Articulo de referencia

Protocolo de autenticación extensible protegido

PEAP también es un acrónimo de Personal Egress Air Packs (Equipos de Aire de Salida Personal) . El Protocolo de Autenticación Extensible Protegido , también conocido como EAP Pr...

PEAP también es un acrónimo de Personal Egress Air Packs (Equipos de Aire de Salida Personal) .

El Protocolo de Autenticación Extensible Protegido , también conocido como EAP Protegido o simplemente PEAP , es un protocolo que encapsula el Protocolo de Autenticación Extensible (EAP) dentro de un túnel TLS ( Seguridad de la Capa de Transporte ) cifrado y autenticado . [ 1 ] [ 2 ] [ 3 ] [ 4 ] El propósito era corregir deficiencias en EAP; EAP asumía un canal de comunicación protegido, como el proporcionado por la seguridad física, por lo que no se proporcionaban mecanismos para proteger la conversación EAP. [ 5 ]

PEAP fue desarrollado conjuntamente por Cisco Systems , Microsoft y RSA Security . PEAPv0 fue la versión incluida con Microsoft Windows XP y se definió nominalmente en draft-kamath-pppext-peapv0-00 . PEAPv1 y PEAPv2 se definieron en diferentes versiones de draft-josefsson-pppext-eap-tls-eap . PEAPv1 se definió en draft-josefsson-pppext-eap-tls-eap-00 hasta draft-josefsson-pppext-eap-tls-eap-05 , [ 6 ] y PEAPv2 se definió en versiones que comienzan con draft-josefsson-pppext-eap-tls-eap-06 . [ 7 ]

El protocolo solo especifica el encadenamiento de múltiples mecanismos EAP y no ningún método específico. [ 3 ] [ 8 ] Sin embargo, el uso de los métodos EAP-MSCHAPv2 y EAP-GTC son los más comúnmente admitidos.

Descripción general

PEAP tiene un diseño similar a EAP-TTLS , ya que solo requiere un certificado PKI del servidor para crear un túnel TLS seguro que proteja la autenticación del usuario, y utiliza certificados de clave pública del servidor para autenticarlo. A continuación, crea un túnel TLS cifrado entre el cliente y el servidor de autenticación. En la mayoría de las configuraciones, las claves para este cifrado se transmiten mediante la clave pública del servidor. El intercambio de información de autenticación dentro del túnel para autenticar al cliente se cifra y las credenciales del usuario quedan protegidas contra la interceptación.

En mayo de 2005, existían dos subtipos de PEAP certificados para los estándares actualizados WPA y WPA2 . Estos son:

  • PEAPv0/EAP-MSCHAPv2
  • PEAPv1/EAP-GTC

PEAPv0 y PEAPv1 se refieren al método de autenticación externa y son los mecanismos que crean el túnel TLS seguro para proteger las transacciones de autenticación posteriores. EAP-MSCHAPv2 y EAP-GTC se refieren a los métodos de autenticación interna que proporcionan autenticación de usuario o dispositivo. Un tercer método de autenticación comúnmente utilizado con PEAP es EAP-SIM .

En los productos de Cisco, PEAPv0 admite los métodos EAP internos EAP-MSCHAPv2 y EAP-SIM, mientras que PEAPv1 admite los métodos EAP internos EAP-GTC y EAP-SIM. Dado que Microsoft solo admite PEAPv0 y no PEAPv1, simplemente lo denomina "PEAP" sin la designación v0 o v1. Otra diferencia entre Microsoft y Cisco es que Microsoft solo admite el método EAP-MSCHAPv2 y no el método EAP-SIM.

Sin embargo, Microsoft admite otra forma de PEAPv0 (que Microsoft denomina PEAP-EAP-TLS) que muchos programas de servidor y cliente de Cisco y de terceros no admiten. PEAP-EAP-TLS requiere la instalación por parte del cliente de un certificado digital del lado del cliente o una tarjeta inteligente más segura. PEAP-EAP-TLS es muy similar en funcionamiento al EAP-TLS original, pero proporciona una protección ligeramente mayor porque las partes del certificado del cliente que no están cifradas en EAP-TLS sí lo están en PEAP-EAP-TLS. En definitiva, PEAPv0/EAP-MSCHAPv2 es, con diferencia, la implementación más extendida de PEAP, debido a la integración de PEAPv0 en los productos de Microsoft Windows . El cliente CSSC de Cisco (descontinuado en 2008 [ 9 ] ) ahora admite PEAP-EAP-TLS.

PEAP ha tenido tanto éxito en el mercado que incluso Funk Software (adquirida por Juniper Networks en 2005), el inventor y promotor de EAP-TTLS , añadió compatibilidad con PEAP en su software de servidor y cliente para redes inalámbricas.

