Abrir menu principal
Question book.svg
Este artigo ou secção não cita fontes confiáveis e independentes (desde agosto de 2018). Ajude a inserir referências.
O conteúdo não verificável pode ser removido.—Encontre fontes: Google (notícias, livros e acadêmico)

IEEE 802.1X é um padrão IEEE para controle de acesso à rede com base em portas; faz parte do grupo IEEE 802.1 de protocolos de redes de computadores. Provê um mecanismo de autenticação para dispositivos que desejam juntar-se a uma porta na LAN, seja estabelecendo uma conexão ponto-a-ponto ou prevenindo acesso para esta porta se a autenticação falhar. É usado para a maioria dos Access points sem fio 802.11 e é baseado no Protocolo de Autenticação Extensiva (EAP).



Visão GeralEditar

Um nó wireless precisa autenticar-se antes de poder ter acesso aos recursos da LAN. 802.1X provê autenticação baseada em portas, que envolve comunicação entre o requisitante, o autenticador e o servidor de autenticação. O requisitante é comumente o software em um dispositivo cliente, como um laptop, o autenticador é um Switch Ethernet ou Access Point sem fio, e a autenticação geralmente uma base de dados RADIUS. O autenticador atua como uma proteção secundária à rede. Não é permitido ao requisitante (ex.: dispositivo cliente) acesso através do autenticador ao lado protegido da rede até que a identidade do requisitante seja autorizada. Uma analogia a isso é prover um passaporte válido em um aeroporto antes de ser permitida a passagem pela segurança até o terminal. Com a autenticação baseada em portas 802.1X, o requisitante provê credenciais como nome de usuário / senha ou certificado digital, ao autenticador, e ele encaminha as credenciais até o servidor de autenticação para verificação. Se as credenciais são válidas (na base de dados do servidor de autenticação), o requisitante (dispositivo cliente) é permitido acessar os recursos localizados no lado protegido da rede.

Sob detecção do novo cliente (requisitante), a porta na switch (autenticador) é habilitada e mudada para o estado “não-autorizado”. Neste estado, apenas tráfego 802.1x é permitido; outros tráfegos, como DHCP e HTTP, são bloqueados na camada de enlace. O autenticador envia a identidade de autenticação EAP-request' ao requisitante, que por sua vez responde com o pacote EAP-response que o autenticador encaminha ao servidor de autenticação. Se o servidor de autenticação aceitar a requisição, o autenticador muda o estado da porta para o modo “autorizado” e o tráfego normal é autorizado. Quando o requisitante efetua um logoff, envia uma mensagem EAP-logoff para o autenticador. O autenticador então, muda sua porta para o estado “não-autorizado”, bloqueando novamente todo o tráfego não-EAP.

ImplementaçõesEditar

Access Points Sem FioEditar

Vendedores de access points Wi-Fi agora usam 802.11i que implementa 802.1X para access points wireless para corrigir as vulnerabilidades de segurança encontradas em WEP. O papel do autenticador é realizado tanto pelo Access point em si via chave-pré-compartilhada (referida também como WPA2-PSK) ou para empresas maiores, por identidade terceira, como um servidor RADIUS. Ele provê autenticação apenas para o cliente ou, mais apropriadamente, autenticação forte e mútua utilizando protocolos como EAP-TLS.


SoftwareEditar

Windows XP e Windows Vista suportam 802.1X para todas conexões de rede por padrão. Windows 2000 possui suporte no último service Pack. Windows Mobile 2003 e sistemas operacionais mais atuais também vêm com client nativo 802.1x. Windows XP possui maiores questões com mudança de endereço IP (VLAN Dinâmica) como resultado de uma validação de usuário 802.1X e a Microsoft não irá modificar esta característica que evitará estes problemas.

Um projeto para Linux conhecido como Open1X produz um cliente Open Source, Xsupplicant. O mais geral requisitante WPA pode ser usado para conexões para redes com e sem fio 802.11. Ambos suportam um range bastante abrangente de tipos de EAP.

MAC OS X oferece um suporte nativo desde 10.3. O iPhone e o iPod Touch suportam 802.1X assim como o lançamento do iPhone OS 2.0.


VulnerabilidadesEditar

No verão de 2005, Steve Riley, da Microsoft, postou um artigo detalhando uma séria vulnerabilidade no protocolo 802.1X, envolvendo um ataque Man in the Middle. Em suma, a falha está no fato que o 802.1X autentica apenas no começo da conexão, mas após a autenticação, é possível para um atacante usar a porta autenticada se ele possui habilidade para fisicamente inserir-se (talvez usando um hub workgroup) entre o computador autenticado e a porta. Riley então sugeriu que para redes com fio usando IPSec ou uma combinação de IPSec e 802.1X pode ser mais segura.