IEEE 802.1x

Origem: Wikipédia, a enciclopédia livre.
Ir para: navegação, pesquisa

IEEE 802.1X é um padrão IEEE para controle de acesso à rede com base em portas; faz parte do grupo IEEE 802.1 de protocolos de redes de computadores. Provê um mecanismo de autenticação para dispositivos que desejam juntar-se à uma porta na LAN, seja estabelecendo uma conexão ponto-a-ponto ou prevenindo acesso para esta porta se a autenticação falhar. É usado para a maioria dos Pontos de Acesso sem fio 802.11 e é baseado no Protocolo de Autenticação Extensiva (EAP).



Visão Geral[editar | editar código-fonte]

Um nó sem-fio precisa autenticar-se antes de poder ter acesso aos recursos da LAN. 802.1X provê autenticação baseada em portas, que envolve comunicação entre o requisitante, o autenticador e o servidor de autenticação. O requisitante é comumente o software em um dispositivo cliente, como um laptop, o autenticador é um Switch Ethernet ou Ponto de Acesso sem fio, e a autenticação geralmente uma base de dados RADIUS. O autenticador atua como uma proteção secundária à rede. Não é permitido ao requisitante (ex.: dispositivo cliente) acesso através do autenticador ao lado protegido da rede até que a identidade do requisitante seja autorizada. Uma analogia a isso é prover um passaporte válido em um aeroporto antes de ser permitida a passagem pela segurança até o terminal. Com a autenticação baseada em portas 802.1X, o requisitante provê credenciais como nome de usuário / senha ou certificado digital, ao autenticador, e ele encaminha as credenciais até o servidor de autenticação para verificação. Se as credenciais são válidas (na base de dados do servidor de autenticação), o requisitante (dispositivo cliente) é permitido acessar os recursos localizados no lado protegido da rede.

Sob detecção do novo cliente (requisitante), a porta na switch (autenticador) é habilitada e mudada para o estado “não-autorizado”. Neste estado, apenas tráfego 802.1x é permitido; outros tráfegos, como DHCP e HTTP, são bloqueados na camada de enlace. O autenticador envia a identidade de autenticação EAP-request ao requisitante, que por sua vez responde com o pacote EAP-response que o autenticador encaminha ao servidor de autenticação. Se o servidor de autenticação aceitar a requisição, o autenticador muda o estado da porta para o modo “autorizado” e o tráfego normal é autorizado. Quando o requisitante efetua um logoff, envia uma mensagem EAP-logoff para o autenticador. O autenticador então, muda sua porta para o estado “não-autorizado”, bloqueando novamente todo o tráfego não-EAP.

Operação do Protocolo[editar | editar código-fonte]

EAPOL opera no nível de rede no topo do nível de enlace de dados, e no empacotamento Ethernet II o protocolo tem um EtherTipo valor de 0x888E.

Entidades de Porta[editar | editar código-fonte]

802.1X-2001 define duas entidades de porta lógica para uma porta autenticada — a "porta controlada" e a "porta não controlada". A porta controlada é manipulada pelo 802.1X PAE (Port Access Entity — Entidade de Acesso a Porta) para permitir (no estado autorizado) ou evitar (no não autorizado) tráfego de rede entrando e saindo para/da porta controlada. A porta não controlada é usada pelo 802.1X PAE para transmitir e receber pacotes(quadros) EAPOL.

802.1X-2004 define as entidades de porta equivalentes para o suplicante; então uma implementação suplicante 802.1X-2004 pode prevenir maiores níveis de protocolo sendo usados se ele não contém aquela autenticação que foi completada com sucesso. Isto é particularmente útil quando um método fornecedor EAP Mutua autenticação é usado, como o suplicante pode prevenir vazamento de dadosquando conectado num network não autorizado.

Progressão da autenticação típica[editar | editar código-fonte]

