什么是PEAP认证？PEAP如何保护您的WiFi

什么是PEAP认证？PEAP如何保护您的WiFi。Purple企业WiFi智能简报。 欢迎。如果您负责酒店集团、零售地产、体育场或公共部门组织的网络安全，这个简报就是为您准备的。在接下来的十分钟里，我们将介绍PEAP认证——它到底是什么，它在底层如何工作，它在您的安全架构中的位置，以及关键的是，何时它是正确的选择，何时您应该考虑更强的方案。让我们开始吧。 第一节：背景以及为什么现在这个问题很重要。 当今大多数企业WiFi部署仍然依赖两种认证模式之一。您要么有预共享密钥——一个在整个组织内共享的密码——要么有802.1X，这是基于端口的网络访问控制的IEEE标准。PEAP坚定地属于802.1X阵营，它至今仍是全球企业和机构环境中部署最广泛的EAP方法。 PEAP之所以变得如此占主导地位，原因很简单：它解决了一个实际的运营问题。在PEAP之前，部署基于证书的WiFi认证意味着向每台设备——每台笔记本电脑、每部手机、每台平板电脑——颁发客户端证书。对于一个拥有五百名员工和BYOD政策的组织来说，这是一个大多数IT团队根本没有预算或时间应对的PKI部署难题。PEAP提供了一条中间路径：通过TLS进行强大的服务器端认证，客户端则使用用户名和密码凭证。不需要客户端证书。 这一妥协使得PEAP在2000年代和2010年代成为企业WiFi认证的事实标准，并且至今仍然极为普遍。理解其架构及其局限性对于任何在2024年及以后做出基础设施决策的人来说都至关重要。 第二节：技术深度剖析。 让我们逐步了解设备通过PEAP认证时究竟会发生什么。该过程有两个不同的阶段，理解两者至关重要。 这个交换中的三个角色是：申请者——即客户端设备，无论是笔记本电脑、智能手机还是物联网终端；认证者——通常是无线接入点或无线LAN控制器；以及认证服务器——几乎总是一个RADIUS服务器，如Microsoft NPS、FreeRADIUS或云托管的RADIUS服务。 第一阶段是TLS隧道建立。当申请者尝试连接时，认证者不会立即授予访问权限。相反，它通过本地网络发起EAP交换——这就是EAPOL，局域网上的EAP。认证者将此转发到RADIUS服务器，该服务器向客户端出示其服务器端TLS证书。客户端根据其信任的证书存储验证该证书。如果验证成功，客户端和RADIUS服务器之间就会建立一条TLS隧道。这个隧道是加密的——在现代部署中通常是TLS 1.2或1.3。 第二阶段是内部认证。在那个加密隧道内，进行实际的凭证交换。在最常见的部署——PEAP-MSCHAPv2——中，客户端使用微软质询握手认证协议版本2发送用户名和密码。RADIUS服务器根据其身份存储（可能是Active Directory、LDAP或云身份提供商）验证这些凭证。如果凭证通过，RADIUS服务器通过认证者发送Access-Accept消息，客户端被授予网络访问权限。 这里的关键安全属性是MSCHAPv2交换发生在TLS隧道内部。被动监控无线信道的攻击者无法看到传输中的凭证。这就是PEAP的核心价值主张。 现在，PEAP-MSCHAPv2在哪些方面存在不足？任何有安全意识的架构师都需要理解两个重要问题。 第一：服务器证书验证。PEAP只要求服务器出示证书——不要求客户端出示证书。这造成了一个有据可查的攻击向量。如果客户端设备被错误配置为接受任何证书——或接受来自任何CA的证书——攻击者可以设置一个恶意接入点，出示伪造证书，并拦截MSCHAPv2握手。像hostapd-wpe这样的工具已经使这种攻击变得轻易可及。缓解措施是严格的申请者配置：强制服务器证书验证，固定预期的CA，并指定服务器的通用名称。在任何严肃的部署中，这都是不可协商的。 第二：MSCHAPv2是一个较旧的协议，有已知的弱点。2012年Moxie Marlinspike的研究表明，MSCHAPv2质询-响应对可以通过足够的计算进行离线破解。如果攻击者确实捕获到了内部认证交换——例如通过上述恶意AP攻击——他们可以尝试离线恢复明文密码。因此，您的密码策略强度直接影响您的风险敞口。长、复杂、随机生成的密码可以显著降低这种风险。 将此与EAP-TLS进行比较，在EAP-TLS中，服务器和客户端都出示证书。没有密码可以窃取。攻击面大大减少。权衡是运营复杂性：您需要一个PKI，您需要颁发和管理客户端证书，并且您需要一种将其分发到每台设备的机制。对于拥有成熟MDM部署和良好管理的PKI的组织来说，EAP-TLS是黄金标准。对于其他人来说，具有严格配置的PEAP-MSCHAPv2仍然是一个可防御且实际的选择。 第三节：实施建议和陷阱。 让我给您提供实际部署指导。这些是将安全的PEAP部署与易受攻击的PEAP部署区分开来的要点。 