Visão geral do 802.1X
802.1X é um protocolo de acesso à porta para proteger redes via autenticação. Como resultado, este tipo de método de autenticação é extremamente útil no ambiente Wi-Fi devido à natureza do meio. Se um usuário Wi-Fi for autenticado via 802.1X para acesso à rede, uma porta virtual será aberta no ponto de acesso permitindo a comunicação. Se não for autorizada com êxito, uma porta virtual não será disponibilizada e as comunicações estão bloqueadas.
Há três peças básicas para autenticação 802.1X:
- Suplicante Um cliente de software executando na workstation Wi-Fi.
- Autenticador O ponto de acesso Wi-Fi.
- Servidor de autenticação Um banco de dados de autenticação, geralmente um servidor de raios, como Cisco ACS*, Funk Steel-Belted RADIUS*ou Microsoft IAS*.
O Protocolo de autenticação extensível (EAP) é usado para passar as informações de autenticação entre o suplicante (a workstation Wi-Fi) e o servidor de autenticação (Microsoft IAS ou outro). O tipo EAP realmente lida e define a autenticação. O ponto de acesso atuando como autenticador é apenas um proxy para permitir que o suplicante e o servidor de autenticação se comuniquem.
Qual devo usar?
Qual tipo de EAP implementar, ou se implementar 802.1X em tudo, depende do nível de segurança que a organização precisa, da sobrecarga administrativa e dos recursos desejados. Espero que as descrições aqui e um gráfico comparativo facilizem as dificuldades em entender a variedade de tipos de EAP disponíveis.
Tipos de autenticação de protocolo de autenticação extensível (EAP)
Como a segurança do Wi-Fi Local Area Network (WLAN) é essencial e os tipos de autenticação de EAP oferecem um meio potencialmente melhor de garantir a conexão WLAN, os fornecedores estão desenvolvendo e adicionando rapidamente os tipos de autenticação EAP aos seus pontos de acesso WLAN. Alguns dos tipos de autenticação EAP mais comumente implantados incluem EAP-MD-5, EAP-TLS, EAP-PEAP, EAP-TTLS, EAP-Fast e Cisco LEAP.
- O Desafio EAP-MD-5 (Message Digest) é um tipo de autenticação EAP que fornece suporte de EAP de nível básico. O EAP-MD-5 normalmente não é recomendado para implementações de LAN Wi-Fi porque pode permitir que a senha do usuário seja derivada. Ele fornece apenas autenticação de uma única maneira - não há autenticação mútua do cliente Wi-Fi e da rede. E o mais importante é que ele não fornece um meio de derivar chaves de privacidade equivalente (WEP) dinâmicas por sessão.
- O EAP-TLS (Transport Layer Security) fornece autenticação mútua e baseada em certificados do cliente e da rede. Ela depende de certificados do lado do cliente e do servidor para executar autenticação e pode ser usada para gerar dinamicamente chaves WEP baseadas no usuário e em sessão para garantir comunicações subsequentes entre o cliente WLAN e o ponto de acesso. Uma desvantagem do EAP-TLS é que os certificados devem ser gerenciados no lado do cliente e do servidor. Para uma instalação WLAN grande, isso pode ser uma tarefa muito complicada.
- O EAP-TTLS (Tunneled Transport Layer Security) foi desenvolvido pela Funk Software* e certicom*, como uma extensão do EAP-TLS. Este método de segurança fornece autenticação mútua e baseada em certificados do cliente e da rede por meio de um canal criptografado (ou túnel), bem como um meio para derivar chaves WEP dinâmicas, por usuário e por sessão. Ao contrário do EAP-TLS, o EAP-TTLS requer apenas certificados do lado do servidor.
- O EAP-FAST (Autenticação flexível via Túnel Seguro) foi desenvolvido pela Cisco*. Em vez de usar um certificado para obter autenticação mútua. O EAP-FAST autentica-se por meio de uma PAC (Protected Access Credential) que pode ser gerenciada dinamicamente pelo servidor de autenticação. O PAC pode ser provisionado (distribuído uma vez) para o cliente manualmente ou automaticamente. O provisionamento manual é entregue ao cliente por meio de disco ou por um método de distribuição de rede seguro. O provisionamento automático é uma banda em banda, sobre o ar, distribuição.
