- PEAP es también un acrónimo de Personal Egress Air Packs .
El Protocolo de autenticación extensible protegido , también conocido como EAP protegido o simplemente PEAP , es un protocolo que encapsula el Protocolo de autenticación extensible (EAP) dentro de un túnel de Seguridad de la capa de transporte (TLS) encriptado y autenticado . [1] [2] [3] [4] El propósito era corregir las deficiencias en EAP; EAP asumió un canal de comunicación protegido, como el proporcionado por la seguridad física, por lo que no se proporcionaron facilidades para la protección de la conversación EAP. [5]
PEAP fue desarrollado conjuntamente por Cisco Systems , Microsoft y RSA Security . PEAPv0 fue la versión incluida con Microsoft Windows XP y se definió nominalmente en draft-kamath-pppext-peapv0-00 . PEAPv1 y PEAPv2 se definieron en diferentes versiones de draft-josefsson-pppext-eap-tls-eap . PEAPv1 se definió en draft-josefsson-pppext-eap-tls-eap-00 hasta draft-josefsson-pppext-eap-tls-eap-05 , [6] y PEAPv2 se definió en versiones que comienzan con draft-josefsson-pppext-eap -tls-eap-06 . [7]
El protocolo solo especifica el encadenamiento de múltiples mecanismos EAP y no un método específico. [3] [8] Sin embargo, el uso de los métodos EAP-MSCHAPv2 y EAP-GTC son los más comúnmente admitidos. [ cita requerida ]
Descripción general
PEAP es similar en diseño a EAP-TTLS , requiere solo un certificado PKI del lado del servidor para crear un túnel TLS seguro para proteger la autenticación del usuario, y utiliza certificados de clave pública del lado del servidor para autenticar el servidor. Luego crea un túnel TLS encriptado entre el cliente y el servidor de autenticación. En la mayoría de las configuraciones, las claves para este cifrado se transportan utilizando la clave pública del servidor. El consiguiente intercambio de información de autenticación dentro del túnel para autenticar al cliente se encripta y las credenciales del usuario están a salvo de escuchas.
En mayo de 2005, había dos subtipos de PEAP certificados para el estándar actualizado WPA y WPA2 . Ellos son:
- PEAPv0 / EAP-MSCHAPv2
- PEAPv1 / EAP-GTC
PEAPv0 y PEAPv1 se refieren al método de autenticación externo y son los mecanismos que crean el túnel TLS seguro para proteger las transacciones de autenticación posteriores. EAP-MSCHAPv2 y EAP-GTC se refieren a los métodos de autenticación internos que proporcionan autenticación de usuario o dispositivo. Un tercer método de autenticación comúnmente utilizado con PEAP es EAP-SIM .
Dentro de los productos de Cisco, PEAPv0 admite los métodos EAP internos EAP-MSCHAPv2 y EAP-SIM, mientras que PEAPv1 admite los métodos EAP internos EAP-GTC y EAP-SIM. Dado que Microsoft solo es compatible con PEAPv0 y no con PEAPv1, Microsoft simplemente lo llama "PEAP" sin el designador v0 o v1. Otra diferencia entre Microsoft y Cisco es que Microsoft solo admite el método EAP-MSCHAPv2 y no el método EAP-SIM.
Sin embargo, Microsoft admite otra forma de PEAPv0 (que Microsoft llama PEAP-EAP-TLS) que no admiten muchos servidores y software cliente de Cisco y otros terceros. PEAP-EAP-TLS requiere que el cliente instale un certificado digital del lado del cliente o una tarjeta inteligente más segura. PEAP-EAP-TLS es muy similar en funcionamiento al EAP-TLS original, pero proporciona un poco más de protección porque las partes del certificado de cliente que no están encriptadas en EAP-TLS están encriptadas en PEAP-EAP-TLS. En última instancia, PEAPv0 / EAP-MSCHAPv2 es, con mucho, la implementación más frecuente de PEAP, debido a la integración de PEAPv0 en los productos de Microsoft Windows . El cliente CSSC de Cisco (descontinuado en 2008 [9] ) ahora es compatible con PEAP-EAP-TLS.
PEAP ha tenido tanto éxito en el mercado que incluso Funk Software (adquirido por Juniper Networks en 2005), el inventor y patrocinador de EAP-TTLS , agregó soporte para PEAP en su servidor y software cliente para redes inalámbricas.
PEAPv0 con EAP-MSCHAPv2
MS-CHAPv2 es un antiguo protocolo de autenticación que Microsoft introdujo con NT4.0 SP4 y Windows 98.
