- Prof. Edilberto Silva

Transcrição

Faculdade SENAC – DF
Pós-Graduação em
Segurança da Informação
Implementação de Controle de
d Acesso em uma
Rede WLAN: Protocolos IEEE 802.1x, Radius e
Controles da ABNT NBR ISO/IEC 27002:2005
Autores
RESUMO
Yury Hans Kelsen Soares de
Andrade
Um dos maiores problemas da rede de computadores nas
empresas é como evitar que host e usuários desconhecidos
conectem-se a rede e acessem os serviços presentes nesta.
A norma ABNT NBR ISO/IEC 27002:2005 evidencia que é
imprescindível proteger a informação dos diversos tipos de
ameaças existentes. O surgimento de protocolos como o
IEEE 802.1x, EAP e o de autenticação RADIUS, que
implementam autenticação ainda na camada de enlace,
nível 2 do modelo OSI, possibilitam que qualquer host ou
usuário tenha suas credenciais verificadas antes que se
tenha qualquer acesso aos serviços disponíveis na rede de
computadores da empresa. Será abordado neste artigo
itens da norma ABNT NBR ISO/IEC 27002:2005 referente
ao controle de acesso, uma breve explicação das
tecnologias envolvidas e demonstrar
demonstra a implementação do
protocolo IEEE 802.1x em uma rede WLAN, utilizando um
servidor RADIUS como autenticador.
[email protected]
Edilberto Silva
[email protected]
Brasília-DF
2012
Palavras-Chave: IEE 802.1x; RADIUS;ISO;EAP
RADIUS
Trabalho de Conclusão de Curso
apresentado
a
FACSENAC-DF
DF
Faculdade Senac do DF como
requisito para a obtenção do título de
Especialista em Segurança da
Informação.
Ficha Catalográfica
Andrade, Yury Hans Kelsen Soares de.
Implementação De Controle
le de Acesso Em
Uma Rede WLAN: Protocolos IEEE 802.1x,
Radius e Controles Da ABNT NBR ISO/IEC
27002:2005/Yury Hans Kelsen Soares de
Andrade. – Brasília : Faculdade Senac-DF,
DF,
2012.
23 f. : il.
ABSTRACT
One of the biggest problems of computer
networking in business is how to prevent unknown users
host and connect to the network
rk and accessing the
services available there in. The standard ISO / IEC
27002:2005 shows that it is essential to protect
information of different types of threats. The emergence
of protocols such as IEEE 802.1x, EAP and RADIUS
authentication, authentication
on still implementing the data
link layer, level 2 of the OSI model, enables any host or
user has verified their credentials before they have any
access to services available the company's computer
network. Items will be discussed in this article the
standard
ard ISO / IEC 27002:2005 relating to access
control, a brief explanation of the technologies involved
and demonstrate the implementation of IEEE 802.1x
protocol in a WLAN using a RADIUS server and
authenticator.
Orientador: Edilberto Silva
Trabalho de Conclusão de Curso
(Especialização em Segurança da
Informação), Faculdade Senac-DF, 2012.
1. IEE 802.1x. 2. RADIUS 3.ISO 4. EAP.
Keywords: IEE 802.1x; RADIUS;ISO;EAP.
Implementação De Controle de Acesso Em Uma Rede WLAN: Protocolos IEEE 802.1x, Radius e Controles Da
ABNT NBR ISO/IEC 27002:2005
2
1 INTRODUÇÃO
Os ataques internos são historicamente apontados como responsáveis por
cerca de 70% dos problemas de segurança de redes de computadores que uma
empresa sofre[4].
Há, por exemplo, outros problemas tais como proliferação de vírus, roubos de
informações, problemas nos controles de acesso das aplicações e ambiente
computacional, entre outros. Ademais a possibilidade de um computador quando
conectado a um ativo de rede conseguir, antes de qualquer autenticação, receber
um IP dinamicamente por meio de DHCP (Dynamic Host Configuration Protocol) ou
mesmo configurar um IP estático e assim tentar várias ações maliciosas ou
fraudulentas.
Isso ocorre pelo desconhecimento por parte dos administradores de redes de
técnicas de autenticação na camada de enlace, nível dois do modelo OSI (Open
Systems Interconnection).
Na pesquisa de Ernst & Young´s [4] as empresas tem detectado uma
aumento de ataques internos de 25% [4] e aumento de fraudes perpetradas
internamente de 13% [4].
