什麼是 PEAP?
在企業無線網路中,身份認證的安全性直接決定整體網路的防護強度。PEAP(Protected Extensible Authentication Protocol)透過 TLS 加密隧道封裝 EAP 訊息,有效保護認證憑據不被竊聽,是現代 802.1X 架構的核心技術。
PEAP 的運作架構
PEAP 由 Microsoft、Cisco 與 RSA 共同開發,其設計核心分為兩個階段。第一階段:伺服器出示數位憑證,與客戶端建立 TLS 加密隧道,此過程僅需伺服器端持有憑證,無需部署客戶端憑證。第二階段:在加密隧道內執行內部認證,最常見的組合為 PEAPv0/EAP-MSCHAPv2,允許使用者以帳號密碼完成身份驗證,大幅降低部署複雜度。整個流程由 RADIUS 伺服器(如 Windows NPS 或 FreeRADIUS)居中協調,接入點(AP)僅作為訊息轉發橋樑。
PEAP 與 EAP-TLS 的關鍵差異
EAP-TLS 要求雙向憑證驗證,安全性最高但部署成本高。PEAP 僅需伺服器憑證,客戶端以密碼認證,在安全性與管理便利性之間取得平衡。企業若已建立 Active Directory,可直接整合 PEAP 與 NPS,無需建立完整的客戶端 PKI 基礎架構。需注意的是,客戶端必須驗證伺服器憑證,否則將面臨中間人攻擊風險,這是 PEAP 部署中最常被忽略的安全設定。
💡 重點整理
- 雙層結構:外層 TLS 隧道保護內層 EAP 認證訊息不被明文暴露。
- 非對稱部署:伺服器需憑證,客戶端僅需帳號密碼,降低 PKI 部署門檻。
- 必驗伺服器憑證:客戶端未啟用憑證驗證,將成為釣魚 AP 攻擊的目標。
- 主流實作:PEAPv0/EAP-MSCHAPv2 為 Windows 環境最廣泛採用的組合。
PEAP 在安全性與易部署性之間提供了務實的平衡點。企業導入 802.1X 時,正確設定伺服器憑證驗證是確保 PEAP 防護效果的最關鍵一步,切勿因便利而略過此設定。
留言
張貼留言