بروتوكول المصادقة القابل للتوسيع المحمي
- PEAP هو أيضًا اختصار لعبارة Personal Egress Air Packs (حقائب الهواء الشخصية للخروج) .
بروتوكول المصادقة القابل للتوسيع المحمي ، المعروف أيضًا باسم بروتوكول المصادقة القابل للتوسيع المحمي ( PEAP )، هو بروتوكول يغلف بروتوكول المصادقة القابل للتوسيع (EAP) داخل نفق أمان طبقة النقل (TLS) مشفر وموثق . [ 1 ] [ 2 ] [ 3 ] [ 4 ] كان الهدف منه معالجة أوجه القصور في بروتوكول المصادقة القابل للتوسيع (EAP)؛ إذ كان يفترض وجود قناة اتصال محمية، مثل تلك التي توفرها أنظمة الأمن المادي، ولذلك لم تكن هناك آليات لحماية محادثة بروتوكول المصادقة القابل للتوسيع (EAP). [ 5 ]
طُوِّر بروتوكول PEAP بشكل مشترك من قِبَل شركات سيسكو سيستمز ومايكروسوفت و RSA Security . كان الإصدار PEAPv0 هو الإصدار المُضمَّن مع نظام التشغيل مايكروسوفت ويندوز إكس بي ، وقد تم تعريفه بشكل أساسي في مسودة draft-kamath-pppext-peapv0-00 . أما الإصداران PEAPv1 وPEAPv2 فقد تم تعريفهما في إصدارات مختلفة من مسودة draft-josefsson-pppext-eap-tls-eap . تم تعريف PEAPv1 في الإصدارات من draft-josefsson-pppext-eap-tls-eap-00 إلى draft-josefsson-pppext-eap-tls-eap-05 ، [ 6 ] بينما تم تعريف PEAPv2 في الإصدارات التي تبدأ من draft-josefsson-pppext-eap-tls-eap-06 . [ 7 ]
لا يحدد البروتوكول سوى ربط آليات EAP المتعددة، وليس أي طريقة محددة. [ 3 ] [ 8 ] ومع ذلك، فإن استخدام طريقتي EAP-MSCHAPv2 و EAP-GTC هما الأكثر شيوعًا.
ملخص
يُشابه بروتوكول PEAP بروتوكول EAP-TTLS في تصميمه ، إذ يتطلب فقط شهادة PKI من جانب الخادم لإنشاء نفق TLS آمن لحماية مصادقة المستخدم، ويستخدم شهادات المفتاح العام من جانب الخادم لمصادقة الخادم. ثم يُنشئ نفق TLS مُشفّرًا بين العميل وخادم المصادقة. في معظم التكوينات، تُنقل مفاتيح هذا التشفير باستخدام المفتاح العام للخادم. بعد ذلك، يتم تشفير عملية تبادل معلومات المصادقة داخل النفق لمصادقة العميل، وبذلك تكون بيانات اعتماد المستخدم آمنة من التنصت.
اعتبارًا من مايو 2005، كان هناك نوعان فرعيان من شهادات PEAP معتمدان وفقًا لمعيار WPA و WPA2 المحدثين . وهما:
- PEAPv0/EAP-MSCHAPv2
- PEAPv1/EAP-GTC
يشير كل من PEAPv0 وPEAPv1 إلى أسلوب المصادقة الخارجي، وهما الآليتان اللتان تُنشئان نفق TLS الآمن لحماية عمليات المصادقة اللاحقة. أما EAP-MSCHAPv2 و EAP-GTC فيشيران إلى أساليب المصادقة الداخلية التي توفر مصادقة المستخدم أو الجهاز. وهناك أسلوب مصادقة ثالث شائع الاستخدام مع PEAP وهو EAP-SIM .
