O protocolo EAP-TTLS

Esse documento é uma tradução livre do rascunho (draft) que descreve o protocolo EAP-TTLS, disponível em http://tools.ietf.org/html/draft-funk-eap-ttls-v0-05. Use por sua conta e risco.

[ Hits: 99.601 ]

Por: Perfil removido em 23/05/2008


Introdução



http://tools.ietf.org/html/draft-funk-eap-ttls-v0-05

O protocolo EAP - Extensible Authentication Protocol [RFC 3748] define um padrão para troca de mensagens que permitem a um servidor autenticar um cliente utilizando um método de autenticação aceito por ambas as partes.

EAP pode ser estendido por métodos de autenticação adicionais definidos pela IANA ou por métodos proprietários.

TLS - Transport Layer Security [RFC 4346] é um protocolo de autenticação que fornece a autenticação de um servidor para um cliente (autenticação de uma via) ou autenticação entre ambas as partes (autenticação mútua), bem como garante um conjunto de cifras (ciphersuite) usadas durante a negociação e a troca de chaves criptográficas entre as partes. TLS está definido como um protocolo de autenticação para estender o uso de EAP (EAP-TLS) na RFC 5216.

Outros protocolos de autenticação também são amplamente utilizados. Esses protocolos são tipicamente baseados em senhas (password), e há uma grande base de suporte para esses protocolos na forma de credenciais de banco de dados que podem ser acessados via RADIUS [RFC 2865], Diameter [RFC 3588] ou outros servidores AAA. Estes incluem protocolos não EAP como PAP e CHAP [RFC 1661], MS-CHAP [RFC 2433] ou MS-CHAP [RFC 2759] ou MS-CHAP-V2 [RFC 2759], bem como EAP MD5-Challenge [RFC 3748].

EAP-TTLS é um método EAP que fornece funcionalidades além das fornecidas por TLS. No protocolo EAP-TLS, uma troca de pacotes (handshake) é usada para autenticar tanto cliente quanto servidor. EAP-TTLS estende esta negociação de autenticação. O canal seguro, anteriormente usado somente no momento da negociação, é mantido e utilizado para realizar todas as trocas de pacotes entre cliente e servidor. No protocolo EAP-TTLS a autenticação pode ser mútua, ou somente de uma via, onde apenas o servidor é autenticado pelo cliente. A autenticação do cliente pode ser ela própria EAP, ou outro método como PAP, CHAP, MS-CHAP ou MS-CHAPv2.

Deste modo, EAP-TTLS permite usar protocolos de autenticação legados e baseados em senha (normalmente transmitida em formato de texto puro), protegendo esses protocolos contra ataques de captura de senha ou do tipo "homem do meio".

EAP-TTLS também permite a troca de chaves que são usadas durante a conexão do cliente e do ponto de acesso. Essas trocas são estabelecidas de modo implícito entre o cliente e o servidor, baseada na troca de pacotes (handshake) TLS.

Usando EAP-TTLS, cliente e servidor se comunicam utilizando pares de atributos-valores encriptados. Isto geralmente permite que funções arbitrárias possam ir além da autenticação e da troca de chaves adicionadas na negociação EAP, de uma forma compatível com a estrutura AAA.

    Próxima página

Páginas do artigo
   1. Introdução
   2. Motivação
   3. Terminologia
   4. Modelo arquitetônico
   5. Modelo de camadas do protocolo
   6. Uma visão geral sobre EAP-TTLS
   7. Gerando material criptográfico
   8. O formato do pacote EAP-TTLS
   9. Encapsulamento de mensagens AVPs dentro da camada de gravação TLS
   10. Autenticação tunelada
   11. Estrutura de chaves
   12. Considerações de segurança
   13. Considerações finais
Outros artigos deste autor

Resumo do documentário Revolution OS

PuTTY - Release 0.66 - Parte IV

Implementação de um proxy/cache para ganho de conexão

Montando uma rede GSM

ArchLinux, uma distro de expressão aqui no VOL

Leitura recomendada

Sociedade Software Livre

Cego guiando cego

O software livre na administração pública

Um breve histórico do EaD e o uso de AVAs baseados em SL

Não me chamaram mais para prestar serviços naquela empresa. Por quê? Acabe com este problema!

  
Comentários
[1] Comentário enviado por removido em 24/05/2008 - 14:09h

existe alguma aplicacao baseada nele?

[2] Comentário enviado por removido em 26/05/2008 - 20:49h

Timidboy... FreeRADIUS já implementa...


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts