Протокол PEAP является одним из протоколов EAP.
Протокол PEAP с помощью протокола TLS создает шифрованный канал между PEAP-клиентом, проходящим проверку подлинности (например, компьютером с беспроводным доступом) и устройством проверки подлинности PEAP (например, сервером политики сети или RADIUS-сервером).
Протокол PEAP и сервер политики сети
Протокол PEAP не определяет метод проверки подлинности, но обеспечивает дополнительную безопасность для других протоколов проверки подлинности EAP, например EAP-MSCHAPv2, которые могут работать по каналу с TLS-шифрованием, предоставляемому на основе протокола PEAP. Протокол PEAP используется в качестве метода проверки подлинности для клиентов доступа, подключающихся к корпоративной сети через серверы доступа к сети следующих типов:
- Точки беспроводного доступа 802.1X
- Коммутаторы проверки подлинности 802.1X
- Серверы виртуальных частных сетей (VPN) под
управлением Windows Server® 2008 или
Windows Server® 2008 R2 со службами маршрутизации и
удаленного доступа.
- Компьютеры под управлением Windows
Server 2008 со шлюзом служб терминалов или под управлением
Windows Server® 2008 R2 со шлюзом удаленных рабочих
столов.
Возможности протокола PEAP по улучшению протоколов EAP и сетевой безопасности:
- TLS-канал, который обеспечивает защиту
согласования метода EAP, выполняемого между клиентом и сервером.
Этот TLS-канал позволяет предотвратить внедрение пакетов атакующим
между клиентом и сервером сетевого доступа с целью вызвать
согласование менее безопасного типа EAP. Кроме того, применение
шифрованного TLS-канала позволяет предотвратить атаки типа «отказ в
обслуживании» на сервер политики сети.
- Поддержка фрагментации и повторной сборки
сообщений, позволяющая использовать типы EAP, которые не
предоставляют эти возможности.
- Клиенты с возможностью проверки подлинности
сервера политики сети или другого RADIUS-сервера. Поскольку сервер
также выполняет проверку подлинности клиента, происходит взаимная
проверка подлинности.
- Защита от развертывания несанкционированной
точки беспроводного доступа при проверке EAP-клиентом подлинности
сертификата, предоставленного сервером политики сети. Кроме того,
главный секрет TLS, созданный устройством проверки подлинности PEAP
и устройством, проходящим проверку подлинности PEAP, не сообщается
точке доступа. Поэтому в точке доступа нельзя расшифровать
сообщения, защищенные протоколом PEAP.
- Быстрое восстановление подключения PEAP,
которое сокращает временную задержку между клиентским запросом на
проверку подлинности и ответом сервера политики сети или другим
RADIUS-сервером. Быстрое восстановление подключения PEAP также
позволяет беспроводным клиентам перемещаться между точками доступа,
настроенными как RADIUS-клиенты одного RADIUS-сервера, без
повторных запросов на проверку подлинности. Это снижает ресурсные
требования для клиента и сервера, а также сводит к минимуму число
запросов учетных данных у пользователей.
В следующей таблице приведены преимущества протокола PEAP-MS-CHAP v2 и его сравнение с MS-CHAP v2.
Возможность/функция | MS-CHAP v2 | PEAP-MS-CHAP v2 |
---|---|---|
Выполнение проверки подлинности клиентов с использованием паролей. |
Да |
Да |
Гарантированный доступ сервера к учетным данным. |
Да |
Да |
Проверка подлинности сервера. |
Да |
Да |
Предотвращение неавторизованного просмотра в точке беспроводного доступа. |
Нет |
Да |
Предотвращение согласования неавторизованным сервером наименее безопасного метода проверки подлинности. |
Нет |
Да |
Использование TLS-ключей, созданных с использованием открытого ключа. |
Нет |
Да |
Обеспечение шифрования на всех этапах обмена данными. |
Нет |
Да |
Предотвращение атак перебором по словарю или методом прямого подбора пароля. |
Нет |
Да |
Предотвращение атак с помощью повторяющихся сообщений. |
Нет |
Да |
Возможность последовательного применения разных методов проверки подлинности. |
Нет |
Да |
Требование к наличию доверия клиента по отношению к сертификатам, предоставленным сервером. |
Нет |
Да |
Процесс проверки подлинности PEAP
Процесс проверки подлинности PEAP между PEAP-клиентом и устройством проверки подлинности состоит из двух этапов. На первом этапе устанавливается безопасный канал между PEAP-клиентом и сервером проверки подлинности. На втором этапе предоставляется проверка подлинности EAP между PEAP-клиентом и устройством проверки подлинности.
Канал с TLS-шифрованием
На первом этапе проверки подлинности PEAP создается TLS-канал между PEAP-клиентом и сервером политики сети. В следующих действиях показано создание такого TLS-канала для беспроводных PEAP-клиентов.
