O protocolo EAP-TTLS
Esse documento é uma tradução livre do rascunho (draft) que descreve o protocolo EAP-TTLS, disponível em http://tools.ietf.org/html/draft-funk-eap-ttls-v0-05. Use por sua conta e risco.
Introdução
http://tools.ietf.org/html/draft-funk-eap-ttls-v0-05
O protocolo EAP - Extensible Authentication Protocol [RFC 3748] define um padrão para troca de mensagens que permitem a um servidor autenticar um cliente utilizando um método de autenticação aceito por ambas as partes.
EAP pode ser estendido por métodos de autenticação adicionais definidos pela IANA ou por métodos proprietários.
TLS - Transport Layer Security [RFC 4346] é um protocolo de autenticação que fornece a autenticação de um servidor para um cliente (autenticação de uma via) ou autenticação entre ambas as partes (autenticação mútua), bem como garante um conjunto de cifras (ciphersuite) usadas durante a negociação e a troca de chaves criptográficas entre as partes. TLS está definido como um protocolo de autenticação para estender o uso de EAP (EAP-TLS) na RFC 5216.
Outros protocolos de autenticação também são amplamente utilizados. Esses protocolos são tipicamente baseados em senhas (password), e há uma grande base de suporte para esses protocolos na forma de credenciais de banco de dados que podem ser acessados via RADIUS [RFC 2865], Diameter [RFC 3588] ou outros servidores AAA. Estes incluem protocolos não EAP como PAP e CHAP [RFC 1661], MS-CHAP [RFC 2433] ou MS-CHAP [RFC 2759] ou MS-CHAP-V2 [RFC 2759], bem como EAP MD5-Challenge [RFC 3748].
EAP-TTLS é um método EAP que fornece funcionalidades além das fornecidas por TLS. No protocolo EAP-TLS, uma troca de pacotes (handshake) é usada para autenticar tanto cliente quanto servidor. EAP-TTLS estende esta negociação de autenticação. O canal seguro, anteriormente usado somente no momento da negociação, é mantido e utilizado para realizar todas as trocas de pacotes entre cliente e servidor. No protocolo EAP-TTLS a autenticação pode ser mútua, ou somente de uma via, onde apenas o servidor é autenticado pelo cliente. A autenticação do cliente pode ser ela própria EAP, ou outro método como PAP, CHAP, MS-CHAP ou MS-CHAPv2.
Deste modo, EAP-TTLS permite usar protocolos de autenticação legados e baseados em senha (normalmente transmitida em formato de texto puro), protegendo esses protocolos contra ataques de captura de senha ou do tipo "homem do meio".
EAP-TTLS também permite a troca de chaves que são usadas durante a conexão do cliente e do ponto de acesso. Essas trocas são estabelecidas de modo implícito entre o cliente e o servidor, baseada na troca de pacotes (handshake) TLS.
Usando EAP-TTLS, cliente e servidor se comunicam utilizando pares de atributos-valores encriptados. Isto geralmente permite que funções arbitrárias possam ir além da autenticação e da troca de chaves adicionadas na negociação EAP, de uma forma compatível com a estrutura AAA.
O protocolo EAP - Extensible Authentication Protocol [RFC 3748] define um padrão para troca de mensagens que permitem a um servidor autenticar um cliente utilizando um método de autenticação aceito por ambas as partes.
EAP pode ser estendido por métodos de autenticação adicionais definidos pela IANA ou por métodos proprietários.
TLS - Transport Layer Security [RFC 4346] é um protocolo de autenticação que fornece a autenticação de um servidor para um cliente (autenticação de uma via) ou autenticação entre ambas as partes (autenticação mútua), bem como garante um conjunto de cifras (ciphersuite) usadas durante a negociação e a troca de chaves criptográficas entre as partes. TLS está definido como um protocolo de autenticação para estender o uso de EAP (EAP-TLS) na RFC 5216.
Outros protocolos de autenticação também são amplamente utilizados. Esses protocolos são tipicamente baseados em senhas (password), e há uma grande base de suporte para esses protocolos na forma de credenciais de banco de dados que podem ser acessados via RADIUS [RFC 2865], Diameter [RFC 3588] ou outros servidores AAA. Estes incluem protocolos não EAP como PAP e CHAP [RFC 1661], MS-CHAP [RFC 2433] ou MS-CHAP [RFC 2759] ou MS-CHAP-V2 [RFC 2759], bem como EAP MD5-Challenge [RFC 3748].
EAP-TTLS é um método EAP que fornece funcionalidades além das fornecidas por TLS. No protocolo EAP-TLS, uma troca de pacotes (handshake) é usada para autenticar tanto cliente quanto servidor. EAP-TTLS estende esta negociação de autenticação. O canal seguro, anteriormente usado somente no momento da negociação, é mantido e utilizado para realizar todas as trocas de pacotes entre cliente e servidor. No protocolo EAP-TTLS a autenticação pode ser mútua, ou somente de uma via, onde apenas o servidor é autenticado pelo cliente. A autenticação do cliente pode ser ela própria EAP, ou outro método como PAP, CHAP, MS-CHAP ou MS-CHAPv2.
Deste modo, EAP-TTLS permite usar protocolos de autenticação legados e baseados em senha (normalmente transmitida em formato de texto puro), protegendo esses protocolos contra ataques de captura de senha ou do tipo "homem do meio".
EAP-TTLS também permite a troca de chaves que são usadas durante a conexão do cliente e do ponto de acesso. Essas trocas são estabelecidas de modo implícito entre o cliente e o servidor, baseada na troca de pacotes (handshake) TLS.
Usando EAP-TTLS, cliente e servidor se comunicam utilizando pares de atributos-valores encriptados. Isto geralmente permite que funções arbitrárias possam ir além da autenticação e da troca de chaves adicionadas na negociação EAP, de uma forma compatível com a estrutura AAA.