في منتجات سيسكو، يدعم بروتوكول PEAPv0 طريقتي EAP الداخليتين EAP-MSCHAPv2 وEAP-SIM، بينما يدعم بروتوكول PEAPv1 طريقتي EAP الداخليتين EAP-GTC وEAP-SIM. ولأن مايكروسوفت تدعم فقط PEAPv0 ولا تدعم PEAPv1، فإنها تُطلق عليه ببساطة اسم "PEAP" دون تحديد الإصدارين v0 أو v1. ويكمن فرق آخر بين مايكروسوفت وسيسكو في أن مايكروسوفت تدعم فقط طريقة EAP-MSCHAPv2 ولا تدعم طريقة EAP-SIM.
مع ذلك، تدعم مايكروسوفت شكلاً آخر من بروتوكول PEAPv0 (تسميه مايكروسوفت PEAP-EAP-TLS) لا يدعمه العديد من برامج الخوادم والعملاء من سيسكو وغيرها من الجهات الخارجية. يتطلب PEAP-EAP-TLS تثبيت شهادة رقمية على جانب العميل أو بطاقة ذكية أكثر أمانًا. يشبه PEAP-EAP-TLS في طريقة عمله بروتوكول EAP-TLS الأصلي، ولكنه يوفر حماية إضافية طفيفة لأن أجزاءً من شهادة العميل غير المشفرة في EAP-TLS يتم تشفيرها في PEAP-EAP-TLS. في النهاية، يُعد PEAPv0/EAP-MSCHAPv2 التطبيق الأكثر شيوعًا لبروتوكول PEAP، نظرًا لدمج PEAPv0 في منتجات مايكروسوفت ويندوز . يدعم عميل CSSC من سيسكو (الذي توقف دعمه عام 2008 [ 9 ] ) الآن بروتوكول PEAP-EAP-TLS.
لقد حقق بروتوكول PEAP نجاحًا كبيرًا في السوق لدرجة أن شركة Funk Software (التي استحوذت عليها شركة Juniper Networks في عام 2005)، وهي الشركة المخترعة والداعمة لبروتوكول EAP-TTLS ، أضافت دعمًا لبروتوكول PEAP في برامج الخادم والعميل الخاصة بها للشبكات اللاسلكية.
PEAPv0 مع EAP-MSCHAPv2
MS-CHAPv2 هو بروتوكول مصادقة قديم قدمته مايكروسوفت مع NT4.0 SP4 وويندوز 98.
يُعدّ بروتوكول PEAPv0/EAP-MSCHAPv2 الشكل الأكثر شيوعًا لبروتوكول PEAP، وهو ما يُشار إليه عادةً باسم PEAP. ويعتمد هذا البروتوكول على بروتوكول مصافحة التحدي من مايكروسوفت ، مما يسمح بالمصادقة على قواعد البيانات التي تدعم تنسيق MS-CHAPv2، بما في ذلك Microsoft NT وMicrosoft Active Directory.
بعد بروتوكول EAP-TLS ، يُعدّ بروتوكول PEAPv0/EAP-MSCHAPv2 ثاني أكثر معايير EAP انتشارًا في العالم. تتوفر تطبيقات عميل وخادم له من مختلف الموردين، بما في ذلك الدعم في جميع الإصدارات الحديثة من مايكروسوفت ، وآبل، وسيسكو . توجد تطبيقات أخرى، مثل xsupplicant من مشروع Open1x.org، و wpa_supplicant .
كما هو الحال مع أنواع 802.1X و EAP الأخرى، يمكن استخدام التشفير الديناميكي مع PEAP.
