Um perito foi chamado para configurar um mecanismo de auten...

A alternativa correta é a B - EAP-TLS.

Primeiramente, vamos entender o contexto da questão. A questão aborda a configuração de um mecanismo de autenticação para uma rede sem fio que exige um alto nível de segurança. Nesse contexto, é crucial escolher um método de autenticação robusto, capaz de proteger contra uma série de ameaças, como ataques man-in-the-middle e de eavesdropping.

Os métodos de autenticação EAP (Extensible Authentication Protocol) são amplamente utilizados em redes sem fio, especialmente em ambientes empresariais, devido à sua flexibilidade e suporte para vários tipos de credenciais de autenticação.

Agora, vamos analisar cada uma das alternativas apresentadas:

EAP-PEAP (Protected Extensible Authentication Protocol):

Este método encapsula o EAP dentro de um túnel TLS (Transport Layer Security), proporcionando uma camada adicional de proteção. No entanto, ele pode ser considerado menos seguro que o EAP-TLS, pois geralmente utiliza uma senha para a autenticação do usuário.

EAP-TLS (Transport Layer Security):

A resposta correta. Este é um dos métodos de autenticação mais seguros disponíveis, pois utiliza certificados digitais tanto no cliente quanto no servidor. Isso garante uma autenticação mútua e uma forte proteção contra ataques. A sua segurança é baseada na robustez do TLS, que é amplamente utilizado para proteger comunicações na internet.

EAP-FAST (Flexible Authentication via Secure Tunneling):

Desenvolvido pela Cisco, este método utiliza um túnel para a autenticação e é uma alternativa ao EAP-TLS quando a infraestrutura de certificados não está disponível. Embora seguro, não é tão robusto quanto o EAP-TLS em termos de proteção.

EAP-PSK (Pre-Shared Key):

Este método utiliza uma chave pré-compartilhada para autenticar os usuários. Embora simples e fácil de implementar, não oferece o mesmo nível de segurança que métodos baseados em certificados, como o EAP-TLS.

EAP-MD5:

Este é um dos métodos mais básicos e menos seguros de autenticação EAP. Utiliza o algoritmo de hash MD5, que é vulnerável a diversos tipos de ataques. Portanto, não é adequado para ambientes que exigem um alto nível de segurança.

Assim, EAP-TLS é a escolha acertada para um ambiente que demanda um elevado nível de segurança, justamente por sua utilização de certificados digitais que proporcionam uma autenticação mútua e forte proteção contra uma gama de ameaças.

b-

tanto no TLC como PEAP usam suplicante para enviar STart msg, pedindo para auenticar. O servidor responde com um identity request. a resposta é enviada a um servidor de autenticacao como "RADIUS Access request". A diferenca é que EAP-TLS exige autenticacao no lado do cliente, havendo validacao dos certificados entre server e client

EAP-TLS > EAP-PEAP

Copiado de um ótimo comentário de outra questão sobre o tema:

EAP-MD5 - Nível básico, não é mais usado e o principal: não existe autenticação mútua

EAP-TLS - Usa certificado tanto no cliente quanto no servidor, gerenciamento complexo em redes grandes). Esse existe autenticação mútua

EAP-TTLS - Requer apenas certificado no lado do servidor e tem autenticação mútua

PEAP - É o mais usado, tem autenticação mútua e só exige certificado no lado do servidor

EAP-FAST - Esse não usa certificado para autenticação, ele usa um PAC (Protected Access Credential)

O EAP-TLS (Transport Layer Security) fornece autenticação mútua e baseada em certificados do cliente e da rede. Ela depende de certificados do lado do cliente e do servidor para executar autenticação e pode ser usada para gerar dinamicamente chaves WEP baseadas no usuário e em sessão para garantir comunicações subsequentes entre o cliente WLAN e o ponto de acesso. Uma desvantagem do EAP-TLS é que os certificados devem ser gerenciados no lado do cliente e do servidor. Para uma instalação WLAN grande, isso pode ser uma tarefa muito complicada.

Certificado do lado do cliente necessário.

Certificado do lado do servidor obrigatório.

https://www.intel.com.br/content/www/br/pt/support/articles/000006999/wireless/legacy-intel-wireless-products.html

O método mais seguro disponível atualmente é o EAP-TLS (Extensible Authentication Protocol - Transport Layer Security), pois ele oferece autenticação mútua baseada exclusivamente em certificados digitais e elimina o uso de senhas vulneráveis a ataques de phishing e brute-force.

É considerado o padrão-ouro para autenticação segura em redes Wi-Fi corporativas e ambientes de alta segurança, pois utiliza o protocolo TLS para garantir confidencialidade e integridade na autenticação.

Exige que tanto o cliente quanto o servidor possuam certificados digitais válidos, impedindo ataques de intermediário (MITM) e garantindo autenticação forte.

A desvantagem do EAP-TLS é a necessidade de uma infraestrutura de chave pública (PKI) para emitir e gerenciar os certificados, o que pode tornar sua implementação mais complexa e cara. No entanto, para um ambiente que exige máxima segurança, esse é o método mais recomendado.

Resumo dos métodos de autenticação EAP:

EAP-TLS:

• Autenticação mútua com certificados digitais (cliente e servidor).
• Não utiliza senhas, eliminando riscos de ataques de phishing e brute-force.
• O mais seguro, porém, exige infraestrutura de chave pública (PKI).

EAP-PEAP (Protected EAP):

• Usa um túnel TLS para proteger a autenticação, mas ainda permite autenticação baseada em senha.
• Menos seguro que o EAP-TLS, pois senhas podem ser vulneráveis a ataques de phishing e dicionário.

EAP-FAST (Flexible Authentication via Secure Tunneling):

• Criado pela Cisco para substituir o EAP-MD5.
• Usa credenciais protegidas (PACs), mas é menos seguro que EAP-TLS.

EAP-PSK (Pre-Shared Key):

• Baseado em chaves pré-compartilhadas (PSK), semelhante ao WPA2-Personal.
• Não oferece autenticação mútua nem proteção contra ataques MITM.

EAP-MD5:

• Extremamente inseguro, pois apenas faz hash da senha sem criptografia forte.
• Vulnerável a ataques de replay, dicionário e MITM.