Protocole PEAP

Le protocole PEAP (Protected Extensible Authentication Protocol) est un nouveau membre de la famille de protocoles PEAP (Extensible Authentication Protocol). Le protocole PEAP utilise la sécurité TLS (Transport Level Security) pour créer un canal crypté entre un client PEAP d'authentification, tel qu'un ordinateur sans fil, et un authentificateur PEAP, tel qu'un serveur IAS (Internet Authentication Service) ou RADIUS (Remote Authentication Dial-In User Service). Le protocole PEAP ne spécifie aucune méthode d'authentification, mais il fournit une sécurité supplémentaire pour d'autres protocoles d'authentification EAP, notamment le protocole EAP-MSCHAPv2, qui peuvent opérer par l'intermédiaire du canal crypté TLS fourni par le protocole PEAP. Le protocole PEAP est utilisé comme méthode d'authentification pour les ordinateurs clients sans fil 802.11, mais il n'est pas pris en charge pour les clients de réseau privé virtuel (VPN, Virtual Private Network) ni pour les autres clients d'accès distant.

En vue d'améliorer à la fois le protocole EAP et la sécurité du réseau, le protocole PEAP fournit :

• une protection pour la négociation de méthode EAP qui se produit entre le client et le serveur par le biais d'un canal TLS. Cela permet d'empêcher les agresseurs d'injecter des paquets entre le client et le serveur d'accès réseau en vue de provoquer la négociation d'une méthode EAP moins sécurisée. Le canal TLS crypté aide également à prévenir les attaques de type refus de service perpétrées contre le serveur IAS ;
  
  
• une prise en charge de la fragmentation et du réassemblage des messages, ce qui permet d'utiliser des types EAP ne proposant pas ces fonctionnalités ;
  
  
• aux clients sans fil la capacité d'authentifier le serveur IAS ou RADIUS. Une authentification mutuelle se produit, puisque le serveur authentifie aussi le client ;
  
  
• une protection contre le déploiement d'un point d'accès sans fil non autorisé lorsque le client EAP authentifie le certificat fourni par le serveur IAS. De plus, le secret maître TLS créé par l'authentificateur EAP et le client n'est pas divulgué au point d'accès. Celui-ci ne peut donc pas décrypter les messages protégés par le protocole PEAP ;
  
  
• une reconnexion PEAP rapide, qui réduit le délai entre une demande d'authentification d'un client et la réponse envoyée par le serveur IAS ou RADIUS et permet aux clients sans fil de se déplacer d'un point d'accès à un autre sans avoir à envoyer de demandes d'authentification répétées. Cela permet de réduire les exigences en ressources pour le client et le serveur.
  
  

Le processus d'authentification PEAP entre le client et l'authentificateur PEAP est divisé en deux étapes. La première étape établit un canal sécurisé entre le client PEAP et le serveur d'authentification. La seconde étape fournit une authentification EAP entre le client et l'authentificateur EAP.

Le client sans fil s'associe avec un point d'accès sans fil. Une association basée sur la norme IEEE 802.11 procure une Authentification à système ouvert et à clé partagée avant qu'une connexion sécurisée soit créée entre le client et le point d'accès. Une fois l'association IEEE 802.11 établie entre le client et le point d'accès, la session TLS est négociée avec le point d'accès. Une fois l'authentification effectuée entre le client sans fil et le serveur (par exemple un serveur IAS), la session TLS est négociée entre eux. La clé dérivée de cette négociation est utilisée pour crypter toutes les communications ultérieures.

Une communication EAP complète, y compris la négociation EAP, se produit par l'intermédiaire du canal TLS. Le serveur IAS authentifie l'utilisateur et l'ordinateur client avec la méthode déterminée par le type EAP et sélectionnée pour une utilisation dans le protocole PEAP (soit EAP-TLS, soit EAP-MS-CHAPv2). Le point d'accès ne fait que transférer les messages entre le client sans fil et le serveur RADIUS. Le point d'accès (ou la personne qui le contrôle) ne peut pas décrypter ces messages car il ne constitue pas le point terminal TLS.

