[MASOCH-L] Protocolo 802.1x com autenticação radius

[casfre at gmail.com]

Olá,

2009/8/1 casfre at gmail.com <casfre at gmail.com>:
> Olá Luiz
>
> 2009/7/30 Luiz Gustavo <luizgb at gmail.com>
>>
>> Oi Cássio,
>> O próprio padrão "IEEE 802.1X (2004) - Port Based Network Access Control"
>> define. No paper da IEEE no capítulo 7 - "EAP encapsulation over LANs
>> (EAPOL)" explica essa parte. Eu li um artigo publicado numa revista da IEEE
>> em 2005 intitulado "Extensible Authentication Protocol (EAP) and IEEE
>> 802.1x: Tutorial and Empirical Experience" [1] que é mais fácil de entender.
>> A figura 5 desse artigo exemplifica que o método EAP independe do meio,
>> bastando o switch e o nó final terem suporte ao protocolo 802.1X.
>> Quanto ao EAP-MD5, de fato as senhas trafegam sem criptografia e é bem fácil
>> de realizar um ataque do tipo man-in-the-middle, "clonando" a hash md5 de um
>> usuário válido e usando a mesma para se autenticar no servidor RADIUS.
>> [1] http://wire.cs.nthu.edu.tw/wire1x/COMMAG-05-00270-post.pdf
>> Att.
>> Luiz Gustavo
<...>
>   O que me intriga é o fato de que o suplicante tem que 'falar' com o
> autenticador antes das informações chegarem ao servidor de
> autenticação. O que estou tentando 'enxergar' é como o suplicante vai
> usar EAP-PEAP para 'falar' com o autenticador se ele não 'souber
> falar' EAP-PEAP?

   Complementando, se o documento que acabei de ler  [1]  estiver
certo, então, a comunicação que eu 'imaginei' não vai acontecer, ou
seja, a comunicação usando EAP-* será feita entre suplicante e
servidor de autenticação, logo, o autenticador não tem que saber
'falar' além de 802.1x/EAPOL, como você já tinha dito.

   Nesse caso, sobra o fato de que eu devo ter configurado
incorretamente o servidor FreeRadius. Também não entendi porque o
manual do switch 3com cita EAP-MD5, já que isso seria indiferente.

   Continuo pesquisando.

   Obrigado.

Càssio

[1] http://www.itdojo.com/synner/html/synner2/synner2_p2.htm        (step 6)