Visão geral da 802.1 x e tipos de EAP

Documentação

Documentação e informações do produto

000006999

14/02/2020

Pré-registrosEsses dados não destinam-se a usuários domésticos ou de pequenas empresas que normalmente não usam recursos de segurança avançados, como aqueles discutidos nesta página. No entanto, esses usuários podem encontrar os tópicos interessantes para fins informativos.

 

a visão geral da 802.1 x

802.1 x é um protocolo de acesso à porta para proteger redes via autenticação. Como resultado, esse tipo de método de autenticação é extremamente útil no ambiente Wi-Fi, devido à natureza da mídia. Se um usuário de Wi-Fi é autenticado via 802.1 X para acesso à rede, uma porta virtual é aberta no ponto de acesso permitindo a comunicação. Se não tiver sido autorizado com êxito, uma porta virtual não será disponibilizada e as comunicações serão bloqueadas.

Existem três peças básicas para a autenticação 802.1 X:

  1. Suplicante Um cliente de software em execução na estação de trabalho Wi-Fi.
  2. Autenticador O ponto de acesso Wi-Fi.
  3. Servidor de autenticação Um banco de dados de autenticação, geralmente um servidor RADIUS, como Cisco ACS *, funk de aço-esteira RADIUS * ou Microsoft IAS *.

O protocolo EAP (Extensible Authentication Protocol) é usado para passar as informações de autenticação entre o suplicante (a estação de trabalho Wi-Fi) e o servidor de autenticação (Microsoft IAS ou outro). O tipo EAP realmente manipula e define a autenticação. O ponto de acesso atuando como autenticador é apenas um proxy para permitir que o suplicante e o servidor de autenticação se comuniquem.

Qual devo usar?

O tipo de EAP a ser implementado ou a possibilidade de implementar a 802.1 X, depende do nível de segurança necessário à organização, da sobrecarga administrativa e dos recursos desejados. Felizmente, as descrições aqui e um gráfico comparativo facilitarão as dificuldades ao entenderem a variedade de tipos de EAP disponíveis.

Tipos de autenticação EAP (Extensible Authentication Protocol)

Como a segurança da rede local (WLAN) do Wi-Fi é essencial e os tipos de autenticação EAP fornecem um meio potencialmente melhor de proteger a conexão de WLAN, os fornecedores estão rapidamente desenvolvendo e Adicionando tipos de autenticação EAP a seus pontos de acesso de WLAN. Alguns dos tipos de autenticação EAP mais comumente implantados são EAP-MD-5, EAP-TLS, EAP-PEAP, EAP-TTLS, EAP-FAST e Cisco LEAP.

  • EAP-MD-5 (síntese da mensagem) é um tipo de autenticação EAP que oferece suporte para EAP no nível básico. Em geral, o EAP-MD-5 não é recomendado para implementações de LAN Wi-Fi, pois isso pode permitir que a senha do usuário seja derivada. Ela permite apenas uma autenticação unidirecional-não há autenticação mútua do cliente Wi-Fi e da rede. E muito importante, não fornece um meio de obter chaves dinâmicas, por sessão, de privacidade equivalente a fios (WEP).
  • O EAP-TLS (Transport Layer Security) fornece autenticação mútua e baseada em certificados do cliente e da rede. Ele se baseia em certificados do lado do cliente e de servidor para realizar a autenticação e pode ser usado para gerar dinamicamente chaves WEP baseadas no usuário e na sessão para proteger as comunicações subsequentes entre o cliente WLAN e o ponto de acesso. Uma desvantagem do EAP-TLS é que os certificados devem ser gerenciados no lado do cliente e do servidor. Para uma grande instalação da WLAN, isso pode ser uma tarefa muito complicada.
  • EAP-TTLS (Encapsulated Transport Layer Security) foi desenvolvido pela funk software * e Certicom *, como uma extensão do EAP-TLS. Esse método de segurança oferece autenticação mútua, baseada em certificados, do cliente e da rede por meio de um canal criptografado (ou túnel), além de um meio de gerar chaves WEP dinâmicas por usuário e por sessão. Ao contrário do EAP-TLS, o EAP-TTLS requer apenas certificados do lado servidor.
  • EAP-FAST (autenticação flexível por meio de encapsulamento seguro) foi desenvolvido pela Cisco *. Em vez de usar um certificado para obter autenticação mútua. EAP-FAST autentica por meio de uma PAC (credencial de acesso protegido) que pode ser gerenciada dinamicamente pelo servidor de autenticação. A PAC pode ser fornecida (distribuída uma única vez) ao cliente, manualmente ou automaticamente. O provisionamento manual é a entrega ao cliente por meio do disco ou de um método de distribuição de rede seguro. O provisionamento automático é uma entrada em banda, através do ar, da distribuição.
  • O método do protocolo de autenticação extensível para a identidade do assinante GSM (EAP-SIM) é um mecanismo para autenticação e distribuição de chaves da sessão. Ele utiliza o módulo de identidade de assinante (SIM) do sistema global para comunicações móveis (GSM). O EAP-SIM utiliza uma chave WEP baseada em sessão dinâmica, que é derivada do adaptador do cliente e do servidor RADIUS, para criptografar os dados. EAP-SIM requer que você insira um código de verificação do usuário, ou PIN, para comunicação com o cartão de módulo de identidade do assinante (SIM). Um cartão SIM é um cartão inteligente especial utilizado pelas redes de celulares digitais baseadas no sistema global para comunicações móveis (GSM).
  • EAP-AKA (método de protocolo de autenticação extensível para autenticação de UMTS e contrato de chave) é um mecanismo EAP para autenticação e distribuição de chaves de sessão, usando o módulo de identidade do assinante (USIM) do Universal Mobile Telecommunications System (UMTS) . A placa USIM é um cartão inteligente especial utilizado com redes de celulares para validar um determinado usuário com a rede.
  • O bissexto (Lightweight Extensible Authentication Protocol) é um tipo de autenticação EAP utilizado principalmente nas WLANs Cisco Aironet *. Ele criptografa as transmissões de dados usando chaves WEP geradas dinamicamente e suporta autenticação mútua. Heretofore proprietário, a Cisco tem licenciado um salto para diversos outros fabricantes por meio do programa de extensões compatíveis com Cisco.
  • O PEAP (protocolo de autenticação extensível protegido) fornece um método para transportar dados de autenticação segura, inclusive protocolos baseados em senha herdados, via redes Wi-Fi 802,11. O PEAP faz isso usando o encapsulamento entre clientes PEAP e um servidor de autenticação. Assim como a segurança de camada de transporte (TTLS) padrão da concorrência, o PEAP autentica clientes LAN Wi-Fi usando apenas certificados do lado servidor, simplificando a implementação e a administração de uma LAN Wi-Fi segura. A Microsoft, Cisco e RSA Security desenvolveram o PEAP.

