PEAP-MSCHAPv2：為何仍普遍、有何風險，以及如何邁向下一步

您好，歡迎收聽 Purple 技術簡報。我是您的主持人，今天我們要處理的主題位於網路架構、安全合規以及坦白說，傳統技術債務的交匯點。我們談論的是 PEAP-MSCHAPv2。 具體來說，我們要探討為何它仍是企業 WiFi 中最常見的認證方法，為何它在當今的威脅環境中具有根本上的風險，以及最重要的是，您如何能務實地將您的組織轉移到更好的方案上。 讓我們從背景談起。如果您是飯店、零售連鎖店或大型公共場所的 IT 總監或網路架構師，您的員工 WiFi 網路——或許還有您的企業裝置——極有可能正使用 PEAP-MSCHAPv2 進行認證。近二十年來，它一直是 WPA2-Enterprise 網路的預設標準。為什麼？因為它極其容易部署。它透過 RADIUS 伺服器直接連結到 Active Directory，使用者只需輸入他們標準的 Windows 使用者名稱和密碼。無需管理憑證，無需建置複雜的公開金鑰基礎架構。它就是能運作。 但「能運作」已不再足夠。支撐 PEAP-MSCHAPv2 的安全架構，說白了，已經壞掉了。 讓我們深入技術現實。MSCHAPv2 依賴 MD4 雜湊演算法和 DES 加密。這兩項密碼學標準均設計於 1990 年代，且已被認為存在弱點超過十年。早在 2012 年，在 DEF CON 安全會議上，研究員 Moxie Marlinspike 證明了 MSCHAPv2 交握可以被確定性地破解。他釋出了一個工具，將破解程序簡化為單一 DES 金鑰破解，也就是說，一個擁有適度運算能力——或能存取雲端破解服務——的攻擊者，可以在數小時內，甚至數分鐘內，從捕獲的交握中恢復使用者的明文 Active Directory 密碼。 那麼，在現實世界中攻擊者如何實際捕獲該交握？這就帶我們來到「邪惡雙胞胎」攻擊。 想像一個企業辦公室或飯店的後勤區域。一名攻擊者帶著一個惡意存取點走進來——通常是像背包中的 Wi-Fi Pineapple 這樣的小型裝置。他們設定這個惡意 AP 來廣播與您企業網路完全相同的 SSID，例如「Staff-WiFi」。他們增強訊號強度，使附近的裝置自然地偏好它而非您的合法存取點。 當員工的筆記型電腦或手機嘗試連線時，惡意 AP 作為認證者，並指向一個由攻擊者控制的偽造 RADIUS 伺服器。員工的裝置發起 PEAP 隧道。現在，這裡是關鍵的失敗點：PEAP 依賴用戶端裝置驗證伺服器的數位憑證，以確保它正在與真正的企業 RADIUS 伺服器通訊。然而，在絕大多數部署中，用戶端裝置不是設定錯誤，就是使用者僅收到一個彈出視窗，上面寫著「您信任此憑證嗎？」，而他們為了連上網路就點選了「是」。 一旦該偽造憑證被接受，裝置便會透過隧道發送 MSCHAPv2 挑戰-回應。攻擊者捕獲它，離開現場，並離線破解雜湊。他們現在擁有有效的 Active Directory 憑證，可用來登入您的 VPN、您的電子郵件系統或任何其他企業服務。 這並非理論上的風險。對於滲透測試人員和惡意行為者而言，這都是一項標準作業程序。而且，如果您受到像 PCI DSS 或 GDPR 這樣的合規框架約束，依賴一個已遭入侵的認證協定是一項重大的責任。 那麼，如果風險如此之高，為何我們尚未全部轉移？ 答案通常是感知上的複雜性與傳統硬體的混合。擺脫 PEAP 意味著轉向憑證式認證，具體來說是 EAP-TLS。EAP-TLS 是黃金標準。它要求伺服器和用戶端裝置都出示有效的數位憑證。不會傳輸任何密碼，無論是雜湊或其他形式。它完全免疫於離線字典攻擊，並對邪惡雙胞胎攻擊具有高度抵抗力，因為用戶端會悄悄拒絕任何沒有由您信任的憑證授權單位簽署的憑證的偽造 RADIUS 伺服器。 但部署 EAP-TLS 意味著您需要一個公開金鑰基礎架構，即 PKI。