[MASOCH-L] Protocolo 802.1x com autenticação radius
casfre at gmail.com
casfre at gmail.com
Sat Aug 1 19:28:49 -03 2009
Olá Luiz
2009/7/30 Luiz Gustavo <luizgb at gmail.com>
>
> Oi Cássio,
> O próprio padrão "IEEE 802.1X (2004) - Port Based Network Access Control"
> define. No paper da IEEE no capítulo 7 - "EAP encapsulation over LANs
> (EAPOL)" explica essa parte. Eu li um artigo publicado numa revista da IEEE
> em 2005 intitulado "Extensible Authentication Protocol (EAP) and IEEE
> 802.1x: Tutorial and Empirical Experience" [1] que é mais fácil de entender.
> A figura 5 desse artigo exemplifica que o método EAP independe do meio,
> bastando o switch e o nó final terem suporte ao protocolo 802.1X.
> Quanto ao EAP-MD5, de fato as senhas trafegam sem criptografia e é bem fácil
> de realizar um ataque do tipo man-in-the-middle, "clonando" a hash md5 de um
> usuário válido e usando a mesma para se autenticar no servidor RADIUS.
> [1] http://wire.cs.nthu.edu.tw/wire1x/COMMAG-05-00270-post.pdf
> Att.
> Luiz Gustavo
Vou tentar refazer meus testes, usando o mesmo switch (que suporta
802.1x) e ver se consigo usar PEAP com um Windows XP (de repente não
configurei direito o RADIUS).
O que me intriga é o fato de que o suplicante tem que 'falar' com o
autenticador antes das informações chegarem ao servidor de
autenticação. O que estou tentando 'enxergar' é como o suplicante vai
usar EAP-PEAP para 'falar' com o autenticador se ele não 'souber
falar' EAP-PEAP?
Eu li o documento, mas ainda não entendi essa parte do mecanismo.
Eu estou lendo mais sobre o assunto e buscando explicações, gráficos e
exemplos.
Agradeço pela atenção e pela sugestão de documento.
Obrigado.
Cássio
More information about the masoch-l
mailing list