Questão nº 38
Questão de Tecnologia da Informação · FGV CVM 2024 (nº 38)
A empresa K está implementando uma solução de autenticação de segurança baseada no protocolo RADIUS com objetivo de melhorar a segurança em sua rede sem fio. Para a execução dessa tarefa, a empresa está buscando um arcabouço de autenticação que forneça autenticação mútua e baseada em certificados do cliente e da rede por meio de um canal criptografado (ou túnel), bem como um meio para derivar chaves WEP dinâmicas, por usuário e por sessão. O arcabouço também deve requerer apenas certificados do lado do servidor.
A empresa K implementará o método de protocolo de autenticação extensível (EAP) denominado:
- AEAP-MD5
- BEAP-TLS
- CAP-SIM
- DEAP-AKA
- EEAP-TTLS (alternativa correta)
Resposta comentada
Gabarito Alternativa E
EAP (Extensible Authentication Protocol) é um conjunto de métodos que permite a um servidor de autenticação (como RADIUS) verificar a identidade de um usuário ou dispositivo que tenta acessar uma rede, especialmente redes sem fio, de forma flexível e segura.
- (A) Incorreta: EAP-MD5 é um método simples e inseguro, não oferece autenticação mútua, não usa certificados, não cria um túnel criptografado e não deriva chaves dinâmicas.
- (B) Incorreta: EAP-TLS (Transport Layer Security) oferece autenticação mútua e baseada em certificados, criando um canal criptografado e derivando chaves dinâmicas. A armadilha é que ele exige certificados tanto do lado do cliente quanto do servidor, o que contradiz o requisito da questão de "requer apenas certificados do lado do servidor".
- (C) Incorreta: EAP-SIM é um método usado para autenticação em redes GSM/UMTS, utilizando o cartão SIM do usuário. Não é baseado em certificados X.509 para autenticação de rede sem fio empresarial como descrito.
- (D) Incorreta: EAP-AKA (Authentication and Key Agreement) é uma evolução do EAP-SIM, usado em redes 3G/4G (UMTS/LTE), também dependente de cartões SIM/USIM. Não se alinha com o requisito de autenticação baseada em certificados de rede e cliente para redes sem fio empresariais tradicionais.
- (E) Correta: EAP-TTLS (Tunneled Transport Layer Security) atende a todos os requisitos. Ele estabelece um túnel TLS criptografado usando apenas um certificado do lado do servidor, protegendo a fase de autenticação do cliente que ocorre dentro desse túnel (podendo usar métodos mais simples como PAP/CHAP/MS-CHAPv2). Fornece autenticação mútua, canal criptografado e permite a derivação de chaves WEP dinâmicas, por usuário e por sessão.
Fonte: FGV CVM 2024 Analista CVM - TI Infraestrutura e Segurança (Perfil 9) (Caderno Tipo 1). Reproduzida para fins de estudo.