Autenticação IEEE 802.
1x em redes cabeadas através de
EAP
Yury Hans Kelsen Soares de Andrade e Edilberto Silva1
1
Pós-Graduação, FACSENAC-DF, Brasília-DF
yuryhans@gmail.com
Abstract:. One of the biggest problems of
computer networking in enterprises is how
to prevent unknown users host and connects
to the network and access network
services. The emergence of protocols such
as IEEE 802.1x EAP and RADIUS
authentication service, authentication still
implementing the link layer, level 2 of the
OSI model, enables any host or user to have
their credentials checked before they have
any access to available services the
company's computer network. The tests
indicate that the implanting is inexpensive
and easy implementation because it can be
used free software.
Resumo. Hum dos maiores problemas da
rede de computadores nas empresas é como
evitar que host e usuários desconhecidos
conecta na rede e acesse os serviços de
rede. O surgimento de protocolos como o
IEEE 802.1x e EAP e o serviço de
autenticação RADIUS, que implementam
autenticação ainda na camada de enlace,
nível 2 do modelo OSI, possibilita que
qualquer host ou usuário tenha suas
credenciais verificadas antes de se tenha
qualquer acesso aos serviços disponíveis na
rede de computadores da empresa. Os
testes realizados indicam que a implentação
é de baixo custo e de fácil implentação, pois
pode ser utilizados software livre.
Palavras-chave: IEEE 802.1x.
Autenticação. EAP.RADIUS
1. Introdução
Os ataques internos são
historicamente apontado como responsáveis
por cerca de 70% dos problemas de
segurança de redes de computadores que
uma empresa sofre.
Há por exemplo: proliferação de
vírus, roubos de informações, problemas nos
Autenticação IEEE 802.1x em redes cabeadas através de EAP Pag.: 1
controles de acesso das aplicações e
ambiente computacional, além dos
problemas citados, qualquer computador
que é conectado a um ativo de rede
consegue antes de qualquer autenticação
receber um IP dinamicamente através de
DHCP ou configurar um IP estático e tentar
várias ações maliciosas ou fraudulentas.
Isso ocorre pelo desconhecimento
por parte dos administradores de redes de
técnicas de autenticação na camada de
enlace, nível dois do modelo OSI.
Na pesquisa [Ernst & Young´s 12th
annual global information security survey
2009], as empresas tem detectado uma
aumento de ataques internos de 25% e
aumento de fraudes perpetradas
internamente de 13%.
A implementação de políticas de
segurança através de softwares e hardware
é de muita importância, para que diminua
ou estinga as vulnerabilidades de uma rede
de computadores.
Em um ambiente de rede onde o
meio de acesso é compartilhado e aberto,
como nas redes sem fio ou no caso das
redes cabeadas que existam segmentos da
mesma que não possam ser verificados, a
confiança nos hosts fica limitada. Para
contornar esses aspectos falhos de
segurança existem diversos métodos
disponíveis para implementação de
segurança. Uma forma eficiente é prover um
mecanismo de segurança através de um
protocolo que ofereça opções de segurança
confiáveis.
Sendo assim, criou-se o IEEE 802.1x
que é um protocolo de autenticação. A idéia
do IEEE 802.1x é simples: ninguém tem
direito de acessar a rede, quer seja via
wireless ou via cabo. Só depois da etapa de
autenticação ao meio físico é que se tem
acesso aos serviços de rede.
Nesse artigo será proposto a
implantação de controle do meio de acesso
físico a rede de computadores utilizando um
servidor RADIUS com mecanismo de
autenticação chamado EAP tomando como
base o IEEE 802.1x que será descrito nesse
artigo.
2. Autenticação IEEE 802.1x
2.1 EAP (Extensible
Authentication Protocol)
O EAP é um protocolo designado para
autenticação extensível, ou seja, suportado
para trabalhar com múltiplas formas de
autenticar, a definição do protocolo foi feita
na RFC 2284 [Blunk, L e Vollbrecht, J 1998],
com atualizações no draft 2284bis [Blunk et
al. 2003]. O protocolo EAP foi projetado e
desenvolvido pela IETF (Internet Engineering
Task Force). Primeiramente o EAP foi
projetado para conexões PPP (Point-to-Point
Protocol), e depois transformado para redes
convencionais IEEE802 e redes sem fio
(Fonte: Microsoft)
O protocolo EAP é muito flexível
podendo trabalhar com vários métodos de
autenticação como: combinação
usuário/senha, Tokens, Certificados, Chaves
Públicas, Cartão Magnético e Smartcard.
O EAP possui algumas variantes, ou
seja, devido à aplicação do servidor de
autenticação, o mesmo utiliza ou não
determinados protocolos para os serviços
desejados, atualmente existem cinco
protocolos: EAP-MD5, EAP-TLS, EAP-CISCO
(ou LEAP), EAPTTLS e EAP-PEAP.
2.2 IEEE 802.1x
O IEEE 802.1x é um padrão da IEEE
(Institute of Electrical and Electronic
Engineers) aprovado em junho de 2001 e
possibilita uma plataforma de autenticação
com base em portas (Based Network Access
Control Protocol). Projetado para redes
Ethernet, é aplicado ao nível 2 do modelo