Tipos de EAP 802.1 x

Recurso/benefício

MD5
---
Message Digest 5
TLS
---
Segurança de nível de transporte
TTLS
---
Segurança de nível de transporte encapsulada
PEAP
---
Segurança de nível de transporte protegido

TROCA
---
Autenticação flexível por meio de encapsulamento seguro

IGUAL
---
Protocolo de autenticação extensível leve
Certificado do lado do cliente obrigatórioNãoOkNãoNãoNão
PAC
Não
Certificado do lado do servidor obrigatórioNãoOkOkOkNão
PAC
Não
Gerenciamento de chaves WEPNãoOkOkOkOkOk
Detecção de AP não autorizadoNãoNãoNãoNãoOkOk
ProviderMicrosoftMicrosoftFunkMicrosoftCiscoCisco
Atributos de autenticaçãoUma maneira50.00050.00050.00050.00050.000
Dificuldade de implantaçãoFácilDificuldade (devido à implantação de certificados do cliente)ModerarModerarModerarModerar
Segurança Wi-FiFornecimentoMuito altoMáximaMáximaMáximaAlta quando são utilizadas senhas fortes.

 

Uma análise da discussão e da tabela acima geralmente fornece as seguintes conclusões:

  • Em geral, a MD5 não é utilizada apenas como faz apenas uma autenticação unidirecional, e talvez ainda mais importante não ofereça suporte à distribuição e rotação automáticas de chaves WEP, de modo que não é possível aliviar a carga administrativa da manutenção manual de chaves WEP.
  • Embora seja muito seguro, o TLS requer que os certificados do cliente sejam instalados em cada estação de trabalho Wi-Fi. A manutenção de uma infraestrutura de PKI requer conhecimento e tempo administrativos adicionais, além de fazer a manutenção da própria WLAN.
  • O TTLS soluciona o problema do certificado ao encapsular TLS e, portanto, elimina a necessidade de um certificado no lado do cliente. Tornando isso uma opção preferida com frequência. O funk software * é o promovido principal do TTLS e existe uma carga para o software suplicante e de servidor de autenticação.
  • O bissexto tem a história mais longa e, ao mesmo tempo em que a Cisco era proprietária (funciona somente com adaptadores Wi-Fi Cisco), a Cisco tem licenciado um salto para uma variedade de outros fabricantes por meio de seu programa de extensões compatíveis com Cisco. Uma política de senha forte deve ser imposta quando o LEAP é usado para autenticação.
  • O EAP-FAST já está disponível para empresas que não podem impor uma forte política de senhas e não querem implantar certificados para autenticação.
  • O PEAP mais recente funciona semelhante ao EAP-TTLS, por não exigir um certificado no lado do cliente. O PEAP tem o respaldo da Cisco e da Microsoft e está disponível sem custo adicional da Microsoft. Se quiser fazer a transição de bissexto para PEAP, o servidor de autenticação ACS da Cisco executará ambas.

Outra opção é a VPN

Em vez de confiar em LAN Wi-Fi para autenticação e privacidade (criptografia), muitas empresas implementam uma VPN. Isso é feito ao colocar os pontos de acesso fora do firewall corporativo e fazer com que o usuário faça o encapsulamento por meio de um gateway VPN, exatamente como se ele fosse um usuário remoto. As desvantagens da implementação de uma solução VPN são custo, complexidade da instalação inicial e sobrecarga de administração contínua.