第一：在每个申请者上强制服务器证书验证。这是最重要的配置项。在Windows中，这是无线网络配置文件中的“验证服务器证书”复选框。在iOS和Android中，它是EAP配置中的CA证书字段。如果未配置此项，无论其他设置多么完善，您的PEAP部署都容易受到恶意AP攻击。 第二：通过MDM或GPO部署，而不是手动配置。最终用户的手动配置是不可靠的。用户会点击通过证书警告。他们会错误配置CA字段。通过Microsoft Intune、Jamf或组策略推送您的无线配置文件。这可以确保您的资产中申请者配置的一致性和政策合规性。 第三：在RADIUS服务器上使用TLS 1.2作为最低标准。禁用TLS 1.0和1.1。大多数现代RADIUS实现支持这一点，但值得验证——尤其是在较旧的本地部署上。 第四：与您的身份提供商集成。PEAP-MSCHAPv2根据凭证存储进行认证。该存储应该是您的权威身份提供商——Active Directory、通过NPS扩展的Azure AD，或具有LDAP集成的云RADIUS服务。这意味着当员工离职时，禁用其账户会立即撤销其WiFi访问权限。没有共享密钥需要轮换，没有手动取消配置。 第五：单独考虑您的访客网络。PEAP是一种企业认证方法。对于访客WiFi——您在那里为访客、客户或活动参与者提供准入——您需要不同的方法。像Purple这样的平台提供了一个专门构建的访客WiFi层，处理强制门户认证、数据捕获和分析，而无需在访客SSID上使用RADIUS基础设施。将您的企业SSID保留在使用PEAP的802.1X上，将您的访客SSID放在一个单独的、隔离的网络上，并使用适当的准入方式。 第六：计划证书轮换。您的RADIUS服务器证书将会过期。当它发生时，所有已固定该证书的客户端将无法认证，直到新证书分发为止。将证书更新纳入您的运营日历——至少在到期前90天——并在推出到生产环境之前，在分段环境中测试轮换过程。 我在现场看到的最常见的故障模式是：未强制证书验证，导致恶意AP漏洞；RADIUS服务器证书毫无预警地过期，造成大范围认证失败；以及由于RADIUS服务器可从错误的网段访问而导致MSCHAPv2内部认证暴露。这三者都可以通过适当的规划避免。 第四节：快速问答。 PEAP能否与云身份提供商如Azure AD一起使用？能。微软用于Azure AD MFA的NPS扩展允许您通过Azure AD代理PEAP认证，从而在您的WiFi上启用多因素认证。或者，像Cisco ISE、Aruba ClearPass或JumpCloud RADIUS这样的云RADIUS服务可以直接与Azure AD或Okta集成。 PEAP是否符合PCI DSS？PEAP-MSCHAPv2可以在PCI DSS环境中使用，但您需要确保强制服务器证书验证，使用TLS 1.2或更高版本，并且RADIUS服务器被适当分段。PCI DSS 4.0收紧了网络访问控制的要求——与您的QSA一起审查相关要求。 我应该从PEAP迁移到EAP-TLS吗？如果您有成熟的MDM部署和运营能力来管理PKI，是的——EAP-TLS是更强的选择。如果您管理的是具有个人设备、遗留硬件或有限MDM覆盖的混合资产，具有严格配置的PEAP-MSCHAPv2仍然合适。这是一个基于风险的决策，而不是二元的。 WPA3-Enterprise怎么样？WPA3-Enterprise为高安全性环境要求192位安全模式，但它仍然支持包括PEAP在内的EAP方法。WPA3改进了无线加密，但不改变EAP认证交换本身。 第五节：总结和下一步。 总结一下：PEAP是一个两阶段认证协议，将内部凭证——通常是MSCHAPv2——包裹在TLS隧道内。它是部署最广泛的802.1X EAP方法，因为它消除了对客户端证书的需求，同时仍提供强大的服务器认证。其主要漏洞是由未验证服务器证书的错误配置申请者导致的恶意AP攻击。通过MDM强制的无线配置文件、CA固定和服务器名称验证来缓解此风险。 对于大多数企业WiFi部署——公司办公室、酒店后区网络、零售员工网络——具有适当配置的PEAP-MSCHAPv2是一个健全且可防御的选择。对于高安全性环境、受监管行业或拥有成熟PKI基础设施的组织，EAP-TLS提供了明显更强的安全性，应作为目标架构。 如果您还在企业网络旁边运行访客WiFi——你们中大多数人都是——请记住PEAP不是访客准入的正确工具。看看像Purple这样的平台，它们提供专门构建的访客WiFi认证，具有分析、数据捕获和营销集成功能，使您的访客和企业流量得到适当隔离，并保持您的合规态势完整。 进一步阅读，请查看Purple关于RADIUS服务器架构和企业WiFi认证的指南。链接见节目说明。 感谢收听。本次是Purple企业WiFi智能简报。