The Cable GuyEAPHost no Windows
Joseph Davies
As informações de pré-lançamento sobre o Windows Server “Longhorn” apresentadas nesta coluna estão sujeitas a alterações.
Quando um cliente de acesso se conecta a uma rede protegida, precisa usar um método negociado de autenticação que permita confirmar sua identidade para o servidor de autenticação. Por exemplo, o cliente de acesso e o servidor de autenticação podem combinar o uso de um protocolo específico de autenticação de senha, como o MS-CHAP v2 (Microsoft Challenge Handshake
Authentication Protocol versão 2). No entanto, quando o cliente de acesso e o servidor de autenticação usam métodos de autenticação com codificação incorporada, fica difícil acrescentar novos protocolos.
O EAP (protocolo de autenticação extensível) é uma estrutura arquitetônica que permite estender os métodos de autenticação às tecnologias de acesso a redes geralmente utilizadas, como redes sem fio baseadas em IEEE 802.1X e conexões PPP como dial-up e VPN. O EAP não é um método de autenticação como o MS-CHAP v2, mas sim uma estrutura no cliente de acesso e no servidor de autenticação que permite aos fornecedores de redes desenvolver e instalar facilmente novos métodos de autenticação, conhecidos como métodos EAP. Para obter mais informações de referência sobre o EAP, consulte a página da Microsoft na Web sobre o EAP em microsoft.com/eap.
Embora o EAP conte com o suporte do Microsoft® Windows® desde o Windows 2000, a arquitetura do EAP no Windows XP e no Windows Server® 2003 tem limitações de extensibilidade para métodos e suplicantes EAP, que são componentes de software que podem usar o EAP em um tipo específico de camada de link. A arquitetura EAPHost no Windows Vista™ e na próxima versão do Windows Server, de codinome "Longhorn", soluciona essas limitações, tornando muito mais fácil para outros fornecedores de redes estender o Windows a novos suplicantes e métodos EAP.
Suporte para o EAP no Windows Server 2003 e no Windows XP
O Windows Server 2003 e o Windows XP usam o EAP para conexões com ou sem fio autenticadas com 802.1X e para conexões baseadas em PPP, como conexões dial-up ou VPN de acesso remoto ou site a site. Esses sistemas operacionais contêm, especificamente, uma implementação do EAP em conformidade com a RFC 2284, e incluem suplicantes IEEE 802.1X e PPP. A Figura 1 mostra a arquitetura do EAP e dos suplicantes para Windows XP e Windows Server 2003. Contudo, deve-se observar que a implementação do EAP no Windows XP SP2 (Service Pack 2) e no Windows Server 2003 SP1 não oferece suporte à RFC 3748 (o padrão atual da Internet para EAP) e a outras RFCs do EAP.
Figura 1** Arquitetura do EAP e dos suplicantes para o Windows XP e o Windows Server 2003 **
Uma API do EAP fornece os meios necessários para estender a autenticação no Windows XP e no Windows Server 2003. Embora outros fornecedores possam desenvolver e instalar novos métodos EAP, os suplicantes PPP e 802.1X incorporados não podem usar todos os métodos EAP instalados. Um fornecedor poderia, por exemplo, criar um novo método de autenticação EAP com leitura de impressões digitais, mas talvez ele não estivesse disponível para conexões sem fio.
Devido às limitações dos suplicantes internos, outros fornecedores de software e hardware desenvolvem seus próprios suplicantes, que normalmente substituem e desabilitam os suplicantes internos e toda a arquitetura do EAP. No entanto, essa alternativa apresenta alguns problemas. Primeiro, substituir os suplicantes internos e a arquitetura do EAP gera custos de desenvolvimento e atrasos. Além disso, se um cliente empresarial não desenvolver seus próprios suplicantes, estará sujeito a custos adicionais por estação de trabalho para licenciar e instalar um produto de outro fornecedor.
Recursos do EAPHost
O EAPHost oferece os seguintes novos recursos:
Suporte a métodos EAP adicionais. O EAPHost oferecerá suporte à instalação e ao uso de todos os métodos EAP relacionados no Registro do EAP, em www.iana.org/assignments/eap-numbers, e a outros métodos comuns de autenticação como o LEAP (Lightweight EAP), desenvolvido e fornecido pela Cisco Systems, Inc.
Descoberta de rede. O EAPHost oferece suporte à descoberta de rede conforme definida na RFC 4284.
Conformidade com a RFC 3748. O EAPHost é compatível com a Máquina de estado EAP e soluciona diversas vulnerabilidades de segurança especificadas na RFC 3748. Anteriormente, os suplicantes precisavam implementar suas próprias máquinas de estado. O EAPHost oferece também suporte a recursos como Expanded EAP Types (incluindo métodos EAP específicos de fornecedores).
Coexistência de métodos EAP. O EAPHost permite a coexistência de várias implementações do mesmo método EAP. É possível, por exemplo, instalar e selecionar a versão da Microsoft e a versão da Cisco Systems, Inc. para o PEAP (EAP protegido).
