802.1X/EAP

Março 2017

Introdução à 802.1X

O standard 802.1x é uma solução de segurança, criada pelo IEEE em Junho de 2001, permitindo autenticar (identificar) um utilizador que deseja aceder a uma rede (com fios ou não) graças a um servidor de autenticação.

O 802.1x baseia-se no protocolo EAP (Extensible Authentication Protocol), definido pelo IETF, cujo papel é transportar as informações de identificação dos utilizadores.

EAP

O funcionamento do protocolo EAP baseia-se na utilização de um controlador de acesso (em inglês authenticator), encarregado de estabelecer ou não o acesso à rede para um utilizador. O controlador de acesso é um simples fire-wall que serve de intermediário entre o utilizador e um servidor de autenticação (em inglês authentication server), e precisa de muito poucos recursos para funcionar. No caso de uma rede sem fios, é o ponto de acesso que desempenha o papel de controlador de acesso.

O servidor de autenticação (chamado às vezes NAS, para Network Authentification Service, ou Serviço de autenticação rede, ou mesmo Network Access Service, para Servidor de acesso rede) permite validar a identidade do utilizador, transmitida pelo controlador rede, e dar-lhe os direitos associados em função da informação de identificação fornecida. Além disso, tais servidores permitem armazenar e contabilizar informações relativas aos utilizadores. Assim, por exemplo, podem fazer a facturação relativa à duração ou ao volume de acesso à rede (no caso de um fornecedor de acesso, por exemplo).

Na maior parte do tempo, o servidor de autenticação é um servidor RADIUS (Remote Authentication Dial In User Service), um servidor de autenticação standard definido pelos RFC 2865 e 2866, mas qualquer outro serviço de autenticação pode ser utilizado.

Assim, o esquema global seguinte recapitula o funcionamento global de uma rede protegida com o padrão 802.1x:


<ol>

  • O controlador de acesso, que recebeu de antemão um pedido de conexão por parte do utilizador, envia um pedido de identificação;
  • O utilizador envia uma resposta ao controlador de acesso, que o envia ao servidor de autenticação;
  • O servidor de autenticação envia “um challenge” ao controlador de acesso, que o transmite ao utilizador. O challenge é um método de identificação. Se o cliente não puder gerir o método, o servidor propõe outro e assim sucessivamente;
  • O utilizador responde ao challenge. Se a identidade do utilizador estiver correcta, o servidor de autenticação envia um acordo ao controlador de acesso, que aceitará o utilizador na rede ou numa parte da rede, de acordo com os seus direitos. Se a identidade do utilizador não puder ser verificada, o servidor de autenticação envia uma recusa e o controlador de acesso recusará o acesso do utilizador à rede.

</ol>

Troca de chaves de codificação


Para além da autenticação dos utilizadores, o padrão 802.1x é um apoio que permite alterar as chaves de codificação dos utilizadores de maneira protegida, a fim de melhorar a segurança global.

Veja também


802.1X/EAP
802.1X/EAP
802.1X/EAP
802.1X/EAP
802.1X/EAP
802.1X/EAP
802.1X/EAP
802.1X/EAP
Este documento, intitulado '802.1X/EAP', está disponível sob a licença Creative Commons. Você pode copiar e/ou modificar o conteúdo desta página com base nas condições estipuladas pela licença. Não se esqueça de creditar o CCM (br.ccm.net) ao utilizar este artigo.