Ir para o conteúdo principal
Base de conhecimentos do Suporte

Visão geral 802.1X e tipos de EAP

Tipo de conteúdo: Documentação e informações do produto   |   ID do artigo: 000006999   |   Última revisão: 28/10/2021
NotaEsses dados não são destinados a usuários domésticos ou de escritórios pequenos que normalmente não usam recursos avançados de segurança, como os discutidos nesta página. No entanto, esses usuários podem achar os tópicos interessantes para fins informativos.

 

Visão geral do 802.1X

802.1X é um protocolo de acesso à porta para proteger redes via autenticação. Como resultado, este tipo de método de autenticação é extremamente útil no ambiente Wi-Fi devido à natureza do meio. Se um usuário Wi-Fi for autenticado via 802.1X para acesso à rede, uma porta virtual será aberta no ponto de acesso permitindo a comunicação. Se não for autorizada com êxito, uma porta virtual não será disponibilizada e as comunicações estão bloqueadas.

Há três peças básicas para autenticação 802.1X:

  1. Suplicante Um cliente de software executando na workstation Wi-Fi.
  2. Autenticador O ponto de acesso Wi-Fi.
  3. Servidor de autenticação Um banco de dados de autenticação, geralmente um servidor de raios, como Cisco ACS*, Funk Steel-Belted RADIUS*ou Microsoft IAS*.

O Protocolo de autenticação extensível (EAP) é usado para passar as informações de autenticação entre o suplicante (a workstation Wi-Fi) e o servidor de autenticação (Microsoft IAS ou outro). O tipo EAP realmente lida e define a autenticação. O ponto de acesso atuando como autenticador é apenas um proxy para permitir que o suplicante e o servidor de autenticação se comuniquem.

Qual devo usar?

Qual tipo de EAP implementar, ou se implementar 802.1X em tudo, depende do nível de segurança que a organização precisa, da sobrecarga administrativa e dos recursos desejados. Espero que as descrições aqui e um gráfico comparativo facilizem as dificuldades em entender a variedade de tipos de EAP disponíveis.

Tipos de autenticação de protocolo de autenticação extensível (EAP)

Como a segurança do Wi-Fi Local Area Network (WLAN) é essencial e os tipos de autenticação de EAP oferecem um meio potencialmente melhor de garantir a conexão WLAN, os fornecedores estão desenvolvendo e adicionando rapidamente os tipos de autenticação EAP aos seus pontos de acesso WLAN. Alguns dos tipos de autenticação EAP mais comumente implantados incluem EAP-MD-5, EAP-TLS, EAP-PEAP, EAP-TTLS, EAP-Fast e Cisco LEAP.