  1. Inicialização Na detecção de um novo suplicante, a porta no switch (autenticador) é ativada e setada para o estado "não autorizado". Neste estado, somente é permitido tráfego 802.1X; outros tráfegos, como o Internet Protocol (com o TCP e UDP), são perdidos.
  2. Iniciação Para iniciar a autenticação o autenticador vai transmitir periodicamente pacotes de Requisição de Identidade EAP para um nível especial para endereçar no segmento de rede local. O suplicante "ouve" o endereço e no recebimento dos pacotes de Requisição de Identidade EAP ele responde com um pacote de Resposta de Identidade EAP contendo um identificador para o suplicante como o ID do usuário. O autenticador então encapsula essa resposta Identidade num pacote Access-Request RADIUS e entrega para o servidor de autenticação. O suplicante pode também iniciar ou reiniciar enviando um pacote EAPOL-Start para o autenticador, que será respondido com um pacote de Requisição de Identidade EAP.
  3. Negociação (Tecnicamente negociação EAP) O servidor de autenticação envia uma resposta (encapsulada num Access-Challenge RADIUS ) para o autenticador, contendo uma requisição EAP especificando o método EAP (O tipo do EAP baseado na autenticação que ele deseja que o suplicante realize). O autenticador encapsula a requisição EAP num quadro EAPOL e transmite ao suplicante. neste ponto, o suplicante pode começar a usar o requisitado Método EAP, ou enviar um NAK ("Negative Acknowledgement") e responder com os Métodos EAP que ele está tentando realizar.
  4. Autenticação Se o servidor de autenticação e o suplicante concordam num Método EAP, Requisições e Respostas EAP são enviadas entre eles (traduzidas pelo autenticador) até que o servidor de autenticação responde com uma mensagem EAP-Success (encapsulada num pacote RADIUS Access-Accept), ou uma mensagem EAP-Failure (encapsulada num pacote RADIUS Access-Reject). Se a autenticação é bem sucedida, o autenticador seta a porta para o estado "autorizado" e tráfego normal é permitido, se não a porta permanece no estado "não autorizado". Quando o suplicante desloga, ele envia uma mensagem de EAPOL-logoff para o autenticador, que então seta a porta para o estado "não autorizado", novamente bloqueando todo tráfego não-EAP.


Implementações[editar | editar código-fonte]

Pontos de Acesso Sem-Fio[editar | editar código-fonte]

Vendedores de access points Wi-Fi agora usam 802.11i que implementa 802.1X para access points wireless para corrigir as vulnerabilidades de segurança encontradas em WEP. O papel do autenticador é realizado tanto pelo Access point em si via chave-pré-compartilhada (referida também como WPA2-PSK) ou para empresas maiores, por identidade terceira, como um servidor RADIUS. Ele provê autenticação apenas para o cliente ou, mais apropriadamente, autenticação forte e mútua utilizando protocolos como EAP-TLS.


Software[editar | editar código-fonte]

Windows XP e Windows Vista suportam 802.1X para todas conexões de rede por padrão. Windows 2000 possui suporte no último service Pack. Windows Mobile 2003 e sistemas operacionais mais atuais também vêm com client nativo 802.1x. Windows XP possui maiores questões com mudança de endereço IP (VLAN Dinâmica) como resultado de uma validação de usuário 802.1X e a Microsoft não irá modificar esta característica que evitará estes problemas.

Um projeto para Linux conhecido como Open1X produz um cliente Open Source, Xsupplicant. O mais geral requisitante WPA pode ser usado para conexões para redes com e sem fio 802.11. Ambos suportam um range bastante abrangente de tipos de EAP.

MAC OS X oferece um suporte nativo desde 10.3. O iPhone e o iPod Touch suportam 802.1X assim como o lançamento do iPhone OS 2.0.

Extensões de Proprietário[editar | editar código-fonte]

MAB (MAC Authentication Bypass)[editar | editar código-fonte]

Nem todos os dispositivos suportam autenticação 802.1X . Exemplos incluem impressoras em rede, eletrônicos baseados em Ethernet como sensores de ambiente, câmeras, e fones wireless.Para que esses dispositivos possam ser usados num ambiente de rede protegida, mecanismos alternativos devem ser fornecidos para autenticá-los.

Uma opção seria bloquear 802.1X naquela porta, mas isso deixa a porta desprotegida e aberta para abuso. Outra opção um pouco mais confiável seria usar a opção MAB. Quando MAB é configurado numa porta, aquela porta vai primeiro tentar checar se o dispositivo conectado compila 802.1X, e, se a reação é recebida dele, ela tentará autenticá-lo com o servidor AAA usando o endereço MAC dele como username e password. O administrador da rede deve então fazer provisões no servidor RADIUS para autenticar estes endereços MAC, ou adicionando-os como usuários regulares, ou implementando lógica adicional para resolvê-los numa base de dados de inventário de rede.

Muitos switches de Ethernet gerenciados[1][2] oferecem opções para isso.

Vulnerabilidades[editar | editar código-fonte]

No verão de 2005, Steve Riley, da Microsoft, postou um artigo detalhando uma séria vulnerabilidade no protocolo 802.1X, envolvendo um ataque Man in the Middle. Em suma, a falha está no fato que o 802.1X autentica apenas no começo da conexão, mas após a autenticação, é possível para um atacante usar a porta autenticada se ele possui habilidade para fisicamente inserir-se (talvez usando um hub workgroup) entre o computador autenticado e a porta. Riley então sugeriu que para redes com fio usando IPSec ou uma combinação de IPSec e 802.1X pode ser mais segura.

  1. MAC Authentication Bypass Deployment Guide, Maio 2011. Recuperado: 26 de Janeiro, 2012
  2. Dell PowerConnect 6200 series CLI Guide, pág: 622, Revisão: A06-Março 2011. Recuperado: 26 Janeiro, 2013