O que é a Autenticação 802.1X? Como Funciona e Porque é Importante

O que é a Autenticação 802.1X? Como Funciona e Porque é Importante Um Briefing Técnico da Purple — aproximadamente 10 minutos --- INTRODUÇÃO E CONTEXTO — aproximadamente 1 minuto Bem-vindo à série de Briefings Técnicos da Purple. Sou o vosso anfitrião e hoje vamos abordar um dos padrões mais importantes — e frequentemente mais mal compreendidos — nas redes empresariais: a autenticação IEEE 802.1X. Se é um gestor de TI, arquiteto de rede ou CTO responsável por uma implementação multi-site — quer se trate de um grupo hoteleiro, uma cadeia de retalho, um estádio ou um património do setor público — este é um padrão que precisa de compreender profundamente. Não por ser academicamente interessante, mas porque acertar na sua implementação é a diferença entre uma rede que protege genuinamente a sua organização e outra que lhe dá uma falsa sensação de segurança. Nos próximos dez minutos, vamos abordar o que é realmente o 802.1X, como funciona o fluxo de autenticação nos bastidores, onde se enquadra na sua arquitetura de segurança mais ampla, como implementá-lo sem as armadilhas comuns e como se apresenta o caso de negócio em termos reais. Vamos a isso. --- MERGULHO TÉCNICO PROFUNDO — aproximadamente 5 minutos Então, o que é o 802.1X? Na sua essência, é um padrão IEEE para controlo de acesso à rede baseado em portas. A palavra-chave aqui é "baseado em portas". Antes de um dispositivo ter qualquer acesso à rede — antes de poder enviar um único pacote para os seus recursos internos — deve autenticar-se. A porta de rede, seja física ou sem fios, permanece logicamente bloqueada até que a autenticação seja bem-sucedida. Isto é fundamentalmente diferente da forma como a maioria do WiFi doméstico funciona. Com uma configuração padrão WPA2-Personal, tem uma chave pré-partilhada — uma palavra-passe — e qualquer pessoa que conheça essa palavra-passe entra na rede. O problema é óbvio: essa palavra-passe é escrita em quadros brancos, partilhada em canais do Slack e entregue a prestadores de serviços que saíram há seis meses. Não há responsabilidade individual, não há registo de auditoria e revogar o acesso significa alterar a palavra-passe para todos. O 802.1X resolve tudo isso. O padrão define um modelo de três partes. Tem o Supplicant (Suplicante) — que é o dispositivo do utilizador final, seja um portátil corporativo, um smartphone ou um sensor IoT. Tem o Authenticator (Autenticador) — normalmente o seu ponto de acesso sem fios ou switch gerido. E tem o Authentication Server (Servidor de Autenticação) — quase sempre um servidor RADIUS, que significa Remote Authentication Dial-In User Service. Eis como funciona o fluxo. Quando um suplicante se liga a uma porta de rede ou SSID sem fios, o autenticador coloca essa porta num estado controlado — apenas permitindo a passagem de tráfego EAP. EAP significa Extensible Authentication Protocol, e é a estrutura que transporta a troca de credenciais propriamente dita. O autenticador envia um pedido de identidade EAP ao suplicante. O suplicante responde com a sua identidade. O autenticador encaminha-a então para o servidor RADIUS, que desafia o suplicante a provar a sua identidade — isto pode ser através de um nome de utilizador e palavra-passe, um certificado digital, um smart card ou uma combinação de fatores. Assim que o servidor RADIUS estiver satisfeito, envia uma mensagem Access-Accept de volta ao autenticador, que depois abre a porta e permite o acesso total à rede. Se a autenticação falhar, a porta permanece bloqueada ou o dispositivo é colocado numa VLAN de convidados restrita. Ora, a estrutura EAP é extensível por conceção — é isso que o E significa. Existem vários métodos EAP de uso comum. O EAP-TLS utiliza autenticação mútua baseada em certificados — tanto o cliente como o servidor apresentam certificados — e é considerado o padrão de excelência para a segurança. O EAP-PEAP, que