PEAPv0 con EAP-MSCHAPv2

MS-CHAPv2 es un antiguo protocolo de autenticación que Microsoft introdujo con NT4.0 SP4 y Windows 98.

PEAPv0/EAP-MSCHAPv2 es la forma más común de PEAP en uso, y a la que generalmente se hace referencia como PEAP. El protocolo de autenticación interno es el Protocolo de Autenticación de Intercambio de Desafío (CHAP) de Microsoft , lo que significa que permite la autenticación en bases de datos que admiten el formato MS-CHAPv2, incluyendo Microsoft NT y Microsoft Active Directory.

Después de EAP-TLS , PEAPv0/EAP-MSCHAPv2 es el segundo estándar EAP con mayor soporte a nivel mundial. Existen implementaciones de cliente y servidor de varios proveedores, incluyendo soporte en todas las versiones recientes de Microsoft , Apple Computer y Cisco . También existen otras implementaciones, como xsupplicant del proyecto Open1x.org y wpa_supplicant .

Al igual que con otros tipos de 802.1X y EAP, se puede utilizar el cifrado dinámico con PEAP.

Se debe utilizar un certificado de CA en cada cliente para autenticar el servidor ante cada cliente antes de que este envíe sus credenciales de autenticación. Si el certificado de CA no se valida, en general es muy sencillo introducir un punto de acceso inalámbrico falso que permita la recopilación de intercambios de claves MS-CHAPv2 . [ 10 ]

Se han encontrado varias debilidades en MS-CHAPv2, algunas de las cuales reducen gravemente la complejidad de los ataques de fuerza bruta, haciéndolos factibles con hardware moderno. [ 11 ]

PEAPv1 con EAP-GTC

PEAPv1/ EAP-GTC fue creado por Cisco para brindar interoperabilidad con los sistemas de autenticación basados ​​en tarjetas de token y directorios existentes a través de un canal protegido. Si bien Microsoft fue cofundador del estándar PEAP, nunca agregó soporte para PEAPv1 en general, lo que significa que PEAPv1/EAP-GTC no cuenta con soporte nativo para el sistema operativo Windows . Dado que Cisco suele recomendar protocolos EAP ligeros como LEAP y EAP-FAST en lugar de PEAP, este último no ha tenido la adopción generalizada que algunos esperaban.

Ante la falta de interés de Microsoft en brindar soporte a PEAPv1 y la ausencia de promoción por parte de Cisco, la autenticación PEAPv1 se utiliza muy poco. Incluso en Windows 7 , lanzado a finales de 2009, Microsoft no ha añadido soporte para ningún otro sistema de autenticación que no sea MSCHAPv2.

Los teléfonos móviles Nokia E66 y posteriores vienen con una versión de Symbian que incluye compatibilidad con EAP-GTC.

LDAP (Protocolo ligero de acceso a directorios) solo admite EAP-GTC.

Referencias

  1. "Comprensión de los estándares WPA y WPA2 actualizados" . ZDNet . 2 de junio de 2005. Consultado el 17 de julio de 2012 .
  2. Versión 0 de PEAP de Microsoft, draft-kamath-pppext-peapv0-00 , §1.1
  3. 1 2 Protocolo EAP protegido (PEAP) Versión 2, draft-josefsson-pppext-eap-tls-eap-10 , resumen
  4. Protocolo EAP protegido (PEAP) Versión 2, draft-josefsson-pppext-eap-tls-eap-10 , §1
  5. Protocolo EAP protegido (PEAP) Versión 2, draft-josefsson-pppext-eap-tls-eap-07 , §1
  6. Protocolo EAP protegido (PEAP), draft-josefsson-pppext-eap-tls-eap-05 , §2.3
  7. Protocolo EAP protegido (PEAP), draft-josefsson-pppext-eap-tls-eap-06 , §2.3
  8. Protocolo EAP protegido (PEAP) Versión 2, draft-josefsson-pppext-eap-tls-eap-10 , §2
  9. "Anuncio de fin de venta y fin de vida útil para el cliente de servicios seguros de Cisco v4.0" . Cisco . Consultado el 4 de mayo de 2021 .
  10. "Man-in-the-Middle en protocolos de autenticación tunelizados" (PDF) . Centro de Investigación de Nokia . Consultado el 14 de noviembre de 2013 .
  11. "Divide y vencerás: Descifrando MS-CHAPv2 con un 100% de éxito" . 16 de marzo de 2016. Archivado del original el 16 de marzo de 2016. Consultado el 19 de octubre de 2022 .
  • Kamath, Vivek; Palekar, Ashwin; Wodrich, Mark (25 de octubre de 2002). Versión 0 de PEAP de Microsoft (Implementación en Windows XP SP1) . IETF . ID draft-kamath-pppext-peapv0-00.
  • borrador-josefsson-pppext-eap-tls-eap - Las especificaciones del protocolo EAP-TLS