implementação do ieee 802.1x em redes v2_2
TRANSCRIPT
Autenticação IEEE 802.1x em redes cabeadas através de EAP
Yury Hans Kelsen Soares de Andrade e Edilberto Silva1
1Pós-Graduação, FACSENAC-DF, Brasília-DF
Abstract:. One of the biggest problems of computer networking in enterprises is how to prevent unknown users host and connects to the network and access network services. The emergence of protocols such as IEEE 802.1x EAP and RADIUS authentication service, authentication still implementing the link layer, level 2 of the OSI model, enables any host or user to have their credentials checked before they have any access to available services the company's computer network. The tests indicate that the implanting is inexpensive and easy implementation because it can be used free software.
Resumo. Hum dos maiores problemas da rede de computadores nas empresas é como evitar que host e usuários desconhecidos conecta na rede e acesse os serviços de rede. O surgimento de protocolos como o IEEE 802.1x e EAP e o serviço de autenticação RADIUS, que implementam autenticação ainda na camada de enlace, nível 2 do modelo OSI, possibilita que qualquer host ou usuário tenha suas credenciais verificadas antes de se tenha qualquer acesso aos serviços disponíveis na rede de computadores da empresa. Os testes realizados indicam que a implentação é de baixo custo e de fácil implentação, pois pode ser utilizados software livre.
Palavras-chave: IEEE 802.1x. Autenticação. EAP.RADIUS
1. Introdução
Os ataques internos são historicamente apontado como responsáveis por cerca de 70% dos problemas de segurança de redes de computadores que uma empresa sofre.
Há por exemplo: proliferação de vírus, roubos de informações, problemas nos controles de acesso das aplicações e ambiente computacional, além dos problemas citados, qualquer computador que é conectado a um ativo de rede consegue antes de qualquer autenticação receber um IP dinamicamente através de DHCP ou configurar um IP estático e tentar várias ações maliciosas ou fraudulentas.
Isso ocorre pelo desconhecimento por parte dos administradores de redes de técnicas de autenticação na camada de enlace, nível dois do modelo OSI.
Na pesquisa [Ernst & Young´s 12th annual global information security survey 2009], as empresas tem detectado uma aumento de ataques internos de 25% e aumento de fraudes perpetradas internamente de 13%.
A implementação de políticas de segurança através de softwares e hardware é de muita importância, para que diminua ou estinga as vulnerabilidades de uma rede de computadores.
Em um ambiente de rede onde o meio de acesso é compartilhado e aberto, como nas redes sem fio ou no caso das redes cabeadas que existam segmentos da mesma que não possam ser verificados, a confiança nos hosts fica limitada. Para contornar esses aspectos falhos de segurança existem diversos métodos disponíveis para implementação de segurança. Uma forma eficiente é prover um mecanismo de segurança através de um protocolo que ofereça opções de segurança confiáveis.
Sendo assim, criou-se o IEEE 802.1x que é um protocolo de autenticação. A idéia do IEEE 802.1x é simples: ninguém tem direito de acessar a rede, quer seja via wireless ou via cabo. Só depois da etapa de autenticação ao meio físico é que se tem acesso aos serviços de rede.
Nesse artigo será proposto a implantação de controle do meio de acesso físico a rede de computadores utilizando um servidor RADIUS com mecanismo de autenticação chamado EAP tomando como base o IEEE 802.1x que será descrito nesse artigo.
