Protocolo de autenticación extensible protegido

Protocolo que encapsula el Protocolo de Autenticación Extensible

PEAP también es un acrónimo de Personal Egress Air Packs .

El Protocolo de Autenticación Extensible Protegido , también conocido como EAP Protegido o simplemente PEAP , es un protocolo que encapsula el Protocolo de Autenticación Extensible (EAP) dentro de un túnel de Seguridad de Capa de Transporte (TLS) cifrado y autenticado . ^{[1] [2] [3] [4]} El propósito era corregir deficiencias en EAP; EAP asumió un canal de comunicación protegido, como el proporcionado por la seguridad física, por lo que no se proporcionaron facilidades para la protección de la conversación EAP. ^[5]

PEAP fue desarrollado conjuntamente por Cisco Systems , Microsoft y RSA Security . PEAPv0 era la versión incluida con Microsoft Windows XP y se definió nominalmente en draft-kamath-pppext-peapv0-00. PEAPv1 y PEAPv2 se definieron en diferentes versiones de draft-josefsson-pppext-eap-tls-eap . PEAPv1 se definió en draft-josefsson-pppext-eap-tls-eap-00 hasta draft-josefsson-pppext-eap-tls-eap-05, ^[6] y PEAPv2 se definió en versiones que comienzan con draft-josefsson-pppext-eap-tls-eap-06. ^[7]

El protocolo solo especifica el encadenamiento de múltiples mecanismos EAP y no ningún método específico. ^{[3] [8]} Sin embargo, el uso de los métodos EAP-MSCHAPv2 y EAP-GTC son los más comúnmente admitidos. ^{[ cita requerida ]}

Descripción general

PEAP tiene un diseño similar a EAP-TTLS , ya que solo requiere un certificado PKI del lado del servidor para crear un túnel TLS seguro para proteger la autenticación del usuario, y utiliza certificados de clave pública del lado del servidor para autenticar el servidor. Luego crea un túnel TLS cifrado entre el cliente y el servidor de autenticación. En la mayoría de las configuraciones, las claves para este cifrado se transportan utilizando la clave pública del servidor. El intercambio resultante de información de autenticación dentro del túnel para autenticar al cliente se cifra y las credenciales del usuario están a salvo de escuchas no autorizadas.

A partir de mayo de 2005, había dos subtipos de PEAP certificados para el estándar WPA y WPA2 actualizados . Son:

• PEAPv0/EAP-MSCHAPv2
• PEAPv1/EAP-GTC

Tanto PEAPv0 como PEAPv1 hacen referencia al método de autenticación externo y son los mecanismos que crean el túnel TLS seguro para proteger las transacciones de autenticación posteriores. EAP-MSCHAPv2 y EAP-GTC hacen referencia a los métodos de autenticación internos que proporcionan autenticación de usuario o dispositivo. Un tercer método de autenticación que se utiliza habitualmente con PEAP es EAP-SIM .

En los productos Cisco, PEAPv0 admite los métodos EAP internos EAP-MSCHAPv2 y EAP-SIM, mientras que PEAPv1 admite los métodos EAP internos EAP-GTC y EAP-SIM. Como Microsoft solo admite PEAPv0 y no admite PEAPv1, Microsoft simplemente lo llama "PEAP" sin el designador v0 o v1. Otra diferencia entre Microsoft y Cisco es que Microsoft solo admite el método EAP-MSCHAPv2 y no el método EAP-SIM.

Sin embargo, Microsoft admite otra forma de PEAPv0 (que Microsoft llama PEAP-EAP-TLS) que muchos servidores y clientes de Cisco y otros fabricantes no admiten. PEAP-EAP-TLS requiere la instalación por parte del cliente de un certificado digital del lado del cliente o una tarjeta inteligente más segura. PEAP-EAP-TLS es muy similar en funcionamiento al EAP-TLS original, pero proporciona un poco más de protección porque las partes del certificado del cliente que no están cifradas en EAP-TLS están cifradas en PEAP-EAP-TLS. En definitiva, PEAPv0/EAP-MSCHAPv2 es, con diferencia, la implementación más frecuente de PEAP, debido a la integración de PEAPv0 en los productos Microsoft Windows . El cliente CSSC de Cisco (descontinuado en 2008 ^[9] ) ahora admite PEAP-EAP-TLS.

PEAP ha tenido tanto éxito en el mercado que incluso Funk Software (adquirida por Juniper Networks en 2005), el inventor y patrocinador de EAP-TTLS , agregó soporte para PEAP en su software de servidor y cliente para redes inalámbricas.

PEAPv0 con EAP-MSCHAPv2

MS-CHAPv2 es un antiguo protocolo de autenticación que Microsoft introdujo con NT4.0 SP4 y Windows 98.