A norma ABNT NBR ISO/IEC 27002:2005 [11] evidencia que é imprescindível
proteger a informação dos diversos tipos de ameaças existentes com o objetivo de
garantir a continuidade do negócio para usuários, empresas e instituições, sejam
elas privadas ou públicas. Essa norma estabelece diretrizes gerais para iniciar,
implementar, manter e melhorar a gestão de segurança da informação em uma
organização.
Em um ambiente de rede onde o meio de acesso é compartilhado e aberto como nas redes sem fio ou no caso das redes cabeadas que existam segmentos da
mesma que não possam ser verificados- a confiança nos hosts fica limitada. Para
contornar esses aspectos falhos de segurança existem diversos métodos
disponíveis para implementação de segurança. Uma forma eficiente é prover um
mecanismo de segurança por meio de um protocolo que ofereça opções de
segurança confiáveis.
Artigo apresentado na Pós-Graduação em Segurança da Informação da FACSENAC-DF • Julho/2012
3
Para minimizar os efeitos desastrosos de tais problemas, o mercado partiu
para a adoção de alternativas que viabilizassem o crescimento esperado no uso das
redes sem fio. Daí surgiram as implementações não oficiais do IEEE e o uso das
Redes Virtuais Privadas (Virtual Private Network – VPN). Antecedendo o IEEE
802.11i, que promete sanar os problemas de segurança do IEEE 802.11, este artigo
mostra a combinação entre o IEEE 802.1X e o Serviço de Autenticação Remota à
Usuário Discado (Remote Authentication Dial In User Service – RADIUS), provendo
acesso às redes sem fio com segurança.
Este artigo tem como objetivo apresentar as tecnologias existentes para
aumentar a segurança na rede WLAN e está organizado da seguinte forma: No
tópico 2 são apresentados os aspectos da norma ABNT NBR ISO/IEC 27002:2005
[11] sobre o controle de acesso á rede. O tópico 3 explica o que é o IEEE 802.1X e
como funciona o mecanismo de autenticação. A seguir, o tópico 4, é mostrado o
RADIUS (Remote Authentication Dial In User Service), explicando suas fases e seu
processo de autenticação. O tópico 5 apresenta a integração do IEEE 802.1X,
aplicada às redes IEEE 802.11, exemplificada, por estudo de caso. Finalmente, no
tópico 6, são apresentadas as considerações finais deste artigo.
2 NORMA ABNT NBR ISO/IEC 27002:2005
Nesse item será apresentado os principais itens da norma referente à
implementação de controles de acesso a rede [11].
2.1 Controles de acesso à rede [11]
Tem como objetivo, prevenir acesso não autorizado aos serviços de rede. O
acesso aos serviços de rede internos e externos tem que ser controlado. Para que
os usuários com acesso às redes e aos serviços de rede não comprometam a
segurança desses serviços, deve ser assegurando: a) uso de interfaces apropriadas
entre a rede da organização e as redes de outras organizações e redes públicas; b)
uso de mecanismos de autenticação apropriados para os usuários e equipamentos;
e c) reforço do controle de acesso de usuários aos serviços de informação.
4
2.1.1 Política de uso dos serviços de rede [11]
Para o controle, os usuários somente recebam acesso para os serviços que
tenham sido especificamente autorizados a usar.
Políticas devem ser criadas para o uso de redes e serviços de rede, alinhada
com negocio da empresa. Esta política tem que cobrir: a) redes e serviços de redes
que são permitidos de serem acessados; b) procedimentos de autorização para
determinar quem tem permissão para acessar em quais redes e serviços de redes;
c) gerenciamento dos controles e procedimentos para proteger acesso a conexões e
serviços de redes; e d) os meios usados para acessar redes e serviços de rede.
2.1.2 Controle de conexão de rede [11]
As redes compartilhadas, especialmente WLAN 1 que se estendem pelos
limites da organização, a capacidade dos usuários para conectar-se à rede deve ser
restrita, alinhada com a política de controle de acesso e os requisitos das aplicações
do negócio.
Os direitos de acesso dos usuários a rede devem ser mantidos e atualizados
conforme requerido pela política de controle de acesso.
A capacidade de conexão de usuários pode ser restrita através dos gateways
que filtram tráfico por meio de tabelas ou regras predefinidas. Devem ser aplicadas
restrições nos seguintes exemplos de aplicações: a) mensagens, por exemplo,
correio eletrônico; b) transferência de arquivo; c) acesso interativo; e d) acesso à
aplicação.
2.1.3 Identificação e autenticação de usuário [11]
Todos os usuários devem ter um identificador único (ID de usuário) para uso
pessoal e exclusivo, e que uma técnica adequada de autenticação seja escolhida
para validar a identidade alegada por um usuário.
