# MAC Authentication Bypass
{% hint style="danger" %}
Uma vez que **os endereços MAC podem ser facilmente falsificados**, implementar um bypass de autenticação MAC é **fortemente desaconselhado** a menos que seja absolutamente necessário e o administrador tenha ponderado o risco associado à implementação de tal bypass em relação à conveniência e às restrições orçamentais de atualizar hardware desatualizado.
{% endhint %}
## Visão geral
**MAC Authentication Bypass (MAB)** é uma funcionalidade que permite que dispositivos incapazes de executar a autenticação empresarial padrão 802.1X (como impressoras antigas, sensores simples ou sistemas incorporados) se liguem a uma rede que, de outra forma, seria segura. O MAB concede acesso usando o endereço MAC único de um dispositivo como identificador exclusivo numa lista autorizada mantida por um servidor RADIUS.
A implementação legada do MAB é **vulnerável à falsificação de endereços MAC tanto na** ligação entre o dispositivo autenticador e o dispositivo de rede como na ligação entre o dispositivo de rede e o servidor RADIUS. Para eliminar o segundo vetor de ataque, pode ser usada uma implementação mais forte de MAB, chamada **MAB-to-EAP**, que garante eficazmente a integridade do endereço MAC transmitido ao servidor RADIUS (o endereço MAC ainda pode ser falsificado na ligação entre o dispositivo autenticador e o dispositivo de rede).
Este guia detalha as diferenças entre o método antigo inseguro **Pure MAB** e a solução de contorno moderna, com transporte seguro.
## Terminologia e Implementações de MAB
**MAB:** MAC Authentication Bypass
**EAP:** Extensible Authentication Protocol
**Supplicant:** A entidade (como um portátil, telefone ou interface de rede) que inicia o processo de autenticação com um Authenticator para obter acesso a uma rede.
**Authenticator:** Uma entidade de rede (como um switch, ponto de acesso sem fios ou gateway VPN) que impõe a autenticação antes de conceder a um Supplicant acesso à rede.
**Servidor de Autenticação:** Uma entidade de rede confiável (como um servidor RADIUS) responsável por verificar a identidade dos Supplicants, verificando as suas credenciais (como nomes de utilizador, palavras-passe ou certificados digitais) e determinando se estão autorizados a aceder à rede.
**Pure MAB** (Implementação Legada): Este método envolve o Authenticator a enviar o endereço MAC do cliente para um servidor RADIUS, normalmente no atributo `Calling-Station-Id` do RADIUS. O servidor RADIUS executa uma pesquisa simples e devolve um `Access-Accept` ou `Access-Reject`. O endereço MAC atua como identificador, não como uma credencial verdadeira.
**MAB-to-EAP** (Implementação Segura): Como o Pure MAB não possui transporte criptograficamente seguro, muitos serviços modernos (como RADIUSaaS) exigem uma abordagem mais forte. Neste método, o Authenticator usa o endereço MAC do cliente como nome de utilizador e palavra-passe e depois tenta autenticar-se no servidor RADIUS usando um protocolo EAP seguro (por exemplo, EAP-TTLS-PAP, PEAP-MSCHAPv2). O dispositivo cliente permanece alheio ao facto de ter ocorrido qualquer autenticação.
## Como Funciona o Pure MAB (Base de Dados RADIUS Externa)
Quando a base de dados de endereços MAC é mantida por um servidor RADIUS externo (a configuração empresarial comum), aplica-se a seguinte sequência ao Pure MAB:
1. Um cliente não-802.1X liga-se e solicita acesso à rede.
2. O Authenticator deteta a ligação e, ao não ver qualquer negociação 802.1X, inicia uma tentativa de MAB.
3. O Authenticator pega no endereço MAC do cliente (por exemplo, `00:11:22:33:44:55`) e encaminha-o para o servidor RADIUS numa `mensagem Access-Request` . O endereço MAC é normalmente analisado no `Calling-Station-Id` atributo RADIUS.
4. O servidor RADIUS verifica na sua base de dados configurada a presença do endereço MAC.
5. Devolve uma `Access-Accept` mensagem se o MAC for encontrado (Correspondência) ou uma `Access-Reject` se não for encontrado (Sem Correspondência).
6. Se `Access-Accept` for recebido, o Authenticator autoriza a porta e permite que o cliente entre na rede.
### Considerações de Segurança
Em geral, **o MAB oferece pouca ou nenhuma segurança** e deve ser usado com extrema cautela.
* **Falsificação de MAC:** os endereços MAC são facilmente alterados (falsificados) na maioria dos computadores e placas de rede modernos. Um agente malicioso pode observar o endereço MAC de um dispositivo autorizado e configurar o seu próprio dispositivo para o usar, obtendo assim acesso não autorizado.
* **Identificação, Não Autenticação:** o MAB é apenas uma forma de identificação do dispositivo. Confirma apenas qual dispositivo está a ligar-se, não quem é o seu proprietário nem se é criptograficamente seguro.