PEAPv0 / EAP-MSCHAPv2 es la forma más común de PEAP en uso, y lo que generalmente se conoce como PEAP. El protocolo de autenticación interna es Microsoft 's Challenge Handshake Authentication Protocol , lo que significa que permite la autenticación de bases de datos compatibles con el formato MS-CHAPv2, incluyendo Microsoft NT y Microsoft Active Directory.
Detrás de EAP-TLS , PEAPv0 / EAP-MSCHAPv2 es el segundo estándar EAP con mayor soporte en el mundo. Hay implementaciones de cliente y servidor de varios proveedores, incluido el soporte en todas las versiones recientes de Microsoft , Apple Computer y Cisco . Existen otras implementaciones, como xsupplicant del proyecto Open1x.org y wpa_supplicant .
Al igual que con otros tipos de 802.1X y EAP, el cifrado dinámico se puede utilizar con PEAP.
Se debe utilizar un certificado de CA en cada cliente para autenticar el servidor ante cada cliente antes de que el cliente envíe las credenciales de autenticación. Si el certificado de CA no está validado, en general es trivial introducir un punto de acceso inalámbrico falso que luego permite la recopilación de apretones de manos MS-CHAPv2 . [10]
Se han encontrado varias debilidades en MS-CHAPv2, algunas de las cuales reducen severamente la complejidad de los ataques de fuerza bruta haciéndolos factibles con hardware moderno. [ cita requerida ]
PEAPv1 con EAP-GTC
PEAPv1 / EAP-GTC fue creado por Cisco para brindar interoperabilidad con los sistemas de autenticación basados en directorios y tarjetas de token existentes a través de un canal protegido. Aunque Microsoft co-inventó el estándar PEAP, Microsoft nunca agregó soporte para PEAPv1 en general, lo que significa que PEAPv1 / EAP-GTC no tiene soporte nativo para el sistema operativo Windows . Dado que Cisco ha recomendado típicamente protocolos EAP ligeros como los protocolos LEAP y EAP-FAST en lugar de PEAP, este último no ha sido tan ampliamente adoptado como algunos esperaban.
Sin interés de Microsoft en admitir PEAPv1 y sin promoción de Cisco, la autenticación PEAPv1 rara vez se usa. [ cuando? ] Incluso en Windows 7 , lanzado a finales de 2009, Microsoft no ha agregado soporte para ningún otro sistema de autenticación que no sea MSCHAPv2.
Los teléfonos móviles Nokia E66 y posteriores se envían con una versión de Symbian que incluye compatibilidad con EAP-GTC.
LDAP (Protocolo ligero de acceso a directorios) solo es compatible con EAP-GTC. [ cita requerida ]
Referencias
- ^ "Comprensión de los estándares actualizados WPA y WPA2" . ZDNet . 2005-06-02 . Consultado el 17 de julio de 2012 .
- ^ PEAP versión 0 de Microsoft, borrador-kamath-pppext-peapv0-00 , §1.1
- ^ a b Protocolo EAP protegido (PEAP) versión 2, borrador-josefsson-pppext-eap-tls-eap-10 , resumen
- ^ Protocolo EAP protegido (PEAP) versión 2, borrador-josefsson-pppext-eap-tls-eap-10 , §1
- ^ Protocolo EAP protegido (PEAP) versión 2, borrador-josefsson-pppext-eap-tls-eap-07 , §1
- ^ Protocolo EAP protegido (PEAP), borrador-josefsson-pppext-eap-tls-eap-05 , §2.3
- ^ Protocolo EAP protegido (PEAP), borrador-josefsson-pppext-eap-tls-eap-06 , §2.3
- ^ Protocolo EAP protegido (PEAP) versión 2, borrador-josefsson-pppext-eap-tls-eap-10 , §2
- ^ "Anuncio de fin de venta y fin de vida útil para Cisco Secure Services Client v4.0" . Cisco . Consultado el 4 de mayo de 2021 .
- ^ "Man-in-the-Middle en protocolos de autenticación de túnel" (PDF) . Centro de investigación de Nokia . Consultado el 14 de noviembre de 2013 .
enlaces externos
- Kamath, Vivek; Palekar, Ashwin; Wodrich, Mark (25 de octubre de 2002). PEAP versión 0 de Microsoft (implementación en Windows XP SP1) . IETF . Borrador de ID-kamath-pppext-peapv0-00.
- draft-josefsson-pppext-eap-tls-eap - Las especificaciones del protocolo EAP-TLS