Conceitos 802.1X

O primeiro post do blog será sobre autenticação 802.1x e será divido em três partes:

  1. Visão geral do processo de autenticação.
  2. Autenticação PEAP-MSCHAPv2 com NPS Server.
  3. Autenticação PEAP-MSCHAPv2 e EAP-TLS com UAM Server.
Parte 1 -  Visão geral do processo de autenticação
Antes de tudo para entender o processo de autenticação, é necessário compreender três conceitos distintos: PPP, EAP e 802.1.X.

PPP: Era originalmente um protocolo utilizado para a conexão e autenticação de modems dial-up.
Nas implementações atuais o PPP é encapsulado em quadros Ethernet e opera em PPP over Ethernet (PPPoE). PPPoE é utilizado para conexões de modem por cabo ou DSL com um ISP para acesso à Internet (utilizamos PPPoE para fechar a conexões com os provedores de Internet ou configuramos o protocolo em algum roteador que possa fazer a conexão automaticamente). 
PPP inclui dois mecanismos de autenticação: Password Authentication Protocol (PAP) e Challenge Handshake Authentication Protocol (CHAP), sendo que o primeiro modo encaminha a senha em
ASCII
ASCII e não faz criptografia e o segundo modo envia a senha de modo criptografado.

EAP: é uma estrutura de protocolo de autenticação que funciona dentro do PPP para fornecer suporte para protocolos de autenticação além dos protocolos PAP e CHAP originais. EAP suporta uma ampla variedade de mecanismos de autenticação, incluindo Kerberos, senhas, certificados e autenticação de chave pública, bem como esquemas de hardware, como dongles de autenticação, os cartões inteligentes e tokens USB.

802.1X: De uma  maneira bem direta, o 802.1X simplesmente encapsula os frames EAP e coloca em frames Ethernet não utilizando a estrutura de frames PPP, em seguida transmite o pacote através de uma rede cabeada ou sem fio. Isso se faz necessário tendo em vista de não existir a necessidade de utilizar o cabeçalho PPP evitando overhead. A alguns anos atrás o grande problema que tínhamos com implementação 802.1X era a interoperabilidade do protocolo. Os anos se passaram, os dispositivos começaram a seguir um padrão mais confiável e agora não vemos mais empecilhos para a não implementação de 802.1X tendo em vista que ele passa ser um dos modos mais seguros de autenticação combinados com outras técnicas que veremos mais a frente.

Arquitetura 802.1X:

 
Precisamos entender as três entidades existentes em 802.1X  para que possa fazer uma implementação bem sucedida:

• Suplicante: Um usuário que queira conectar a rede.
• Autenticador: No nosso caso o autenticador deve ser uma controladora wireless ou o próprio Access Point que será responsável por enviar os dados fornecidos do suplicante (cliente) para o servidor de autenticação (Radius).
• Servidor de Autenticação: Geralmente um servidor RADIUS, que decide se aceita ou não a solicitação do usuário para acesso à rede ( No nosso caso o servidor de autenticação será o NPS da Microsoft e o UAM da HP).


O seguinte fluxo é utilizado para que uma conexão seja bem sucedida:

  • O Suplicante (cliente) envia uma mensagem EAP-start.
  • O Autenticador (Controladora ou Access Point) envia um pacote  EAP-request para o Suplicante (cliente).
  • Nesse momento o Servidor de autenticação inicia um "desafio" para checar a confiabilidade das credencias do cliente sendo que o cliente faz a mesma checagem com as credencias do Servidor. Detalhe que o responsável pela troca desses pacotes é o Autenticador. 
  •  O servidor de Autenticação aceita ou rejeita o pedido de conexão do Suplicante.
  • Caso o pedido for aceite, o próximo passo é aplicar as políticas de segurança ao usuário em questão.
 


Na próxima postagem vamos fazer as configurações necessárias do Autenticador (Controladora Wireless) e do Servidor de Autenticação ( NPS Server) e faremos os testes de conexão com um usuário.

 

Comentários

Postagens mais visitadas deste blog

Introdução Remote Access Point Aruba

NPS PEAP-MSCHAPV2 + WLC CISCO e WLC HP

802.11 Medium Access - CSMA/CA Overview