PEAPv0/EAP-MSCHAPv2 es la forma más común de PEAP en uso y lo que normalmente se conoce como PEAP. El protocolo de autenticación interno es el Protocolo de autenticación por desafío mutuo de Microsoft , lo que significa que permite la autenticación en bases de datos que admiten el formato MS-CHAPv2, incluidos Microsoft NT y Microsoft Active Directory.

Después de EAP-TLS , PEAPv0/EAP-MSCHAPv2 es el segundo estándar EAP con mayor soporte en el mundo. Existen implementaciones de cliente y servidor de este estándar de varios proveedores, incluido el soporte en todas las versiones recientes de Microsoft , Apple Computer y Cisco . Existen otras implementaciones, como xsupplicant del proyecto Open1x.org y wpa_supplicant .

Al igual que con otros tipos de 802.1X y EAP, se puede utilizar cifrado dinámico con PEAP.

Se debe utilizar un certificado CA en cada cliente para autenticar el servidor ante cada cliente antes de que el cliente envíe las credenciales de autenticación. Si el certificado CA no está validado, en general es trivial introducir un punto de acceso inalámbrico falso que luego permita la recopilación de protocolos de enlace MS-CHAPv2 . ^[10]

Se han encontrado varias debilidades en MS-CHAPv2, algunas de las cuales reducen severamente la complejidad de los ataques de fuerza bruta, haciéndolos factibles con hardware moderno. ^[11]

PEAPv1 con EAP-GTC

PEAPv1/ EAP-GTC fue creado por Cisco para proporcionar interoperabilidad con los sistemas de autenticación basados ​​en directorios y tarjetas de token existentes a través de un canal protegido. Aunque Microsoft co-inventó el estándar PEAP, Microsoft nunca agregó soporte para PEAPv1 en general, lo que significa que PEAPv1/EAP-GTC no tiene soporte nativo para el sistema operativo Windows . Dado que Cisco generalmente ha recomendado protocolos EAP livianos como los protocolos LEAP y EAP-FAST en lugar de PEAP, este último no ha sido adoptado tan ampliamente como algunos esperaban.

Como Microsoft no muestra interés en dar soporte a PEAPv1 y Cisco no lo promociona, la autenticación PEAPv1 rara vez se utiliza. ^{[ ¿cuándo? ]} Incluso en Windows 7 , lanzado a fines de 2009, Microsoft no ha agregado soporte para ningún otro sistema de autenticación que no sea MSCHAPv2.

Los teléfonos móviles Nokia E66 y posteriores se entregan con una versión de Symbian que incluye soporte EAP-GTC.

LDAP (Protocolo ligero de acceso a directorios) solo admite EAP-GTC. ^{[ cita requerida ]}

Referencias

1. "Entendiendo los estándares WPA y WPA2 actualizados". ZDNet . 2005-06-02 . Consultado el 2012-07-17 .
2. Versión 0 de PEAP de Microsoft, draft-kamath-pppext-peapv0-00, §1.1
3. Protocolo EAP protegido (PEAP) versión 2, borrador-josefsson-pppext-eap-tls-eap-10, resumen
4. Protocolo EAP protegido (PEAP) versión 2, draft-josefsson-pppext-eap-tls-eap-10, §1
5. Protocolo EAP Protegido (PEAP) Versión 2, draft-josefsson-pppext-eap-tls-eap-07, §1
6. Protocolo EAP Protegido (PEAP), draft-josefsson-pppext-eap-tls-eap-05, §2.3
7. Protocolo EAP Protegido (PEAP), draft-josefsson-pppext-eap-tls-eap-06, §2.3
8. Protocolo EAP Protegido (PEAP) Versión 2, draft-josefsson-pppext-eap-tls-eap-10, §2
9. "Anuncio de fin de venta y fin de vida útil del cliente Cisco Secure Services v4.0". Cisco . Consultado el 4 de mayo de 2021 .
10. "Man-in-the-Middle en protocolos de autenticación tunelizada" (PDF) . Nokia Research Center . Consultado el 14 de noviembre de 2013 .
11. "Divide y vencerás: Cracking MS-CHAPv2 con un 100% de éxito". 2016-03-16. Archivado desde el original el 2016-03-16 . Consultado el 2022-10-19 .

Enlaces externos

• Kamath, Vivek; Palekar, Ashwin; Wodrich, Mark (25 de octubre de 2002). Versión 0 de PEAP de Microsoft (implementación en Windows XP SP1). IETF . ID draft-kamath-pppext-peapv0-00.
• draft-josefsson-pppext-eap-tls-eap - Especificaciones del protocolo EAP-TLS