Arquitetura modular de suplicantes. O EAPHost oferece suporte a uma arquitetura modular de suplicantes, na qual novos suplicantes podem ser adicionados facilmente sem que seja necessário substituir toda a implementação do EAP, como era preciso na versão anterior.
Para os fornecedores de métodos EAP, o EAPHost oferece suporte a métodos EAP já desenvolvidos para Windows XP e Windows Server 2003 e um método mais simples de desenvolvimento de novos métodos EAP para Windows Vista e Windows Server "Longhorn". O EAPHost permite também uma melhor classificação dos tipos de EAP, de forma que o suplicante IEEE 802.1X interno possa usá-los.
Para os fornecedores de suplicantes, o EAPHost fornece suporte a suplicantes adicionais para novas camadas de link. Como o EAPHost é integrado à NAP (proteção de acesso à rede), os novos suplicantes não precisam reconhecer a NAP. Para participar da NAP, os novos suplicantes precisam apenas registrar um identificador de conexão e uma função de retorno de chamada que informe ao suplicante para autenticar-se novamente. Para obter mais informações sobre a NAP, consulte a coluna Security Watch de John Morello nesta edição da TechNet Magazine, e também a página da Web sobre NAP em microsoft.com/nap. Para obter informações sobre como desenvolver métodos EAP ou suplicantes para o EAPHost, consulte Extensible Authentication Protocol Host em msdn2.microsoft.com/aa364249.aspx.
O EAPHost e a arquitetura da infra-estrutura do EAP
A arquitetura EAPHost é constituída pela arquitetura da infra-estrutura do EAP para o EAPHost, pela arquitetura EAPHost no ponto EAP (o cliente de autenticação) e pela arquitetura EAPHost no servidor de autenticação. A Figura 2 mostra os componentes da arquitetura da infra-estrutura do EAP para o EAPHost em computadores executando o Windows Vista ou o Windows Server "Longhorn". Nesses sistemas operacionais, o ponto EAP tem uma camada de suplicantes (como o suplicante interno para 802.1X), a nova arquitetura EAPHost para pontos EAP (facilitando a comunicação e o gerenciamento de suplicantes e métodos EAP) e uma camada de métodos EAP para realizar a autenticação.
Figura 2** A arquitetura da infra-estrutura do EAP para o EAPHost **(Clique na imagem para aumentar a exibição)
O servidor de autenticação para o Windows Server "Longhorn" tem o NPS (servidor de diretivas de rede), a nova arquitetura EAPHost para servidores de autenticação e uma camada de métodos EAP. Anteriormente conhecido como IAS (serviço de autenticação da Internet) no Windows Server 2003, o NPS é um servidor e proxy RADIUS (serviço de autenticação remota de usuários discados) e um servidor de diretivas para a NAP.
O suplicante no ponto EAP usa uma tecnologia de camada de link como PPP ou 802.1X para enviar e receber mensagens EAP no link entre o ponto EAP e o autenticador de passagem (um servidor de acesso à rede, como um ponto de acesso sem fio ou um servidor de acesso remoto). O autenticador de passagem e o NPS no servidor de autenticação usam o RADIUS para enviar e receber mensagens EAP na rede baseada em IP entre o autenticador de passagem e o NPS.
Após o ponto EAP e o servidor de autenticação negociarem o uso de um método EAP específico, a comunicação lógica consiste em mensagens EAP trocadas entre o método EAP negociado no ponto EAP e o servidor de autenticação.
A Figura 3 mostra a arquitetura EAPHost no ponto EAP executando o Windows Vista ou o Windows Server "Longhorn". Essa arquitetura é composta por suplicantes, componentes do EAPHost, componentes de gerenciamento de métodos EAP e componentes da NAP.
Figura 3** A arquitetura EAPHost no ponto EAP **(Clique na imagem para aumentar a exibição)
O Windows Vista e o Windows Server "Longhorn" incluem um suplicante 802.1X para conexões com ou sem fio baseadas em 802.1X. Um suplicante PPP para conexões de acesso remoto ou site a site via dial-up ou VPN está em fase de estudo para futura atualização desses dois sistemas operacionais. Suplicantes adicionais desenvolvidos por outros fornecedores também podem ser acrescentados. A API do EAPHost permite que os suplicantes usem o EAP para conexões. Para obter mais informações, consulte o artigo em msdn2.microsoft.com/aa364249.aspx.
Os componentes do EAPHost incluem o Validador de protocolo/máquina de estado do cliente EAP, que mantém a máquina de estado do ponto EAP (consulte a RFC 3748) e valida as mensagens EAP. Também está incluído o Gerenciador de métodos EAP, que gerencia os diversos métodos EAP, sejam eles compatíveis ou não com o EAPHost, e ajuda a tornar os métodos EAP disponíveis para aplicativos e serviços. Finalmente, há o Gerenciador de bibliotecas EAP, que facilita o carregamento e o descarregamento de bibliotecas de métodos EAP.