OSI e atende a dois requisitos de segurança:
privacidade e autenticação. Este controle de
acesso à rede em portas é característica
física de uma rede LAN (wired), através de
um switch que suporte o padrão 802.1x.
Atualmente ele foi adaptado para redes sem
fio (wireless) designado pelo padrão 802.11.
O IEEE 802.1X define os seguintes
termos:
· Entidade de acesso à porta (PAE)
Autenticação IEEE 802.1x em redes cabeadas através de EAP Pag.: 2
· Autenticador
· Suplicante
· Servidor de autenticação
2.2.1 ENTIDADE DE ACESSO À
PORTA
A entidade de acesso à porta (PAE) é
conhecida como uma porta de rede local,
essa entidade oferece suporte ao protocolo
IEEE 802.1x referente a uma porta da rede,
este tem como função de autenticador,
suplicante ou ambos.
2.2.2 AUTENTICADOR
O autenticador é uma aplicação da
rede através das portas dos switches ou
access points, antes de quaisquer serviços,
o autenticador verifica a autenticação, por
exemplo, através do login e senha do
usuário, depois da confirmação e liberado o
serviço para aquele usuário e essa liberação
é através de portas como no exemplo
abaixo.
Figura 1: Autorização de Portas
2.2.3 SUPLICANTE
O suplicante é o serviço solicitado
através do usuário em uma rede, ele solicita
serviços do autenticador, para que, baseado
na informação do servidor de autenticação,
confirme ao suplicante seu acesso ou não.
2.2.4 SERVIDOR DE
AUTENTICAÇÃO
Os serviços de autenticação têm
como função de verificar as credenciais do
suplicante para responder ao autenticador,
podendo estar ou não autorizado a essa
autenticação, esses serviços é através de
um servidor denominado RADIUS, possuindo
um banco de dados dos usuários e serviços
correspondentes.
Figura 2: Processo de Autenticação
2.3 RADIUS
É um protocolo que foi criado em
1992 pela Livingston que é parte da Lucent
Technologies implementado em servidores
para Autenticar, Autorizar e Contabilizar
(Authentication, Authorization e Accounting
– AAA).
O RADIUS é composto das seguintes
fases:
a) Fase de Autenticação:
quando um servidor recebe uma chamada
através de uma identificação do usuário, o
servidor verifica se as informações do
cliente conferem com os requisitos do
usuário. Essa verificação será efetuada no
banco de dados do servidor, se for validada
passará para próxima etapa de autorização,
caso contrário o servidor RADIUS envia a
negação do acesso.
b) Fase de Autorização: nesta
fase podem-se destacar os direitos,
privilégios e restrições que clientes e
usuários irão possuir, de acordo com a
tabela criada no banco de dados. Esta etapa
é importante porque é normal que haja
usuários com privilégios diferentes e assim
devem ser tratados de maneira distinta.
c)Fase de Contabilização: Esta é a
fase que a partir que o usuário ou o cliente
já esteja autenticado, todo e qualquer tipo
de acontecimentos referentes aos seus
usuários é registrado para que possam ser
analisados e processados futuramente em
uma base de dados. Isso numa corporação
que fornece acesso aos seus funcionários à
rede local, esta função é importante para
fins de auditoria e verificação dos tempos de
utilização.
Autenticação IEEE 802.1x em redes cabeadas através de EAP Pag.: 3
O processo de autenticação, baseada
na tecnologia RADIUS pode ser explicado em
seis etapas.
a) O servidor de Acesso Remoto tenta
negociar a conexão com o Cliente, sempre
utilizando o protocolo mais seguro. Caso não
seja este o protocolo utilizado pelo Cliente, o
servidor vai passando sempre para o
próximo menos seguro. Desta forma, o
servidor tenta negociar a conexão do
protocolo mais seguro para o menos mais
seguro, até encontrar o protocolo que o
Cliente esta utilizando.
b) Depois de feita a autenticação do
protocolo utilizado pelo Cliente, o servidor
envia ao protocolo RADIUS a solicitação
enviada pelo cliente.
c) Agora o servidor RADIUS poderá
verificar, pelo número de IP do Cliente, se é
um cliente RADIUS configurado. Caso o
cliente RADIUS identifique-o como um
cliente RADIUS válido, ele faz uma
checagem da assinatura digital do pacote.
Para isso ele utiliza um recurso chamado
Shared Secret (Segredo Compartilhado) que
é uma string de texto e funciona como uma
senha especial de reconhecimento utilizada
entre o servidor e o cliente.
d) Caso a autenticação do cliente
falhe, o servidor descartará o pacote. Como
esse pacote foi descartado, o servidor não
está recebendo nada válido do cliente, desta
forma a conexão é quebrada.
e) Caso a autenticação da assinatura
digital seja efetuada com sucesso, as
informações serão repassadas ao
controlador de domínio que, por sua vez, é
responsável pela validação das informações
de login do cliente.
f) Depois de efetuar as validações
necessárias para entrar na rede, o servidor
programa as políticas de acesso e segurança
referentes a esse usuário. Por outro lado, se
as informações de login não forem
validadas, o acesso do usuário a rede é
negado.

