# Bypass de Autenticação MAC
{% hint style="danger" %}
Uma vez que **os endereços MAC podem ser facilmente falsificados**, implementar um bypass de autenticação MAC é **fortemente desaconselhado** a menos que seja absolutamente necessário e o administrador tenha ponderado o risco associado à implementação de tal bypass em relação à conveniência e às restrições orçamentais de atualizar hardware desatualizado.
{% endhint %}
## Visão geral
**MAC Authentication Bypass (MAB)** é uma funcionalidade que permite que dispositivos incapazes de executar a autenticação empresarial padrão 802.1X (como impressoras antigas, sensores simples ou sistemas incorporados) se liguem a uma rede que, de outra forma, seria segura. O MAB concede acesso usando o endereço MAC único de um dispositivo como identificador exclusivo numa lista autorizada mantida por um servidor RADIUS.
A implementação legada do MAB é **vulnerável à falsificação de endereços MAC tanto na** ligação entre o dispositivo autenticador e o dispositivo de rede como na ligação entre o dispositivo de rede e o servidor RADIUS. Para eliminar o segundo vetor de ataque, pode ser usada uma implementação mais forte de MAB, chamada **MAB-to-EAP**, que garante eficazmente a integridade do endereço MAC transmitido ao servidor RADIUS (o endereço MAC ainda pode ser falsificado na ligação entre o dispositivo autenticador e o dispositivo de rede).
Este guia detalha as diferenças entre o método antigo inseguro **Pure MAB** e a solução de contorno moderna, com transporte seguro.
## Terminologia e Implementações de MAB
**MAB:** MAC Authentication Bypass
**EAP:** Extensible Authentication Protocol
**Supplicant:** A entidade (como um portátil, telefone ou interface de rede) que inicia o processo de autenticação com um Authenticator para obter acesso a uma rede.
**Authenticator:** Uma entidade de rede (como um switch, ponto de acesso sem fios ou gateway VPN) que impõe a autenticação antes de conceder a um Supplicant acesso à rede.
**Servidor de Autenticação:** Uma entidade de rede confiável (como um servidor RADIUS) responsável por verificar a identidade dos Supplicants, verificando as suas credenciais (como nomes de utilizador, palavras-passe ou certificados digitais) e determinando se estão autorizados a aceder à rede.
**Pure MAB** (Implementação Legada): Este método envolve o Authenticator a enviar o endereço MAC do cliente para um servidor RADIUS, normalmente no atributo `Calling-Station-Id` do RADIUS. O servidor RADIUS executa uma pesquisa simples e devolve um `Access-Accept` ou `Access-Reject`. O endereço MAC atua como identificador, não como uma credencial verdadeira.
**MAB-to-EAP** (Implementação Segura): Como o Pure MAB não possui transporte criptograficamente seguro, muitos serviços modernos (como RADIUSaaS) exigem uma abordagem mais forte. Neste método, o Authenticator usa o endereço MAC do cliente como nome de utilizador e palavra-passe e depois tenta autenticar-se no servidor RADIUS usando um protocolo EAP seguro (por exemplo, EAP-TTLS-PAP, PEAP-MSCHAPv2). O dispositivo cliente permanece alheio ao facto de ter ocorrido qualquer autenticação.
## Como Funciona o Pure MAB (Base de Dados RADIUS Externa)
Quando a base de dados de endereços MAC é mantida por um servidor RADIUS externo (a configuração empresarial comum), aplica-se a seguinte sequência ao Pure MAB:
1. Um cliente não-802.1X liga-se e solicita acesso à rede.
2. O Authenticator deteta a ligação e, ao não ver qualquer negociação 802.1X, inicia uma tentativa de MAB.
3. O Authenticator pega no endereço MAC do cliente (por exemplo, `00:11:22:33:44:55`) e encaminha-o para o servidor RADIUS numa `mensagem Access-Request` . O endereço MAC é normalmente analisado no `Calling-Station-Id` atributo RADIUS.
4. O servidor RADIUS verifica na sua base de dados configurada a presença do endereço MAC.
5. Devolve uma `Access-Accept` mensagem se o MAC for encontrado (Correspondência) ou uma `Access-Reject` se não for encontrado (Sem Correspondência).
6. Se `Access-Accept` for recebido, o Authenticator autoriza a porta e permite que o cliente entre na rede.
### Considerações de Segurança
Em geral, **o MAB oferece pouca ou nenhuma segurança** e deve ser usado com extrema cautela.
* **Falsificação de MAC:** os endereços MAC são facilmente alterados (falsificados) na maioria dos computadores e placas de rede modernos. Um agente malicioso pode observar o endereço MAC de um dispositivo autorizado e configurar o seu próprio dispositivo para o usar, obtendo assim acesso não autorizado.
