Dieser Artikel wurde maschinell übersetzt.
PEAP (Protected Extensible Authentication Protocol) ist ein Sicherheitsprotokoll, das zur besseren Absicherung von WLAN-Netzwerken verwendet wird.
Wie viele Personen in Ihrem Unternehmen tippen auf Computern, die an die Steckdosen in Ihrer Zentrale angeschlossen sind?
Es besteht die Möglichkeit, dass einige (oder sogar) alle Mitarbeiter Ihres Unternehmens von Zeit zu Zeit außerhalb des Gebäudes arbeiten. Die Stanford University geht sogar davon aus, dass die Arbeit von zu Hause aus die neue Normalität ist, da sich mehr als 42 Prozent der Menschen während der Pandemie aus der Ferne anmelden. Und selbst wenn wir wieder im Büro sind, werden wir wahrscheinlich Laptops und Telefone zum Arbeiten verwenden.
Wenn Sie diesen Mitarbeitern WLAN zur Verbindung bereitstellen, unabhängig davon, ob sie sich im Gebäude oder außerhalb der IT-Abteilung befinden, können erhebliche Sicherheitsrisiken entstehen.
PEAP (Protected Extensible Authentication Protocol) wurde entwickelt, um zu helfen.
Was ist PEAP?
Seit Jahren verwenden Programmierer etwas namens EAP (Extensible Authentication Protocol), um drahtlose Verbindungen zu verwalten. PEAP ist eine Version dieser Technologie und verfügt über verbesserte Sicherheitsvorkehrungen.
In einem herkömmlichen EAP verwenden Systeme ein Public-Key-System, um eine Verbindung herzustellen. Wenn ein Benutzer Anmeldedaten nachweisen kann (z.B. die Eingabe eines Benutzernamens/Passworts), dann übergibt der Server einen öffentlichen Schlüssel, um die Transaktion abzuschließen, und der Benutzer hat einen Verschlüsselungsschlüssel, um IT zu entschlüsseln.
Leider kann die Eingabe von Passwörtern und der Handel mit Schlüsseln in ungeschützten Räumen in einem EAP passieren. Dadurch ist Ihr System weit offen für Hackerangriffe.
PEAP kombiniert die Geschwindigkeit von EAP mit einem TLS-Tunnel (Transport Integration Security). Die gesamte Kommunikation zwischen einem Client und dem Server ist innerhalb dieses TLS-Tunnels geschützt. PEAP beschreibt keine bestimmte Methode. Stattdessen erfordert die IT die Verkettung mehrerer EAP-Mechanismen.
Funktionsweise von PEAP
Die Codierung und Technologie hinter PEAP sind komplex. Sogar Microsoft sagt, dass der durchschnittliche Benutzer, der in einem kleinen Büro arbeitet, die Vor- und Nachteile komplexer Sicherheitsfunktionen wie dieser nicht verstehen muss .
Ein umfassender Überblick über die Technologie kann Ihnen jedoch dabei helfen zu verstehen, wie PEAP Daten schützt, wenn diese zwischen zwei Parteien übertragen werden.
Die Verbindung mit einem Server und das Erlangen des Zugriffs wird als Authentifizierung bezeichnet, und die IT umfasst in der Regel mehrere Schritte. Das PEAP-Protokoll besteht aus zwei Phasen.
- Phase 1: Der Authentifizierungsfaktor, der an das Gerät des Benutzers angehängt ist, sendet eine EAP-Request/Identitäts-Nachricht. Der Kunde kann mit einer echten Identität oder einer anonymisierten Version antworten, so dass es schwieriger ist, IT zu stehlen.
Der Handschlag zwischen den beiden Geräten beginnt. Im Wesentlichen durchlaufen die beiden Systeme in dieser Phase eine grundlegende Sicherheitsabfrage, aber es gibt noch mehr zu tun.
- Phase 2: Der EAP-Server sendet eine weitere Nachricht, in der er nach der wahren Identität des Benutzers fragt. Die beiden verstärken ihre Verbindung, und ein Kanal öffnet sich.
Hier wird eine tiefere Verbindung hergestellt und die Systeme tauschen Schlüssel aus. Da dieser Schritt so spät im Prozess erfolgt, unter dem Schutz des TLS-Tunnels, ist es sehr schwer, ihn zu knacken oder zu manipulieren.
