[MASOCH-L] Protocolo 802.1x com autenticação radius

Luiz Gustavo luizgb at gmail.com
Thu Jul 30 11:57:15 -03 2009


Oi Cássio,
O próprio padrão "IEEE 802.1X (2004) - Port Based Network Access Control"
define. No paper da IEEE no capítulo 7 - "EAP encapsulation over LANs
(EAPOL)" explica essa parte. Eu li um artigo publicado numa revista da IEEE
em 2005 intitulado "Extensible Authentication Protocol (EAP) and IEEE
802.1x: Tutorial and Empirical Experience" [1] que é mais fácil de entender.
A figura 5 desse artigo exemplifica que o método EAP independe do meio,
bastando o switch e o nó final terem suporte ao protocolo 802.1X.
Quanto ao EAP-MD5, de fato as senhas trafegam sem criptografia e é bem fácil
de realizar um ataque do tipo man-in-the-middle, "clonando" a hash md5 de um
usuário válido e usando a mesma para se autenticar no servidor RADIUS.
[1] http://wire.cs.nthu.edu.tw/wire1x/COMMAG-05-00270-post.pdf
Att.
Luiz Gustavo
2009/7/29 casfre at gmail.com <casfre at gmail.com>

> Olá,
>
> 2009/7/7 Luiz Gustavo <luizgb at gmail.com>:
> > Cassio, até onde eu sei, o método EAP a ser utilizado depende apenas de
> > configuração no servidor RADIUS. No switch você faz apenas a configuração
> do
> > 802.1X, que irá apontar para o seu servidor RADIUS.
>
>    Desculpe-me pela 'pequena' demora na resposta, mas pegou fogo na
> caixa d'água por aqui. :-)
>
>   Meus estudos sobre o assunto (802.1x/Radius) estão inacabados e com
> pouca acurácia.
>
>   Ainda assim, pelo que pude ler, o switch (no caso da rede cabeada)
> precisa suportar o método EAP em questão. Nos manuais dos 3C16476CS,
> por exemplo, há uma indicação clara de suporte a EAP-MD5. Nenhum outro
> é citado.
>
>   Imaginando que, antes da autenticação ser bem sucedida, o nó final
> sequer consegue obter um IP ( no caso de uso de DHCP ), eu ainda acho
> que switch e nó final precisam de uma 'linguagem comum', suportada por
> ambos, para fazer transitar as credenciais.
>
>   O fato dos switches que usei só suportarem EAP-MD5 me levaram a
> outro problema: se não entendi errado o que encontrei nos fóruns do
> FreeRadius, independente do backend usado no servidor RADIUS, com
> EAP-MD5 a senha tem que ser armazenada em 'clear text', o que me fez
> interromper meus estudos sobre o assunto. Motivos: não há como
> substituir os switches em questão (orçamento, política, etc) e não
> pretendo armazenar as senhas dessa forma. Fiquei com a impressão de
> estar vestindo um santo para deixar outro pelado.
>
>   Se estou enganado e alguém quiser apontar qualquer documentação,
> agradeço.
>
>   Obrigado.
>
> Cássio
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>



More information about the masoch-l mailing list