Figura 03: Rede RADIUS
3. Ambiente de avaliação
Para implementar um ambiente IEEE
802.1x em rede cabeadas, você precisa de
switches que tenham suporte a 802.1x, um
servidor RADIUS e clientes 802.1x instalados
nos micros. Micros que não tenham clientes
802.1x simplesmente não conseguem
trafegar absolutamente nada na rede,
sequer conseguem obter endereço pelo
DHCP
Nesse ambiente de avaliação será
utilizado para o procedimento de
autenticação um access point em vez de
switch devido a custo do equipamento, mas
as funcionalidades e a utilização dos
protocolos envolvidos se aplica a qualquer
ativo de rede que tenha suporte ao IEEE
802.1x
3.1 AMBIENTE DE TESTE
a) Servidor Autenticador:
- Notebook Marca HP Pavilion
Ze2000
- CPU AMD Sempron Móbile
3000+ 1.8 Ghz
- Memória RAM 1024 Mb
- Hard Disk (HD) 80 Gb
- Sistema Operacional: Debian
Etch 4.0 R5, Kernel 2.6.26-2-686
b) Access Point (AP)
- AP Marca D-Link
- Modelo DWL-900AP+
c) Suplicante
- Notebook Marca Lenovo G460
- CPU Inter i3 2.13 Ghz
- Memória RAM 4096 Mb
- Hard Disk (HD) 1 Tb
Autenticação IEEE 802.1x em redes cabeadas através de EAP Pag.: 4
3.2 SERVIDOR FREERADIUS
O FreeRadius é um projeto iniciado
em 2004 através de uma comunidade de
programadores para servidores em
plataforma Linux que utiliza o protocolo
RADIUS do padrão autenticação, autorização
e contabilização. O servidor trabalha com o
modelo cliente/servidor, onde o Network
Access Server (NAS) é o cliente que precisa
autenticar usuários para o acesso. A
comunicação feita entre o RADIUS e o NAS
ocorre através do protocolo UDP na porta
1812 (autenticação-RADIUS) e na porta 1813
(contabilização-radacct) e definido pela
RFC2865.
3.2.1 INSTALAÇÃO
Efetuar o download do pacote
freeRadius no site:
http://freeRadius.org/download.html. A
versão utilizada é a freeRadius-2.1.10.tar.gz.
# tar zxvf freeRadius-2.1.10.tar.gz
# cd freeRadius-2.1.10.tar.gz
# ./configure –disable-shared
# make
# make install
O freeRadius instalado, os arquivos
de configuração foram criados em
/usr/local/etc/raddb.
A configuração do freeRadius foi
aplicada às necessidades da avaliação
habilitando os protocolos de autenticação
EAP-TLS que cria túneis de comunicação
criptografados e o EAP-PEAP autenticação
via rede sem fio ao suplicante.
Configuração do arquivo eap.conf :
eap {
default_eap_type = peap
timer_expire = 60
ignore_unknown_eap_types = no
cisco_accounting_username_bug = no
md5 {
}
gtc {
auth_type = PAP
}
tls {
private_key_password = whatever
private_key_file = $
{raddbdir}/certs/cert-srv.pem
certificate_file = $
{raddbdir}/certs/cert-srv.pem
 CA_file = $ cliente só consegue conectar no AP se
{raddbdir}/certs/demoCA/cacert.pem possuir o mesmo SSID. No terceiro item
dh_file = ${raddbdir}/certs/dh Channel é o canal escolhido para
random_file = $ comunicação, na configuração
{raddbdir}/certs/random
}
Authentication é utilizado o WPA este
peap { protocolo é utilizado para fazer a segurança
default_eap_type = mschapv2 dos dados trafegados, abaixo é feita a
} chamada do Servidor onde IP é o IP do
mschapv2 { servidor RADIUS, Port é a porta do servidor
} RADIUS, o Shared Secret deve conter a
} mesma configuração no servidor RADIUS,
pois no Shared Secret inicia-se a
Configurar o clients.conf para comunicação entre AP e Servidor RADIUS.
permitir a troca de dados entre o AP e o
Servidor RADIUS, direcionando o AP para
poder autenticar, no IP 127.0.0.1 é apenas
um teste localmente das configurações do
RADIUS. O secret é um modo de segurança
através do qual se inicia a comunicação e
necessita ser configurado tanto no AP como
no Servidor RADIUS. O shortname é apenas
um apelido fornecido para facilitar a
localização do cliente nos logs.