- PEAP-клиент связывается с точкой беспроводного доступа,
настроенной как RADIUS-клиент сервера, на котором выполняется
сервер политики сети. Связь на основе IEEE 802.11 обеспечивает
проверку подлинности в открытой системе или с использованием общих
ключей перед созданием защищенной связи между PEAP-клиентом и
точкой доступа.
- После успешной установки связи на основе IEEE 802.11 между
клиентом и точкой доступа с этой точкой доступа согласовывается
TLS-сеанс.
- После успешного прохождения проверки подлинности на уровне
компьютера между PEAP-клиентом с беспроводным доступом и сервером
политики сети между ними согласовывается TLS-сеанс. Ключ, созданный
в процессе согласования, используется для шифрования всего
последующего обмена данными, включая проверку подлинности для
доступа к сети, которая позволяет пользователю подключиться к
корпоративной сети.
Обмен данными с проверкой подлинности по протоколу EAP
Все взаимодействие по протоколу EAP, включая согласование EAP, происходит по TLS-каналу и представляет собой второй этап проверки подлинности PEAP. В следующих ниже действиях дополняется предыдущий пример и иллюстрируется выполнение проверки подлинности клиентов беспроводного доступа на сервере политики сети с использованием протокола PEAP.
После создания TLS-канала между сервером политики сети и PEAP-клиентом этот клиент передает свои учетные данные (имя пользователя и пароль либо сертификат пользователя или компьютера) на сервер политики сети по шифрованному каналу.
Точка доступа только перенаправляет сообщения между клиентом беспроводного доступа и RADIUS-сервером; в точке доступа нельзя расшифровать эти сообщения, поскольку данная точка не является конечной точкой TLS.
Сервер политики сети выполняет проверку пользователя и клиентского компьютера с использованием типа проверки подлинности, выбранного для использования с PEAP. Проверка подлинности может иметь тип EAP-TLS (смарт-карта или другой сертификат) либо EAP-MS-CHAP v2 (защищенный пароль).
Примечание | |
Задать протокол PEAP в качестве метода проверки подлинности можно в политике сети на сервере политики сети. |
Типы EAP
Для использования с PEAP доступно два типа EAP, которые также называются типами проверки подлинности: EAP-MS-CHAP v2 или EAP-TLS. В типе EAP-MS-CHAP v2 для проверки подлинности пользователя используются учетные данные на основе пароля (имя пользователя и пароль), а для проверки подлинности сервера – сертификат в хранилище сертификатов компьютера сервера. В EAP-TLS для проверки подлинности пользователя или компьютера используются сертификаты, установленные в хранилище сертификатов клиентского компьютера либо смарт-карты, а для проверки подлинности сервера – сертификаты в хранилище сертификатов сервера.
PEAP с EAP-MS-CHAP v2
Протокол PEAP с EAP-MS-CHAPv2 (PEAP-MS-CHAP v2) проще в развертывании, чем протокол EAP-TLS, поскольку проверка подлинности пользователей выполняется с использованием учетных данных на основе пароля (имя пользователя и пароль) вместо сертификатов или смарт-карт. В этом случае сертификат требуется только для сервера политики сети или другого RADIUS-сервера. Сертификат сервера политики сети используется сервером политики сети в ходе проверки подлинности как доказательство его подлинности для PEAP-клиентов.
Для успешной проверки подлинности PEAP-MS-CHAP v2 требуется, чтобы клиент предоставил доверие серверу политики сети после проверки сертификата сервера. Чтобы клиент мог предоставить доверие серверу политики сети, центр сертификации, выдавший сертификат сервера, должен иметь собственный отличный сертификат в хранилище сертификатов доверенных корневых центров сертификации на клиентских компьютерах.
Сертификат, используемый сервером политики сети, может быть выдан доверенным корневым центром сертификации организации либо публичным центром сертификации, таким как VeriSign или Thawte, который уже обладает доверием клиентского компьютера.
Примечание | |
Протокол PEAP-MS-CHAP v2 обеспечивает существенно улучшенную защиту по сравнению с MS-CHAP v2 благодаря созданию ключа с TLS-шифрованием и использованию взаимной проверки подлинности, которая не позволяет неавторизованному серверу согласовать наименее защищенный метод проверки подлинности с PEAP-клиентом. |
PEAP с EAP-TLS
При развертывании инфраструктуры публичного ключа со службами сертификации Active Directory можно воспользоваться протоколом PEAP с EAP-TLS (PEAP-TLS). Сертификаты обеспечивают намного более строгий метод проверки подлинности, чем методы с использованием учетных записей на основе пароля. В методе PEAP-TLS для проверки подлинности сервера используются сертификаты, а для проверки подлинности пользователя или компьютера – смарт-карты, содержащие встроенный сертификат, либо сертификаты, запрашиваемые для клиентских компьютеров, которые хранятся на локальном компьютере в хранилище сертификатов. Чтобы использовать протокол PEAP-TLS, необходимо развернуть инфраструктуру публичного ключа.