2. Autenticação IEEE 802.1x
2.1 EAP (Extensible Authentication Protocol)
O EAP é um protocolo designado para autenticação extensível, ou seja, suportado para trabalhar com múltiplas formas de autenticar, a definição do protocolo foi feita na RFC 2284 [Blunk, L e Vollbrecht, J 1998], com atualizações no draft 2284bis
Autenticação IEEE 802.1x em redes cabeadas através de EAP Pag.: 1
[Blunk et al. 2003]. O protocolo EAP foi projetado e desenvolvido pela IETF (Internet Engineering Task Force). Primeiramente o EAP foi projetado para conexões PPP (Point-to-Point Protocol), e depois transformado para redes convencionais IEEE802 e redes sem fio (Fonte: Microsoft)
O protocolo EAP é muito flexível podendo trabalhar com vários métodos de autenticação como: combinação usuário/senha, Tokens, Certificados, Chaves Públicas, Cartão Magnético e Smartcard. O EAP possui algumas variantes, ou seja, devido à aplicação do servidor de autenticação, o mesmo utiliza ou não determinados protocolos para os serviços desejados, atualmente existem cinco protocolos: EAP-MD5, EAP-TLS, EAP-CISCO (ou LEAP), EAPTTLS e EAP-PEAP.
2.2 IEEE 802.1x
O IEEE 802.1x é um padrão da IEEE (Institute of Electrical and Electronic Engineers) aprovado em junho de 2001 e possibilita uma plataforma de autenticação com base em portas (Based Network Access Control Protocol). Projetado para redes Ethernet, é aplicado ao nível 2 do modelo OSI e atende a dois requisitos de segurança: privacidade e autenticação. Este controle de acesso à rede em portas é característica física de uma rede LAN (wired), através de um switch que suporte o padrão 802.1x. Atualmente ele foi adaptado para redes sem fio (wireless) designado pelo padrão 802.11.
O IEEE 802.1X define os seguintes termos:
· Entidade de acesso à porta (PAE)· Autenticador· Suplicante· Servidor de autenticação
2.2.1 ENTIDADE DE ACESSO À PORTA
A entidade de acesso à porta (PAE) é conhecida como uma porta de rede local, essa entidade oferece suporte ao protocolo IEEE 802.1x referente a uma porta da rede, este tem como função de autenticador, suplicante ou ambos.
2.2.2 AUTENTICADOR
O autenticador é uma aplicação da rede através das portas dos switches ou access points, antes de quaisquer serviços, o autenticador verifica a autenticação, por exemplo, através do login e senha do usuário, depois da confirmação e liberado o serviço para aquele usuário e essa liberação é através de portas como no exemplo abaixo.
Figura 1: Autorização de Portas
2.2.3 SUPLICANTE
O suplicante é o serviço solicitado através do usuário em uma rede, ele solicita serviços do autenticador, para que, baseado na informação do servidor de autenticação, confirme ao suplicante seu acesso ou não.
2.2.4 SERVIDOR DE AUTENTICAÇÃO
Os serviços de autenticação têm como função de verificar as credenciais do suplicante para responder ao autenticador, podendo estar ou não autorizado a essa autenticação, esses serviços é através de um servidor denominado RADIUS, possuindo um banco de dados dos usuários e serviços correspondentes.
Figura 2: Processo de Autenticação
2.3 RADIUS
É um protocolo que foi criado em 1992 pela Livingston que é parte da Lucent Technologies implementado em servidores para Autenticar, Autorizar e Contabilizar (Authentication, Authorization e Accounting – AAA).
O RADIUS é composto das seguintes fases:
a) Fase de Autenticação: quando um servidor recebe uma chamada através de uma identificação do
Autenticação IEEE 802.1x em redes cabeadas através de EAP Pag.: 2
usuário, o servidor verifica se as informações do cliente conferem com os requisitos do usuário. Essa verificação será efetuada no banco de dados do servidor, se for validada passará para próxima etapa de autorização, caso contrário o servidor RADIUS envia a negação do acesso.
b) Fase de Autorização: nesta fase podem-se destacar os direitos, privilégios e restrições que clientes e usuários irão possuir, de acordo com a tabela criada no banco de dados. Esta etapa é importante porque é normal que haja usuários com privilégios diferentes e assim devem ser tratados de maneira distinta.
c) Fase de Contabilização: Esta é a fase que a partir que o usuário ou o cliente já esteja autenticado, todo e qualquer tipo de acontecimentos referentes aos seus usuários é registrado para que possam ser analisados e processados futuramente em uma base de dados. Isso numa corporação que fornece acesso aos seus funcionários à rede local, esta função é importante para fins de auditoria e verificação dos tempos de utilização.