1
WLAN (Wireless Local Área Network) é uma rede local que usa ondas de rádio para fazer uma
conexão Internet ou entre uma rede, ao contrário da rede fixa ADSL ou conexão com TV, que
geralmente usa cabos
5
Este controle deve ser aplicado para todos os tipos de usuários (incluindo o
pessoal de suporte técnico, operadores, administradores de rede, programadores de
sistema e administradores de banco de dados).
Os identificadores de usuários (ID de usuários) devem ser utilizados para
rastrear atividades ao indivíduo responsável e que atividades regulares de usuários
não sejam executadas através de contas privilegiadas.
Em circunstâncias excepcionais, onde exista um claro benefício ao negócio,
pode ocorrer a utilização de um identificador de usuário (ID de usuário)
compartilhado por um grupo de usuários ou para um trabalho específico.
A aprovação pelo gestor deve ser documentada nestes casos. Controles
adicionais podem ser necessários para manter as responsabilidades.
Os identificadores de usuários (ID de usuários) genéricos para uso de um
indivíduo devem ser permitidos somente onde as funções acessíveis ou as ações
executadas pelo usuário não precisam ser rastreadas (por exemplo, acesso somente
leitura), ou quando existem outros controles implementados (por exemplo, senha
para identificador de usuário genérico somente fornecido para um indivíduo por vez
e registrado).
Onde autenticação forte e verificação de identidade são requeridas, métodos
alternativos de autenticação de senhas, como meios criptográficos, cartões
inteligentes (smart card), tokens e meios biométricos sejam utilizados.
Adicionalmente as senhas são uma maneira muito comum de se prover
identificação e autenticação com base em um segredo que apenas o usuário
conhece. O mesmo pode ser obtido com meios criptográficos e protocolos de
autenticação. Convém que a força da identificação e autenticação de usuário seja
adequada com a sensibilidade da informação a ser acessada.
Objetos como tokens de memória ou cartões inteligentes (smart card) que os
usuários possuem também podem ser usados para identificação e autenticação. As
tecnologias de autenticação biométrica que usam características ou atributos únicos
de um indivíduo também podem ser usadas para autenticar a identidade de uma
pessoa. Uma combinação de tecnologias e mecanismos seguramente relacionados
resultará em uma autenticação forte.
6
3 AUTENTICAÇÃO IEEE 802.1X
Nesse item explica o que é o IEEE 802.1X e como funciona o mecanismo de
autenticação e seus elementos.
O IEEE 802.1x é um padrão da IEEE (Institute of Electrical and Electronic
Engineers) aprovado em junho de 2001 e que possibilita criar uma plataforma de
autenticação com base em portas (Based Network Access Control Protocol).
Projetado para redes Ethernet. Este protocolo é aplicado ao nível 2 do modelo OSI e
atende a dois requisitos de segurança: privacidade e autenticação. Este controle de
acesso à rede em portas é característica física de uma rede LAN (wired), por meio
de um switch que suporte o padrão 802.1x. Atualmente ele foi adaptado para redes
sem fio (wireless) designado pelo padrão 802.11 . [2,6,15,21]
3.1 EAP (Extensible Authentication Protocol)
O EAP (Extensible Authentication Protocol) é um protocolo designado para
autenticação extensível, ou seja, suportado para trabalhar com múltiplas formas de
autenticar, a definição do protocolo foi feita na RFC 2284 [19], com atualizações no
draft RFC 2284bis [20].
O protocolo EAP foi projetado e desenvolvido pela IETF (Internet Engineering
Task Force). Primeiramente o EAP (Extensible Authentication Protocol) foi projetado
para conexões PPP (Point-to-Point Protocol), e depois transformado para redes
convencionais IEEE802 e redes sem fio. [6]
O protocolo EAP é muito flexível podendo trabalhar com vários métodos de
autenticação como: combinação usuário/senha, Tokens, Certificados, Chaves
Públicas, Cartão Magnético e Smartcard.
O EAP possui algumas variantes, ou seja, devido à aplicação do servidor de
autenticação, o mesmo utiliza ou não determinados protocolos para os serviços
desejados, atualmente existem cinco protocolos: EAP-MD5, EAP-TLS, EAP-CISCO
(ou LEAP), EAPTTLS e EAP-PEAP. [7]
7
3.2 IEEE 802.1x
O padrão IEEE 802.1X define os seguintes termos [23]:
3.2.1 Entidade de Acesso à Porta (PAE)
A entidade de acesso à porta (PAE) é conhecida como uma porta de rede
local, essa entidade oferece suporte ao protocolo IEEE 802.1x referente a uma porta
da rede, este tem como função de autenticador, suplicante ou ambos.
