802.1X/EAP

Julho 2017

O que é 802.1X e a extensão EAP

O padrão 802.1x é uma solução de segurança, ratificada pelo IEEE em junho de 2001, que pode autenticar (identificar) um usuário que queira acessar a rede (com fio ou não) graças a um servidor de autenticação. Ele se baseia no protocolo EAP(Extensible Authentication Protocol), definido pelo IETF, cuja função é transportar as informações de identificação dos usuários.

Como funciona o protocolo EAP

O funcionamento do protocolo EAP baseia-se no uso de um controlador de acesso chamado authenticator, que concede ou nega o acesso do usuário à rede. O usuário neste sistema se chama requerente. O controlador de acesso é um simples firewall que atua como intermediário entre o usuário e o servidor de autenticação (authentication server), e que precisa de muitos poucos recursos para funcionar. No caso de uma rede sem fio, é o ponto de acesso que desempenha o papel de controlador de acesso.

O servidor de autenticação (também chamado de NAS - Network Authentification Service ou Network Access Service) pode aprovar a identidade do usuário transmitida pelo controlador de rede e atribuir-lhe os direitos associados, em função da informação de identificação fornecida. Além disso, tais servidores permitem armazenar e contabilizar informações relativas aos usuários. Assim, por exemplo, eles podem faturar (cobrar) os fornecedores baseando-se na duração ou no volume de acesso à rede.

Como se faz o processo de identificação

Na maior parte do tempo, o servidor de autenticação é um servidor RADIUS (Remote Authentication Dial In User Service) padrão definido pelos RFC 2865 e 2866, mas é possível utilizar qualquer outro serviço de autenticação.


Veja como é o funcionamento completo de uma rede protegida pelo padrão 802.1x:

O controlador de acesso, depois de receber um pedido de conexão por parte do usuário, envia um pedido de autenticação;

O usuário envia uma resposta ao controlador de acesso, que o envia a resposta ao servidor de autenticação;

O servidor de autenticação envia um challenge (solicitação de informação do endereço de e-mail e senha, ou seja, as suas credenciais) ao controlador de acesso, que o transmite para o usuário. O challenge é um método para estabelecer a identificação e, se o cliente não puder avaliá-lo, tente outro servidor e assim, sucessivamente;

O usuário responde ao challenge e, se a identidade do usuário estiver correta, o servidor de autenticação envia a aprovação ao controlador de acesso, que permitirá que o usuário entre na rede ou em parte dela, de acordo com os direitos outorgados, ou seja, acessar os recursos localizados no lado protegido da rede. Se a identidade do usuário não puder ser verificada, o servidor de autenticação envia a mensagem de recusa e o controlador de acesso recusará o acesso do usuário à rede, isto é, o usuário será bloqueado (não autorizado).

Troca de chaves de codificação

Além da sua função de identificador dos usuários, o padrão 802.1x permite alterar as chaves de codificação dos usuários para melhorar a segurança de um modo geral.

Veja também


802.1X/EAP
802.1X/EAP
802.1X/EAP
802.1X/EAP
802.1X/EAP
802.1X/EAP
802.1X/EAP
802.1X/EAP
Última modificação: 23 de maio de 2017 às 13:05 por ninha25.
Este documento, intitulado '802.1X/EAP', está disponível sob a licença Creative Commons. Você pode copiar e/ou modificar o conteúdo desta página com base nas condições estipuladas pela licença. Não se esqueça de creditar o CCM (br.ccm.net) ao utilizar este artigo.