- O Método de protocolo de autenticação extensível para identidade de assinante GSM (EAP-SIM) é um mecanismo para autenticação e distribuição da chave de sessão. Ele usa o Módulo de identidade de assinante do Sistema Global para Comunicações Móveis (GSM). O EAP-SIM usa uma chave WEP dinâmica baseada em sessão, que é derivada do adaptador do cliente e do servidor RADIUS, para criptografar dados. O EAP-SIM exige que você insira um código de verificação do usuário, ou PIN, para comunicação com o cartão Do módulo de identidade do assinante (SIM). Um cartão SIM é um cartão inteligente especial que é usado pelo Global System for Mobile Communications (GSM) baseado em redes celulares digitais.
- EAP-AKA (Método de protocolo de autenticação extensível para autenticação umts e contrato-chave) é um mecanismo de EAP para autenticação e distribuição de chaves de sessão, usando o Módulo de identidade de assinante do Universal Mobile Telecommunications System (UMTS). O cartão USIM é um cartão inteligente especial usado com redes celulares para validar um determinado usuário com a rede.
- LEAP (Lightweight Extensible Authentication Protocol) é um tipo de autenticação EAP usado principalmente em WLANs Cisco Aironet*. Ele criptografa transmissões de dados usando chaves WEP geradas dinamicamente e suporta autenticação mútua. Até agora proprietária, a Cisco licenciou o LEAP para uma variedade de outros fabricantes por meio de seu programa cisco compatible Extensions.
- O PEAP (Protected Extensible Authentication Protocol) fornece um método para transportar dados de autenticação com segurança, incluindo protocolos baseados em senha herdados, por meio de redes Wi-Fi 802.11. O PEAP realiza isso usando o túnel entre clientes PEAP e um servidor de autenticação. Como o padrão de segurança de camada de transporte (TTLS) padrão concorrente, o PEAP autentica os clientes wi-fi lan usando apenas certificados do lado do servidor, simplificando assim a implementação e a administração de uma LAN Wi-Fi segura. Microsoft, Cisco e RSA Security desenvolveram o PEAP.
Uma revisão das discussões e tabela acima geralmente fornece as seguintes conclusões:
- O MD5 não é tipicamente usado, pois só faz uma autenticação de ida e, talvez, ainda mais importante, não suporta a distribuição automática e a rotação de teclas WEP, portanto, não faz nada para aliviar o ônus administrativo da manutenção manual da chave WEP.
- O TLS, embora muito seguro, exige que os certificados do cliente seja instalado em cada estação de trabalho Wi-Fi. A manutenção de uma infraestrutura PKI requer especialização administrativa adicional e tempo além da manutenção da própria WLAN.
- A TTLS aborda o problema do certificado através do tunelamento de TLS e, portanto, eliminando a necessidade de um certificado no lado do cliente. Tornando isso uma opção muitas vezes preferida. O Funk Software* é o principal promotor da TTLS, e há uma cobrança por software de servidor de suposição e autenticação.
- LEAP tem a história mais longa e, embora anteriormente proprietária da Cisco (funciona apenas com adaptadores Cisco Wi-Fi), a Cisco licenciou o LEAP para uma variedade de outros fabricantes por meio de seu programa Cisco Compatible Extensions. Uma política de senha forte deve ser aplicada quando o LEAP for usado para autenticação.
- O EAP-FAST agora está disponível para empresas que não podem impor uma política de senha forte e não querem implantar certificados para autenticação.
- O PEAP mais recente funciona semelhante ao EAP-TTLS, pois não requer um certificado no lado do cliente. O PEAP é apoiado pela Cisco e pela Microsoft e está disponível sem nenhum custo adicional da Microsoft. Se desejar fazer a transição do LEAP para o PEAP, o servidor de autenticação ACS da Cisco executará ambos.
Outra opção é VPN
Em vez de depender da LAN Wi-Fi para autenticação e privacidade (criptografia), muitas empresas implementam uma VPN. Isso é feito colocando os pontos de acesso fora do firewall corporativo e tendo o túnel do usuário por meio de um Gateway VPN - como se fossem um usuário remoto. As desvantagens da implementação de uma solução VPN são o custo, as complexidades iniciais de instalação e a sobrecarga de administração contínua.