Devido a estas fraquezas, a maioria dos serviços modernos de autenticação baseados na cloud (como RADIUSaaS) não suporta Pure MAB nem protocolos antigos como PAP ou CHAP. Em vez disso, exigem o método MAB-to-EAP, em que o endereço MAC é usado como credencial dentro de um túnel EAP criptograficamente forte.
## Implementação de MAB com EAP (uma Abordagem RADIUSaaS ao MAB)
Quando o MAB está configurado num Authenticator e um dispositivo legado que não suporta 802.1X tenta solicitar acesso à rede, o switch ou AP fingirá ser esse dispositivo e assume a autenticação em nome do cliente autenticando-se no RADIUSaaS usando um dos EAP suportados [protocolos](https://docs.radiusaas.com/admin-portal/users#protocols): EAP-TTLS-PAP ou PEAP-MSCHAPv2. Como parte deste processo, o RADIUSaaS verificará se o endereço MAC está listado na base de dados do RADIUSaaS na forma de um [Utilizador](https://docs.radiusaas.com/pt/portal-de-administracao/users)adicionado manualmente. (nome de utilizador = palavra-passe = endereço MAC), Se sim, então é devolvida uma `Access-Accept` mensagem, e a autenticação baseada em EAP conclui-se, dando acesso à rede ao dispositivo legado. Como o Authenticator está a estabelecer uma ligação TLS ao RADIUSaaS, tem de confiar no [Certificado de servidor](https://docs.radiusaas.com/pt/portal-de-administracao/settings/settings-server#server-certificates) que o RADIUSaaS usa.
O uso do endereço MAC como nome de utilizador/palavra-passe para acionar EAP é uma solução de contorno específica implementada pelo Authenticator para simular o MAB enquanto utiliza protocolos EAP mais fortes.
### O MAB funciona com o RADIUSaaS?
O MAB na sua implementação original, usando PAP ou CHAP, não funciona com o RADIUSaaS. Com as definições acima em mente, a implementação atual do RADIUSaaS pode suportar MAB desde que o seu Authenticator possa autenticar através de um dos protocolos acima mencionados. Tenha em atenção que, assim que estes protocolos suportados são usados na autenticação, já não estamos a contornar a autenticação, e é aqui que se usa o termo mais específico MAB-to-EAP.
### Configuração
**MAB** requer configuração tanto no Authenticator como no Servidor de Autenticação.
**Authenticator:**
* Ative 802.1X e MAC Authentication Bypass (MAB) nas portas de acesso/SSIDs específicos destinados a dispositivos não-802.1X.
* Confie no [certificado do servidor RADIUS](https://docs.radiusaas.com/pt/portal-de-administracao/settings/settings-server#download).
* *Nota: Os passos de configuração são específicos do fornecedor; consulte a documentação do seu dispositivo.*
**Servidor de Autenticação:**
* Ao implementar MAB-to-EAP, deve criar uma regra explícita de autorização no RADIUSaaS para atribuir todos os dispositivos que se autentiquem através deste método a uma VLAN de fallback com acesso mínimo à rede. Isto é essencial para aplicar o princípio do menor privilégio, impedindo que um agente malicioso que tenha falsificado um endereço MAC válido aceda a recursos críticos da rede. A regra deve ser configurada com base nas políticas de autenticação do seu ambiente:
* Se o MAB-to-EAP for o único uso para autenticação baseada em nome de utilizador/palavra-passe: Crie uma regra de autorização abrangente (LAN/Wi-Fi) que atribua qualquer dispositivo que utilize este tipo de credencial à VLAN de fallback.
* Se o nome de utilizador/palavra-passe for usado para outros clientes (por exemplo, utilizadores): Esta regra deve ser cuidadosamente ajustada usando expressões regulares para corresponder especificamente ao padrão de um endereço MAC no campo do nome de utilizador (por exemplo, `00:11:22:33:44:55`). Isto garante que apenas o tráfego MAB-to-EAP seja isolado na VLAN de fallback.
* Para suportar MAB-to-EAP, deve [adicionar](https://docs.radiusaas.com/pt/portal-de-administracao/users#add) utilizadores formatados como: Nome de utilizador = Palavra-passe = endereço MAC. Exemplo: `00:11:22:33:44:55` = `00:11:22:33:44:55`.
* O formato do endereço MAC (dois-pontos, hífen ou nenhum) deve corresponder exatamente ao formato que o seu Authenticator envia nas credenciais EAP. Recomendamos usar a notação com dois-pontos (por exemplo, `00:11:22:33:44:55`) para consistência.
* Se tiver vários utilizadores, pode importá-los em lote usando um [CSV](https://docs.radiusaas.com/pt/portal-de-administracao/users#csv-import) ficheiro.
### Considerações de Segurança
Em geral, **o MAB oferece pouca ou nenhuma segurança** e deve ser usado com extrema cautela.
* **Falsificação de MAC:** os endereços MAC são facilmente alterados (falsificados) na maioria dos computadores e placas de rede modernos. Um agente malicioso pode observar o endereço MAC de um dispositivo autorizado e configurar o seu próprio dispositivo para o usar, obtendo assim acesso não autorizado.