Os componentes de métodos EAP incluem:
Métodos EAP internos. Incluem PEAP, EAP-TLS (segurança da camada de transporte) e EAP-MS-CHAP-V2.
Duas APIs de host. Hospedam métodos EAP não-compatíveis com o EAPHost (API do EAP herdada) e métodos EAP de terceiros compatíveis com o EAPHost (API de métodos do EAPHost).
Método Translator herdado. Faz a tradução entre os métodos EAP não-compatíveis com o EAPHost gravados na API do EAP herdada e a API de métodos do EAPHost.
Gerenciador de proxy de métodos EAP . Hospeda métodos EAP de terceiros, sejam ou não compatíveis com o EAPHost.
A API de métodos EAP é a nova API para métodos EAP compatíveis com o EAPHost. Os métodos EAP exportam as APIs definidas na API de métodos EAP. O EAPHost carrega os métodos EAP e chama as funções exportadas da API.
Os componentes da NAP incluem os seguintes itens:
EAP NAP EC Messenger . Esse componente facilita a comunicação de dados relacionados à NAP, como declarações de integridade e eventos, entre o EC (cliente de imposição) da NAP do EAPHost e outros componentes do EAPHost.
EAPHost NAP EC . Interage com outros componentes da NAP para realizar a validação de integridade e a imposição de acesso limitado quando uma conexão autenticada por 802.1X não cumpre os requisitos de integridade do sistema da NAP.
Agente NAP. Mantém o atual estado de integridade do cliente e facilita a comunicação entre os ECs instalados da NAP e a camada de SHAs (agentes de integridade do sistema). Cada SHA é definido para um ou mais requisitos de integridade do sistema.
Como mostra a Figura 3, outros fornecedores podem desenvolver novos suplicantes e novos métodos EAP compatíveis com o EAPHost. Você pode usar também métodos EAP existentes desenvolvidos para Windows Server 2003 ou Windows XP.
A Figura 4 mostra a arquitetura EAPHost no servidor de autenticação executando Windows Server "Longhorn" e NPS. Essa arquitetura é a mesma do ponto EAP para dar suporte aos métodos EAP. Em vez de suplicantes, o servidor de autenticação tem o NPS, que utiliza a API do EAPHost para usar e configurar métodos EAP. Nos componentes do EAP, o Validador de protocolo/máquina de estado do servidor EAP realiza a tarefa de manter a máquina de estado do servidor de autenticação EAP e validar as mensagens EAP recebidas.
Figura 4** A arquitetura EAPHost no servidor de autenticação **(Clique na imagem para aumentar a exibição)
O EAPHost no servidor de autenticação permite que outros fornecedores de software desenvolvam e instalem novos métodos EAP compatíveis com o EAPHost e oferece suporte a métodos EAP já desenvolvidos para Windows XP e Windows Server 2003.
O EAPHost fornece ainda, tanto para o ponto EAP quanto para o servidor de autenticação, uma API proxy da interface do usuário do EAPHost (não mostrada nas Figuras 3 e 4), que pode ser usada pelos métodos compatíveis com o EAPHost para exibir caixas de diálogo que exijam interação com o usuário. A API proxy da interface do usuário do EAPHost permite que outros fornecedores acrescentem suas caixas de diálogo, proporcionando maior integração à experiência do usuário.
Conclusão
O EAPHost no Windows Server "Longhorn" e no Windows Vista atualiza a implementação do EAP no Windows de acordo com os mais recentes padrões da Internet e fornece uma nova arquitetura modular para estender o Windows com métodos de autenticação e suplicantes EAP. Os fornecedores de redes podem ampliar a atual experiência do usuário no Windows sem precisar substituir toda a implementação do EAP no Windows, com o desenvolvimento de novos suplicantes gravados na API do EAPHost e de novos métodos de autenticação gravados na API de métodos do EAPHost. O EAPHost também oferece suporte a métodos EAP existentes desenvolvidos para Windows Server 2003 e Windows XP.
EAPHost para Windows XP
A Microsoft programou o lançamento de uma atualização do Windows XP SP2 incluindo a arquitetura EAPHost, suporte para a RFC 3748 e um suplicante baseado no EAPHost para conectividade 802.1X com fio. Com a atualização, os suplicantes do EAPHost desenvolvidos para Windows Vista funcionarão também no Windows XP SP2. Para obter as informações mais recentes sobre essa atualização, consulte o blog da equipe de produtos NAP em blogs.technet.com/nap.
Joseph Davies é redator técnico da Microsoft e vem ensinando e escrevendo sobre assuntos relacionados a sistemas de rede do Windows desde 1992. Ele escreveu cinco livros para a Microsoft Press e é autor da coluna mensal Cable Guy da TechNet.
© 2008 Microsoft Corporation e CMP Media, LLC. Todos os direitos reservados. A reprodução parcial ou completa sem autorização é proibida..