O processo de autenticação, baseada na tecnologia RADIUS pode ser explicado em seis etapas.
a) O servidor de Acesso Remoto tenta negociar a conexão com o Cliente, sempre utilizando o protocolo mais seguro. Caso não seja este o protocolo utilizado pelo Cliente, o servidor vai passando sempre para o próximo menos seguro. Desta forma, o servidor tenta negociar a conexão do protocolo mais seguro para o menos mais seguro, até encontrar o protocolo que o Cliente esta utilizando.
b) Depois de feita a autenticação do protocolo utilizado pelo Cliente, o servidor envia ao protocolo RADIUS a solicitação enviada pelo cliente.
c) Agora o servidor RADIUS poderá verificar, pelo número de IP do Cliente, se é um cliente RADIUS configurado. Caso o cliente RADIUS identifique-o como um cliente RADIUS válido, ele faz uma checagem da assinatura digital do pacote. Para isso ele utiliza um recurso chamado Shared Secret (Segredo Compartilhado) que é uma string de texto e funciona como uma senha especial de reconhecimento utilizada entre o servidor e o cliente.
d) Caso a autenticação do cliente falhe, o servidor descartará o pacote. Como esse pacote foi descartado, o servidor não está recebendo nada válido do cliente, desta forma a conexão é quebrada.
e) Caso a autenticação da assinatura digital seja efetuada com sucesso, as informações serão repassadas ao controlador de domínio que, por sua vez, é responsável pela validação das informações de login do cliente.
f) Depois de efetuar as validações necessárias para entrar na rede, o servidor programa as políticas de acesso e segurança referentes a esse usuário. Por outro lado, se as informações de login não forem validadas, o acesso do usuário a rede é negado.
Figura 03: Rede RADIUS
3. Ambiente de avaliação
Para implementar um ambiente IEEE 802.1x em rede cabeadas, você precisa de switches que tenham suporte a 802.1x, um servidor RADIUS e clientes 802.1x instalados nos micros. Micros que não tenham clientes 802.1x simplesmente não conseguem trafegar absolutamente nada na rede, sequer conseguem obter endereço pelo DHCP
Nesse ambiente de avaliação será utilizado para o procedimento de autenticação um access point em vez de switch devido a custo do equipamento, mas as funcionalidades e a utilização dos protocolos envolvidos se aplica a qualquer ativo de rede que tenha suporte ao IEEE 802.1x
3.1 AMBIENTE DE TESTE
a) Servidor Autenticador:- Notebook Marca HP Pavilion Ze2000- CPU AMD Sempron Móbile 3000+ 1.8
Ghz- Memória RAM 1024 Mb - Hard Disk (HD) 80 Gb- Sistema Operacional: Debian Etch 4.0 R5,
Kernel 2.6.26-2-686
b) Access Point (AP)- AP Marca D-Link - Modelo DWL-900AP+
c) Suplicante- Notebook Marca Lenovo G460- CPU Inter i3 2.13 Ghz
Autenticação IEEE 802.1x em redes cabeadas através de EAP Pag.: 3
- Memória RAM 4096 Mb- Hard Disk (HD) 1 Tb
3.2 SERVIDOR FREERADIUS
O FreeRadius é um projeto iniciado em 2004 através de uma comunidade de programadores para servidores em plataforma Linux que utiliza o protocolo RADIUS do padrão autenticação, autorização e contabilização. O servidor trabalha com o modelo cliente/servidor, onde o Network Access Server (NAS) é o cliente que precisa autenticar usuários para o acesso. A comunicação feita entre o RADIUS e o NAS ocorre através do protocolo UDP na porta 1812 (autenticação-RADIUS) e na porta 1813 (contabilização-radacct) e definido pela RFC2865.
