Seguindo a sessão de Perguntas e Respostas, vamos ver um pouco sobre o protocolo IEEE 802.1x. Compreender o que é a norma IEEE 802.1x e por que você deve se importar traduz-se na compreensão de três conceitos distintos: PPP, EAP e 802.1x em si.

A maioria das pessoas está familiarizada com PPP - Point-to-Point Protocol. PPP é mais comumente usado para acesso à Internet dial-up, mas também é usado por alguns provedores para autenticação de serviços DSL e cable modems, sob a forma de PPP over Ethernet (PPPoE). Também é relevante saber que PPP é parte do protocolo L2TP, um elemento chave da solução de acesso remoto desenvolvido pela Microsoft e parte integrante das distribuições Windows 2000 em diante.

O PPP evoluiu para além do seu uso original - como um método de acesso dial-up - sendo agora utilizado em toda a Internet. Como alguns devem saber, uma das partes da pilha de protocolos que definem o PPP é responsável pelos mecanismos de autenticação (CHAP e PAP). O mecanismo de autenticação PPP é utilizado para identificar o usuário na outra extremidade “da linha”, antes de dar-lhe acesso.

Muitas empresas, entretanto, procuram implementar mecanismos de segurança que vão além da simples checagem de nomes de usuários e senhas de acesso. Para atender esta demanda, um novo protocolo de autenticação denominado EAP (Extensible Authentication Protocol), foi concebido. EAP é definido dentro do protocolo de autenticação PPP e proporciona um framework para vários métodos de autenticação. O EAP elimina a necessidade de sistemas de autenticação proprietários, e permite a interação entre diversos mecanismos, desde senhas convencionais até tokens de autenticação ou certificados digitais.

Com um EAP padronizado, a interoperabilidade e compatibilidade dos métodos de autenticação se torna mais simples e transparente. Por exemplo, quando você acessar um servidor de acesso remoto que utiliza EAP como parte de sua conexão PPP, o RAS não precisa saber de nenhum detalhe sobre o seu sistema de autenticação. Só você e o servidor de autenticação tem de estar sincronizados. Ao suportar a autenticação EAP, o servidor RAS deixa de atuar como “ponte”.

Isto leva-nos ao padrão IEEE 802.1x, que nada mais é que um padrão para implementar EAP em redes com ou sem fio. Com 802.1x, você encapsula mensagens EAP diretamente em quadros Ethernet, não sendo necessário o uso do PPP. Trata-se de autenticação, e nada mais. Isso é desejável em situações em que o restante das funcionalidades PPP não seja necessário.

802.1x utiliza três termos que você precisa conhecer. O usuário (ou cliente) que precisa ser autenticado é chamado de suplicante. O servidor de autenticação, tipicamente um servidor RADIUS, é chamado de… servidor de autenticação !. Finalmente, o dispositivo no meio do caminho, como um ponto de acesso (AP) sem fio, é chamado de autenticador. Um dos principais pontos do 802.1x é que o autenticador pode ser simples e “burro” - toda a inteligência fica centrada no suplicante e no servidor de autenticação. Isto torna o 802.1x ideal para pontos de acesso sem fio, que normalmente são pequenos e têm pouca memória e poder de processamento.

O protocolo de autenticação do 802.1x é chamado de encapsulamento EAP over LAN (EAPOL). Ele é atualmente definido para redes Ethernet, incluindo o padrão 802,11 para LANs sem fios. Também é definido para funcionar com LANs em anel, como FDDI. É interessante ressaltar que o modo de operação do EAPOL não é particularmente sofisticado. Há uma série de modos de operação, mas o caso mais comum seria algo parecido com o abaixo:

1. O autenticador envia um pacote “EAP-Request/Identity” para o suplicante logo que detecta que o link está ativo (por exemplo, o sistema suplicante encontra-se associado à um ponto de acesso).
2. O suplicante envia um pacote “EAP-Response/Identity” para o autenticador, que é depois transferido para o servidor de autenticação (RADIUS).
3. O servidor de autenticação envia de volta uma mensagem “Challenge” para o autenticador, como por exemplo quando usamos um sistema de tokens. O autenticador desempacota a informação do pacote IP, reempacota em um pacote EAPOL e a envia para o suplicante. EAP suporta autenticação client-only e autenticação forte mútua. No caso de redes wireless, o segundo método é o recomendado.
4. O suplicante responde à mensagem “challenge” através do autenticador e passa a resposta para o servidor de autenticação.
5. Se a identidade do suplicante for confirmada, o servidor de autenticação responde com uma mensagem de êxito, que é então transferida para o suplicante. O autenticador agora permite o acesso à LAN — possivelmente restrito baseado em atributos configurados no servidor de autenticação. Por exemplo, o autenticador pode alocar o suplicante em uma VLAN específica, ou adicionar um conjunto de regras de firewall específicas para o suplicante.

O padrão Wired Equivalent Privacy (WEP) foi tão profundamente desacreditado que as suas capacidades de autenticação e encriptação não são mais consideradas suficientes para uso em redes empresariais. Em resposta ao “fiasco WEP”, muitos fabricantes acabaram adotando o padrão IEEE 802.1x para autenticação segura, tanto de redes wireless quanto de redes LAN tradicionais.

Para saber mais:

http://www.cisco.com/en/US/products/ps6662/products_ios_protocol_option_home.html
http://www.cert-rs.tche.br/documentos/06-experiencia-802.1x.pdf
http://www.ravel.ufrj.br/arquivosPublicacoes/802_1x.pdf
http://www.networkworld.com/research/2002/0506whatisit.html
http://en.wikipedia.org/wiki/802.1x

Popularity: 2% [?]

• Cisco confirma alterações nos exames CCIE R&S (Written e Lab)
• Apresentação do Curso CCNA ONLINE TR
• Questão CCNA - OSPF
• Nova sessão: P&R
• VAGAS: Analista de Telecom (RJ)
• Exames Cisco. O que renova o que, e até quando vale?
• [P&R] E o CCDE? Emplaca ou não?
• Compreendendo a nomenclatura do IOS
• Alterações nos exames Professional: Boato ou Verdade?!
• O que é ITIL? Investir nesta certificação vale a pena?
• Veja o que pensa Wendell Odom sobre o novo exame CCNA
• Tutorial OSPF - Parte 4
• O que são RFCs?
• O Protocolo BGP4 - Parte 1
• E em 2009? O que vai “pegar”???

Este post foi postado Wednesday, 25 de February de 2009 às 6:22 pm e está em Tecnologia, Exames CCXP, P&R, Artigos. Você pode verificar qualquer resposta a este post através do feed RSS 2.0. Você pode deixar uma resposta, ou fazer um trackback de seu próprio site.