Visão geral e tipos de EAP 802.1X

Documentação

Documentação e informações do produto

000006999

26/03/2021

NotaEsses dados não se destinam a usuários casa ou pequeno escritório que normalmente não usam recursos avançados de segurança, como os discutidos nesta página. No entanto, esses usuários podem achar os tópicos interessantes para fins de informação.

 

Visão geral do 802.1X

802.1X é um protocolo de acesso de porta para proteger redes via autenticação. Como resultado, esse tipo de método de autenticação é extremamente útil no ambiente Wi-Fi devido à natureza da mídia. Se um usuário de Wi-Fi for autenticado via 802.1X para acesso à rede, uma porta virtual será aberta no ponto de acesso permitindo a comunicação. Se não for autorizada com êxito, uma porta virtual não será disponibilizada e as comunicações serão bloqueadas.

Há três peças básicas para autenticação 802.1X:

  1. Súplico Um cliente de software executando na estação de trabalho Wi-Fi.
  2. Autenticador O ponto de acesso Wi-Fi.
  3. Servidor de autenticação Um banco de dados de autenticação, geralmente um servidor de raios, como Cisco ACS*, Merred-Steel RADIUS* ou Microsoft IAS*.

O Protocolo de Autenticação Extensível (EAP) é usado para passar as informações de autenticação entre o suplicante (a workstation Wi-Fi) e o servidor de autenticação (Microsoft IAS ou outra). O tipo EAP trata e define a autenticação. O ponto de acesso agindo como autenticador é apenas um proxy para permitir que o súplico e o servidor de autenticação se comuniquem.

O que devo usar?

Qual tipo de EAP implementar, ou se implementar 802.1X em tudo, depende do nível de segurança de que a organização precisa, da sobrecarga administrativa e dos recursos desejados. Este gráfico comparativo facilitará as dificuldades de compreensão da variedade de tipos de EAP disponíveis.

Tipos de autenticação extensível do Protocolo de Autenticação (EAP)

Como a segurança da rede local (WLAN) Wi-Fi é essencial e os tipos de autenticação de EAP fornecem um meio potencialmente melhor de proteger a conexão WLAN, os fornecedores estão se desenvolvendo rapidamente e adicionando tipos de autenticação EAP aos seus pontos de acesso WLAN. Alguns dos tipos de autenticação EAP mais comumente implantados incluem EAP-MD-5, EAP-TLS, EAP-LEAPP, EAP-TTLS, EAP-Fast e Cisco LEAP.

  • O Desafio EAP-MD-5 (Message Digest) é um tipo de autenticação EAP que fornece suporte AAP de nível básico. O EAP-MD-5 geralmente não é recomendado para implementações de LAN Wi-Fi porque pode permitir que a senha do usuário seja derivada. Ele fornece autenticação única – não há autenticação recíproca do cliente Wi-Fi e da rede. E muito importante, ele não fornece meios para derivar chaves dinâmicas, por sessão com fio de privacidade equivalente (WEP).
  • O EAP-TLS (Transport Layer Security) fornece autenticação recíproca e baseada em certificado do cliente e da rede. Ela depende de certificados do lado do cliente e do servidor para executar autenticação e pode ser usada para gerar dinamicamente chaves WEP baseadas no usuário e em sessões para proteger comunicações subsequentes entre o cliente WLAN e o ponto de acesso. Uma desvantagem do EAP-TLS é que os certificados devem ser gerenciados no lado do cliente e do servidor. Para uma grande instalação de WLAN, essa pode ser uma tarefa muito simples.
  • O EAP-TTLS (Tunneled Transport Layer Security) foi desenvolvido pela EAP-TTLS (Tunneled Transport Layer Security, segurança de camada de transporte tunelada) foi desenvolvida pela EAP-TLS* e pela Certicom*. Este método de segurança fornece a autenticação mutua e baseada em certificado do cliente e da rede por meio de um canal criptografado (ou túnel), bem como um método para derivar chaves WEP dinâmicas, por usuário e por sessão. Ao contrário do EAP-TLS, o EAP-TTLS requer apenas certificados no lado do servidor.
  • O EAP-FAST (Autenticação flexível via tunelamento seguro) foi desenvolvido pela Cisco*. Em vez de usar um certificado para obter autenticação recíproca. O EAP-FAST autentica-se por meio de uma PAC (Credencial de acesso protegido), que pode ser gerenciada dinamicamente pelo servidor de autenticação. O PAC pode ser provisionado (distribuído uma vez) para o cliente manualmente ou automaticamente. O provisionamento manual é entregue ao cliente por disco ou por um método de distribuição de rede seguro. O provisionamento automático é uma distribuição em banda, sobre o ar.
  • O Método do Protocolo de Autenticação Extensível para Identidade de Assinante do GSM (EAP-SIM) é um mecanismo para autenticação e distribuição de chave de sessão. Ele usa o Módulo de identidade de assinante (SIM) do Sistema Global para Comunicações Móveis (GSM). O EAP-SIM usa uma chave WEP dinâmica baseada em sessão, que é derivada do adaptador do cliente e do servidor RADIUS, para criptografar dados. O EAP-SIM exige que você insira um código de verificação do usuário, ou PIN, para comunicação com o cartão do Módulo de identidade do assinante (SIM). Um cartão SIM é um cartão inteligente especial que é usado pelas redes digitais digitais baseadas em GSM (Global System for Mobile Communications).
  • O EAP-AKA (Extensible Authentication Protocol Method for UMTS Authentication and Key Agreement) é um mecanismo EAP para autenticação e distribuição de chaves de sessão, usando o Módulo de identidade de assinante do Sistema Universal de Telecomunicações Móveis (UMTS- Universal Mobile Telecommunications System - USIM). O cartão USIM é um cartão inteligente especial utilizado com redes celulares para validar um determinado usuário com a rede.
  • LEAP (Lightweight Extensible Authentication Protocol) - tipo de autenticação EAP usado principalmente em WLANs Cisco Aironet*. Ela criptografa transmissões de dados usando teclas WEP geradas dinamicamente e suporta autenticação recíproca. Por meio deste contrato de propriedade, a Cisco licenciou o LEAP para uma variedade de outros fabricantes por meio do seu programa Cisco Compatible Extensions.
  • O PROCEDIMENTO (Protected Extensible Authentication Protocol) fornece um método para transportar dados de autenticação com segurança, incluindo protocolos baseados em senhas herdados, por meio de redes Wi-Fi 802.11. O BUSCADOR realiza isso usando um tunelamento entre os clientes DOLMs e um servidor de autenticação. Como a concorrente TTLS (Tunneled Transport Layer Security, Segurança padrão de camada de transporte com tunelamento), o SRMS (Tunneled Transport Layer Security) autentica os clientes wi-Fi usando apenas certificados no lado do servidor, simplificando assim a implementação e a administração de uma LAN Wi-Fi segura. A Microsoft, a Cisco e a EMPRESA DE SEGURANÇA DESENVOLVERAM o SRLEM.