* **Identificação, Não Autenticação:** o MAB é apenas uma forma de identificação do dispositivo. Confirma apenas qual dispositivo está a ligar-se, não quem é o seu proprietário nem se é criptograficamente seguro.
Devido a estas fraquezas, a maioria dos serviços modernos de autenticação baseados na cloud (como RADIUSaaS) não suporta Pure MAB nem protocolos antigos como PAP ou CHAP. Em vez disso, exigem o método MAB-to-EAP, em que o endereço MAC é usado como credencial dentro de um túnel EAP criptograficamente forte.
## Implementação de MAB com EAP (uma Abordagem RADIUSaaS ao MAB)
Quando o MAB está configurado num Authenticator e um dispositivo legado que não suporta 802.1X tenta solicitar acesso à rede, o switch ou AP fingirá ser esse dispositivo e assume a autenticação em nome do cliente autenticando-se no RADIUSaaS usando um dos EAP suportados [protocolos](https://docs.radiusaas.com/admin-portal/users#protocols): EAP-TTLS-PAP ou PEAP-MSCHAPv2. Como parte deste processo, o RADIUSaaS verificará se o endereço MAC está listado na base de dados do RADIUSaaS na forma de um [Utilizador](https://docs.radiusaas.com/pt/portal-de-administracao/users)adicionado manualmente. (nome de utilizador = palavra-passe = endereço MAC), Se sim, então é devolvida uma `Access-Accept` mensagem, e a autenticação baseada em EAP conclui-se, dando acesso à rede ao dispositivo legado. Como o Authenticator está a estabelecer uma ligação TLS ao RADIUSaaS, tem de confiar no [Certificado de servidor](https://docs.radiusaas.com/pt/portal-de-administracao/settings/settings-server#server-certificates) que o RADIUSaaS usa.
O uso do endereço MAC como nome de utilizador/palavra-passe para acionar EAP é uma solução de contorno específica implementada pelo Authenticator para simular o MAB enquanto utiliza protocolos EAP mais fortes.
### O MAB funciona com o RADIUSaaS?
O MAB na sua implementação original, usando PAP ou CHAP, não funciona com o RADIUSaaS. Com as definições acima em mente, a implementação atual do RADIUSaaS pode suportar MAB desde que o seu Authenticator possa autenticar através de um dos protocolos acima mencionados. Tenha em atenção que, assim que estes protocolos suportados são usados na autenticação, já não estamos a contornar a autenticação, e é aqui que se usa o termo mais específico MAB-to-EAP.
### Configuração
**MAB** requer configuração tanto no Authenticator como no Servidor de Autenticação.
**Authenticator:**
* Ative 802.1X e MAC Authentication Bypass (MAB) nas portas de acesso/SSIDs específicos destinados a dispositivos não-802.1X.
* Confie no [certificado do servidor RADIUS](https://docs.radiusaas.com/pt/portal-de-administracao/settings/settings-server#download).
* *Nota: Os passos de configuração são específicos do fornecedor; consulte a documentação do seu dispositivo.*
**Servidor de Autenticação:**
* Ao implementar MAB-to-EAP, deve criar uma regra explícita de autorização no RADIUSaaS para atribuir todos os dispositivos que se autentiquem através deste método a uma VLAN de fallback com acesso mínimo à rede. Isto é essencial para aplicar o princípio do menor privilégio, impedindo que um agente malicioso que tenha falsificado um endereço MAC válido aceda a recursos críticos da rede. A regra deve ser configurada com base nas políticas de autenticação do seu ambiente:
* Se o MAB-to-EAP for o único uso para autenticação baseada em nome de utilizador/palavra-passe: Crie uma regra de autorização abrangente (LAN/Wi-Fi) que atribua qualquer dispositivo que utilize este tipo de credencial à VLAN de fallback.
* Se o nome de utilizador/palavra-passe for usado para outros clientes (por exemplo, utilizadores): Esta regra deve ser cuidadosamente ajustada usando expressões regulares para corresponder especificamente ao padrão de um endereço MAC no campo do nome de utilizador (por exemplo, `00:11:22:33:44:55`). Isto garante que apenas o tráfego MAB-to-EAP seja isolado na VLAN de fallback.
* Para suportar MAB-to-EAP, deve [adicionar](https://docs.radiusaas.com/pt/portal-de-administracao/users#add) utilizadores formatados como: Nome de utilizador = Palavra-passe = endereço MAC. Exemplo: `00:11:22:33:44:55` = `00:11:22:33:44:55`.
* O formato do endereço MAC (dois-pontos, hífen ou nenhum) deve corresponder exatamente ao formato que o seu Authenticator envia nas credenciais EAP. Recomendamos usar a notação com dois-pontos (por exemplo, `00:11:22:33:44:55`) para consistência.
* Se tiver vários utilizadores, pode importá-los em lote usando um [CSV](https://docs.radiusaas.com/pt/portal-de-administracao/users#csv-import) ficheiro.