significa Protected EAP, envolve a autenticação interna num túnel TLS, permitindo que as credenciais de nome de utilizador e palavra-passe sejam utilizadas de forma segura. O EAP-TTLS é semelhante ao PEAP, mas mais flexível nos métodos de autenticação interna que suporta. Para a maioria das implementações empresariais, irá escolher entre o EAP-TLS para ambientes de alta segurança e o PEAP-MSCHAPv2 para ambientes onde a implementação de certificados é impraticável. Agora, falemos sobre como isto se integra com a sua infraestrutura existente. O servidor RADIUS não autentica utilizadores de forma isolada — ele consulta um repositório de identidades de backend. Na maioria dos ambientes empresariais, trata-se do Microsoft Active Directory ou de um diretório LDAP. O servidor RADIUS recebe a credencial do autenticador, valida-a no Active Directory e devolve uma decisão de política. Essa decisão de política pode incluir mais do que apenas aceitar ou rejeitar — pode incluir atribuição de VLAN, políticas de largura de banda e valores de limite de tempo de sessão. É aqui que a atribuição dinâmica de VLAN se torna poderosa. Pode definir uma política que diz: se este utilizador estiver no grupo de Finanças no Active Directory, atribua-o à VLAN 20. Se for um prestador de serviços, atribua-o à VLAN 50 com acesso apenas à internet. Se estiver num dispositivo não gerido, coloque-o na VLAN de convidados. Tudo isto acontece automaticamente, no momento da ligação, sem qualquer intervenção manual. Para implementações sem fios, o 802.1X é o mecanismo de autenticação que serve de base ao WPA2-Enterprise e ao WPA3-Enterprise. A camada de encriptação — a proteção real dos dados em trânsito — é gerida pelo handshake de 4 vias que se segue a uma autenticação 802.1X bem-sucedida, gerando chaves PMK e PTK exclusivas por sessão. Esta é uma distinção crítica em relação ao WPA2-Personal, onde todos os clientes partilham o mesmo material de derivação de chaves de encriptação. Numa rede WPA2-Personal, um ator malicioso que capture o handshake de 4 vias e conheça a PSK pode desencriptar todo o tráfego nessa rede. Com o WPA2-Enterprise e o 802.1X, esse vetor de ataque é eliminado porque cada sessão utiliza material de chaveamento exclusivo. Do ponto de vista da conformidade, isto é extremamente importante. A versão 4.0 do PCI DSS exige controlos de autenticação fortes para qualquer rede que transporte dados de titulares de cartões. O GDPR exige medidas técnicas adequadas para proteger os dados pessoais. Se gere uma rede de retalho onde os terminais de ponto de venda partilham um segmento com o WiFi de convidados, tem um problema grave — e o 802.1X com segmentação dinâmica de VLAN é uma parte central da solução. --- RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS — aproximadamente 2 minutos Muito bem, vamos falar sobre a implementação. O erro mais comum que vejo é as organizações tratarem o 802.1X como uma escolha binária — ou o implementam totalmente em tudo, ou não se dão ao trabalho. A realidade é que uma abordagem faseada é quase sempre mais prática e mais bem-sucedida. Comece pelo seu SSID corporativo e pelos seus dispositivos geridos. Implemente um servidor RADIUS — o Microsoft NPS é gratuito e integra-se nativamente com o Active Directory; o FreeRADIUS é a alternativa de código aberto para ambientes não-Windows. Configure a sua infraestrutura sem fios para utilizar WPA2-Enterprise ou WPA3-Enterprise no SSID corporativo. Envie a configuração do suplicante 802.1X para os dispositivos geridos através de Política de Grupo ou da sua plataforma MDM. Teste exaustivamente antes da transição. Para o WiFi de convidados, a abordagem é diferente. Os convidados não têm credenciais corporativas, pelo que não está a utilizar o 802.1X no sentido tradicional. Em vez disso, plataformas como a Purple fornecem uma camada de Captive Portal que gere a identidade dos convidados — login social, registo por