4. Extensible Authentication Protocol

Tanto o WEP quanto o WPA possuem duas versões distintas, uma de uso pessoal, ou PSK (sigla de Chave Previamente Compartilhada, do inglês "Pre-Shared Key"), e outra de uso comercial. A grande diferença entre elas reside no fato de, enquanto a primeira funciona a partir do compartilhamento de uma chave secreta entre o usuário e o servidor, a outra requer um método de autenticação à parte, que é realizado pelo protocolo EAP.

O protocolo EAP, sigla de Protocolo de Autenticação Estendível (do inglês "Extensible Authentication Protocol"), é um arcabouço que permite que um usuário se autentique em um servidor específico a fim de receber mensagens provenientes do ponto de acesso. Este servidor trabalha com o uso do protocolo RADIUS (Serviço de Autenticação Remota de Chamada de Usuário) e tanto pode ser representado pelo ponto de acesso quanto por uma outra máquina dedicada a este fim.

4.1. Funcionamento do EAP

O EAP foi desenvolvido originalmente para trabalhar com o protocolo PPP (Protocolo Ponto-a-Ponto). Assim, seu funcionamento pode ser entendido como uma evolução deste tipo de modelo. Ele possui quatro tipos de mensagem básica que são usadas durante a conexão: Requisição, Resposta, Sucesso e Falha.

O primeiro passo para a conexão em uma rede sem fio que trabalho com o EAP é o envio de uma mensagem de Requisição para o ponto de acesso. Este, por sua vez, retorna um pedido da identidade que o suplicante possui. Ao receber a resposta do suplicante, o ponto de acesso a envia diretamente para o servidor RADIUS. Ele, então, cria um desafio pelo qual o suplicante deve passar com o uso da senha que ele possui. Assim, caso este responda de maneira correta, terá acesso à rede sem fio; caso contrário, receberá uma mensagem de falha de conexão. Por fim, se o protocolo usado para encriptação for o WPA ou WPA2, então ocorre o acordo entre o suplicante e o ponto de acesso a fim de decidir os valores de chaves temporais que serão usadas durante a comunicação. A Figura 8 apresenta uma versão simplificada deste processo.


                                                 test

Figura 8: Diagrama de Autenticação EAP com Servidor RADIUS

Este modelo apresenta uma característica muito interessante que é o isolamento do servidor RADIUS: em nenhum momento o suplicante envia uma mensagem diretamente para ele; sempre deve haver o intermédio do ponto de acesso. Isto garante uma maior segurança ao servidor, o que é vital, pois ele contém informações referentes a todos os usuários que são passíveis de acessar a rede. Além disto, o isolamento é importante ao permitir uma maior flexibilidade na hora da manutenção da rede, pois caso o esquema de segurança seja alterado, deve-se apenas mexer na conexão entre o servidor e o ponto de acesso.

4.2. Protocolos EAP

Existem diversas implementações do EAP, dentre as quais, duas vertentes se destacam: as que usam uma chave secreta para autenticação e as que usam criptografia assimétrica. Uma explicação sucinta de cada um seguida de um exemplo será apresentada a seguir:

  • Chave Secreta: suplicante e servidor possuem uma chave secreta compartilhada. Esta chave é acrescida ao desafio recebido pelo suplicante e, então, aplica-se uma função resumo e ocorre o envio indireto para o servidor RADIUS. Este método não provê ao suplicante autenticação do servidor e, portanto, é sujeito a ataques do tipo Man-In-The-Middle, além de ataques de dicionário. A implementação mais comum deste tipo é o EAP-MD5, que usa a função hash MD5.
  • Criptografia Assimétrica: nesta implementação, existe uma autoridade certificadora que possui tanto a chave pública do suplicante quanto a do servidor. Assim, este envia o desafio encriptado com sua chave privada para o suplicante, que o decripta com a chave pública obtida na autoridade certificadora, encripta com a sua privada e reenvia para que o servidor RADIUS repita o mesmo procedimento. Caso o processo seja bem sucedido, a comunicação é garantida de ser imune a ataques de Man-In-The-Middle. Um exemplo deste tipo de implementação é o EAP-TLS (do inglês Transport Layer Security), que utiliza o algoritmo de criptografia assimétrica RSA.

Anterior | Topo | Próxima