Protected Extensible Authentication Protocol - Protected Extensible Authentication Protocol

PEAP je také zkratka pro Osobní výstupní balíčky.

The Protected Extensible Authentication Protocol, také známý jako Chráněný EAP nebo jednoduše PEAP, je protokol, který zapouzdřuje Extensible Authentication Protocol (EAP) v rámci šifrovaného a ověřeného Zabezpečení transportní vrstvy (TLS) tunel.^[1]^[2]^[3]^[4] Účelem bylo opravit nedostatky v EAP; EAP předpokládal chráněný komunikační kanál, například kanál poskytovaný fyzickým zabezpečením, takže nebyla poskytnuta zařízení pro ochranu konverzace EAP.^[5]

PEAP byl společně vyvinut Systémy Cisco, Microsoft, a Zabezpečení RSA. PEAPv0 byla verze součástí Microsoft Windows XP a byl nominálně definován v draft-kamath-pppext-peapv0-00. PEAPv1 a PEAPv2 byly definovány v různých verzích draft-josefsson-pppext-eap-tls-eap. PEAPv1 byl definován v draft-josefsson-pppext-eap-tls-eap-00 přes draft-josefsson-pppext-eap-tls-eap-05,^[6] a PEAPv2 byl definován ve verzích začínajících na draft-josefsson-pppext-eap-tls-eap-06.^[7]

Protokol specifikuje pouze zřetězení více mechanismů EAP a nikoli žádnou konkrétní metodu.^[3]^[8] Nicméně použití EAP-MSCHAPv2 a EAP-GTC metody jsou nejčastěji podporovány.^{[Citace je zapotřebí ]}

Přehled

PEAP má podobný design jako EAP-TTLS, vyžadující pouze certifikát PKI na straně serveru k vytvoření zabezpečeného tunelu TLS k ochraně autentizace uživatele, a používá na straně serveru certifikáty veřejného klíče k ověření serveru. To pak vytvoří šifrované TLS tunel mezi klientem a ověřovacím serverem. Ve většině konfigurací jsou klíče pro toto šifrování přenášeny pomocí veřejného klíče serveru. Následná výměna ověřovacích informací uvnitř tunelu k ověření klienta je poté zašifrována a pověření uživatele jsou chráněna před odposlechem.

V květnu 2005 byly pro aktualizaci certifikovány dva podtypy PEAP WPA a WPA2 Standard. Oni jsou:

PEAPv0 / EAP-MSCHAPv2
PEAPv1 / EAP-GTC

PEAPv0 a PEAPv1 odkazují na metodu vnější autentizace a jsou mechanismy, které vytvářejí zabezpečený tunel TLS k ochraně následných transakcí autentizace. EAP-MSCHAPv2 a EAP-GTC odkazují na vnitřní metody ověřování, které poskytují ověření uživatele nebo zařízení. Třetí metoda ověřování běžně používaná s PEAP je EAP-SIM.

V rámci produktů Cisco podporuje PEAPv0 vnitřní metody EAP EAP-MSCHAPv2 a EAP-SIM, zatímco PEAPv1 podporuje vnitřní metody EAP EAP-GTC a EAP-SIM. Protože Microsoft podporuje pouze PEAPv0 a nepodporuje PEAPv1, Microsoft jej jednoduše nazývá „PEAP“ bez označení v0 nebo v1. Další rozdíl mezi společnostmi Microsoft a Cisco spočívá v tom, že společnost Microsoft podporuje pouze metodu EAP-MSCHAPv2, nikoli metodu EAP-SIM.