  • O Desafio EAP-MD-5 (Message Digest) é um tipo de autenticação EAP que fornece suporte de EAP de nível básico. O EAP-MD-5 normalmente não é recomendado para implementações de LAN Wi-Fi porque pode permitir que a senha do usuário seja derivada. Ele fornece apenas autenticação de uma única maneira - não há autenticação mútua do cliente Wi-Fi e da rede. E o mais importante é que ele não fornece um meio de derivar chaves de privacidade equivalente (WEP) dinâmicas por sessão.
  • O EAP-TLS (Transport Layer Security) fornece autenticação mútua e baseada em certificados do cliente e da rede. Ela depende de certificados do lado do cliente e do servidor para executar autenticação e pode ser usada para gerar dinamicamente chaves WEP baseadas no usuário e em sessão para garantir comunicações subsequentes entre o cliente WLAN e o ponto de acesso. Uma desvantagem do EAP-TLS é que os certificados devem ser gerenciados no lado do cliente e do servidor. Para uma instalação WLAN grande, isso pode ser uma tarefa muito complicada.
  • O EAP-TTLS (Tunneled Transport Layer Security) foi desenvolvido pela Funk Software* e certicom*, como uma extensão do EAP-TLS. Este método de segurança fornece autenticação mútua e baseada em certificados do cliente e da rede por meio de um canal criptografado (ou túnel), bem como um meio para derivar chaves WEP dinâmicas, por usuário e por sessão. Ao contrário do EAP-TLS, o EAP-TTLS requer apenas certificados do lado do servidor.
  • O EAP-FAST (Autenticação flexível via Túnel Seguro) foi desenvolvido pela Cisco*. Em vez de usar um certificado para obter autenticação mútua. O EAP-FAST autentica-se por meio de uma PAC (Protected Access Credential) que pode ser gerenciada dinamicamente pelo servidor de autenticação. O PAC pode ser provisionado (distribuído uma vez) para o cliente manualmente ou automaticamente. O provisionamento manual é entregue ao cliente por meio de disco ou por um método de distribuição de rede seguro. O provisionamento automático é uma banda em banda, sobre o ar, distribuição.
  • O Método de protocolo de autenticação extensível para identidade de assinante GSM (EAP-SIM) é um mecanismo para autenticação e distribuição da chave de sessão. Ele usa o Módulo de identidade de assinante do Sistema Global para Comunicações Móveis (GSM). O EAP-SIM usa uma chave WEP dinâmica baseada em sessão, que é derivada do adaptador do cliente e do servidor RADIUS, para criptografar dados. O EAP-SIM exige que você insira um código de verificação do usuário, ou PIN, para comunicação com o cartão Do módulo de identidade do assinante (SIM). Um cartão SIM é um cartão inteligente especial que é usado pelo Global System for Mobile Communications (GSM) baseado em redes celulares digitais.
  • EAP-AKA (Método de protocolo de autenticação extensível para autenticação umts e contrato-chave) é um mecanismo de EAP para autenticação e distribuição de chaves de sessão, usando o Módulo de identidade de assinante do Universal Mobile Telecommunications System (UMTS). O cartão USIM é um cartão inteligente especial usado com redes celulares para validar um determinado usuário com a rede.
  • LEAP (Lightweight Extensible Authentication Protocol) é um tipo de autenticação EAP usado principalmente em WLANs Cisco Aironet*. Ele criptografa transmissões de dados usando chaves WEP geradas dinamicamente e suporta autenticação mútua. Até agora proprietária, a Cisco licenciou o LEAP para uma variedade de outros fabricantes por meio de seu programa cisco compatible Extensions.
  • O PEAP (Protected Extensible Authentication Protocol) fornece um método para transportar dados de autenticação com segurança, incluindo protocolos baseados em senha herdados, por meio de redes Wi-Fi 802.11. O PEAP realiza isso usando o túnel entre clientes PEAP e um servidor de autenticação. Como o padrão de segurança de camada de transporte (TTLS) padrão concorrente, o PEAP autentica os clientes wi-fi lan usando apenas certificados do lado do servidor, simplificando assim a implementação e a administração de uma LAN Wi-Fi segura. Microsoft, Cisco e RSA Security desenvolveram o PEAP.

Tipos de EAP 802.1X

Recurso / benefício

MD5
---
Message Digest 5
TLS
---
Segurança de nível de transporte
TTLS
---
Segurança de nível de transporte com túnel
PEAP
---
Segurança de nível de transporte protegido

RÁPIDO
---
Autenticação flexível por meio de túnel seguro

SALTO
---
Protocolo de autenticação extensível leve
Certificado do lado do cliente necessárioNãoSimNãoNãoNão
(PAC)
Não
Certificado do lado do servidor obrigatórioNãoSimSimSimNão
(PAC)
Não
Gerenciamento de chaves WEPNãoSimSimSimSimSim
Detecção de AP desonestoNãoNãoNãoNãoSimSim
ProvedorMSMSFunkMSCiscoCisco
Atributos de autenticaçãoUma maneiraMútuoMútuoMútuoMútuoMútuo
Dificuldade de implantaçãoFácilDifícil (por causa da implantação do certificado do cliente)ModeradaModeradaModeradaModerada
Segurança Wi-FiPobreMuito altaAltaAltaAltaAlta quando senhas fortes são usadas.

 

Uma revisão das discussões e tabela acima geralmente fornece as seguintes conclusões:

  • O MD5 não é tipicamente usado, pois só faz uma autenticação de ida e, talvez, ainda mais importante, não suporta a distribuição automática e a rotação de teclas WEP, portanto, não faz nada para aliviar o ônus administrativo da manutenção manual da chave WEP.
  • O TLS, embora muito seguro, exige que os certificados do cliente seja instalado em cada estação de trabalho Wi-Fi. A manutenção de uma infraestrutura PKI requer especialização administrativa adicional e tempo além da manutenção da própria WLAN.
  • A TTLS aborda o problema do certificado através do tunelamento de TLS e, portanto, eliminando a necessidade de um certificado no lado do cliente. Tornando isso uma opção muitas vezes preferida. O Funk Software* é o principal promotor da TTLS, e há uma cobrança por software de servidor de suposição e autenticação.
  • LEAP tem a história mais longa e, embora anteriormente proprietária da Cisco (funciona apenas com adaptadores Cisco Wi-Fi), a Cisco licenciou o LEAP para uma variedade de outros fabricantes por meio de seu programa Cisco Compatible Extensions. Uma política de senha forte deve ser aplicada quando o LEAP for usado para autenticação.
  • O EAP-FAST agora está disponível para empresas que não podem impor uma política de senha forte e não querem implantar certificados para autenticação.
  • O PEAP mais recente funciona semelhante ao EAP-TTLS, pois não requer um certificado no lado do cliente. O PEAP é apoiado pela Cisco e pela Microsoft e está disponível sem nenhum custo adicional da Microsoft. Se desejar fazer a transição do LEAP para o PEAP, o servidor de autenticação ACS da Cisco executará ambos.

