IEEE 802.1x: diferenças entre revisões

Adicionar hiperligações
Origem: Wikipédia, a enciclopédia livre.
Explorar interativamente o histórico
← Ver a alteração anteriorVer a alteração posterior →
Conteúdo apagado Conteúdo adicionado
VisualTexto wiki
Linha 25: Linha 25:
<onlyinclude>
<onlyinclude>
# '''Inicialização''' Na detecção de um novo suplicante, a porta no switch (autenticador) é ativada e setada para o estado "não autorizado". Neste estado, somente é permitido tráfego 802.1X; outros tráfegos, como o [[Internet Protocol]] (com o [[Transmission Control Protocol|TCP]] e [[User Datagram Protocol|UDP]]), são perdidos.
# '''Inicialização''' Na detecção de um novo suplicante, a porta no switch (autenticador) é ativada e setada para o estado "não autorizado". Neste estado, somente é permitido tráfego 802.1X; outros tráfegos, como o [[Internet Protocol]] (com o [[Transmission Control Protocol|TCP]] e [[User Datagram Protocol|UDP]]), são perdidos.
# '''Iniciação''' Para iniciar a autenticação o autenticador vai transmitir periodicamente pacotes de Requisição de Identidade EAP para um nível especial para endereçar no segmento de rede local. O suplicante "ouve" o endereço e no recebimento dos pacotes de Requisição de Identidade EAP ele responde com um pacote de Resposta de Identidade EAP contendo um identificador para o suplicante como o ID do usuário. O autenticador então emcapsula essa resposta Identidade num pacote Access-Request [[RADIUS]] e entrega para o servidor de autenticação. O suplicante pode também iniciar ou reiniciar enviando um pacote EAPOL-Start para o autenticador, que será respondido com um pacote de Requisição de Identidade EAP.''
# '''Iniciação''' Para iniciar a autenticação o autenticador vai transmitir periodicamente pacotes de Requisição de Identidade EAP para um nível especial para endereçar no segmento de rede local. O suplicante "ouve" o endereço e no recebimento dos pacotes de Requisição de Identidade EAP ele responde com um pacote de Resposta de Identidade EAP contendo um identificador para o suplicante como o ID do usuário. O autenticador então encapsula essa resposta Identidade num pacote Access-Request [[RADIUS]] e entrega para o servidor de autenticação. O suplicante pode também iniciar ou reiniciar enviando um pacote EAPOL-Start para o autenticador, que será respondido com um pacote de Requisição de Identidade EAP.''
# '''Negociação''' ''(Tecnicamente negociação EAP)'' O servidor de autenticação envia uma resposta (encapsulada num Access-Challenge [[RADIUS]] ) para o autenticador, contendo uma requisição EAP especificando o método EAP (O tipo do EAP baseado na autenticação que ele deseja que o suplicante realize). O autenticador encapsula a requisição EAP num quadro EAPOL e transmite ao suplicante. neste ponto, o suplicante pode começar a usar o requisitado Método EAP, ou enviar um NAK ("Negative Acknowledgement")e responder com os Métodos EAP que ele es´ta tentando realizar.
# '''Negociação''' ''(Tecnicamente negociação EAP)'' O servidor de autenticação envia uma resposta (encapsulada num Access-Challenge [[RADIUS]] ) para o autenticador, contendo uma requisição EAP especificando o método EAP (O tipo do EAP baseado na autenticação que ele deseja que o suplicante realize). O autenticador encapsula a requisição EAP num quadro EAPOL e transmite ao suplicante. neste ponto, o suplicante pode começar a usar o requisitado Método EAP, ou enviar um NAK ("Negative Acknowledgement")e responder com os Métodos EAP que ele es´ta tentando realizar.
# '''Autenticação''' Se o servidor de autenticação e o suplicante concordam num Método EAP, Requisições e Respostas EAP são enviadas entre eles (traduzidas pelo autenticador) até que o servidor de autenticação responde com uma mensagem EAP-Success (encapsulada num pacote [[RADIUS]] Access-Accept), ou uma mensagem EAP-Failure (encapsulada num pacote [[RADIUS]] Access-Reject). Se a autenticação é bem sucedida, o autenticador seta a porta para o estado "autorizado" e tráfego normal é permitido, se não a porta permanece no estado "não autorizado". Quando o suplicante desloga, ele envia uma mensagem de EAPOL-logoff para o autenticador, que então seta a porta para o estado "não autorizado", novamente bloqueando todo tráfego não-EAP.
# '''Autenticação''' Se o servidor de autenticação e o suplicante concordam num Método EAP, Requisições e Respostas EAP são enviadas entre eles (traduzidas pelo autenticador) até que o servidor de autenticação responde com uma mensagem EAP-Success (encapsulada num pacote [[RADIUS]] Access-Accept), ou uma mensagem EAP-Failure (encapsulada num pacote [[RADIUS]] Access-Reject). Se a autenticação é bem sucedida, o autenticador seta a porta para o estado "autorizado" e tráfego normal é permitido, se não a porta permanece no estado "não autorizado". Quando o suplicante desloga, ele envia uma mensagem de EAPOL-logoff para o autenticador, que então seta a porta para o estado "não autorizado", novamente bloqueando todo tráfego não-EAP.