Vous pouvez choisir parmi deux types EAP à utiliser avec le protocole PEAP : EAP-MS-CHAPv2 ou EAP-TLS. EAP-MS-CHAPv2 utilise des informations d'identification (nom d'utilisateur et mot de passe) pour l'authentification de l'utilisateur, et un certificat dans le magasin de certificats de l'ordinateur serveur pour l'authentification du serveur. EAP-TLS utilise des certificats installés dans le magasin de certificats de l'ordinateur client ou une carte à puce pour l'authentification de l'utilisateur et de l'ordinateur client, et un certificat installé dans le magasin de certificats de l'ordinateur serveur pour l'authentification du serveur.

Le protocole PEAP avec EAP-MS-CHAPv2 (PEAP-EAP-MS-CHAPv2) est plus facile à déployer que EAP-TLS car l'authentification de l'utilisateur est effectuée avec des informations d'identification basées sur mot de passe (nom d'utilisateur et mot de passe) plutôt que des certificats ou des cartes à puce. Seul le serveur IAS ou RADIUS doit posséder un certificat. De plus, le certificat serveur peut être délivré par une Autorité de certification publique approuvée par l'ordinateur client (à savoir, le certificat d'Autorité de certification publique existe déjà dans le dossier Autorité de certification racine approuvée du magasin de certificats de l'ordinateur client). Dans ce cas, le certificat serveur n'est pas téléchargé ni ajouté au magasin de certificats racine approuvés du client, et l'utilisateur n'est pas obligé de décider s'il doit faire confiance au serveur.

PEAP-EAP-MS-CHAPv2 fournit une sécurité accrue par rapport à MS-CHAPv2 en utilisant l'authentification mutuelle, en empêchant tout serveur non autorisé de négocier la méthode d'authentification la moins sûre et en procurant une génération de clé avec TLS. PEAP-EAP-MS-CHAPv2 exige que le client approuve les certificats fournis par le serveur.

Pour plus d'informations sur les exigences en matière de certificat d'ordinateur client, voir Authentification et certificats d'accès au réseau. Pour obtenir un exemple de stratégie d'accès sans fil qui utilise le protocole PEAP-EAP-MS-CHAPv2, voir Accès sans fil avec authentification par mot de passe sécurisé.

Les certificats de clé publique constituent une méthode d'authentification beaucoup plus puissante que celles qui utilisent des informations d'identification basées sur mot de passe. Le protocole d'authentification PEAP avec EAP-TLS (PEAP-EAP-TLS) utilise des certificats pour l'authentification du serveur et des cartes à puce ou des certificats pour l'authentification de l'utilisateur et de l'ordinateur client. Pour utiliser PEAP-EAP-TLS, vous devez déployer une infrastructure de clé publique (PKI).

Pour plus d'informations, voir Authentification et certificats d'accès au réseau.

La reconnexion rapide PEAP permet aux clients sans fil de se déplacer entre les points d'accès sans fil sur le même réseau sans être authentifiés à chaque fois qu'ils s'associent à un nouveau point d'accès.

Les points d'accès sans fil sont configurés en tant que clients RADIUS des serveurs RADIUS. Lorsqu'un client sans fil se déplace entre des points d'accès configurés en tant que clients du même serveur RADIUS, le client n'est pas obligé d'être authentifié lors de chaque nouvelle association. Lorsqu'un client s'associe à un point d'accès configuré en tant que client RADIUS d'un autre serveur RADIUS, le client est réauthentifié mais ce processus a lieu de manière beaucoup plus fluide.

La reconnexion rapide PEAP réduit le temps de réponse nécessaire à l'authentification entre le client et l'authentificateur car la demande d'authentification est transférée du nouveau serveur au serveur d'origine. Le client et l'authentificateur PEAP utilisant tous deux des propriétés de connexion TLS mises en cache précédemment (on appelle ces propriétés « descripteur TLS »), l'authentificateur peut déterminer rapidement que la connexion cliente est une reconnexion.