Microsoft však podporuje jinou formu PEAPv0 (kterou společnost Microsoft nazývá PEAP-EAP-TLS), kterou mnoho serverů Cisco a jiných serverů a klientských softwarů třetích stran nepodporuje. PEAP-EAP-TLS vyžaduje klientskou instalaci a na straně klienta digitální certifikát nebo bezpečnější čipová karta. PEAP-EAP-TLS je velmi podobný provozu jako původní EAP-TLS, ale poskytuje o něco větší ochranu, protože části klientského certifikátu, které nejsou šifrované v EAP-TLS, jsou šifrovány v PEAP-EAP-TLS. Nakonec je PEAPv0 / EAP-MSCHAPv2 zdaleka nejrozšířenější implementací PEAP díky integraci PEAPv0 do Microsoft Windows produkty. Klient Cisco CSSC nyní podporuje PEAP-EAP-TLS.

PEAP byl na trhu tak úspěšný, že dokonce Funk Software (získaný Juniper Networks v roce 2005), vynálezce a podporovatel společnosti EAP-TTLS, přidána podpora protokolu PEAP v jejich serverovém a klientském softwaru pro bezdrátové sítě.

PEAPv0 s EAP-MSCHAPv2

MS-CHAPv2 je starý ověřovací protokol, který společnost Microsoft zavedla s NT4.0 SP4 a Windows 98.

PEAPv0 / EAP-MSCHAPv2 je nejběžnější používaná forma PEAP a obvykle se označuje jako PEAP. Vnitřní ověřovací protokol je Microsoft je Vyzvěte ověřovací protokol handshake, což znamená, že umožňuje ověřování k databázím, které podporují formát MS-CHAPv2, včetně Microsoft NT a Microsoft Active Directory.

Za EAP-TLS „PEAPv0 / EAP-MSCHAPv2 je druhý nejrozšířenější standard EAP na světě. Existují jeho klientské a serverové implementace od různých dodavatelů, včetně podpory ve všech posledních vydáních od Microsoft, Počítač Apple a Cisco. Existují i další implementace, například xsupplicant z projektu Open1x.org a wpa_supplicant.

Stejně jako u jiných typů 802.1X a EAP lze u protokolu PEAP použít dynamické šifrování.

Certifikát CA musí být použit u každého klienta k ověření serveru u každého klienta před tím, než klient odešle přihlašovací údaje pro ověření. Pokud certifikát CA není ověřen, je obecně triviální zavést falešný bezdrátový přístupový bod, který pak umožňuje shromáždění MS-CHAPv2 potřesení rukou.^[9]

V MS-CHAPv2 bylo nalezeno několik slabin, z nichž některé výrazně snižují složitost útoků hrubou silou, což je umožňuje s moderním hardwarem.^{[Citace je zapotřebí ]}

PEAPv1 s EAP-GTC

PEAPv1 /EAP-GTC byl vytvořen společností Cisco, aby poskytoval interoperabilitu se stávajícími autentizačními systémy založenými na tokenových kartách a adresářích prostřednictvím chráněného kanálu. Přestože Microsoft společně vynalezl standard PEAP, Microsoft nikdy nepřidal podporu pro PEAPv1 obecně, což znamená, že PEAPv1 / EAP-GTC nemá nativní Okna Podpora OS. Protože společnost Cisco obvykle doporučuje lehké protokoly EAP, jako je SKOK a EAP-FAST protokoly namísto PEAP, druhý nebyl přijat tak široce, jak někteří doufali.

Bez zájmu společnosti Microsoft o podporu protokolu PEAPv1 a bez propagace od společnosti Cisco se ověřování PEAPv1 používá jen zřídka.^{[když? ]}Dokonce v Windows 7, vydané na konci roku 2009, společnost Microsoft nepřidala podporu pro žádný jiný systém ověřování než MSCHAPv2.

Nokia E66 a novější mobilní telefony dodávány s verzí Symbian což zahrnuje podporu EAP-GTC.

