보호되는 확장 가능한 인증 프로토콜

PEAP는 Personal Ereasure Air Packs의 약자다.

Protected Extensible Authentication Protocol(보호된 EAP 또는 단순 PEAP라고도 함)은 암호화되고 인증된 TLS(Transport Layer Security) 터널 내에 EAP(Extensible Authentication Protocol)를 캡슐화하는 프로토콜이다.^[1][2][3][4]EAP의 결함을 시정하는 것이 목적이었다. EAP는 물리적 보안에 의해 제공되는 것과 같은 보호 통신 채널을 가정하여 EAP 대화를 보호하기 위한 시설이 제공되지 않았다.^[5]

PEAP는 Cisco 시스템s, 마이크로소프트, RSA Security와 공동으로 개발되었다.PEAPv0은 Microsoft Windows XP에 포함된 버전이며, 명목상 초안-카맛-pppext-peapv0-00에 정의되었다.PEAPv1과 PEAPv2는 다른 버전의 초안-조셉슨-ppext-eap-tls-eap에서 정의되었다.PEAPv1은 초안-조셉슨-eppxt-eap-tls-eap-05를 통해 초안-조셉슨-eppxt-eap-06에 정의되었으며, PEAPv2는 초안-조셉슨-ppxt-eap-tls-eap-06으로 시작하는 버전에서 정의되었다.^[6][7]

프로토콜은 특정 방법이 아닌 복수의 EAP 메커니즘을 체인으로만 명시한다.^[3][8]단, EAP-MSCHAPv2 및 EAP-GTC 방법의 사용이 가장 일반적으로 지원된다.^{[citation needed]}

개요

PEAP는 EAP-TTLS와 설계가 유사해 서버측 PKI 인증서만 있으면 사용자 인증을 보호하기 위한 보안 TLS 터널을 만들 수 있으며 서버측 공용 키 인증서를 사용하여 서버를 인증한다.그런 다음 클라이언트와 인증 서버 사이에 암호화된 TLS 터널을 생성한다.대부분의 구성에서, 이 암호화의 키는 서버의 공용 키를 사용하여 전송된다.이어서 터널 내에서 클라이언트를 인증하기 위한 인증 정보의 교환은 암호화되고 사용자 자격 증명은 도청으로부터 안전하다.

2005년 5월 현재 업데이트된 WPA와 WPA2 표준에 대해 인증된 PEAP 하위 유형이 두 개 있다.다음 구성 요소:

• PEAPv0/EAP-MSCHAPv2
• PEAPv1/EAP-GTC

PEAPv0과 PEAPv1은 모두 외부 인증 방법을 가리키며, 이후 인증 거래를 보호하기 위해 보안 TLS 터널을 만드는 메커니즘이다.EAP-MSCHAPv2 및 EAP-GTC는 사용자 또는 장치 인증을 제공하는 내부 인증 방법을 참조한다.PEAP와 함께 일반적으로 사용되는 세 번째 인증 방법은 EAP-SIM이다.

시스코 제품 내에서 PEAPv0은 내부 EAP 방식 EAP-MSCHAPv2와 EAP-SIM을, PEAPv1은 내부 EAP 방식 EAP-GTC와 EAP-SIM을 지원한다.마이크로소프트는 PEAPv0만 지원하고 PEAPv1은 지원하지 않기 때문에, 마이크로소프트는 단순히 v0이나 v1 지정자가 없이 "PEAP"이라고 부른다.마이크로소프트와 시스코의 또 다른 차이점은 마이크로소프트가 EAP-MSCHAPv2 방식만 지원하고 EAP-SIM 방식은 지원하지 않는다는 점이다.

그러나 마이크로소프트는 많은 Cisco를 비롯한 타사 서버 및 클라이언트 소프트웨어가 지원하지 않는 또 다른 형태의 PEAPv0(마이크로소프트가 PEAP-EAP-TLS라고 함)을 지원한다.PEAP-EAP-TLS는 클라이언트 측 디지털 인증서 또는 보다 안전한 스마트 카드를 클라이언트에서 설치해야 한다.PEAP-EAP-TLS는 원래 EAP-TLS와 작동 방식이 매우 유사하지만 EAP-TLS에서 암호화되지 않은 클라이언트 인증서의 일부가 PEAP-EAP-TLS에서 암호화되기 때문에 약간 더 많은 보호 기능을 제공한다.궁극적으로 PEAPv0/EAP-MSCHAPv2는 Microsoft Windows 제품에 PEAPv0이 통합되었기 때문에 PEAP의 구현이 단연코 가장 보편적이다.Cisco의 CSSC 클라이언트(2008년 해체)는 현재 PEAP-EAP-TLS를 지원한다.