3.2.1 INSTALAÇÃO
Efetuar o download do pacote freeRadius no site: http://freeRadius.org/download.html. A versão utilizada é a freeRadius-2.1.10.tar.gz.
# tar zxvf freeRadius-2.1.10.tar.gz# cd freeRadius-2.1.10.tar.gz
# ./configure –disable-shared# make# make install
O freeRadius instalado, os arquivos de configuração foram criados em /usr/local/etc/raddb.
A configuração do freeRadius foi aplicada às necessidades da avaliação habilitando os protocolos de autenticação EAP-TLS que cria túneis de comunicação criptografados e o EAP-PEAP autenticação via rede sem fio ao suplicante.
Configuração do arquivo eap.conf :
eap {default_eap_type = peaptimer_expire = 60ignore_unknown_eap_types = nocisco_accounting_username_bug = nomd5 {}
gtc {auth_type = PAP
}tls {
private_key_password = whateverprivate_key_file = ${raddbdir}/certs/cert-
srv.pemcertificate_file = ${raddbdir}/certs/cert-
srv.pemCA_file =
${raddbdir}/certs/demoCA/cacert.pem
dh_file = ${raddbdir}/certs/dhrandom_file = ${raddbdir}/certs/random
}peap {
default_eap_type = mschapv2}mschapv2 {}
}
Configurar o clients.conf para permitir a troca de dados entre o AP e o Servidor RADIUS, direcionando o AP para poder autenticar, no IP 127.0.0.1 é apenas um teste localmente das configurações do RADIUS. O secret é um modo de segurança através do qual se inicia a comunicação e necessita ser configurado tanto no AP como no Servidor RADIUS. O shortname é apenas um apelido fornecido para facilitar a localização do cliente nos logs.
client 127.0.0.1 {secret = testing123shortname = localhostnastype = other # localhost isn't usually a NAS...
client 192.168.0.50 {secret = testing123shortname = private-network-1
}
Configurar o user, que é responsável aos usuários que terão permissão de autenticidade na rede, como no exemplo abaixo o usuário “softline” e a senha “softline2010”.
"softline" User-Password == "softline2010"
Com o Servidor RADIUS configurado é necessário o teste para ter certeza de que estar tudo certo.
# RADIUSd –X
3.3 ACESS POINT
Na figura 04 observa-se a configuração do AP DWL900AP+, onde se verifica no primeiro campo AP Name é configurado o nome do AP, no segundo campo o SSID é uma peça fundamental nesta configuração pois tanto no AP quanto no suplicante deverá conter a mesma identificação, pois em rede sem fio um cliente só consegue conectar no AP se possuir o mesmo SSID. No terceiro item Channel é o canal escolhido para comunicação, na configuração Authentication é utilizado o WPA este protocolo é utilizado para fazer a segurança dos dados trafegados, abaixo é feita a chamada do Servidor onde IP é o IP do servidor RADIUS, Port é a porta do servidor RADIUS, o Shared
Autenticação IEEE 802.1x em redes cabeadas através de EAP Pag.: 4
Secret deve conter a mesma configuração no servidor RADIUS, pois no Shared Secret inicia-se a comunicação entre AP e Servidor RADIUS.
Figura 04: Access Point
Na figura 05 observa-se a configuração do servidor de autenticação, aqui o 802.1x é habilitado com Enabled. Em Encryption Key foi escolhido 128 bits para encriptografia da chave. As outras configurações abaixo seguem da mesma forma como citado na figura 04.
Figura 05: Access Point 802.1x
3.4 SUPLICANTE
Nas propriedades da rede sem fio do suplicante, aba Associação como mostra na figura 06 observa-se a configuração do SSID que deve ser o mesmo que está na configuração do AP, A Autenticação de Rede é utilizado o WPA para uma melhor segurança,
em Criptografia de Dados é usado o TKIP para identificar erros de chamadas.
