna kryptering med hjälp av serverns offentliga nyckel. Det efterföljande utbytet av autentiseringsinformation i tunneln för att autentisera klienten är då krypterat och användarens autentiseringsuppgifter är skyddade från avlyssning.

I maj 2005 fanns det två PEAP-subtyper som var certifierade för den uppdaterade WPA- och WPA2-standarden. De är:

  • PEAPv0/EAP-MSCHAPv2
  • PEAPv1/EAP-GTC

PEAPv0 och PEAPv1 hänvisar båda till den yttre autentiseringsmetoden och är de mekanismer som skapar den säkra TLS-tunneln för att skydda efterföljande autentiseringstransaktioner. EAP-MSCHAPv2 och EAP-GTC hänvisar till de inre autentiseringsmetoderna som ger autentisering av användare eller enheter. En tredje autentiseringsmetod som vanligtvis används med PEAP är EAP-SIM.

I Ciscos produkter har PEAPv0 stöd för de inre EAP-metoderna EAP-MSCHAPv2 och EAP-SIM, medan PEAPv1 har stöd för de inre EAP-metoderna EAP-GTC och EAP-SIM. Eftersom Microsoft endast stöder PEAPv0 och inte PEAPv1 kallar Microsoft det helt enkelt för ”PEAP” utan beteckningen v0 eller v1. En annan skillnad mellan Microsoft och Cisco är att Microsoft endast stöder EAP-MSCHAPv2-metoden och inte EAP-SIM-metoden.

Microsoft stöder dock en annan form av PEAPv0 (som Microsoft kallar PEAP-EAP-TLS) som många Cisco- och andra server- och klientprogram från tredje part inte stöder. PEAP-EAP-TLS kräver att klienten installerar ett digitalt certifikat på klientsidan eller ett säkrare smartkort. PEAP-EAP-TLS fungerar på samma sätt som det ursprungliga EAP-TLS, men ger ett något bättre skydd eftersom delar av klientcertifikatet som är okrypterade i EAP-TLS krypteras i PEAP-EAP-TLS. I slutändan är PEAPv0/EAP-MSCHAPv2 den överlägset vanligaste implementeringen av PEAP, på grund av att PEAPv0 har integrerats i Microsoft Windows-produkter. Ciscos CSSC-klient har nu stöd för PEAP-EAP-TLS.

PEAP har varit så framgångsrikt på marknaden att till och med Funk Software (som köptes upp av Juniper Networks 2005), uppfinnare och uppbackare av EAP-TTLS, lagt till stöd för PEAP i sin server- och klientmjukvara för trådlösa nätverk.

Lämna ett svar

Din e-postadress kommer inte publiceras.