IEEE 802.1X

Origem: Wikipédia, a enciclopédia livre.
Ir para: navegação, pesquisa

IEEE 802.1X é um padrão IEEE para controle de acesso à rede com base em portas; faz parte do grupo IEEE 802.1 de protocolos de redes de computadores. Provê um mecanismo de autenticação para dispositivos que desejam juntar-se à uma porta na LAN, seja estabelecendo uma conexão ponto-a-ponto ou prevenindo acesso para esta porta se a autenticação falhar. É usado para a maioria dos Access points sem fio 802.11 e é baseado no Protocolo de Autenticação Extensiva (EAP).



Visão Geral[editar | editar código-fonte]

Um nó wireless precisa autenticar-se antes de poder ter acesso aos recursos da LAN. 802.1X provê autenticação baseada em portas, que envolve comunicação entre o requisitante, o autenticador e o servidor de autenticação. O requisitante é comumente o software em um dispositivo cliente, como um laptop, o autenticador é um Switch Ethernet ou Access Point sem fio, e a autenticação geralmente uma base de dados RADIUS. O autenticador atua como uma proteção secundária à rede. Não é permitido ao requisitante (ex.: dispositivo cliente) acesso através do autenticador ao lado protegido da rede até que a identidade do requisitante seja autorizada. Uma analogia a isso é prover um passaporte válido em um aeroporto antes de ser permitida a passagem pela segurança até o terminal. Com a autenticação baseada em portas 802.1X, o requisitante provê credenciais como nome de usuário / senha ou certificado digital, ao autenticador, e ele encaminha as credenciais até o servidor de autenticação para verificação. Se as credenciais são válidas (na base de dados do servidor de autenticação), o requisitante (dispositivo cliente) é permitido acessar os recursos localizados no lado protegido da rede.

Sob detecção do novo cliente (requisitante), a porta na switch (autenticador) é habilitada e mudada para o estado “não-autorizado”. Neste estado, apenas tráfego 802.1x é permitido; outros tráfegos, como DHCP e HTTP, são bloqueados na camada de enlace. O autenticador envia a identidade de autenticação EAP-request' ao requisitante, que por sua vez responde com o pacote EAP-response que o autenticador encaminha ao servidor de autenticação. Se o servidor de autenticação aceitar a requisição, o autenticador muda o estado da porta para o modo “autorizado” e o tráfego normal é autorizado. Quando o requisitante efetua um logoff, envia uma mensagem EAP-logoff para o autenticador. O autenticador então, muda sua porta para o estado “não-autorizado”, bloqueando novamente todo o tráfego não-EAP.

Implementações[editar | editar código-fonte]

Access Points Sem Fio[editar | editar código-fonte]

Vendedores de access points Wi-Fi agora usam 802.11i que implementa 802.1X para access points wireless para corrigir as vulnerabilidades de segurança encontradas em WEP. O papel do autenticador é realizado tanto pelo Access point em si via chave-pré-compartilhada (referida também como WPA2-PSK) ou para empresas maiores, por identidade terceira, como um servidor RADIUS. Ele provê autenticação apenas para o cliente ou, mais apropriadamente, autenticação forte e mútua utilizando protocolos como EAP-TLS.


Software[editar | editar código-fonte]

Windows XP e Windows Vista suportam 802.1X para todas conexões de rede por padrão. Windows 2000 possui suporte no último service Pack. Windows Mobile 2003 e sistemas operacionais mais atuais também vêm com client nativo 802.1x. Windows XP possui maiores questões com mudança de endereço IP (VLAN Dinâmica) como resultado de uma validação de usuário 802.1X e a Microsoft não irá modificar esta característica que evitará estes problemas.

Um projeto para Linux conhecido como Open1X produz um cliente Open Source, Xsupplicant. O mais geral requisitante WPA pode ser usado para conexões para redes com e sem fio 802.11. Ambos suportam um range bastante abrangente de tipos de EAP.

MAC OS X oferece um suporte nativo desde 10.3. O iPhone e o iPod Touch suportam 802.1X assim como o lançamento do iPhone OS 2.0.


Vulnerabilidades[editar | editar código-fonte]

No verão de 2005, Steve Riley, da Microsoft, postou um artigo detalhando uma séria vulnerabilidade no protocolo 802.1X, envolvendo um ataque Man in the Middle. Em suma, a falha está no fato que o 802.1X autentica apenas no começo da conexão, mas após a autenticação, é possível para um atacante usar a porta autenticada se ele possui habilidade para fisicamente inserir-se (talvez usando um hub workgroup) entre o computador autenticado e a porta. Riley então sugeriu que para redes com fio usando IPSec ou uma combinação de IPSec e 802.1X pode ser mais segura.