client 127.0.0.1 {
secret = testing123
shortname = localhost
nastype = other # localhost isn't usually
a NAS...

client 192.168.0.50 {
secret = testing123
shortname = private-network-1 Figura 04: Access Point
}
Na figura 05 observa-se a
Configurar o user, que é responsável configuração do servidor de autenticação,
aos usuários que terão permissão de aqui o 802.1x é habilitado com Enabled. Em
autenticidade na rede, como no exemplo Encryption Key foi escolhido 128 bits para
abaixo o usuário “softline” e a senha encriptografia da chave. As outras
“softline2010”. configurações abaixo seguem da mesma
forma como citado na figura 04.
"softline" User-Password ==
"softline2010"

Com o Servidor RADIUS configurado é

necessário o teste para ter certeza de que
estar tudo certo.
# RADIUSd –X

3.3 ACESS POINT

Na figura 04 observa-se a
configuração do AP DWL900AP+, onde se
verifica no primeiro campo AP Name é
configurado o nome do AP, no segundo
campo o SSID é uma peça fundamental
nesta configuração pois tanto no AP quanto
no suplicante deverá conter a mesma
identificação, pois em rede sem fio um

Autenticação IEEE 802.1x em redes cabeadas através de EAP Pag.: 5

 Figura 05: Access Point 802.1x

3.4 SUPLICANTE

Nas propriedades da rede sem fio do

suplicante, aba Associação como mostra na
figura 06 observa-se a configuração do SSID
que deve ser o mesmo que está na
configuração do AP, A Autenticação de Rede
é utilizado o WPA para uma melhor
segurança, em Criptografia de Dados é
usado o TKIP para identificar erros de
chamadas.