Revisão das 15h39min de 4 de novembro de 2014

IEEE 802.1X é um padrão IEEE para controle de acesso à rede com base em portas; faz parte do grupo IEEE 802.1 de protocolos de redes de computadores. Provê um mecanismo de autenticação para dispositivos que desejam juntar-se à uma porta na LAN, seja estabelecendo uma conexão ponto-a-ponto ou prevenindo acesso para esta porta se a autenticação falhar. É usado para a maioria dos Pontos de Acesso sem fio 802.11 e é baseado no Protocolo de Autenticação Extensiva (EAP).



Visão Geral

Um nó sem-fio precisa autenticar-se antes de poder ter acesso aos recursos da LAN. 802.1X provê autenticação baseada em portas, que envolve comunicação entre o requisitante, o autenticador e o servidor de autenticação. O requisitante é comumente o software em um dispositivo cliente, como um laptop, o autenticador é um Switch Ethernet ou Ponto de Acesso sem fio, e a autenticação geralmente uma base de dados RADIUS. O autenticador atua como uma proteção secundária à rede. Não é permitido ao requisitante (ex.: dispositivo cliente) acesso através do autenticador ao lado protegido da rede até que a identidade do requisitante seja autorizada. Uma analogia a isso é prover um passaporte válido em um aeroporto antes de ser permitida a passagem pela segurança até o terminal. Com a autenticação baseada em portas 802.1X, o requisitante provê credenciais como nome de usuário / senha ou certificado digital, ao autenticador, e ele encaminha as credenciais até o servidor de autenticação para verificação. Se as credenciais são válidas (na base de dados do servidor de autenticação), o requisitante (dispositivo cliente) é permitido acessar os recursos localizados no lado protegido da rede.

Sob detecção do novo cliente (requisitante), a porta na switch (autenticador) é habilitada e mudada para o estado “não-autorizado”. Neste estado, apenas tráfego 802.1x é permitido; outros tráfegos, como DHCP e HTTP, são bloqueados na camada de enlace. O autenticador envia a identidade de autenticação EAP-request ao requisitante, que por sua vez responde com o pacote EAP-response que o autenticador encaminha ao servidor de autenticação. Se o servidor de autenticação aceitar a requisição, o autenticador muda o estado da porta para o modo “autorizado” e o tráfego normal é autorizado. Quando o requisitante efetua um logoff, envia uma mensagem EAP-logoff para o autenticador. O autenticador então, muda sua porta para o estado “não-autorizado”, bloqueando novamente todo o tráfego não-EAP.

Operação do Protocolo

EAPOL opera no nível de rede no topo do nível de enlace de dados, e no empacotamento Ethernet II o protocolo tem um EtherTipo valor de 0x888E.

Entidades de Porta

802.1X-2001 define duas entidades de porta lógica para uma porta autenticada — a "porta controlada" e a "porta não controlada". A porta controlada é manipulada pelo 802.1X PAE (Port Access Entity — Entidade de Acesso a Porta) para permitir (no estado autorizado) ou evitar (no não autorizado) tráfego de rede entrando e saindo para/da porta controlada. A porta não controlada é usada pelo 802.1X PAE para transmitir e receber pacotes(quadros) EAPOL.

802.1X-2004 define as entidades de porta equivalentes para o suplicante; então uma implementação suplicante 802.1X-2004 pode prevenir maiores níveis de protocolo sendo usados se ele não contém aquela autenticação que foi completada com sucesso. Isto é particularmente útil quando um método fornecedor EAP Mutua autenticação é usado, como o suplicante pode prevenir vazamento de dadosquando conectado num network não autorizado.

