eap - gta.ufrj.br · ok! mas isso existe aonde? monday, november 16, 2009. client-side

EAPExtensible Authentication Protocol

Monday, November 16, 2009

EAPExtensible Authentication Protocol

Redes de Computadores II

Professores:Luis Henrique Kosmalski CostaOtto Carlos Bandeira Duarte

Vinícius FerrãoNovembro / 2009


• Não é bem um protocolo!

• Especificação do IETF

• Capaz de prover autenticação

• Virtualmente compatível com “tudo”

O que é o EAP?


• Necessidade de autenticação em redes

• Controle de acesso

• Segurança

• Utilização comercial

Motivação


Como funciona?

• Três fases genéricas


Como funciona?

• Conhecida como fase zero

• Peers iniciam a busca por autenticadores

• Se encontrados realizam ‘query’ das capacidades dos autenticadores


Como funciona?

• Conhecida como fase um

• Cliente e autenticador conectados

• Primeira autenticação EAP

• Troca de chaves


Como funciona?

• Fase opcional 1b

• Passthrough das chaves entre o cliente e o servidor de autenticação


Como funciona?

• Ultima fase de autenticação: fase 2

• Conexão segura estabelecida entre o cliente e o servidor

• Associação segura: unicast ou multicast


Como funciona?• Diagrama de conexão


Métodos do EAP

• EAP-LEAP / EAP-FAST

• EAP-TLS

• EAP-MD5

• EAP-PSK

• EAP-TTLS

• EAP-PEAP


EAP-LEAP

• Desenvolvido pela Cisco

• Primeiro método EAP para acessos WiFi.

• Segredo compartilhado

• Round robin de chaves WEP

• Completamente quebrado

• Aperfeiçoado pelo EAP-FAST


EAP-TLS

• Transport Layer Security

• Autenticação através de um túnel TLS

• Certificados para o cliente e o servidor

• Método mais seguro de autenticação

• Amplamente suportado


EAP-MD5

• Baseada na função de hash MD5

• Segredo compartilhado entre os clientes e o servidor

• Completamente vulnerável: bruteforce, ataques de dicionário, sem validação.

• Pode ser implementado sobre o EAP-TTLS


EAP-PSK

• Chave pré-compartilhada

• Simplicidade

• Criptografia AES de 128 bits

• Amplamente difundido

• WPA-PSK e WPA2-PSK

• Vulnerável apenas a bruteforce


EAP-TTLS

• Estende o EAP-TLS através de encapsulamento de túnel

• Isenta a utilização de certificado de acesso para clientes

• Compatibilidade com métodos “legacy”; garantia de segurança pelo túnel encriptado


EAP-PEAP

• Protected EAP

• Desenvolvido pela Cisco, Microsoft e RSA

• Não é um protocolo para criptografia

• Apenas autentica usuários

• Similar ao EAP-TTLS

• Vastamente utilizado em redes WiFi

• Duas versões: PEAPv0 e PEAPv1


EAP-PEAP

• PEAPv0 / EAP-MSCHAPv2

• Amplamente adotado no mercado

• Funcionamento praticamente idêntico ao EAP-TTLS

• PEAPv1 / EAP-GTC

• Permite a utilização de protocolos de handshake diferentes do MS-CHAPv2

• Sem adoção, pouco utilizado


Métodos mais utilizados

• EAP-PSK

• Presente em praticamente todo ambiente coberto por uma rede WiFi

• EAP-PEAPv0 / EAP-MSCHAPv2

• Amplamente utilizado em redes corporativas.

• Utilizado pela “falta-de-opção” no quesito suporte.


Ok! Mas isso existe aonde?


Client-side

• Sistemas Operacionais

• Windows

• Linux

• Mac OS X

• Symbian S60

• iPhone OS 2.x


Windows


Linux


Mac OS X


Symbian S60


iPhone OS 2.x


Server-side

• Radius Server

• FreeRADIUS

• Aradial

• Radiator

• Internet Authentication Service

• Cisco Secure Access Control Server


Conclusões

• Extremamente necessário em ambientes corporativos

• Crescente utilização no segmento doméstico

• Convergência para padronização de formato

• Regras ditas pelo mercado

• Tecnologia consolidada com o surgimento de redes sem fio.


OBRIGADO!


OBRIGADO!

Hora do lanche pessoal!

Dúvidas? Críticas? Sugestões? Mais informações...

Vinícius Ferrãomail: viniciusferrao at cc.if.ufrj.br


eap - gta.ufrj.br · ok! mas isso existe aonde? monday, november 16, 2009. client-side

Documents