3.2.2 Autenticador
O autenticador é uma entidade em uma extremidade de um segmento de
rede ponto-a-ponto que facilita a autenticação da entidade ligada à outra
extremidade desse link, por exemplo, através do login e senha do usuário, depois da
confirmação é liberado o serviço para aquele usuário e essa liberação é através de
portas como no exemplo mostrado na figura 1 [23].
Figura 1: Autorização de Portas
3.2.3 Suplicante
O suplicante é o serviço solicitado através do usuário em uma rede, ele
solicita serviços do autenticador, para que, baseado na informação do servidor de
autenticação, confirme ao suplicante seu acesso ou não.
3.2.4 Servidor de Autenticação
Os serviços de autenticação têm como função de verificar as credenciais do
suplicante para responder ao autenticador, podendo estar ou não autorizado a essa
8
autenticação, esses serviços é através de um servidor denominado RADIUS,
possuindo um banco de dados dos usuários e serviços correspondentes.
Figura 2: Servidor de Autenticação
Um cliente, chamado supplicant (suplicante), figura 2, faz uma conexão inicial
para um para um authenticator (autenticador), um switch de rede ou um ponto de
acesso sem fio. O autenticador é configurado para exigir o 802.1X de todos os
suplicantes e irá ignorar qualquer conexão de entrada que não se adequar. O
autenticador solicita ao suplicante sua identidade, a qual ele passará adiante para o
authentication server (RADIUS).
O RADIUS segue qualquer mecanismo necessário para autenticar o cliente
que está entrando. Em geral, isto envolve a instalação de uma conversa EAP entre o
suplicante e o servidor de autenticação (o autenticador é apenas um dispositivo de
passagem aqui) e o estabelecimento de um método de autenticação dentro da
conversa EAP. Note que o EAP em si não define qualquer tipo de segurança
sozinho - os protocolos de identificação usados devem incorporar sua própria
segurança.
9
4 RADIUS
RADIUS é um protocolo que foi criado em 1992 pela Livingston que é parte
da Lucent Technologies implementado em servidores para Autenticar, Autorizar e
Contabilizar (Authentication, Authorization e Accounting – AAA).[18]
O RADIUS é composto das seguintes fases[18]:
Fase de Autenticação: quando um servidor recebe uma chamada através de
uma identificação do usuário, o servidor verifica se as informações do cliente
conferem com os requisitos do usuário.
Fase de Autorização: nesta fase podem-se destacar os direitos, privilégios e
restrições que clientes e usuários irão possuir, de acordo com a tabela criada no
banco de dados.
Fase de Contabilização: Esta é a fase que a partir que o usuário ou o cliente
já esteja autenticado, todo e qualquer tipo de acontecimentos referentes aos seus
usuários é registrado para que possam ser analisados e processados futuramente
em uma base de dados.
O processo de autenticação, baseado na tecnologia RADIUS pode ser
explicado em seis etapas [18].
1) O servidor de Acesso Remoto tenta negociar a conexão com o Cliente,
sempre utilizando o protocolo mais seguro. Caso não seja este o protocolo utilizado
pelo Cliente, o servidor vai passando sempre para o próximo menos seguro. Desta
forma, o servidor tenta negociar a conexão do protocolo mais seguro para o menos
mais seguro, até encontrar o protocolo que o Cliente esta utilizando.
2) Depois de feita a autenticação do protocolo utilizado pelo Cliente, o
servidor envia ao protocolo RADIUS a solicitação enviada pelo cliente.
3) Agora o servidor RADIUS poderá verificar, pelo número de IP do Cliente,
se é um cliente RADIUS configurado. Caso o cliente RADIUS identifique-o como um
cliente RADIUS válido, ele verifica a assinatura digital do pacote. Para isso ele utiliza
um recurso chamado Shared Secret (Segredo Compartilhado) que é uma string de
texto e funciona como uma senha especial de reconhecimento utilizada entre o
servidor e o cliente.
10
4) Caso a autenticação do cliente falhe, o servidor descartará o pacote. Como
esse pacote foi descartado, o servidor não está recebendo nada válido do cliente,
desta forma a conexão é quebrada.
5) Caso a autenticação da assinatura digital seja efetuada com sucesso, as
informações serão repassadas ao servidor de autenticação que, por sua vez, é
responsável pela validação das informações de login do cliente.