您需要一種方式來產生憑證並安全地將它們發佈到您設備群中的每台筆記型電腦、手機和平板。五年前，建置 Microsoft Active Directory Certificate Services 基礎架構是一個令人生畏且昂貴的專案。 然而，如今情況已經改變。實作路徑清晰多了。 如果您正計劃遷移，以下是我們 Purple 向客戶推薦的務實方法。 首先，您不必進行硬切換。現代 RADIUS 伺服器——無論是 Cisco ISE、Aruba ClearPass 或雲端原生解決方案——都允許您在同一 SSID 上同時執行 PEAP-MSCHAPv2 和 EAP-TLS。 第一步是部署您的 PKI。您不一定需要再在本地端建置它。雲端 PKI 解決方案可直接與您的身分提供者——如 Entra ID 或 Google Workspace——以及您的行動裝置管理平台（如 Intune 或 Jamf）整合。 第二步是使用您的 MDM 將用戶端憑證無聲地推送至您的受管裝置。您可以透過 MDM 設定 WiFi 設定檔，使其優先使用 EAP-TLS。這表示您的企業筆記型電腦將自動切換到安全的憑證式方法，無需任何使用者互動。 第三步是過渡階段。您監控您的 RADIUS 記錄。您會看到您的受管裝置透過 EAP-TLS 進行認證，而非受管或傳統裝置則繼續使用 PEAP。 這就帶我們來到常見的陷阱：傳統裝置。您該如何處理倉庫中已有十年歷史的條碼掃描器，或是那些根本不支援 EAP-TLS 的舊型銷售點終端機？ 解決方案是分段。您絕不該為了遷就最低共同點而降低主要員工網路的安全性。相反地，將那些傳統裝置隔離到一個專用的 VLAN。您可以使用基於 MAC 的認證，結合嚴格的網路存取控制，確保這些裝置僅能與它們所需的特定內部伺服器通訊，而絕對無法存取其他任何東西。 一旦您的受管設備群完全遷移至 EAP-TLS，您就可以最終在您的主要企業 SSID 上停用 PEAP-MSCHAPv2，永久關閉漏洞窗口。 讓我們根據 IT 總監最常問的問題，進行一次快速的快問快答。 問題一：「WPA3 能解決 PEAP-MSCHAPv2 的問題嗎？」 答案：不能。WPA3 改善了無線傳輸的加密，但底層的 EAP 認證方法保持不變。若您使用 WPA3-Enterprise 搭配 PEAP-MSCHAPv2，如果用戶端未嚴格驗證伺服器憑證，您仍然容易受到邪惡雙胞胎的憑證擷取攻擊。 問題二：「EAP-TTLS 呢？」 答案：EAP-TTLS 比 PEAP 好，因為它透過隧道傳送認證，通常使用 PAP 而非 MSCHAPv2，這避免了 MSCHAPv2 的特定密碼學弱點。然而，它仍然依賴密碼，且如果伺服器憑證未經驗證，仍然存在漏洞。它是塊墊腳石，但 EAP-TLS 應該是最終目標。 問題三：「這對我們 Purple 的訪客 WiFi 有何影響？」 答案：沒有直接影響。訪客 WiFi 通常使用開放式網路搭配 Captive Portal 或 WPA2/3-Personal，這與您的 802.1X 企業認證是分開的。然而，保護您的後勤網路對於保護支援您所有場館營運的基礎設施至關重要，包括您的訪客服務和分析平台。 總結來說：PEAP-MSCHAPv2 曾為我們提供良好服務，但它的時代已經過去。密碼學缺陷已公開，攻擊工具已自動化。遷移至 EAP-TLS 不再是一項前沿專案；它是一項標準、可實現的升級，現代 MDM 和雲端 PKI 解決方案使其顯著更容易。 不採取行動的風險——一個遭入侵的 Active Directory 密碼導致更廣泛的網路入侵——遠超過遷移的營運努力。今天就從稽核您的 RADIUS 記錄開始，識別您的傳統裝置，並開始規劃向憑證式認證的過渡。 感謝您收聽本 Purple 技術簡報。如需更詳細的部署指南和架構圖，請務必閱讀伴隨本播客的完整技術參考指南。