LDAP (Lightweight Directory Access Protocol) podporuje pouze EAP-GTC.^{[Citace je zapotřebí ]}

Reference

^ „Porozumění aktualizovaným standardům WPA a WPA2“. ZDNet. 2005-06-02. Citováno 2012-07-17.
^ Microsoft PEAP verze 0, draft-kamath-pppext-peapv0-00, §1.1
^ ^A ^b Protected EAP Protocol (PEAP) verze 2, draft-josefsson-pppext-eap-tls-eap-10, abstrakt
^ Protected EAP Protocol (PEAP) verze 2, draft-josefsson-pppext-eap-tls-eap-10, §1
^ Protected EAP Protocol (PEAP) verze 2, draft-josefsson-pppext-eap-tls-eap-07, §1
^ Protokol chráněný EAP (PEAP), draft-josefsson-pppext-eap-tls-eap-05, §2.3
^ Protokol chráněný EAP (PEAP), draft-josefsson-pppext-eap-tls-eap-06, §2.3
^ Protected EAP Protocol (PEAP) verze 2, draft-josefsson-pppext-eap-tls-eap-10, §2
^ „Man-in-the-Middle v tunelovaných ověřovacích protokolech“ (PDF). Nokia Research Center. Citováno 14. listopadu 2013.

externí odkazy

Kamath, Vivek; Palekar, Ashwin; Wodrich, Mark (25. října 2002). Microsoft PEAP verze 0 (implementace v systému Windows XP SP1). IETF. I-D draft-kamath-pppext-peapv0-00.
draft-josefsson-pppext-eap-tls-eap - Specifikace protokolu EAP-TLS

[1] „Porozumění aktualizovaným standardům WPA a WPA2“. ZDNet. 2005-06-02. Citováno 2012-07-17.

[2] Microsoft PEAP verze 0, draft-kamath-pppext-peapv0-00, §1.1

[peapv2-10_abstract-3] A ^b Protected EAP Protocol (PEAP) verze 2, draft-josefsson-pppext-eap-tls-eap-10, abstrakt

[4] Protected EAP Protocol (PEAP) verze 2, draft-josefsson-pppext-eap-tls-eap-10, §1

[5] Protected EAP Protocol (PEAP) verze 2, draft-josefsson-pppext-eap-tls-eap-07, §1

[6] Protokol chráněný EAP (PEAP), draft-josefsson-pppext-eap-tls-eap-05, §2.3

[7] Protokol chráněný EAP (PEAP), draft-josefsson-pppext-eap-tls-eap-06, §2.3

[8] Protected EAP Protocol (PEAP) verze 2, draft-josefsson-pppext-eap-tls-eap-10, §2

[Man-in-the-Middle_in_Tunneled_Authentication_Protocols-9] „Man-in-the-Middle v tunelovaných ověřovacích protokolech“ (PDF). Nokia Research Center. Citováno 14. listopadu 2013.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

Ověření
Ověřovací API	Ověření BSD (BSD Auth) eAuthentication Obecné zabezpečení API služby (GSSAPI) Služba Java Authentication and Authorization Service (JAAS) Zásuvné ověřovací moduly (PAM) Jednoduché ověřování a vrstva zabezpečení (SASL) Rozhraní poskytovatele podpory zabezpečení (SSPI) XCert Universal Database API (XUDA)
Ověřovací protokol	ACF2 AKA Ověřování na základě CAVE Protokol autentizace Challenge-Handshake (CHAP) MS-CHAP Centrální ověřovací služba (CAS) CRAM-MD5 Průměr Extensible Authentication Protocol (EAP) Protokol identity hostitele (BOKY) IndieAuth Kerberos LAN Manager NT LAN Manager (NTLM) OAuth OpenID OpenID Connect (OIDC) Dohoda s klíčem ověřeným heslem protokoly Protokol pro ověření hesla (PAP) Protected Extensible Authentication Protocol (PEAP) Dial Access Dial In User Service (POLOMĚR) Zařízení pro řízení přístupu ke zdrojům (RACF) Zabezpečený protokol vzdáleného hesla (SRP) TACACY Woo – Lam
Kategorie Commons