6) Depois de efetuar as validações necessárias para entrar na rede, o
servidor programa as políticas de acesso e segurança referentes a esse usuário. Por
outro lado, se as informações de login não forem validadas, o acesso do usuário a
rede é negado.
Figura 03: Processo de Autenticação RADIUS
O FreeRadius é um projeto iniciado em 2004 [FreeRaidus.org] por meio de
uma comunidade de programadores para servidores em plataforma Linux que utiliza
o protocolo RADIUS do padrão autenticação, autorização e contabilização. O
servidor trabalha com o modelo cliente/servidor, onde o Network Access Server
(NAS) é o cliente que precisa autenticar usuários para o acesso. A comunicação
feita entre o RADIUS e o NAS ocorre através do protocolo UDP na porta 1812
(autenticação-RADIUS) e na porta 1813 (contabilização-radacct) e definido pela RFC
2865.
11
5 AMBIENTE DE AVALIAÇÃO
A seguir será apresentado um estudo de caso, mostrando como implementar
o controle de acesso na rede WLAN através dos protocolos expostos nesse artigo.
Figura 04: Etapas para implementação do ambiente de avaliação.
Para implementar um ambiente IEEE 802.1x em rede WLAN, é necessário a
utilização de switchs que tenham suporte a 802.1x, um servidor RADIUS e clientes
802.1x instalados nas nos host de acesso. Estações de trabalho que não tenham
clientes 802.1x simplesmente não conseguem trafegar dados na rede, sequer
conseguem obter endereço pelo DHCP.
Nesse ambiente de avaliação será utilizado para o procedimento de
autenticação um Access Point em vez de switch devido a custo do equipamento,
mas as funcionalidades e a utilização dos protocolos envolvidos se aplicam de forma
idêntica a qualquer ativo de rede que tenha suporte ao IEEE 802.1x
5.1 Configurações do Ambiente de Teste
a) Servidor Autenticador:
•
Notebook Marca HP Pavilion Ze2000
•
CPU AMD Sempron Móbile 3000+ 1.8 Ghz
•
Memória RAM 1024 Mb
•
Hard Disk (HD) 80 Gb
•
Sistema Operacional: Debian Etch 4.0 R5
b) Access Point (AP)
•
AP Marca D-Link
•
Modelo DWL-900AP+
12
c) Suplicante
•
Notebook Marca Lenovo G460 CPU Inter i3 2.13 Ghz
•
Memória RAM 4096 Mb
•
Hard Disk (HD) 1 Tb
•
Sistema Operacional : Microsoft Windows XP Service Pack 3
5.2 Servidor FreeRadius
5.2.1 Passos para Instalação no Servidor Autenticador
Efetuar
o
download
do
pacote
freeRadius
no
site:
http://freeRadius.org/download.html. A versão utilizada é a freeRadius-2.1.10.tar.gz.
[FreeRaidus.org]
Após o download dos arquivos é necessário realizar a instalação por meio
dos comandos descritos na tabela 1:
Tabela 1 – Instalação do FreeRadius
# tar zxvf freeRadius-2.1.10.tar.gz
# cd freeRadius-2.1.10.tar.gz
# ./configure –disable-shared
# make
# make install
Após a instalação do freeRadius, os arquivos de configuração foram criados
em /usr/local/etc/raddb.
A configuração do freeRadius foi aplicada às necessidades da avaliação
habilitando os protocolos de autenticação EAP-TLS que cria túneis de comunicação
criptografados e o EAP-PEAP autenticação via rede sem fio ao suplicante.
Configuração do arquivo eap.conf está descrito na tabela 2:
Tabela 2 - Configuração do arquivo eap.conf
eap {
default_eap_type = peap
timer_expire = 60
ignore_unknown_eap_types = no
cisco_accounting_username_bug = no
md5 {
}
gtc {
auth_type = PAP
}
tls {
private_key_password = whatever
private_key_file = ${raddbdir}/certs/cert-srv.pem
13
certificate_file = ${raddbdir}/certs/cert-srv.pem
CA_file = ${raddbdir}/certs/demoCA/cacert.pem
dh_file = ${raddbdir}/certs/dh
random_file = ${raddbdir}/certs/random
}
peap {
default_eap_type = mschapv2
}
mschapv2 {
}
}
Configurar o /usr/local/etc/raddb/clients.conf,descrito na tabela 3, para permitir
a troca de dados entre o Acess Point e o Servidor RADIUS, direcionando o AP para
poder autenticar, no IP 127.0.0.1 (é apenas um teste localmente das configurações
do RADIUS). O secret (senha) é um modo de segurança através do qual se inicia a
comunicação e necessita ser configurado tanto no Acess Point como no Servidor
RADIUS. O shortname é apenas um apelido fornecido para facilitar a localização do
cliente nos logs.