Outra opção é VPN

Em vez de depender da LAN Wi-Fi para autenticação e privacidade (criptografia), muitas empresas implementam uma VPN. Isso é feito colocando os pontos de acesso fora do firewall corporativo e tendo o túnel do usuário por meio de um Gateway VPN - como se fossem um usuário remoto. As desvantagens da implementação de uma solução VPN são o custo, as complexidades iniciais de instalação e a sobrecarga de administração contínua.

Produtos relacionados

Este artigo aplica-se a 140 produtos.
Produtos Intel® Killer™ sem fio Série Intel® Killer™ Wi-Fi Intel® Killer™ Wi-Fi 6 AX1650 (i/s) Intel® Killer™ Wi-Fi 6 AX1650 (x/w) Intel® Killer™ Wi-Fi 6 AX500-DBS Intel® Killer™ Wi-Fi 6E AX1675 (i/s) Intel® Killer™ Wi-Fi 6E AX1675 (x/w) Intel® Killer™ Wi-Fi 6E AX1690 (i/s) Intel® Killer™ Wireless-AC 1550 Intel® Wi-Fi série 6 Kit para desktop Intel® Wi-Fi 6 (Gig+) Intel® Wi-Fi 6 AX200 (Gig+) Intel® Wi-Fi 6 AX201 (Gig+) Intel® Wi-Fi série 6E (Gig+) Intel® Wi-Fi 6E AX210 (Gig+) Intel® Wi-Fi 6E AX210 (Gig+) IOT Embedded Kit Intel® Wi-Fi 6E AX210 (Gig+) IOT Industrial Kit Intel® Wi-Fi 6E AX211 (Gig+) Intel® Wi-Fi 6E AX411 (Gig+) Intel® Wireless Série 3100 Intel® Dual Band Wireless-AC 3165 Intel® Dual Band Wireless-AC 3168 Intel® Wireless Série 7200 Intel® Dual Band Wireless-AC 7265 Intel® Dual Band Wireless-N 7265 Intel® Wireless-N 7265 Intel® Wireless Série 8000 Intel® Wireless série 9000 Kit de IoT industrial Intel® Dual Band Wireless-AC 9260 Intel® Wireless-AC 9260 Intel® Wireless-AC 9461 Intel® Wireless-AC 9462 Intel® Wireless-AC 9560 Intel® Tri-Band Wireless-AC 17265 Intel® Tri-Band Wireless-AC 18260 Intel® Tri-Band Wireless-AC 18265 Produtos Intel® Killer™ sem fio Série Intel® Killer™ Wi-Fi Intel® Killer™ Wi-Fi 6 AX1650 (i/s) Intel® Killer™ Wi-Fi 6 AX1650 (x/w) Intel® Killer™ Wi-Fi 6 AX500-DBS Intel® Killer™ Wi-Fi 6E AX1675 (i/s) Intel® Killer™ Wi-Fi 6E AX1675 (x/w) Intel® Killer™ Wi-Fi 6E AX1690 (i/s) Intel® Killer™ Wireless-AC 1550 Intel® Wi-Fi série 6 Kit para desktop Intel® Wi-Fi 6 (Gig+) Intel® Wi-Fi 6 AX200 (Gig+) Intel® Wi-Fi 6 AX201 (Gig+) Intel® Wi-Fi série 6E (Gig+) Intel® Wi-Fi 6E AX210 (Gig+) Intel® Wi-Fi 6E AX210 (Gig+) IOT Embedded Kit Intel® Wi-Fi 6E AX210 (Gig+) IOT Industrial Kit Intel® Wi-Fi 6E AX211 (Gig+) Intel® Wi-Fi 6E AX411 (Gig+) Intel® Wireless Série 3100 Intel® Dual Band Wireless-AC 3165 Intel® Dual Band Wireless-AC 3168 Intel® Wireless Série 7200 Intel® Dual Band Wireless-AC 7265 Intel® Dual Band Wireless-N 7265 Intel® Wireless-N 7265 Intel® Wireless Série 8000 Intel® Wireless série 9000 Kit de IoT industrial Intel® Dual Band Wireless-AC 9260 Intel® Wireless-AC 9260 Intel® Wireless-AC 9461 Intel® Wireless-AC 9462 Intel® Wireless-AC 9560 Intel® Tri-Band Wireless-AC 17265 Intel® Tri-Band Wireless-AC 18260 Intel® Tri-Band Wireless-AC 18265