In der Abbildung finden Sie eine detaillierte Beschreibung aller Schritte zur Authentifizierung. Als Benutzer sehen Sie möglicherweise nie die gesamte Arbeit, die hinter den Kulissen stattfindet.
Und der Zeitraffer ist minimal. Bei richtiger Programmierung müssen Sie nur wenige Sekunden warten, bis die beiden Systeme miteinander kommunizieren, eine Verbindung herstellen und Sie durchlassen.
Programmierung für Phase 2
Wenn Sie PEAP-Protokolle verwenden, durchlaufen Sie die Authentifizierung in zwei Phasen. Sie benötigen ein sekundäres Werkzeug, um den Sprung von Phase eins zu Phase zwei zu schaffen.
Zu Ihren Optionen gehören:
- EAP-MSCHAPv2. Wenn (im) Paket mit PEAPv0, ist dies eine der gebräuchlichsten PEAP-Formulare, die heute verwendet werden. Die IT ist standardmäßig im Lieferumfang von Microsoft-Produkten enthalten, und die IT-Abteilung kümmert sich um die Details des zweiten Handshakes in Phase 2 der Authentifizierung.
- EAP-AGB. Dieses Produkt ist für das Paket mit PEAPv1 vorgesehen, und die IT-Abteilung arbeitet mit Produkten außerhalb der Microsoft-Umgebung. Da die IT etwas Programmier-Know-how für die Implementierung erfordert und das IT-Pendant nicht, wird dies selten verwendet.
Das Durcheinander von Buchstaben und Zahlen kann verwirrend sein. Aber die Vorteile liegen auf der Hand.
Wenn Sie eine PEAP-Methode verwenden, beweisen Sie mit einem dieser Helfer, dass Sie Zugriff auf den Server verdienen. Sie müssen dies nur einmal nachweisen, da Ihre Anmeldedaten im System gespeichert sind. Während Ihrer Karriere im Unternehmen müssen Sie vielleicht nie wieder Ihr Passwort aktualisieren (oder sich an die IT erinnern). Ihre Zeitersparnis könnte immens sein.
PEAP im Vergleich zu EAP-TTLS
Wie bereits erwähnt, verwendet PEAP TLS, um Nachrichten sicher und geschützt zu machen. Aber auch andere Systeme nutzen TLS. Als Netzwerkadministrator haben Sie die Möglichkeit.
Einige Unternehmen vermeiden beispielsweise PEAP und verwenden stattdessen das sogenannte EAP-TTLS. Dieses Produkt bietet eine zertifikatsbasierte Authentifizierung über einen Tunnel, ganz ähnlich wie PEAP. Es handelt sich jedoch um ein proprietäres Protokoll und ist nicht im Paket mit Microsoft-Produkten enthalten, wie dies bei PEAP der Fall ist.
Forscher weisen darauf hin, dass Microsoft zum Synonym für Computer geworden ist. Fast jeder Einzelne und jedes Unternehmen nutzt diese Art von Produkt, um im Geschäft zu bleiben. Wenn Sie sich für EAP-TTLS anstelle von PEAP entscheiden, können Sie viel Zeit damit verbringen, IT auf jedem Computer zu installieren, der eine Verbindung zu Ihnen herstellen muss.
Lassen Sie Okta Ihre Daten schützen
WLAN macht Verbindungen einfach. Personen in Reichweite müssen nur die richtigen Anmeldedaten kennen, und schon können sie sich verbinden.
Aber WLAN birgt einige Sicherheitsrisiken, und es ist nicht immer einfach, sie zu finden. Lassen Sie uns helfen.
Wir bei Okta können Ihnen helfen, Ihre Setups und Patch-Lücken zu untersuchen, die Ihre Sicherheit gefährden.
Referenzen
Stanford Research liefert eine Momentaufnahme einer neuen Wirtschaft des Homeoffice. (Juni 2020). Universität Stanford.
802.1X-Übersicht und EAP-Typen. (Oktober 2020). Intel.
1.3 Überblick. (Oktober 2020). Microsoft.
Microsofts Windows ist immer noch ein Synonym für Computer. (März 2020). Statista.