Tabela 3 - Configuração do arquivo clients.conf
client 127.0.0.1 {
secret = testing123
shortname = localhost
nastype = other # localhost isn't usually a NAS...
client 192.168.0.50 {
secret = testing123
shortname = private-network-1
}
Configurar no servidor Linux o user no arquivo usr/local/etc/raddb/clients.conf,
que é responsável aos usuários que terão permissão de autenticidade na rede,
como no exemplo abaixo o usuário “softline” e a senha “softline2010”.
"softline" User-Password == "softline2010"
Com o Servidor RADIUS configurado é necessário o teste para ter certeza de
que estar tudo certo. Inicie o servidor RADIUS no modo de depuração (-x),digitando :
# RADIUSd –X
Caso não receber mensagens de erro o servidor foi configurado
corretamente.
14
5.3 Access Point
Na figura 05 observa-se a configuração do AP DWL900AP+. No primeiro
campo “AP Name” é configurado o nome do Access Point, no segundo campo o
“SSID” é uma peça fundamental nesta configuração pois tanto no Access Point
quanto no suplicante deverá conter a mesma identificação, pois em rede sem fio um
cliente só consegue conectar no Access Point se possuir o mesmo “SSID”.
No terceiro item “Channel” é o canal escolhido para comunicação, na
configuração Authentication é utilizado o WPA2 este protocolo é utilizado para fazer
a segurança dos dados trafegados, abaixo é feita a chamada do Servidor onde IP, é
o IP do servidor RADIUS, “Port” é a porta do servidor RADIUS, o “Shared Secret”
deve conter a mesma configuração no servidor RADIUS, pois no “Shared Secret”
inicia-se a comunicação entre Access Point e Servidor RADIUS.
Figura 05: Tela de configuração do Access Point
2
WPA surgiu de um esforço conjunto de membros da Wi-Fi Aliança e de membros do IEEE,
empenhados em aumentar o nível de segurança das redes sem fio ainda no ano de 2003,
combatendo algumas das vulnerabilidades do WEP.
15
Na figura 06 que apresenta os campos da segunda aba da tela de
configuração do Access Point, observa-se a configuração do servidor de
autenticação. Neste caso o 802.1x é habilitado com Enabled. Em Encryption Key foi
escolhido 128 bits para encriptografia da chave. As outras configurações abaixo
seguem da mesma forma como citado na figura 06.
Figura 06: Access Point 802.1x
5.4 Configurações do Suplicante
Nas propriedades da rede sem fio do suplicante, que neste caso de
uso é apresentado no Windows XP. A aba Associação como mostrada na figura 06
observa-se a configuração do SSID (service set identifier) que deve ser o mesmo
que está na configuração do Acess Point.
16
A Autenticação de Rede utilizada é o WPA (Wi-Fi Protected Access), em
Criptografia de Dados é usado o TKIP 3 (Temporal Key Integrity Protocol) para
identificar erros de chamadas.
4
Figura 07: Rede sem Fio – Associação Windows XP
3 TKIP é um algoritmo de criptografia baseado em chaves que se alteram a cada novo envio de
pacote. A sua principal característica é a frequentes mudanças de chaves que garante mais
segurança.
17
Nas propriedades da rede sem fio do suplicante, na aba Autenticação como
mostrada na figura 08 observa-se a configuração do EAP5 que é utilizado para fazer
a autenticação.
Figura 08: Rede sem Fio – Autenticação
Na tela “Propriedades da rede sem fio” clicar no botão propriedade para
definir como será o método de autenticação. Como mostra na figura 09.
MS-CHAP v2 é um processo de autenticação mútua, com senha unidirecional criptografada
5
18
Figura 09: Rede sem Fio – Autenticação EAP
Após é necessário selecionar o método de autenticação, onde é escolhido a
Senha Segura (EAP-MSCHAP6 v2).
Após a escolha deste método, deve ser configurado como será realizada a
autenticação do suplicado. Para tanto clique no botão “configurar”.
Após clicar em configurar terá de ser escolhida a forma de autenticação,
neste caso não será marcada a opção para que o usuário possa digitar login e
senha figura 10.
EAP foi desenvolvido originalmente para trabalhar com o protocolo PPP. Ele possui quatro tipos de
mensagem básica que são usadas durante a conexão: Requisição, Resposta, Sucesso e Falha.
