Ver Feed RSS

Tecnologia de Redes, Mobilidade e Inovação

O Que é o 802.1x e Para Que Serve?

Avaliação: 60 votos, 4,35 média.
A melhor maneira de entender uma solução é compreender um problema. Como eu sempre digo: se você nunca teve diarréia não sabe o valor da maizena .

Para entender melhor a aplicação do 802.1x, vamos entender o problema.

Em uma rede pequena ou média, normalmente é fácil saber quem está conectado e aonde.

Na parte cabeada, temos poucas máquinas e o administrador tem quase que de cabeça qual a conexão de cada usuário no switch da rede.

Em uma rede sem fio, o administrador configura manualmente a criptografia (WPA2 por exemplo) em cada máquina.

Em uma rede de maior porte isso fica complicado. Teremos vários switchs e fica impossível alguém saber quem está ligado aonde. Na parte wireless, temos uma grande quantidade de equipamentos móveis que precisam ser configurados.

Além disso nas redes de grade porte fica mais difícil confiar nos funcionários. E o administrador passa a ter várias neuroses para se preocupar:
  • e se um usuário cabeado entrar no rack e trocar o seu cabo de porta, entrando em outra VLAN, protegida?
  • e se um usuário entrar na sala do diretor quando estiver vazia e acessar, através daquele computador, informações confidenciais?
  • e se o usuário wireless usar um programa que informa a senha WPA2 utilizada? Ele poderá divulgar essa senha para qualquer um entrar na rede sem fio. Então o administrador precisa troca a chave do WPA2 a cada mês (e reconfigurar todos os computadores) para tentar minimizar esse problema.


A lista de problemas de segurança é grande. Basta ter um pouco de criatividade e você vai descobrir uma série de outras situações aonde um funcionário muito burro ou muito mal intencionado pode causar problemas de segurança à rede.

Sendo assim se criou o IEEE 802.1x que é um protocolo de autenticação. A idéia do IEEE 802.1x é simples: ninguém tem direito de acessar a rede, quer seja via wireless ou via cabo. Só depois da etapa de autenticação é que se tem acesso a alguma coisa (sendo que essa "alguma coisa" depende dos privilégios do usuário).

Vamos ver como ele funciona nas redes cabeadas e wireless.

Primeiro nas redes cabeadas. O funcionário liga o computador e cai no limbo, no nada. Ele não consegue acessar nada da rede antes de se autenticar. Então uma janela pede para ele usuário e senha (alguns mais sofisticados, usam números dinâmicos), o switch então verifica quais os privilégios desse usuário (VLAN a qual ele pertence, por exemplo) e daí então o usuário pode trabalhar.

Repare que se o usuário trocar de conexão na porta do switch, irá ocorrer o mesmo processo. Então ele não terá nenhum acesso diferente.

Se o funcionário invadir a sala de um diretor (a não ser que o diretor deixe a máquina logada e sem proteção), esse funcionário terá que se autenticar antes de acessar a rede e terá apenas os privilégios que teria na sua própria estação de trabalho.

Nas redes wireless não muda muita coisa, apenas que quem faz a autenticação é o AP. Mas vale tudo igual.

Assim as grandes vantagens do 802.1x são:
  • Cada usuário tem seu usuário e senha, tanto para acessar a rede cabeada como sem fio. Assim não existe uma chave única de criptografia. Se um usuário deixa a empresa, basta apagar essa conta.
  • Ninguém acessa a rede sem antes ser identificado apropriadamente. Não importa onde ele esteja espetado.
  • Toda autenticação é feita de maneira centralizada (servidor RADIUS, LDAP, NTLM, etc.). Muito mais fácil de gerenciar.


No entanto o 802.1x não é só flores. Ainda são poucos os sistemas operacionais que suportam 802.1x e a sua configuração não é das mais triviais.

Para finalizar, por favor não esqueça de avaliar este artigo (acima, a direita). Eu gosto de saber o que o resto da comunidade pensa dos meus artigos.

Atualizado 04-07-2009 em 16:34 por mlrodrig

Categorias
Não Categorizado

Comentários

  1. Avatar de wanvan
    Quais os sistemas que suportam 802.1x
  2. Avatar de mlrodrig
    Citação Postado originalmente por wanvan
    Quais os sistemas que suportam 802.1x
    Pois é, boa pergunta. Eu devia ter informado no texto.

    No lado Bill Gates, o Windows XP, Windows 2000 com SP3, Windows Mobile 2003 e Windows Vista suportam nativamente. Mac OS X 10.3 e iPhone com Phone OS 2.0 terminam a lista.
    Para Linux temos alguns Open Source (que também suportam Windows e outras plataformas):
  3. Avatar de florianobarroso
    Parabens pela matéria, por esclarecer-me muitas dúvidas.
  4. Avatar de TiagoAraujo
    Belo artigo.
    Nem sabia desse 1.x...
    infelizmente como disse nem todos os sistemas são compativeis.
    A ideia é bem interessante.
    Mas vamo ver se isso melhora num futuro a curto/medio prazo.
  5. Avatar de joaozito
    Foi um bom artigo. Gostei, de saber q podemos controlar essa conexão através de autenticações.
  6. Avatar de Rafael Guedes
    Parabéns pela didática. Ótimo artigo!

    Vale lembrar a utilização do NAP da Microsoft e do NAC da Cisco Systems que fazem uso do 802.1x para manter a conformidade dos hosts na rede...
  7. Avatar de Não Registrado(s)
    Alguem sabe se tem como tercerizar o serviço de autenticação via 802.1X? Alguem conhece alguma empresa que venda este serviço? Isto iria salvar nossa vida :)
  8. Avatar de tacito.felipe.ls
    Parabéns pelo artigo, sanou muitas dúvidas.

+ Enviar Comentário