EAP - gta.ufrj.br · Ok! Mas isso existe aonde? Monday, November 16, 2009. Client-side
Transcript of EAP - gta.ufrj.br · Ok! Mas isso existe aonde? Monday, November 16, 2009. Client-side
EAPExtensible Authentication Protocol
Redes de Computadores II
Professores:Luis Henrique Kosmalski CostaOtto Carlos Bandeira Duarte
Vinícius FerrãoNovembro / 2009
Monday, November 16, 2009
• Não é bem um protocolo!
• Especificação do IETF
• Capaz de prover autenticação
• Virtualmente compatível com “tudo”
O que é o EAP?
Monday, November 16, 2009
• Necessidade de autenticação em redes
• Controle de acesso
• Segurança
• Utilização comercial
Motivação
Monday, November 16, 2009
Como funciona?
• Conhecida como fase zero
• Peers iniciam a busca por autenticadores
• Se encontrados realizam ‘query’ das capacidades dos autenticadores
Monday, November 16, 2009
Como funciona?
• Conhecida como fase um
• Cliente e autenticador conectados
• Primeira autenticação EAP
• Troca de chaves
Monday, November 16, 2009
Como funciona?
• Fase opcional 1b
• Passthrough das chaves entre o cliente e o servidor de autenticação
Monday, November 16, 2009
Como funciona?
• Ultima fase de autenticação: fase 2
• Conexão segura estabelecida entre o cliente e o servidor
• Associação segura: unicast ou multicast
Monday, November 16, 2009
Métodos do EAP
• EAP-LEAP / EAP-FAST
• EAP-TLS
• EAP-MD5
• EAP-PSK
• EAP-TTLS
• EAP-PEAP
Monday, November 16, 2009
EAP-LEAP
• Desenvolvido pela Cisco
• Primeiro método EAP para acessos WiFi.
• Segredo compartilhado
• Round robin de chaves WEP
• Completamente quebrado
• Aperfeiçoado pelo EAP-FAST
Monday, November 16, 2009
EAP-TLS
• Transport Layer Security
• Autenticação através de um túnel TLS
• Certificados para o cliente e o servidor
• Método mais seguro de autenticação
• Amplamente suportado
Monday, November 16, 2009
EAP-MD5
• Baseada na função de hash MD5
• Segredo compartilhado entre os clientes e o servidor
• Completamente vulnerável: bruteforce, ataques de dicionário, sem validação.
• Pode ser implementado sobre o EAP-TTLS
Monday, November 16, 2009
EAP-PSK
• Chave pré-compartilhada
• Simplicidade
• Criptografia AES de 128 bits
• Amplamente difundido
• WPA-PSK e WPA2-PSK
• Vulnerável apenas a bruteforce
Monday, November 16, 2009
EAP-TTLS
• Estende o EAP-TLS através de encapsulamento de túnel
• Isenta a utilização de certificado de acesso para clientes
• Compatibilidade com métodos “legacy”; garantia de segurança pelo túnel encriptado
Monday, November 16, 2009
EAP-PEAP
• Protected EAP
• Desenvolvido pela Cisco, Microsoft e RSA
• Não é um protocolo para criptografia
• Apenas autentica usuários
• Similar ao EAP-TTLS
• Vastamente utilizado em redes WiFi
• Duas versões: PEAPv0 e PEAPv1
Monday, November 16, 2009
EAP-PEAP
• PEAPv0 / EAP-MSCHAPv2
• Amplamente adotado no mercado
• Funcionamento praticamente idêntico ao EAP-TTLS
• PEAPv1 / EAP-GTC
• Permite a utilização de protocolos de handshake diferentes do MS-CHAPv2
• Sem adoção, pouco utilizado
Monday, November 16, 2009
Métodos mais utilizados
• EAP-PSK
• Presente em praticamente todo ambiente coberto por uma rede WiFi
• EAP-PEAPv0 / EAP-MSCHAPv2
• Amplamente utilizado em redes corporativas.
• Utilizado pela “falta-de-opção” no quesito suporte.
Monday, November 16, 2009
Client-side
• Sistemas Operacionais
• Windows
• Linux
• Mac OS X
• Symbian S60
• iPhone OS 2.x
Monday, November 16, 2009
Server-side
• Radius Server
• FreeRADIUS
• Aradial
• Radiator
• Internet Authentication Service
• Cisco Secure Access Control Server
Monday, November 16, 2009
Conclusões
• Extremamente necessário em ambientes corporativos
• Crescente utilização no segmento doméstico
• Convergência para padronização de formato
• Regras ditas pelo mercado
• Tecnologia consolidada com o surgimento de redes sem fio.
Monday, November 16, 2009