Figura 06: Rede sem Fio - Associação
Nas propriedades da rede sem fio do suplicante, aba Autenticação como mostra figura 07 observa-se a configuração do EAP que é utilizado para fazer a autenticação.
Figura 07: Rede sem Fio - Autenticação
Seguindo clicar-se em propriedade para definir como será o método de autenticação. Como mostra na figura 08.
Autenticação IEEE 802.1x em redes cabeadas através de EAP Pag.: 5
Figura 08: Rede sem Fio – Autenticação EAP
Selecionar o método de autenticação, onde é escolhido a Senha Segura (EAP-MSCHAP v2). Após a escolha deste método, terá de ser configurado como vai ser feita a autenticação do suplicado, isto será feito em configurar.
Após clicar em configurar terá de ser escolhida a forma de autenticação, neste caso não será marcado a opção para que o usuário possa digitar login e senha figura 09.
Figura 09: Rede sem Fio – Autenticação EAP
Conexão será detectada, porém só será realizada após o usuário digitar seu login e sua senha como mostra na figura 10.
Na figura 10, é a solicitação do usuário/senha, se o usuário estiver de acordo para se autenticar o servidor RADIUS mandara uma mensagem ao AP e o 802.1x liberar a rede ao suplicante
Figura 10: Autenticação
4. Conclusão
O protocolo IEEE 802.1x é robusto,escalável e flexível, mas, por isto, sua implementação não é trivial, requer ajustes de configuração que precisam ser determinados em um ambiente de homologação antes de colocar em produção, pois são muitos opções e o que funciona em uma rede pode não funcionar em outra.
A implemtação do protocolo como mais uma opção de autenticação, aumenta o nivel de segurança de uma rede de computadores, evitando que usuarios ou host não autorizados consigam conectadar na rede.
A utização de software livre na implentação do RADIUS e demais serviço de rede, garante uma implentação de segurança de baixo custo, o que é de grande importancia, pois pode ser implentado tanto em um ambiente de uma grande empresa quando a de uma empresa pequena.
5. Referências
[1]. TANENBAUM, Andrew S. Redes de computadores. 4.ed. Rio de Janeiro: Campus, 2003.
[2]. Microsoft,Brasil. Understanding 802.1x authentication. Disponivel em < http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-ous/understanding_8021x.mspx?mfr=true>. Acesso em : 03/12/2010.
Autenticação IEEE 802.1x em redes cabeadas através de EAP Pag.: 6
[3]. BRASIL,Symantec. Por Trás do Firewall – A Ameaça Interna. Disponível em: <http://www.symantec.com/region/br/enterprisesecurity/content/framework/BR_2122.html>. Acesso em: 03/12/2010.
[4]. Ernst & Young´s 12th annual global information security survey. USA : Ernst & Youngs 2009.
[5]. FeeRadius.org,USA. FreeRADIUS Version 2 Documentation. Disponível em : < http://freeradius.org/doc/>. Acesso em: 03/12/2010.
[6]. Microsoft,Brasil. IEEE 802.1X Wired Authentication. Disponível em : <http://technet.microsoft.com/en-us/magazine/2008.02.cableguy.aspx?ppud=4>. Acesso em: 04/12/2010.
[7]. Microsoft,Brasil. Microsoft 802.1X Authentication Client. Disponível em: < http://technet.microsoft.com/en-us/library/bb878130.asp>. Acesso em: 04/12/2010.
[8]. Microsoft,Brasil. Extensible Authentication Protocol Overview.
Disponível em: < http://technet.microsoft.com/en-us/
network/cc917480.aspx>. Acesso em: 04/12/2010.[9]. MOREIRA, Nilton Stringasci. Segurança
mínima – uma visão Corporativa da segurança de Informações. Rio de Janeiro: Axcel Books, 2001.
Autenticação IEEE 802.1x em redes cabeadas através de EAP Pag.: 7