802.1X Tipos de EAP

Recurso / Benefício

MD5
---
Message Digest 5
Tls
---
Segurança no nível de transporte
Ttls
---
Segurança no nível do transporte com tunel
Peap
---
Segurança de nível de transporte protegido

Rápido
---
Autenticação flexível por meio de tunelamento seguro

Salto
---
Protocolo de autenticação extensível leve
Certificado do lado do cliente obrigatórioNãoSimNãoNãoNão
(PAC)
Não
Certificado do lado do servidor obrigatórioNãoSimSimSimNão
(PAC)
Não
Gerenciamento de chaves WEPNãoSimSimSimSimSim
Detecção de AP DolsaNãoNãoNãoNãoSimSim
ProvedorMsMsFunkMsCiscoCisco
Atributos de autenticaçãoUma formaMútuoMútuoMútuoMútuoMútuo
Dificuldade de implantaçãoFácilDifícil (por causa da implantação do certificado do cliente)ModeradaModeradaModeradaModerada
Segurança Wi-FiPobreMuito altoAltaAltaAltaSenhas altas quando fortes são usadas.

 

Uma revisão das discussões e tabela acima geralmente fornece as seguintes orientações:

  • A MD5 não é tipicamente usada, pois só faz uma autenticação de via única, e talvez ainda mais importante não suporte a distribuição e rodízio automáticos de chaves WEP, portanto, nada alivia o fardo administrativo da manutenção manual de chaves WEP.
  • O TLS, embora muito seguro, exige que os certificados do cliente sejam instalados em cada estação de trabalho Wi-Fi. A manutenção de uma infraestrutura PKI requer conhecimento administrativo adicional e tempo além da manutenção da própria WLAN.
  • A TTLS resolve o problema do certificado por meio do tunelamento de TLS e, portanto, eliminando a necessidade de um certificado no lado do cliente. Tornando esta uma opção de preferência. Ele é o principal incentivador da TTLS, e há uma cobrança por software de servidor de suúplico e autenticação.
  • O LEAP tem a maior história e, embora anteriormente seja proprietária da Cisco (trabalha apenas com adaptadores Wi-Fi da Cisco), a Cisco licenciou o LEAP para uma variedade de outros fabricantes por meio do seu programa Cisco Compatible Extensions. Uma política de senha forte deve ser aplicada quando o LEAP for usado para autenticação.
  • O EAP-FAST já está disponível para empresas que não podem impor uma política de senha forte e não querem implantar certificados para autenticação.
  • O MAIS recente é semelhante ao EAP-TTLS, por não exigir um certificado no lado do cliente. A EMPRESA TEM o apoio da Cisco e da Microsoft e está disponível sem nenhum custo adicional da Microsoft. Se desejado para fazer a transição do LEAP para o LEAPP, o servidor de autenticação ACS da Cisco executará ambos.

Outra opção é VPN

Em vez de depender de LAN Wi-Fi para autenticação e privacidade (criptografia), muitas empresas implementam uma VPN. Isso é feito colocando os pontos de acesso fora do firewall corporativo e fazendo com que o túnel do usuário seja feito por meio de um Gateway VPN, como se eles fossem um usuário remoto. As desvantagens da implementação de uma solução VPN são o custo, as complexidades iniciais de instalação e a sobrecarga de administração contínua.