Protected Extensible Authentication Protocol, также известный как Protected EAP или просто PEAP, представляет собой протокол, который инкапсулирует Extensible Authentication Protocol (EAP) в зашифрованном и аутентифицированном Безопасность транспортного уровня (TLS) туннель. Целью было исправить недостатки в EAP; EAP предполагал наличие защищенного канала связи, например, обеспечиваемого физической безопасностью, поэтому средства для защиты разговора EAP не были предоставлены.
PEAP был совместно разработан Cisco Systems, Microsoft и RSA Security. PEAPv0 - это версия, включенная в Microsoft Windows XP и номинально определенная в draft-kamath-pppext-peapv0-00. PEAPv1 и PEAPv2 были определены в разных версиях draft-josefsson-pppext-eap-tls-eap. PEAPv1 был определен в draft-josefsson-pppext-eap-tls-eap-00 до draft-josefsson-pppext-eap-tls-eap-05, а PEAPv2 был определен в версиях начиная с draft-josefsson-pppext-eap-tls-eap-06.
Протокол определяет только соединение нескольких механизмов EAP, а не какой-либо конкретный метод. Однако чаще всего поддерживаются методы EAP-MSCHAPv2 и EAP-GTC.
PEAP аналогичен по конструкции EAP-TTLS, требуя только сервера - сторонний PKI-сертификат для создания безопасного TLS-туннеля для защиты аутентификации пользователя и использует серверные сертификаты открытых ключей для аутентификации сервера. Затем он создает зашифрованный TLS туннель между клиентом и сервером аутентификации. В большинстве конфигураций ключи для этого шифрования передаются с использованием открытого ключа сервера. Последующий обмен аутентификационной информацией внутри туннеля для аутентификации клиента затем шифруется, а учетные данные пользователя защищены от прослушивания.
По состоянию на май 2005 г. существовало два подтипа PEAP, сертифицированных для обновленного стандарта WPA и WPA2. Это:
PEAPv0 и PEAPv1 оба относятся к внешнему методу аутентификации и являются механизмами, которые создают безопасный туннель TLS для защиты последующих транзакций аутентификации.. EAP-MSCHAPv2 и EAP-GTC относятся к внутренним методам аутентификации, которые обеспечивают аутентификацию пользователя или устройства. Третий метод аутентификации, обычно используемый с PEAP, - это EAP-SIM.
. В продуктах Cisco PEAPv0 поддерживает внутренние методы EAP EAP-MSCHAPv2 и EAP-SIM, а PEAPv1 поддерживает внутренние методы EAP EAP-GTC и EAP-SIM. Поскольку Microsoft поддерживает только PEAPv0 и не поддерживает PEAPv1, Microsoft просто называет это «PEAP» без обозначения v0 или v1. Еще одно различие между Microsoft и Cisco заключается в том, что Microsoft поддерживает только метод EAP-MSCHAPv2, но не метод EAP-SIM.
Однако Microsoft поддерживает другую форму PEAPv0 (которую Microsoft называет PEAP-EAP-TLS), которую многие серверы и клиентское программное обеспечение Cisco и других сторонних производителей не поддерживают. PEAP-EAP-TLS требует установки на клиенте цифрового сертификата на стороне клиента или более безопасной смарт-карты. PEAP-EAP-TLS очень похож на исходный EAP-TLS, но обеспечивает немного большую защиту, поскольку части клиентского сертификата, не зашифрованные в EAP-TLS, зашифрованы в PEAP-EAP-TLS. В конечном итоге PEAPv0 / EAP-MSCHAPv2 на сегодняшний день является наиболее распространенной реализацией PEAP из-за интеграции PEAPv0 в продукты Microsoft Windows. Клиент Cisco CSSC теперь поддерживает PEAP-EAP-TLS.
PEAP был настолько успешен на рынке, что даже Funk Software (приобретенный Juniper Networks в 2005 году), изобретатель и спонсор EAP- TTLS, добавлена поддержка PEAP в их серверное и клиентское программное обеспечение для беспроводных сетей.
MS-CHAPv2 - это старый протокол аутентификации, который Microsoft представила с NT4.0 SP4 и Windows 98.
PEAPv0 / EAP-MSCHAPv2 является наиболее распространенная форма использования PEAP, и то, что обычно называют PEAP. Внутренний протокол аутентификации - это Microsoft Challenge Handshake Authentication Protocol, что означает, что он позволяет аутентифицировать базы данных, которые поддерживают формат MS-CHAPv2, включая Microsoft NT и Microsoft Active Directory.
После EAP-TLS PEAPv0 / EAP-MSCHAPv2 является вторым наиболее широко поддерживаемым стандартом EAP в мире. Существуют клиентские и серверные реализации этого от различных поставщиков, включая поддержку во всех последних выпусках от Microsoft, Apple Computer и Cisco. Существуют и другие реализации, такие как xsupplicant из проекта Open1x.org и wpa_supplicant.
. Как и другие типы 802.1X и EAP, динамическое шифрование может использоваться с PEAP.
Сертификат CA должен использоваться на каждом клиенте для аутентификации сервера каждому клиенту до того, как клиент отправит учетные данные аутентификации. Если сертификат CA не подтвержден, в общем случае просто ввести фальшивую точку беспроводного доступа, которая затем позволяет собирать MS-CHAPv2 удары рукопожатия.
В MS- было обнаружено несколько слабых мест. CHAPv2, некоторые из которых значительно снижают сложность атак методом грубой силы, делая их выполнимыми на современном оборудовании.
PEAPv1 / EAP-GTC был создан Cisco для обеспечения взаимодействия с существующими системами аутентификации на основе токен-карт и каталогов через защищенный канал. Несмотря на то, что Microsoft является соавтором стандарта PEAP, Microsoft никогда не добавляла поддержку PEAPv1 в целом, что означает, что PEAPv1 / EAP-GTC не имеет встроенной поддержки ОС Windows. Поскольку Cisco обычно рекомендовала облегченные протоколы EAP, такие как протоколы LEAP и EAP-FAST вместо PEAP, последний не получил такого широкого распространения, как некоторые надеялись.
Поскольку Microsoft не заинтересована в поддержке PEAPv1 и не продвигает Cisco, аутентификация PEAPv1 используется редко. Даже в Windows 7, выпущенной в конце 2009 года, Microsoft не добавила поддержки какой-либо другой системы аутентификации, кроме MSCHAPv2.
Nokia E66 и более поздние мобильные телефоны поставляются с версией Symbian, которая включает поддержку EAP-GTC.
LDAP (облегченный протокол доступа к каталогам) поддерживает только EAP-GTC.