Progressão da autenticação típica

  1. Inicialização Na detecção de um novo suplicante, a porta no switch (autenticador) é ativada e setada para o estado "não autorizado". Neste estado, somente é permitido tráfego 802.1X; outros tráfegos, como o Internet Protocol (com o TCP e UDP), são perdidos.
  2. Iniciação Para iniciar a autenticação o autenticador vai transmitir periodicamente pacotes de Requisição de Identidade EAP para um nível especial para endereçar no segmento de rede local. O suplicante "ouve" o endereço e no recebimento dos pacotes de Requisição de Identidade EAP ele responde com um pacote de Resposta de Identidade EAP contendo um identificador para o suplicante como o ID do usuário. O autenticador então encapsula essa resposta Identidade num pacote Access-Request RADIUS e entrega para o servidor de autenticação. O suplicante pode também iniciar ou reiniciar enviando um pacote EAPOL-Start para o autenticador, que será respondido com um pacote de Requisição de Identidade EAP.
  3. Negociação (Tecnicamente negociação EAP) O servidor de autenticação envia uma resposta (encapsulada num Access-Challenge RADIUS ) para o autenticador, contendo uma requisição EAP especificando o método EAP (O tipo do EAP baseado na autenticação que ele deseja que o suplicante realize). O autenticador encapsula a requisição EAP num quadro EAPOL e transmite ao suplicante. neste ponto, o suplicante pode começar a usar o requisitado Método EAP, ou enviar um NAK ("Negative Acknowledgement")e responder com os Métodos EAP que ele es´ta tentando realizar.
  4. Autenticação Se o servidor de autenticação e o suplicante concordam num Método EAP, Requisições e Respostas EAP são enviadas entre eles (traduzidas pelo autenticador) até que o servidor de autenticação responde com uma mensagem EAP-Success (encapsulada num pacote RADIUS Access-Accept), ou uma mensagem EAP-Failure (encapsulada num pacote RADIUS Access-Reject). Se a autenticação é bem sucedida, o autenticador seta a porta para o estado "autorizado" e tráfego normal é permitido, se não a porta permanece no estado "não autorizado". Quando o suplicante desloga, ele envia uma mensagem de EAPOL-logoff para o autenticador, que então seta a porta para o estado "não autorizado", novamente bloqueando todo tráfego não-EAP.


Implementações

Pontos de Acesso Sem-Fio

Vendedores de access points Wi-Fi agora usam 802.11i que implementa 802.1X para access points wireless para corrigir as vulnerabilidades de segurança encontradas em WEP. O papel do autenticador é realizado tanto pelo Access point em si via chave-pré-compartilhada (referida também como WPA2-PSK) ou para empresas maiores, por identidade terceira, como um servidor RADIUS. Ele provê autenticação apenas para o cliente ou, mais apropriadamente, autenticação forte e mútua utilizando protocolos como EAP-TLS.


Software

Windows XP e Windows Vista suportam 802.1X para todas conexões de rede por padrão. Windows 2000 possui suporte no último service Pack. Windows Mobile 2003 e sistemas operacionais mais atuais também vêm com client nativo 802.1x. Windows XP possui maiores questões com mudança de endereço IP (VLAN Dinâmica) como resultado de uma validação de usuário 802.1X e a Microsoft não irá modificar esta característica que evitará estes problemas.

Um projeto para Linux conhecido como Open1X produz um cliente Open Source, Xsupplicant. O mais geral requisitante WPA pode ser usado para conexões para redes com e sem fio 802.11. Ambos suportam um range bastante abrangente de tipos de EAP.

MAC OS X oferece um suporte nativo desde 10.3. O iPhone e o iPod Touch suportam 802.1X assim como o lançamento do iPhone OS 2.0.

Extensões de Proprietário

MAB (MAC Authentication Bypass)

Nem todos os dispositivos suportam autenticação 802.1X . Exemplos incluem impressoras em rede, eletrônicos baseados em Ethernet como sensores de ambiente, câmeras, e fones wireless.Para que esses dispositivos possam ser usados num ambiente de rede protegida, mecanismos alternativos devem ser fornecidos para autenticá-los.

Uma opção seria bloquear 802.1X naquela porta, mas isso deixa a porta desprotegida e aberta para abuso. Outra opção um pouco mais confiável seria usar a opção MAB. Quando MAB é configurado numa porta, aquela porta vai primeiro tentar checar se o dispositivo conectado compila 802.1X, e, se a reação é recebida dele, ela tentará autenticá-lo com o servidor AAA usando o endereço MAC dele como username e password. O administrador da rede deve então fazer provisões no servidor RADIUS para autenticar estes endereços MAC, ou adicionando-os como usuários regulares, ou implementando lógica adicional para resolvê-los numa base de dados de inventário de rede.

Muitos switches de Ethernet gerenciados[1][2] oferecem opções para isso.

Vulnerabilidades

No verão de 2005, Steve Riley, da Microsoft, postou um artigo detalhando uma séria vulnerabilidade no protocolo 802.1X, envolvendo um ataque Man in the Middle. Em suma, a falha está no fato que o 802.1X autentica apenas no começo da conexão, mas após a autenticação, é possível para um atacante usar a porta autenticada se ele possui habilidade para fisicamente inserir-se (talvez usando um hub workgroup) entre o computador autenticado e a porta. Riley então sugeriu que para redes com fio usando IPSec ou uma combinação de IPSec e 802.1X pode ser mais segura.

  1. MAC Authentication Bypass Deployment Guide, Maio 2011. Recuperado: 26 de Janeiro, 2012
  2. Dell PowerConnect 6200 series CLI Guide, pág: 622, Revisão: A06-Março 2011. Recuperado: 26 Janeiro, 2013
Obtida de "https://pt.wikipedia.org/w/index.php?title=IEEE_802.1x&oldid=40479862"