6
19
Figura 10: Rede sem Fio – Autenticação EAP MSCHAPv2
Com esta configuração a conexão será detectada, porém, só será realizada
após o usuário digitar seu login e sua senha como mostra na figura 11.
Na estação que vai conectar na WLAN a tela baixo,figura 11, é solicitado
usuário/senha, se o usuário estiver de acordo para se autenticar o servidor RADIUS
mandar uma mensagem ao Acess Point e o 802.1x liberar a rede ao suplicante
7
Figura 11: Autenticação
20
6 CONCLUSÃO
Segurança é um termo que transmite conforto e tranquilidade a quem
desfruta de seu estado. Entender e implementar este “estado” em um ambiente
empresarial exige conhecimento e práticas especializadas que somente são
possíveis com o emprego e uso de um código de práticas de segurança, contidos
em uma norma, como a ABNT NBR ISO/IEC 27002:2005.
A norma estabelece os controles a serem implantados, não mostra como
implementar mas ajuda os administradores de rede o que deve ser implementado
para melhoria do nível de segurança da informação nas empresas. A implementação
descrita nesse artigo atende os itens da norma, implementando controles mais
eficazes de acesso a rede.
O protocolo IEEE 802.1x é robusto, escalável e flexível, mas, por isto, sua
implementação não é trivial, requer ajustes de configuração que precisam ser
determinados em um ambiente de homologação antes de colocar em produção, pois
são muitas opções e o que funciona em uma rede pode não funcionar em outra. O
surgimento do padrão IEEE 802.1x foi de grande importância, pois este tem por
finalidade fazer autenticação com base em portas, nível 2 do modelo OSI. Aliado a
ele destaca-se o protocolo EAP que também é um protocolo de autenticação com a
grande vantagem de possuir vários métodos de autenticação.
A implementação do IEEE 802.1x e RADIUS, como mais uma opção de
autenticação, aumenta o nível de segurança de uma rede de computadores,
evitando que usuários ou hosts não autorizados consigam conectar na rede.
O protocolo 802.1X tem a função de garantir que todas as portas físicas
disponíveis para acesso à rede com ou sem fio, sejam monitoradas pelo servidor
RADIUS, forçando dessa forma que todos os usuários do ambiente devam estar
com suas estações de trabalho previamente configuradas para garantir que sua
solicitação de acesso à rede seja atendida
Assim, mesmo um usuário que tentar acessar a rede de serviço com outro
computador pessoal, que não for o seu de uso dentro da empresa, não terá acesso
garantido devido a esse computador não estar cadastrado no servidor de
autenticação.
21
A utilização de software livre na implantação do RADIUS e demais serviços
de rede, garante uma implementação de segurança de baixo custo, o que é de
grande importância, pois pode ser implementado tanto em um ambiente de uma
grande empresa quanto a de uma empresa pequena.
Esse artigo pode ser utilizado, como base, para implementação do RADIUS
em conjunto com outros tipos de clientes e não somente de acesso sem fio. Como
para autenticar conexões discadas, o procedimento seria o mesmo, e o cliente
RADIUS seria um RAS (Remote Access Service), com modems digitais ligados a
linhas telefônicas. É também possível utilizar o uso do protocolo RADIUS para redes
com fios, sendo necessária exatamente a mesma forma de autenticação
implementada nesse artigo, utilizando switchs gerenciáveis como clientes RADIUS.
Apesar da implementação de segurança IEEE 802.1x, descrita nesse artigo,
melhorar o nivel de autenticação em uma rede WLAN, outras meios de acessos à
rede poderão ser alvo dessa implementação, como por exemplo a rede cabeada,
que poderão ser abordadas em trabalhos futuros, bem como estudos de
escabilidade da implentação em grandes corporações consideradas “empresas
globais”, como por exemplo empresas com muitas filíais distribuídas em várias
cidades e ou paises.
Este artigo apresenta uma proposta de melhoria do nível de segurança de
redes locais sem fio. Trabalhos futuros podem considerar a implementação desta
proposta em redes reais, para análise mais efetivas.
Um dos princípios seguidos ao elaborar este artigo é a sua adequação ao
padrão IEEE 802.1x. Isto leva a vantagem da possibilidade de adoção da proposta
em diversas redes que utilizam este padrão.
Entretanto, novas propostas com os protocolos que garantem a segurança de
redes sem fio podem ser consideradas. Podem ser considerados também outros
mecanismos de autenticação diferentes daqueles mostrados neste artigo. Além de
novos mecanismos de autenticação, podem também serem utilizados protocolos
criptográficos modernos que tratam do gerenciamento das senhas dos usuários.