Быстрое восстановление подключения PEAP
Быстрое восстановление подключения PEAP позволяет клиентам беспроводной сети перемещаться между точками беспроводного доступа одной сети без повторной проверки подлинности каждый раз при связи с новой точкой доступа.
Точки беспроводного доступа настраиваются как RADIUS-клиенты для RADIUS-серверов. Если клиент беспроводной сети перемещается между точками доступа, настроенными как клиенты одного RADIUS-сервера, для этого клиента не требуется проходить проверку подлинности в каждой новой связи. Когда клиент перемещается в точку доступа, настроенную как RADIUS-клиент другого RADIUS-сервера, он проходит повторную проверку подлинности, однако эта процедура выполняется намного быстрее и эффективнее.
Быстрое восстановление подключения PEAP сокращает время отклика при проверке подлинности между клиентом и устройством проверки подлинности, поскольку запрос на проверку подлинности перенаправляется из новой точки доступа на сервер политики сети, который изначально выполнял проверку подлинности и авторизацию запроса на подключение данного клиента. Поскольку как для PEAP-клиента, так и для сервера политики сети используются предварительно кэшированные свойства TLS-подключения (набор которых называется дескриптором TLS), сервер политики сети может быстро определить, что данное подключение клиента является повторным подключением.
Клиент может кэшировать дескрипторы TLS для нескольких устройств проверки подлинности PEAP. Если исходный сервер политики сети недоступен, требуется выполнить полноценную проверку подлинности между клиентом и новым устройством проверки подлинности. Дескриптор TLS нового устройства проверки подлинности PEAP кэшируется клиентом. Для смарт-карт или проверки подлинности PEAP-MS-CHAP v2 у пользователя запрашивается предоставление ПИН-кода или учетных данных, соответственно.
При проверке подлинности PEAP-MS-CHAP v2:
Если новая точка доступа является клиентом того же RADIUS-сервера | Если новая точка доступа является клиентом нового RADIUS-сервера |
---|---|
У пользователя не запрашивается ввод учетных данных каждый раз при связи клиентского компьютера с новой точкой доступа. |
У пользователя запрашивается ввод учетных данных в начальной связи. В следующий раз, когда клиентский компьютер связывается с точкой доступа, которая является клиентом данного сервера, учетные данные пользователя не требуются. |
RADIUS-сервер не должен предоставлять сертификат. |
RADIUS-сервер предоставляет сертификат в первой точке связи, что позволяет клиенту беспроводной сети выполнить проверку подлинности данного RADIUS-сервера. В следующий раз, когда клиентский компьютер связывается с точкой доступа, которая является клиентом данного сервера, требуется повторная проверка подлинности сервера. |
При проверке подлинности PEAP-TLS:
Если новая точка доступа является клиентом того же RADIUS-сервера | Если новая точка доступа является клиентом нового RADIUS-сервера |
---|---|
Клиент и сервер не обмениваются сертификатами. |
Клиент и сервер обмениваются сертификатами в первой точке связи. В следующий раз когда клиентский компьютер связывается с точкой доступа, которая является клиентом данного сервера, обмен сертификатами не выполняется. |
У пользователя не запрашивается ввод ПИН-кода для смарт-карты каждый раз при связи клиентского компьютера с новой точкой доступа. |
У пользователя запрашивается ввод ПИН-кода для смарт-карты в начальной точке связи. В следующий раз, когда клиентский компьютер связывается с точкой доступа, которая является клиентом данного сервера, ввод ПИН-кода не запрашивается. |
Чтобы включить быстрое восстановление подключения PEAP:
- Необходимо включить быстрое восстановление
подключения как на PEAP-клиенте (клиент беспроводной сети 802.11)
так и в устройстве проверки подлинности PEAP (RADIUS-сервер).
- Все точки доступа, между которыми
перемещается PEAP-клиент, должны быть настроены как RADIUS-клиенты
RADIUS-сервера (устройство проверки подлинности PEAP) для которого
в качестве метода проверки подлинности беспроводных подключений
выбран PEAP.
- Во всех точках доступа, с которыми
связывается PEAP-клиент, должно быть включено предпочтение одного
RADIUS-сервера (устройства проверки подлинности PEAP), чтобы
избежать запроса на ввод учетных данных на каждом RADIUS-сервере.
Если точку доступа нельзя настроить с предпочтением определенного
RADIUS-сервера, можно настроить сервер политики сети в качестве
RADIUS-прокси с указанием предпочтительного RADIUS-сервера.
Дополнительные сведения
- PEAP не поддерживает проверку подлинности
гостя.
- При реализации протокола PEAP и протокола
EAP, не защищенного протоколом PEAP, не следует использовать один и
тот же тип проверки подлинности EAP с протоколом PEAP и без него.
Например, при развертывании протокола PEAP-TLS не следует
развертывать протокол EAP-TLS без протокола PEAP. Развертывание
методов проверки подлинности одного типа создает уязвимости в
системе безопасности.