Produtos descontinuados

Intel® Dual Band Wireless-AC 3160 Intel® Dual Band Wireless-AC 7260 Intel® Dual Band Wireless-AC 7260 para desktop Intel® Dual Band Wireless-N 7260 Intel® Wireless-N 7260 Intel® Dual Band Wireless-AC 8260 Intel® Dual Band Wireless-AC 8265 Desktop Kit Intel® Dual Band Wireless-AC 8265 Intel® Centrino® Advanced-N + WiMAX 6250, Banda dupla Intel® Centrino® Advanced-N 6200 Intel® Centrino® Advanced-N 6205 for Desktop Intel® Centrino® Advanced-N 6205, Banda dupla Intel® Centrino® Advanced-N 6230, Banda dupla Intel® Centrino® Advanced-N 6235, banda dupla Intel® Centrino® Ultimate-N 6300 Intel® Centrino® Wireless-N + WiMAX 6150, Banda única Intel® Centrino® Wireless-N 100 Intel® Centrino® Wireless-N 1000 Intel® Centrino® Wireless-N 1030, Banda única Intel® Centrino® Wireless-N 105, banda única Intel® Centrino® Wireless-N 130, Banda única Intel® Centrino® Wireless-N 135, banda única Intel® Centrino® Wireless-N 2200 para Desktop Intel® Centrino® Wireless-N 2200, banda única Intel® Centrino® Wireless-N 2230, banda única Intel® WiFi Link 1000 Intel® Wi-Fi Link 5100 Intel® Wi-Fi Link 5300 Intel® WiMAX/Wi-Fi Link 5150 Intel® WiMAX/WiFi Link 5350 Intel® Wireless WiFi Link 4965AGN Intel® Dual Band Wireless-AC 3160 Intel® Dual Band Wireless-AC 7260 Intel® Dual Band Wireless-AC 7260 para desktop Intel® Dual Band Wireless-N 7260 Intel® Wireless-N 7260 Intel® Dual Band Wireless-AC 8260 Intel® Dual Band Wireless-AC 8265 Desktop Kit Intel® Dual Band Wireless-AC 8265 Intel® Centrino® Advanced-N + WiMAX 6250, Banda dupla Intel® Centrino® Advanced-N 6200 Intel® Centrino® Advanced-N 6205 for Desktop Intel® Centrino® Advanced-N 6205, Banda dupla Intel® Centrino® Advanced-N 6230, Banda dupla Intel® Centrino® Advanced-N 6235, banda dupla Intel® Centrino® Ultimate-N 6300 Intel® Centrino® Wireless-N + WiMAX 6150, Banda única Intel® Centrino® Wireless-N 100 Intel® Centrino® Wireless-N 1000 Intel® Centrino® Wireless-N 1030, Banda única Intel® Centrino® Wireless-N 105, banda única Intel® Centrino® Wireless-N 130, Banda única Intel® Centrino® Wireless-N 135, banda única Intel® Centrino® Wireless-N 2200 para Desktop Intel® Centrino® Wireless-N 2200, banda única Intel® Centrino® Wireless-N 2230, banda única Intel® WiFi Link 1000 Intel® Wi-Fi Link 5100 Intel® Wi-Fi Link 5300 Intel® WiMAX/Wi-Fi Link 5150 Intel® WiMAX/WiFi Link 5350 Intel® Wireless WiFi Link 4965AGN Conexão de rede Intel® PRO/Wireless 3945ABG Conexão de rede Intel® PRO/Wireless 2915ABG Conexão de rede PRO/Sem fio Intel® 2200BG Conexão de rede Intel® PRO/Wireless 3945ABG Conexão de rede Intel® PRO/Wireless 2915ABG Conexão de rede PRO/Sem fio Intel® 2200BG

Avisos legais

O conteúdo desta página é uma combinação de tradução humana e por computador do conteúdo original em inglês. Este conteúdo é fornecido para sua conveniência e apenas para informação geral, e não deve ser considerado completo ou exato. Se houver alguma contradição entre a versão em inglês desta página e a tradução, a versão em inglês prevalecerá e será a determinante. Exibir a versão em inglês desta página.