Si l'authentificateur PEAP d'origine n'est pas disponible, une authentification complète doit avoir lieu entre le client et le nouvel authentificateur. Le descripteur TLS du nouvel authentificateur PEAP est mis en cache par le client. Le client est capable de mettre en cache les descripteurs TLS de plusieurs authentificateurs PEAP. Pour l'authentification PEAP-EAP-MSCHAPv2 ou par cartes à puce, il est demandé à l'utilisateur de fournir respectivement le code confidentiel ou les informations d'identification.

Avec l'authentification PEAP-EAP-MS-CHAPv2 :

Avec l'authentification PEAP-EAP-TLS :

Pour plus d'informations sur les clients RADIUS, voir Composants d'une infrastructure RADIUS.

Pour plus d'informations sur les serveurs proxy RADIUS, voir Service IAS en tant que proxy RADIUS.

Pour activer la reconnexion rapide PEAP :

• La reconnexion rapide doit être activée sur le client PEAP (client sans fil 802.11) et sur l'authentificateur PEAP (serveur RADIUS).
  
  
• Tous les points d'accès auxquels le client PEAP s'associe doivent être configurés en tant que clients RADIUS d'un serveur RADIUS (l'authentificateur PEAP) pour lequel le protocole PEAP est configuré en tant que méthode d'authentification pour les connexions sans fil.
  
  
• Tous les points d'accès auxquels le client PEAP s'associe doivent être configurés de façon à préférer le même serveur RADIUS (l'authentificateur PEAP) afin d'éviter d'avoir à fournir des informations d'identification à chaque serveur RADIUS. Si le point d'accès ne peut pas être configuré de façon à préférer un serveur RADIUS, vous pouvez configurer un proxy RADIUS IAS avec un serveur RADIUS préféré.
  
  

Pour plus d'informations, voir Configurer les méthodes PEAP et EAP.

Remarques

• Lors de l'utilisation des méthodes d'authentification PEAP-EAP-TLS et EAP-TLS avec des certificats, TLS utilise les propriétés du certificat mis en cache au lieu de lire les informations du certificat situé dans le magasin de certificats. Si un certificat est modifié ou supprimé et remplacé par un nouveau, TLS continue d'utiliser les informations obsolètes du certificat mis en cache jusqu'à ce qu'il arrive à expiration ou qu'il soit actualisé. Si vous modifiez ou remplacez un certificat, vous pouvez actualiser le cache TLS en redémarrant l'ordinateur serveur.
  
  
• Le protocole PEAP ne prend pas en charge l'authentification d'invité, qui possède un nom d'utilisateur et un mot de passe vides.
  
  
• Lorsque vous déployez PEAP et EAP sans protection PEAP, n'utilisez pas le même type d'authentification EAP avec et sans PEAP. Par exemple, si vous déployez PEAP avec EAP-TLS (PEAP-EAP-TLS), ne déployez pas EAP-TLS sans PEAP. Le déploiement de méthodes d'authentification du même type - une avec la protection de PEAP et l'autre sans - crée une vulnérabilité de la sécurité.
  
  
• Sous Windows Server 2003, Standard Edition, vous pouvez configurer IAS avec un nombre maximum de 50 clients RADIUS et un maximum de deux groupes de serveurs RADIUS distants. Vous pouvez définir un client RADIUS en utilisant un nom de domaine complet ou une adresse IP, mais vous ne pouvez pas définir des groupes de clients RADIUS en spécifiant une plage d’adresses IP. Si le nom de domaine complet d’un client RADIUS se résout en plusieurs adresses IP, le serveur IAS utilise la première adresse IP retournée dans la requête DNS. Le nombre de clients RADIUS et de groupes de serveurs RADIUS distants que vous pouvez configurer est illimité avec IAS sur Windows Server 2003 Enterprise Edition et Windows Server 2003 Datacenter Edition. De plus, vous pouvez configurer des clients RADIUS en spécifiant une plage d’adresses IP.