PEAP는 EAP-TTLS의 발명가 겸 후원자인 펑크 소프트웨어(2005년 Juniper Networks에 인수)조차 무선 네트워크용 서버 및 클라이언트 소프트웨어에서 PEAP에 대한 지원을 추가할 정도로 시장에서 큰 성공을 거두고 있다.

PEAPv0(EAP-MSCHAPv2 포함)

MS-CHAPv2는 마이크로소프트가 NT4.0 SP4와 윈도 98과 함께 도입한 오래된 인증 프로토콜이다.

PEAPv0/EAP-MSCHAPv2는 사용 중인 PEAP의 가장 일반적인 형태로서, 일반적으로 PEAP라고 부르는 것이다.내부 인증 프로토콜은 마이크로소프트의 챌린지 핸드셰이크 인증 프로토콜로, 마이크로소프트 NT, 마이크로소프트 Active Directory 등 MS-CHAPv2 형식을 지원하는 데이터베이스에 대한 인증을 허용한다.

EAP-TLS에 이어 PEAPv0/EAP-MSCHAPv2는 세계에서 두 번째로 널리 지원되는 EAP 표준이다.마이크로소프트, 애플 컴퓨터, 시스코의 모든 최신 릴리즈에서 지원을 포함하여 다양한 벤더의 클라이언트 및 서버 구현이 있다.Open1x.org 프로젝트의 xsupplicant와 wpa_supplicant와 같은 다른 구현이 존재한다.

다른 802.1X 및 EAP 유형과 마찬가지로 PEAP와 함께 동적 암호화를 사용할 수 있다.

클라이언트가 인증 자격 증명을 제출하기 전에 각 클라이언트에서 서버를 인증하기 위해 CA 인증서를 사용해야 한다.CA 인증서가 검증되지 않은 경우 일반적으로 MS-CHAPv2 핸드셰이크를 수집할 수 있는 가짜 무선 액세스 지점을 도입하는 것은 사소한 일이다.^[10]

MS-CHAPv2에서 몇 가지 약점이 발견되었는데, 그 중 일부는 현대적인 하드웨어로 실현 가능한 흉포한 공격의 복잡성을 심각하게 감소시킨다.^{[citation needed]}

PEAPv1(EAP-GTC 포함)

PEAPv1/EAP-GTC는 보호 채널을 통해 기존 토큰 카드 및 디렉토리 기반 인증 시스템과의 상호운용성을 제공하기 위해 Cisco가 만들었다.마이크로소프트가 PEAP 표준을 공동 발명했음에도 불구하고 마이크로소프트는 일반적으로 PEAPv1에 대한 지원을 추가하지 않았으며, 이는 PEAPv1/EAP-GTC가 기본 Windows OS 지원이 없다는 것을 의미한다.시스코는 일반적으로 PEAP 대신 REAP, EAP-FAST 프로토콜과 같은 경량 EAP 프로토콜을 권장해 왔기 때문에, 후자는 몇몇 사람들이 기대했던 것만큼 널리 채택되지 않았다.

마이크로소프트가 PEAPv1을 지원하기 위한 관심이 없고 Cisco의 프로모션이 없는 상황에서 PEAPv1 인증은 거의 사용되지 않는다.^[when?]2009년 말 출시된 윈도7에서도 MSCHAPv2 이외의 다른 인증시스템에 대한 지원은 추가하지 않았다.

Nokia E66 이상 휴대 전화는 EAP-GTC 지원을 포함하는 심비안 버전과 함께 배송된다.

LDAP(Lightweight Directory Access Protocol)은 EAP-GTC만 지원한다.^{[citation needed]}

참조

외부 링크

• Kamath, Vivek; Palekar, Ashwin; Wodrich, Mark (25 October 2002). Microsoft's PEAP version 0 (Implementation in Windows XP SP1). IETF. I-D draft-kamath-pppext-peapv0-00.
• 초안-조셉슨-pppext-eap-tls-eap - EAP-TLS 프로토콜 사양

나도 침입하기는 어렵다.