Figura 07: Rede sem Fio - Autenticação

Seguindo clicar-se em propriedade

para definir como será o método de
autenticação. Como mostra na figura 08.

Figura 06: Rede sem Fio - Associação

Nas propriedades da rede sem fio do

suplicante, aba Autenticação como mostra
figura 07 observa-se a configuração do EAP
que é utilizado para fazer a autenticação.

Figura 08: Rede sem Fio – Autenticação EAP

Selecionar o método de autenticação,

onde é escolhido a Senha Segura (EAP-
MSCHAP v2). Após a escolha deste método,
terá de ser configurado como vai ser feita a
autenticação do suplicado, isto será feito em
configurar.
Após clicar em configurar terá de ser
escolhida a forma de autenticação, neste
caso não será marcado a opção para que o
usuário possa digitar login e senha figura 09.

Autenticação IEEE 802.1x em redes cabeadas através de EAP Pag.: 6


Figura 09: Rede sem Fio – Autenticação EAP
Conexão será detectada, porém só
será realizada após o usuário digitar seu
login e sua senha como mostra na figura 10.
Na figura 10, é a solicitação do
usuário/senha, se o usuário estiver de
acordo para se autenticar o servidor RADIUS
mandara uma mensagem ao AP e o 802.1x
liberar a rede ao suplicante
Figura 10: Autenticação
4. Conclusão
O protocolo IEEE 802.1x é us/library/bb878130.asp>.
robusto,escalável e flexível, mas, por isto,
sua implementação não é trivial, requer
ajustes de configuração que precisam ser
determinados em um ambiente de
homologação antes de colocar em produção,
pois são muitos opções e o que funciona em
uma rede pode não funcionar em outra.
A implemtação do protocolo como
mais uma opção de autenticação, aumenta
o nivel de segurança de uma rede de
computadores, evitando que usuarios ou
Autenticação IEEE 802.1x em redes cabeadas através de EAP Pag.: 7
host não autorizados consigam conectadar
na rede.
A utização de software livre na
implentação do RADIUS e demais serviço de
rede, garante uma implentação de
segurança de baixo custo, o que é de grande
importancia, pois pode ser implentado tanto
em um ambiente de uma grande empresa
quando a de uma empresa pequena.
5. Referências
[1]. TANENBAUM, Andrew S. Redes
de computadores. 4.ed. Rio de
Janeiro: Campus, 2003.
[2]. Microsoft,Brasil. Understanding
802.1x authentication. Disponivel em <
http://www.microsoft.com/resources/docume
ntation/windows/xp/all/proddocs/en-
ous/understanding_8021x.mspx?mfr=true>.
Acesso em : 03/12/2010.
[3]. BRASIL,Symantec. Por Trás do
Firewall – A Ameaça Interna. Disponível
em:
<http://www.symantec.com/region/br/enterp
risesecurity/content/framework/BR_2122.ht
ml>. Acesso em: 03/12/2010.
[4]. Ernst & Young´s 12th annual
global information security survey.
USA : Ernst & Youngs 2009.
[5]. FeeRadius.org,USA. FreeRADIUS
Version 2 Documentation. Disponível
em : < http://freeradius.org/doc/>. Acesso
em: 03/12/2010.
[6]. Microsoft,Brasil. IEEE 802.1X
Wired Authentication. Disponível em :
<http://technet.microsoft.com/en-
us/magazine/2008.02.cableguy.aspx?
ppud=4>. Acesso em: 04/12/2010.
[7]. Microsoft,Brasil. Microsoft
802.1X Authentication Client. Disponível
em: < http://technet.microsoft.com/en-
Acesso em:
04/12/2010.
[8]. Microsoft,Brasil.
Extensible Authentication
Protocol Overview. Disponível em: <
http://technet.microsoft.com/en-
us/network/cc917480.aspx>. Acesso em:
04/12/2010.
[9]. MOREIRA, Nilton Stringasci.
Segurança mínima – uma visão
Corporativa da segurança de
Informações. Rio de Janeiro: Axcel Books,
2001.

Autenticação IEEE 802.1x em redes cabeadas através de EAP Pag.: 8