802.1X/EAP

Abril 2017

O que é 802.1X e a extensão EAP

O padrão 802.1x é uma solução de segurança, criada pelo IEEE em Junho de 2001, que permite autenticar (identificar) um usuário que deseja acessar uma rede (com fios ou não) graças a um servidor de autenticação. Ele baseia-se no protocolo EAP (Extensible Authentication Protocol), definido pelo IETF, cuja função é transportar as informações de identificação dos usuários.

Como funciona o protocolo EAP

O funcionamento do protocolo EAP baseia-se na utilização de um controlador de acesso (em inglês authenticator), encarregado de estabelecer ou não o acesso à rede para um utilizador. O controlador de acesso é um simples firewall que serve de intermediário entre o usuário e um servidor de autenticação (em inglês authentication server), e não precisa de muitos recursos para funcionar. No caso de uma rede sem fio, é o ponto de acesso que desempenha o papel de controlador de acesso.

O servidor de autenticação (chamado às vezes NAS, para Network Authentification Service, ou Serviço de autenticação de rede, ou mesmo Network Access Service, para Servidor de acesso rede) permite validar a identidade do usuário, transmitida pelo controlador de rede, atribuindo os direitos associados, em função da informação de identificação fornecida. Além disso, tais servidores permitem armazenar e contabilizar informações relativas aos usuários. Assim, por exemplo, eles podem faturar (cobrar) baseando-se na duração ou no volume de acesso à rede (no caso de um fornecedor de acesso, por exemplo).

Como se faz o processo de identificação

Na maior parte do tempo, o servidor de autenticação é um servidor RADIUS (Remote Authentication Dial In User Service), um servidor de autenticação padrão definido pelos RFC 2865 e 2866, mas qualquer outro serviço de autenticação pode ser utilizado. Assim, o esquema abaixo recapitula o funcionamento completo de uma rede protegida com o padrão 802.1x:


O controlador de acesso, que recebeu de previamente um pedido de conexão por parte do usuário, envia um pedido de identificação;

O usuário envia uma resposta ao controlador de acesso, que o envia ao servidor de autenticação;

O servidor de autenticação envia um challenge (desafio, aqui solicitação de informação de endereço de e-mail e senha, por exemplo, as suas credenciais) ao controlador de acesso, que o envia ao usuário. O challenge é um método de identificação e, se o cliente não puder gerenciá-lo, o servidor propõe outro e assim sucessivamente;

O usuário deve responder ao challenge e, se a identidade do usuário estiver correta, o servidor de autenticação envia um acordo ao controlador de acesso, que aceitará o usuário na rede ou em uma parte dela, de acordo com os seus direitos, isto é, acessar os recursos localizados no lado protegido da rede. Se a identidade do usuário não puder ser verificada, o servidor de autenticação envia uma recusa e o controlador de acesso recusará o acesso do usuário à rede, isto é, o usuário é bloqueado (não autorizado).

Troca de chaves de codificação

Além da sua função de identificador dos usuários, o padrão 802.1x permite alterar as chaves de codificação dos usuário de maneira segura, implementado a sua proteção global.

Veja também


802.1X/EAP
802.1X/EAP
802.1X/EAP
802.1X/EAP
802.1X/EAP
802.1X/EAP
802.1X/EAP
802.1X/EAP
Última modificação: 18 de abril de 2017 às 09:49 por ninha25.
Este documento, intitulado '802.1X/EAP', está disponível sob a licença Creative Commons. Você pode copiar e/ou modificar o conteúdo desta página com base nas condições estipuladas pela licença. Não se esqueça de creditar o CCM (br.ccm.net) ao utilizar este artigo.