* **Identificação, Não Autenticação:** o MAB é apenas uma forma de identificação do dispositivo. Confirma apenas qual dispositivo está a ligar-se, não quem é o seu proprietário nem se é criptograficamente seguro.
Devido a estas fraquezas, a maioria dos serviços modernos de autenticação baseados na cloud (como RADIUSaaS) não suporta Pure MAB nem protocolos antigos como PAP ou CHAP. Em vez disso, exigem o método MAB-to-EAP, em que o endereço MAC é usado como credencial dentro de um túnel EAP criptograficamente forte.
## Implementação de MAB com EAP (uma Abordagem RADIUSaaS ao MAB)
Quando o MAB está configurado num Authenticator e um dispositivo legado que não suporta 802.1X tenta solicitar acesso à rede, o switch ou AP fingirá ser esse dispositivo e assume a autenticação em nome do cliente autenticando-se no RADIUSaaS usando um dos EAP suportados [protocolos](https://docs.radiusaas.com/admin-portal/users#protocols): EAP-TTLS-PAP ou PEAP-MSCHAPv2. Como parte deste processo, o RADIUSaaS verificará se o endereço MAC está listado na base de dados do RADIUSaaS na forma de um [Utilizador](/pt/portal-de-administracao/users.md)adicionado manualmente. (nome de utilizador = palavra-passe = endereço MAC), Se sim, então é devolvida uma `Access-Accept` mensagem, e a autenticação baseada em EAP conclui-se, dando acesso à rede ao dispositivo legado. Como o Authenticator está a estabelecer uma ligação TLS ao RADIUSaaS, tem de confiar no [Certificado de servidor](/pt/portal-de-administracao/settings/settings-server.md#server-certificates) que o RADIUSaaS usa.
O uso do endereço MAC como nome de utilizador/palavra-passe para acionar EAP é uma solução de contorno específica implementada pelo Authenticator para simular o MAB enquanto utiliza protocolos EAP mais fortes.
### O MAB funciona com o RADIUSaaS?
O MAB na sua implementação original, usando PAP ou CHAP, não funciona com o RADIUSaaS. Com as definições acima em mente, a implementação atual do RADIUSaaS pode suportar MAB desde que o seu Authenticator possa autenticar através de um dos protocolos acima mencionados. Tenha em atenção que, assim que estes protocolos suportados são usados na autenticação, já não estamos a contornar a autenticação, e é aqui que se usa o termo mais específico MAB-to-EAP.
### Configuração
**MAB** requer configuração tanto no Authenticator como no Servidor de Autenticação.
**Authenticator:**
* Ative 802.1X e MAC Authentication Bypass (MAB) nas portas de acesso/SSIDs específicos destinados a dispositivos não-802.1X.
* Confie no [certificado do servidor RADIUS](/pt/portal-de-administracao/settings/settings-server.md#download).
* *Nota: Os passos de configuração são específicos do fornecedor; consulte a documentação do seu dispositivo.*
**Servidor de Autenticação:**
* Ao implementar MAB-to-EAP, deve criar uma regra explícita de autorização no RADIUSaaS para atribuir todos os dispositivos que se autentiquem através deste método a uma VLAN de fallback com acesso mínimo à rede. Isto é essencial para aplicar o princípio do menor privilégio, impedindo que um agente malicioso que tenha falsificado um endereço MAC válido aceda a recursos críticos da rede. A regra deve ser configurada com base nas políticas de autenticação do seu ambiente:
* Se o MAB-to-EAP for o único uso para autenticação baseada em nome de utilizador/palavra-passe: Crie uma regra de autorização abrangente (LAN/Wi-Fi) que atribua qualquer dispositivo que utilize este tipo de credencial à VLAN de fallback.
* Se o nome de utilizador/palavra-passe for usado para outros clientes (por exemplo, utilizadores): Esta regra deve ser cuidadosamente ajustada usando expressões regulares para corresponder especificamente ao padrão de um endereço MAC no campo do nome de utilizador (por exemplo, `00:11:22:33:44:55`). Isto garante que apenas o tráfego MAB-to-EAP seja isolado na VLAN de fallback.
* Para suportar MAB-to-EAP, deve [adicionar](/pt/portal-de-administracao/users.md#add) utilizadores formatados como: Nome de utilizador = Palavra-passe = endereço MAC. Exemplo: `00:11:22:33:44:55` = `00:11:22:33:44:55`.
* O formato do endereço MAC (dois-pontos, hífen ou nenhum) deve corresponder exatamente ao formato que o seu Authenticator envia nas credenciais EAP. Recomendamos usar a notação com dois-pontos (por exemplo, `00:11:22:33:44:55`) para consistência.
* Se tiver vários utilizadores, pode importá-los em lote usando um [CSV](/pt/portal-de-administracao/users.md#csv-import) ficheiro.
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.radiusaas.com/pt/outro/faqs/mac-authentication.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.