e-mail, verificação por SMS — e depois coloca os convidados autenticados numa VLAN isolada com políticas de largura de banda e de conteúdos adequadas. Isto proporciona-lhe os benefícios de captura de dados e segmentação sem exigir que os convidados tenham credenciais de diretório. Os erros a evitar: a gestão de certificados é o ponto de dor mais comum nas implementações EAP-TLS. Precisa de uma PKI — uma Infraestrutura de Chaves Públicas — para emitir e gerir certificados de cliente. Se não tiver uma, a sobrecarga operacional do EAP-TLS pode ser significativa. O PEAP-MSCHAPv2 é mais fácil de implementar, mas requer uma atenção redobrada à validação do certificado do servidor no lado do cliente — se os clientes não estiverem configurados para validar o certificado do servidor RADIUS, estará vulnerável a ataques de pontos de acesso falsos. A disponibilidade do servidor RADIUS é outra consideração crítica. Se o seu servidor RADIUS falhar, os utilizadores autenticados não se conseguem ligar. Implemente o RADIUS numa configuração de alta disponibilidade — no mínimo, um servidor primário e um secundário — e garanta que os seus pontos de acesso estão configurados para efetuar o failover corretamente. Finalmente, os dispositivos IoT. Muitos dispositivos IoT não suportam suplicantes 802.1X. Para estes, o MAC Authentication Bypass — MAB — é a solução alternativa comum, onde o endereço MAC do dispositivo é utilizado como credencial. Isto é mais fraco do que o 802.1X adequado, por isso isole os dispositivos autenticados por MAB numa VLAN restrita e monitorize-os de perto. --- PERGUNTAS E RESPOSTAS RÁPIDAS — aproximadamente 1 minuto Vou responder rapidamente a algumas perguntas que me fazem regularmente. "O 802.1X funciona com RADIUS baseado na nuvem?" Sim — serviços como o Cisco ISE, Aruba ClearPass e ofertas de RADIUS-as-a-service nativas da nuvem suportam todos o 802.1X. A plataforma da Purple integra-se com estes para uma autenticação unificada de convidados e funcionários. "Posso utilizar o 802.1X numa rede com fios, bem como em redes sem fios?" Absolutamente. O padrão foi originalmente concebido para portas Ethernet com fios e funciona de forma idêntica em switches geridos. "Qual é o impacto no desempenho?" Desprezível na prática. O handshake de autenticação adiciona algumas centenas de milissegundos no momento da ligação, mas tem zero impacto no débito de dados assim que a sessão é estabelecida. "O WPA3 substitui o 802.1X?" Não. O WPA3-Enterprise continua a utilizar o 802.1X para autenticação — melhora os mecanismos de encriptação e troca de chaves, mas a estrutura de autenticação permanece a mesma. --- RESUMO E PRÓXIMOS PASSOS — aproximadamente 1 minuto Para resumir: o 802.1X é o padrão IEEE para controlo de acesso à rede baseado em portas. Fornece autenticação por utilizador, atribuição dinâmica de políticas, um registo de auditoria completo e as chaves de encriptação por sessão que tornam o WPA2-Enterprise e o WPA3-Enterprise genuinamente seguros. É a escolha certa para qualquer rede empresarial, de hotelaria, retalho ou do setor público onde necessite de responsabilidade individual e segurança de nível de conformidade. Os seus próximos passos imediatos: audite o seu modelo atual de autenticação de rede. Se estiver a executar uma PSK partilhada no seu SSID corporativo, essa é a sua primeira prioridade de remediação. Avalie a sua infraestrutura RADIUS — se não tiver uma, o Microsoft NPS ou o FreeRADIUS são ambos pontos de partida sólidos. E se estiver a gerir WiFi de convidados juntamente com a infraestrutura corporativa, veja como plataformas como a Purple podem fornecer a camada de identidade de convidados que complementa a sua implementação corporativa de 802.1X. Para mais detalhes sobre o WPA2 versus WPA3 e como estes interagem com o 802.1X, consulte o guia de comparação da Purple cujo link se encontra nas notas do programa. Obrigado por ouvir. Vemo-nos no próximo briefing.