Loading

Obter informações sobre a autenticação baseada em porta IEEE 802.1X

O que é a autenticação baseada em porta IEEE 802.1X

Uma impressora do PRISMAsync Print Server pode funcionar numa Local Area Network (LAN) protegida por IEEE 802.1X. A norma 802.1X oferece a possibilidade de aceitar ou recusar uma ligação de rede com base na identidade de um ponto final. Este ponto final pode ser um utilizador, um dispositivo ou uma aplicação. Enquanto o ponto final não tiver sido identificado e verificado, não é possível o acesso a outros pontos finais da rede protegida.

A segurança IEEE 802.1X é baseada no estado das portas Local Area Network (LAN) dos clientes. Uma porta Local Area Network (LAN) configurável para IEEE 802.1X pode ser ativada ou desativada de forma dinâmica. Os resultados do processo de autenticação com IEEE 802.1X determinam se a porta será ou não ativada.

O texto em moldura neste tópico descreve a implementação de IEEE 802.1X no PRISMAsync Print Server.

Componentes IEEE 802.1X e respetivas tarefas

A norma IEEE 802.1X distingue os seguintes componentes: solicitador, ferramenta de autenticação e servidor de autenticação.

  • Solicitador

    O cliente, por exemplo, o PRISMAsync Print Server, que solicita acesso à Local Area Network (LAN) e responde a pedidos da ferramenta de autenticação.

  • Ferramenta de autenticação

    A ferramenta de autenticação é um comutador ou router que controla o acesso físico à rede. O acesso é baseado no estado de autenticação do cliente. A autenticação é executada pelo servidor de autenticação. O servidor de autenticação é o servidor RADIUS (Remote Authentication Dial-In User Service) no Windows Server.

  • Servidor de autenticação

    O servidor de autenticação verifica a identidade do solicitador. A norma setorial do servidor de autenticação é um servidor RADIUS. O Network Policy Server (NPS) é um serviço incluído no Windows Server. Funciona como um servidor RADIUS para autenticação dos clientes contra o Active Directory. O servidor RADIUS informa a ferramenta de autenticação de que o cliente está autorizado a aceder à rede local.

Componentes IEEE 802.1X e respetivas tarefas

O esquema oferece uma descrição simples do modo de funcionamento do IEEE 802.1X.

A. Antes da autenticação de porta, a identidade do solicitador, por exemplo, o PRISMAsync Print Server, é desconhecida e todo o tráfego de dados para o lado protegido da rede é bloqueado. A comunicação IEEE 802.1X permite a troca de informações de identidade, tais como certificados de identidade, permitindo a negociação dos protocolos e métodos de autenticação utilizados.

B. Após a autenticação de porta, o tráfego para o lado protegido da rede torna-se possível.

O PRISMAsync Print Server utiliza o Windows 10 client para funcionar como solicitador, suportando o Windows Server 2016 como servidor de autenticação (servidor RADIUS).

EAP

Em geral, o IEEE 802.1X utiliza o Extensible Authentication Protocol (EAP) para negociar o método de autenticação do solicitador e o servidor de autenticação. O solicitador pode utilizar um certificado, um smart card ou credenciais para a identificação.

O EAP colabora com protocolos de autenticação adicionais, tais como o Transport Layer Security (TLS) e Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP-V2).

  • EAP-TLS

    O EAP-TLS é utilizado em ambientes de segurança com base em certificados. Fornece o método de autenticação e determinação de chave mais seguros. O EAP-TLS requer que o solicitador possua um certificado de identidade.

  • EAP-MS-CHAP-V2

    O EAP-MS-CHAP-V2 constitui um método de autenticação mútua que suporta autenticação de pontos finais com base em palavras-passe.

NOTA

Nem todos os servidores de autenticação, solicitadores e servidores de diretório do LDAP suportam todos os métodos de autenticação.

O PRISMAsync Print Server suporta: EAP-TLS e EAP-MS-CHAP-V2.

PEAP

O Protected EAP (PEAP) constitui um protocolo que aumenta a segurança do EAP-TLS e EAP-MS-CHAP-V2.

O PEAP cria um canal encriptado durante a segunda parte do processo de negociação EAP. Dentro deste canal seguro ocorre uma nova negociação EAP de modo a autenticar o solicitador.

PEAP
  • PEAP com EAP-TLS

    O PEAP com EAP-TLS fornece o mais elevado nível de segurança, protegendo o certificado de identidade do solicitador durante a transferência para o servidor de autenticação.

  • PEAP com EAP-MS-CHAP-V2

    O PEAP combina a facilidade de configuração do EAP-MS-CHAP-V2 com um nível de segurança adicional, encriptando as credenciais EAP-MS-CHAP-V2. O PEAP com EAP-MS-CHAP-V2 é geralmente utilizado em ambientes do Microsoft Active Directory.

O PRISMAsync Print Server suporta os seguintes métodos de autenticação: PEAP com EAP-TLS, PEAP com EAP-MS-CHAP-V2 e EAP-TLS.

Certificados de identidade

Todos os métodos de autenticação requerem que os certificados CA de confiança do servidor de autenticação estejam disponíveis no solicitador.

O EAP-TLS requer um certificado de identidade válido do solicitador, mapeado para uma conta de utilizador ou de computador no servidor de diretório LDAP (Active Directory Domain Services (AD DS)).

  • Quando o certificado de identidade fizer referência a um computador, o campo Subject Alternative Name (SubjectAltName) do certificado deverá conter o Fully Qualified Domain Name (FQDN) do cliente.

  • Quando o certificado de identidade fizer referência a um utilizador, o campo Subject Alternative Name (SubjectAltName) do certificado deverá conter o User Principal Name (UPN).

NOTA

O EAP-MS-CHAP-V2 não utiliza um certificado de identidade do solicitador.

  • Quando o PRISMAsync Print Server utiliza IEEE 802.1X, os certificados CA do servidor RADIUS deverão ser importados para a lista de certificados de confiança.

  • O certificado de identidade do PRISMAsync Print Server que é válido para IPsec e HTTPS pode ser utilizado para IEEE 802.1X.

  • Um dos campos Subject Alternative Name do certificado de identidade do PRISMAsync Print Server tem de ser igual ao Fully Qualified Domain Name (FQDN) ou ao User Principal Name (UPN).

    O método de autenticação determina se o nome da impressora (computador) ou o nome de utilizador é utilizado para fins de autenticação.

NOTA

O EAP-MS-CHAP-V2 requer um nome de utilizador do MS-CHAP-V2 e uma palavra-passe do MS-CHAP-V2, configurados no Settings Editor.

Início da autenticação IEEE 802.1X

Uma autenticação IEEE 802.1X pode ser iniciada pela ferramenta de autenticação (o comutador) ou pelo solicitador. Quando a ferramenta de autenticação deteta uma ligação para a porta, envia uma mensagem ao solicitador.

Normalmente não é necessário voltar a autenticar um ponto final anteriormente autenticado que permaneça ligado à rede. Após uma autenticação IEEE 802.1X bem sucedida, a porta permanece aberta até que a ligação seja terminada, por exemplo quando a ligação física apresenta um estado inativo. Enquanto a ligação física se mantiver, o ponto final autenticado permanece ligado à porta.