O Que é o 802.1x e Para Que Serve?

A melhor maneira de entender uma solução é compreender um problema. Como eu sempre digo: se você nunca teve diarréia não sabe o valor da maizena .

Para entender melhor a aplicação do 802.1x, vamos entender o problema.

Em uma rede pequena ou média, normalmente é fácil saber quem está conectado e aonde.

Na parte cabeada, temos poucas máquinas e o administrador tem quase que de cabeça qual a conexão de cada usuário no switch da rede.

Em uma rede sem fio, o administrador configura manualmente a criptografia (WPA2 por exemplo) em cada máquina.

Em uma rede de maior porte isso fica complicado. Teremos vários switchs e fica impossível alguém saber quem está ligado aonde. Na parte wireless, temos uma grande quantidade de equipamentos móveis que precisam ser configurados.

Além disso nas redes de grade porte fica mais difícil confiar nos funcionários. E o administrador passa a ter várias neuroses para se preocupar:

• e se um usuário cabeado entrar no rack e trocar o seu cabo de porta, entrando em outra VLAN, protegida?
• e se um usuário entrar na sala do diretor quando estiver vazia e acessar, através daquele computador, informações confidenciais?
• e se o usuário wireless usar um programa que informa a senha WPA2 utilizada? Ele poderá divulgar essa senha para qualquer um entrar na rede sem fio. Então o administrador precisa troca a chave do WPA2 a cada mês (e reconfigurar todos os computadores) para tentar minimizar esse problema.

A lista de problemas de segurança é grande. Basta ter um pouco de criatividade e você vai descobrir uma série de outras situações aonde um funcionário muito burro ou muito mal intencionado pode causar problemas de segurança à rede.

Sendo assim se criou o IEEE 802.1x que é um protocolo de autenticação. A idéia do IEEE 802.1x é simples: ninguém tem direito de acessar a rede, quer seja via wireless ou via cabo. Só depois da etapa de autenticação é que se tem acesso a alguma coisa (sendo que essa "alguma coisa" depende dos privilégios do usuário).

Vamos ver como ele funciona nas redes cabeadas e wireless.

Primeiro nas redes cabeadas. O funcionário liga o computador e cai no limbo, no nada. Ele não consegue acessar nada da rede antes de se autenticar. Então uma janela pede para ele usuário e senha (alguns mais sofisticados, usam números dinâmicos), o switch então verifica quais os privilégios desse usuário (VLAN a qual ele pertence, por exemplo) e daí então o usuário pode trabalhar.

Repare que se o usuário trocar de conexão na porta do switch, irá ocorrer o mesmo processo. Então ele não terá nenhum acesso diferente.

Se o funcionário invadir a sala de um diretor (a não ser que o diretor deixe a máquina logada e sem proteção), esse funcionário terá que se autenticar antes de acessar a rede e terá apenas os privilégios que teria na sua própria estação de trabalho.

Nas redes wireless não muda muita coisa, apenas que quem faz a autenticação é o AP. Mas vale tudo igual.

Assim as grandes vantagens do 802.1x são:

• Cada usuário tem seu usuário e senha, tanto para acessar a rede cabeada como sem fio. Assim não existe uma chave única de criptografia. Se um usuário deixa a empresa, basta apagar essa conta.
• Ninguém acessa a rede sem antes ser identificado apropriadamente. Não importa onde ele esteja espetado.
• Toda autenticação é feita de maneira centralizada (servidor RADIUS, LDAP, NTLM, etc.). Muito mais fácil de gerenciar.

No entanto o 802.1x não é só flores. Ainda são poucos os sistemas operacionais que suportam 802.1x e a sua configuração não é das mais triviais.

Para finalizar, por favor não esqueça de avaliar este artigo (acima, a direita). Eu gosto de saber o que o resto da comunidade pensa dos meus artigos.