O protocolo EAP (Extensible Authentication Protocol) expande o protocolo PPP (Point-to-Point Protocol) permitindo métodos de autenticação arbitrários que utilizam trocas de credenciais e informações de comprimentos arbitrários. O EAP fornece métodos de autenticação que utilizam dispositivos de segurança, tais como smart cards, token cards e calculadoras criptográficas. O EAP fornece uma arquitectura padrão da indústria para suportar métodos de autenticação adicionais no âmbito do PPP.
EAP e NPS
A utilização de EAP permite suportar esquemas de autenticação adicionais, conhecidos como tipos de EAP. Estes esquemas incluem token cards, palavras-passe monouso, autenticação de chaves públicas utilizando smart cards e certificados. O EAP, em conjunto com tipos de EAP fortes, é um componente tecnológico crítico para proteger ligações VPN (virtual private network), ligações 802.1X com fios e ligações 802.1X sem fios. Tanto o cliente de acesso à rede como o autenticador, tal como o servidor com o NPS (Servidor de Políticas de Rede), têm de suportar o mesmo tipo de EAP para que ocorra uma autenticação com êxito.
Importante | |
Os tipos de EAP seguros, tais como os baseados em certificados, proporcionam uma segurança melhor contra ataques de força bruta ou de dicionário e detecção de palavras-passe do que os protocolos de autenticação baseados em palavras-passe, tal como o protocolo CHAP (Challenge Handshake Authentication Protocol) ou MS-CHAP (Microsoft Challenge Handshake Authentication Protocol). |
Com o protocolo EAP, um mecanismo de autenticação arbitrário autentica uma ligação de acesso remoto. O esquema de autenticação a utilizar é negociado pelo cliente de acesso remoto e pelo autenticador (o servidor NAS ou o servidor RADIUS [Remote Authentication Dial-In User Service]). Por predefinição, o Encaminhamento e Acesso Remoto inclui suporte para EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) e PEAP-MS-CHAP v2. Pode instalar outros módulos EAP no servidor que está a executar o Encaminhamento e Acesso Remoto para fornecer outros métodos EAP.
O EAP permite uma conversação aberta entre o cliente de acesso remoto e o autenticador. A conversação é composta pelos pedidos de informações de autenticação do autenticador e as respostas do cliente de acesso remoto. Por exemplo, quando o EAP é utilizado com token cards de segurança, o autenticador pode consultar separadamente o cliente de acesso remoto para obter um nome, PIN e valor de token card. À medida que cada consulta é emitida e respondida, o cliente de acesso remoto passa para outro nível de autenticação. Quando todas as perguntas tiverem sido respondidas satisfatoriamente, o cliente de acesso remoto é autenticado.
O Windows Server® 2008 inclui uma infra-estrutura EAP, dois tipos de EAP e a capacidade de transmitir mensagens EAP para um servidor RADIUS (EAP-RADIUS).
Infra-estrutura EAP
O EAP é um conjunto de componentes internos que fornecem suporte arquitectónico para qualquer tipo de EAP sob a forma de um módulo plug-in. Para uma autenticação com êxito, o cliente de acesso remoto e o autenticador têm de ter o mesmo módulo de autenticação EPA instalado. Também pode instalar tipos de EAP adicionais. Os componentes de um tipo de EAP têm de ser instalados em todos os clientes de acesso à rede e em todos os autenticadores.
Nota | |
O sistema operativo Windows Server 2003 fornece dois tipos de EAP: MD5-Challenge e EAP-TLS. O MD5-Challenge não é suportado no Windows Server 2008. |
EAP-TLS
O EAP-TLS é um tipo de EAP utilizado em ambientes de segurança baseados em certificados. Se estiver a utilizar smart cards para a autenticação de acesso remoto, tem de utilizar o método de autenticação EAP-TLS. A troca de mensagens EAP-TLS proporciona autenticação mútua, negociação do método de encriptação e determinação da chave encriptada entre o cliente de acesso remoto e o autenticador. O EAP-TLS proporciona o método de autenticação e determinação de chaves mais forte.
Nota | |
Durante o processo de autenticação EAP-TLS, são geradas chaves de encriptação secreta partilhadas para MPPE (Encriptação Ponto a Ponto da Microsoft). |
O EAP-TLS só é suportado em servidores com o Encaminhamento e Acesso Remoto, que estejam configurados para utilizar a Autenticação do Windows ou RADIUS (Remote Authentication Dial-In User Service) e que sejam membros de um domínio. Um servidor NAS em execução como um servidor autónomo ou membro de um grupo de trabalho não suporta EAP-TLS.
Utilizar o RADIUS como transporte para o EAP
A utilização do RADIUS como transporte para o EAP é a transmissão das mensagens de qualquer tipo de EAP emitidas por um cliente RADIUS para um servidor RADIUS para autenticação. Por exemplo, para um servidor NAS que esteja configurado para autenticação RADIUS, as mensagens EAP enviadas entre o cliente de acesso remoto e o servidor NAS são encapsuladas e formatadas como mensagens RADIUS entre o servidor NAS e o servidor RADIUS. Quando utiliza o EAP sobre RADIUS, é chamado EAP-RADIUS.
O EAP-RADIUS é utilizado em ambientes em que o RADIUS é utilizado como fornecedor de autenticação. Uma vantagem da utilização do EAP-RADIUS é que não é necessário instalar os tipos de EAP em cada servidor de acesso remoto, mas apenas no servidor RADIUS. No caso de um servidor NPS, só necessita de instalar os tipos de EAP no servidor NPS.
Numa utilização típica do EAP-RADIUS, um servidor que esteja a executar o Encaminhamento e Acesso Remoto é configurado para utilizar o EAP e para utilizar um servidor NPS para autenticação. Quando é estabelecida uma ligação, o cliente de acesso remoto negoceia a utilização do EAP com o servidor NAS. Quando o cliente envia uma mensagem EAP para o servidor NAS, este encapsula a mensagem EAP como uma mensagem RADIUS e envia-a para o respectivo servidor NPS. O servidor NPS processa a mensagem EAP e envia uma mensagem EAP encapsulada por RADIUS de volta para o servidor NAS. Por seu turno, o servidor NAS reencaminha a mensagem EAP para o cliente de acesso remoto. Nesta configuração, o servidor NAS é apenas um dispositivo de pass-through. Todo o processamento das mensagens EAP ocorre no cliente de acesso remoto e no servidor NPS.
O Encaminhamento e Acesso Remoto pode ser configurado para autenticação local ou num servidor RADIUS. Se o Encaminhamento e Acesso Remoto for configurado para autenticação local, todos os métodos EAP serão autenticados localmente. Se o Encaminhamento e Acesso Remoto for configurado para autenticação num servidor RADIUS, todas as mensagens EAP serão reencaminhadas para o servidor RADIUS com EAP-RADIUS.
Para activar a autenticação EAP |
Active o EAP como protocolo de autenticação no servidor NAS. Para obter mais informações, consulte a documentação do servidor NAS.
Active o EAP e, se necessário, configure o tipo de EAP de acordo com as restrições da política de rede adequada.
Active e configure o EAP no cliente de acesso remoto. Para obter mais informações, consulte a documentação do cliente de acesso.