«

»

fev 25 2009

[P&R] O que é 802.1x?

Seguindo a sessão de Perguntas e Respostas, vamos ver um pouco sobre o protocolo IEEE 802.1x. Compreender o que é a norma IEEE 802.1x e por que você deve se importar traduz-se na compreensão de três conceitos distintos: PPP, EAP e 802.1x em si.

A maioria das pessoas está familiarizada com PPP – Point-to-Point Protocol. PPP é mais comumente usado para acesso à Internet dial-up, mas também é usado por alguns provedores para autenticação de serviços DSL e cable modems, sob a forma de PPP over Ethernet (PPPoE). Também é relevante saber que PPP é parte do protocolo L2TP, um elemento chave da solução de acesso remoto desenvolvido pela Microsoft e parte integrante das distribuições Windows 2000 em diante.

O PPP evoluiu para além do seu uso original – como um método de acesso dial-up – sendo agora utilizado em toda a Internet. Como alguns devem saber, uma das partes da pilha de protocolos que definem o PPP é responsável pelos mecanismos de autenticação (CHAP e PAP). O mecanismo de autenticação PPP é utilizado para identificar o usuário na outra extremidade “da linha”, antes de dar-lhe acesso.

Muitas empresas, entretanto, procuram implementar mecanismos de segurança que vão além da simples checagem de nomes de usuários e senhas de acesso. Para atender esta demanda, um novo protocolo de autenticação denominado EAP (Extensible Authentication Protocol), foi concebido. EAP é definido dentro do protocolo de autenticação PPP e proporciona um framework para vários métodos de autenticação. O EAP elimina a necessidade de sistemas de autenticação proprietários, e permite a interação entre diversos mecanismos, desde senhas convencionais até tokens de autenticação ou certificados digitais.

Com um EAP padronizado, a interoperabilidade e compatibilidade dos métodos de autenticação se torna mais simples e transparente. Por exemplo, quando você acessar um servidor de acesso remoto que utiliza EAP como parte de sua conexão PPP, o RAS não precisa saber de nenhum detalhe sobre o seu sistema de autenticação. Só você e o servidor de autenticação tem de estar sincronizados. Ao suportar a autenticação EAP, o servidor RAS deixa de atuar como “ponte”.

Isto leva-nos ao padrão IEEE 802.1x, que nada mais é que um padrão para implementar EAP em redes com ou sem fio. Com 802.1x, você encapsula mensagens EAP diretamente em quadros Ethernet, não sendo necessário o uso do PPP. Trata-se de autenticação, e nada mais. Isso é desejável em situações em que o restante das funcionalidades PPP não seja necessário.

802.1x utiliza três termos que você precisa conhecer. O usuário (ou cliente) que precisa ser autenticado é chamado de suplicante. O servidor de autenticação, tipicamente um servidor RADIUS, é chamado de… servidor de autenticação 😀 !. Finalmente, o dispositivo no meio do caminho, como um ponto de acesso (AP) sem fio, é chamado de autenticador. Um dos principais pontos do 802.1x é que o autenticador pode ser simples e “burro” – toda a inteligência fica centrada no suplicante e no servidor de autenticação. Isto torna o 802.1x ideal para pontos de acesso sem fio, que normalmente são pequenos e têm pouca memória e poder de processamento.

O protocolo de autenticação do 802.1x é chamado de encapsulamento EAP over LAN (EAPOL). Ele é atualmente definido para redes Ethernet, incluindo o padrão 802,11 para LANs sem fios. Também é definido para funcionar com LANs em anel, como FDDI. É interessante ressaltar que o modo de operação do EAPOL não é particularmente sofisticado. Há uma série de modos de operação, mas o caso mais comum seria algo parecido com o abaixo:

  1. O autenticador envia um pacote “EAP-Request/Identity” para o suplicante logo que detecta que o link está ativo (por exemplo, o sistema suplicante encontra-se associado à um ponto de acesso).
  2. O suplicante envia um pacote “EAP-Response/Identity” para o autenticador, que é depois transferido para o servidor de autenticação (RADIUS).
  3. O servidor de autenticação envia de volta uma mensagem “Challenge” para o autenticador, como por exemplo quando usamos um sistema de tokens. O autenticador desempacota a informação do pacote IP, reempacota em um pacote EAPOL e a envia para o suplicante. EAP suporta autenticação client-only e autenticação forte mútua. No caso de redes wireless, o segundo método é o recomendado.
  4. O suplicante responde à mensagem “challenge” através do autenticador e passa a resposta para o servidor de autenticação.
  5. Se a identidade do suplicante for confirmada, o servidor de autenticação responde com uma mensagem de êxito, que é então transferida para o suplicante. O autenticador agora permite o acesso à LAN — possivelmente restrito baseado em atributos configurados no servidor de autenticação. Por exemplo, o autenticador pode alocar o suplicante em uma VLAN específica, ou adicionar um conjunto de regras de firewall específicas para o suplicante.

O padrão Wired Equivalent Privacy (WEP) foi tão profundamente desacreditado que as suas capacidades de autenticação e encriptação não são mais consideradas suficientes para uso em redes empresariais. Em resposta ao “fiasco WEP”, muitos fabricantes acabaram adotando o padrão IEEE 802.1x para autenticação segura, tanto de redes wireless quanto de redes LAN tradicionais.

Para saber mais:

http://www.cisco.com/en/US/products/ps6662/products_ios_protocol_option_home.html
http://www.cert-rs.tche.br/documentos/06-experiencia-802.1x.pdf
http://www.ravel.ufrj.br/arquivosPublicacoes/802_1x.pdf
http://www.networkworld.com/research/2002/0506whatisit.html
http://en.wikipedia.org/wiki/802.1x



Comente usando o Facebook!
0
0

12 comentários

Pular para o formulário de comentário

  1. Rodrigo Farias

    Bastante informativo! Excelente! 🙂

    0

    0
  2. Fernando Avelino

    Muito bom Marco Valeu!! Parabéns!!!

    0

    0
  3. Carlos Almeida

    Excelente post Marco!!!!

    Muito rico em informações fundamentais ao nosso estudo!!!
    Valeu!!! Abraço!!!

    0

    0
  4. wagner

    Marco,

    Parabéns pelo post… Cada vez mais, a segurança em evidência….

    Obrigado, Abraços!

    0

    0
  5. L.C.F.N

    Muito bom o post, bastante esclarecedor.

    0

    0
  6. Israel Carlos

    Boa Marco….

    Abs

    0

    0
  7. Tiago Morais

    Vlw Marco.

    Muito bom o post.

    Abraço galera!!!

    0

    0
  8. juliano.camargo

    Legal Marco, Parabéns!
    Texto óbvio e esclarecedor.

    0

    0
  9. Alexandre Canalle

    Bacana, sucinto e importante! Assim como este meu comentário!

    0

    0
  10. Tiago Frigério

    Muito bom….
    Valew Marco!!
    Abracos

    0

    0
  11. Miguel Gustavo

    Ta fazendo um lance em 802.1x
    Pior é quando o cliente quer integrar isso com LDAP (AD) e fazer as vlans tudo dinamicas se autenticarem nele.
    É [email protected]#$%@#$% mas no final vem a recompensa :>

    0

    0
  12. Rafael Carvalho

    To apanhando desse tal 802.1x
    Autenticação por porta com sw 2960.
    Quero somente que o cliente WinXP se autentique e receba IP
    Nada de Vlan e Guest Vlan, mas as requisiçoes de autenticação n chegam no servidor Radius(ACS)
    Se alguém já teve problemas e puder me ajudar.
    MSN [email protected]

    0

    0

Deixe uma resposta