يجب استخدام شهادة مرجع مصدق (CA) لدى كل عميل لمصادقة الخادم قبل أن يُرسل العميل بيانات اعتماد المصادقة. إذا لم يتم التحقق من صحة شهادة المرجع المصدق، فمن السهل عمومًا إنشاء نقطة وصول لاسلكية وهمية، مما يسمح بجمع بيانات مصافحة MS-CHAPv2 . [ 10 ]
تم اكتشاف العديد من نقاط الضعف في بروتوكول MS-CHAPv2، بعضها يقلل بشكل كبير من تعقيد هجمات القوة الغاشمة مما يجعلها ممكنة باستخدام الأجهزة الحديثة. [ 11 ]
PEAPv1 مع EAP-GTC
طورت شركة سيسكو بروتوكول PEAPv1/ EAP-GTC لتوفير التوافق مع أنظمة المصادقة الحالية القائمة على بطاقات الرموز والدليل عبر قناة محمية. ورغم أن مايكروسوفت شاركت في ابتكار معيار PEAP، إلا أنها لم تُضف دعمًا لبروتوكول PEAPv1 بشكل عام، مما يعني أن بروتوكول PEAPv1/EAP-GTC لا يدعم نظام التشغيل ويندوز بشكل أصلي . ونظرًا لأن سيسكو عادةً ما توصي ببروتوكولات EAP خفيفة الوزن مثل LEAP و EAP-FAST بدلًا من PEAP، لم ينتشر الأخير على نطاق واسع كما كان مأمولًا.
نظراً لعدم اهتمام مايكروسوفت بدعم بروتوكول PEAPv1 وعدم ترويج سيسكو له، فإن استخدام مصادقة PEAPv1 نادر الحدوث. حتى في نظام التشغيل ويندوز 7 ، الذي صدر في أواخر عام 2009، لم تُضف مايكروسوفت دعماً لأي نظام مصادقة آخر غير MSCHAPv2.
تأتي هواتف نوكيا E66 والإصدارات الأحدث مزودة بإصدار من نظام التشغيل سيمبيان يتضمن دعم بروتوكول EAP-GTC.
يدعم بروتوكول LDAP (بروتوكول الوصول إلى الدليل الخفيف) فقط EAP-GTC.
مراجع
- ↑ "فهم معايير WPA و WPA2 المحدثة" . ZDNet . 2005-06-02 . تم الاطلاع عليه بتاريخ 2012-07-17 .
- ↑ إصدار برنامج PEAP من مايكروسوفت رقم 0، draft-kamath-pppext-peapv0-00 ، §1.1
- 1 2 بروتوكول EAP المحمي (PEAP) الإصدار 2، مسودة-josefsson-pppext-eap-tls-eap-10 ، ملخص
- ↑ بروتوكول EAP المحمي (PEAP) الإصدار 2، مسودة-josefsson-pppext-eap-tls-eap-10 ، §1
- ↑ بروتوكول EAP المحمي (PEAP) الإصدار 2، مسودة-josefsson-pppext-eap-tls-eap-07 ، §1
- ↑ بروتوكول EAP المحمي (PEAP)، مسودة josefsson-pppext-eap-tls-eap-05 ، القسم 2.3
- ↑ بروتوكول EAP المحمي (PEAP)، مسودة josefsson-pppext-eap-tls-eap-06 ، القسم 2.3
- ↑ بروتوكول EAP المحمي (PEAP) الإصدار 2، مسودة-josefsson-pppext-eap-tls-eap-10 ، §2
- ↑ "إعلان انتهاء البيع وانتهاء الدعم الفني لبرنامج Cisco Secure Services Client v4.0" . سيسكو . تم الاطلاع عليه بتاريخ 4 مايو 2021 .
- ↑ "هجوم الوسيط في بروتوكولات المصادقة النفقية" (ملف PDF) . مركز أبحاث نوكيا . تم الاطلاع عليه بتاريخ 14 نوفمبر 2013 .
- ↑ "فرق تسد: اختراق MS-CHAPv2 بنسبة نجاح 100%" . 16-03-2016. مؤرشف من الأصل في 16-03-2016 . تم الاطلاع عليه في 19-10-2022 .
روابط خارجية
- كامث، فيفيك؛ باليكار، أشوين؛ وودريش، مارك (25 أكتوبر 2002). بروتوكول PEAP من مايكروسوفت، الإصدار 0 (التطبيق في ويندوز إكس بي SP1) . IETF . المعرف: draft-kamath-pppext-peapv0-00.
- draft-josefsson-pppext-eap-tls-eap - مواصفات بروتوكول EAP-TLS
- المعايير المفتوحة
- بروتوكولات التحكم في الوصول إلى الحاسوب
- أمن طبقة النقل