Mesmo estando ainda em estado de evolução, o presente artigo eleva o nível
de segurança das atuais redes locais sem fio melhorando a proteção de seus ativos
e usuários, evitando acesso a rede por usuários e hosts não autorizados.
22
7 REFERÊNCIAS
[1]. TANENBAUM, Andrew S. Redes de computadores. 4.ed. Rio de Janeiro:
Campus, 2003.
[2]. Microsoft,Brasil. Understanding 802.1x authentication. Disponivel em <
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/
en-us/understanding_8021x.mspx?mfr=true>. Acesso em : 03/06/2011.]
[3]. BRASIL,Symantec. Por Trás do Firewall – A Ameaça Interna. Disponível em:
<http://www.symantec.com/region/br/enterprisesecurity/content/framework/B
R_2122.html>. Acesso em: 03/12/2010.
[4]. Ernst & Young´s 12th annual global information security survey. USA : Ernst
& Youngs 2009.
[5]. FeeRadius.org,USA. FreeRADIUS Version 2 Documentation. Disponível em : <
http://freeradius.org/doc/>. Acesso em: 03/06/2011.
[6]. Microsoft,Brasil. IEEE 802.1X Wired Authentication. Disponível em :
<http://technet.microsoft.com/enus/magazine/2008.02.cableguy.aspx?ppud=4>. Acesso em: 03/06/2011.
[7]. Microsoft,Brasil. Microsoft 802.1X Authentication Client. Disponível em: <
http://technet.microsoft.com/en-us/library/bb878130.asp>.
Acesso
em:
04/12/2010.
[8]. Microsoft,Brasil. Extensible Authentication Protocol Overview. Disponível em:
<http://technet.microsoft.com/en-us/network/cc917480.aspx>. Acesso em:
03/06/2011.
[9]. MOREIRA, Nilton Stringasci. Segurança mínima – uma visão Corporativa da
segurança de Informações. Rio de Janeiro: Axcel Books, 2001.
[10]. ABNT Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27001 –
Tecnologia da informação – Técnicas de segurança – Sistemas de
gestão de segurança da informação – Requisitos. Rio de Janeiro: ABNT.
2006.
[11]. ABNT Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27002 –
Tecnologia da Informação – Técnicas de segurança – Código de prática
para a gestão da segurança da informação. Rio Janeiro: ABNT. 2005.
[12]. ABNT- Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27005 –
Tecnologia da informação – Técnicas de segurança – Gestão de riscos
de segurança da informação. Rio de Janeiro: ABNT. 2008.
[13]. Silva, Edilberto. Políticas de Segurança e Planos de Continuidade de
Negócios.
Texto
Base.
Disponível
em:
23
http://www.edilms.eti.br/uploads/file/politicasseg/textobasePoliticasdeSeguranca.pdf. Acessado em 17 de maio de 2011, 21:00.
[14]. Microsoft,Brasil. Implantação de redes 802.11 protegido Usando o Microsoft
Windows.
Disponivel
em
:
<
http://technet.microsoft.com/enus/network/cc917481.aspx>. Acessado em 02/06/2011.
[15]. Microsoft,Brasil. Noções básicas sobre autenticação 802.1X para redes sem
fio.
Disponivel
em
<
http://technet.microsoft.com/ptbr/library/cc759077(WS.10).aspx>. Acessado em 02/06/2011.
[16].FreeRaidus.org.
The
FreeRADIUS
Project.
<http://freeradius.org/>. Acessado em 02/06/2011.
Disponivel
em
[17].Microsoft,Brasil,Protocolo
Radius,Disponivel
em
http://technet.microsoft.com/pt-br/library/cc781821(v=ws.10).aspx , Acessado
em 06/10/2011.
[18].UFRJ,Brasil,
Radius,Disponivel
em
http://www.gta.ufrj.br/~natalia/autenticacao/radius/index.html, acessado em
06/10/2011.
[19]. Blunk, L. and Vollbrecht, J. PPP Extensible Authentication Protocol
(EAP).RFC 2284. 1998.
[20]. Blunk, L et al. Extensible Authentication Protocol (EAP). Internet Draft
(draftietf-eap-rfc2284bis-00). 2003.
[21]. Microsoft,Brasil, Noções básicas sobre autenticação 802.1X para redes sem
fio.
Disponível
em
http://technet.microsoft.com/ptbr/library/cc759077(v=ws.10).aspx, acessado em 06/10/2011.
[22]. Barrosi, L. G. e Foltran, C. Autenticação ieee 802.1x em redes de
computadores utilizando tls e eap. 4º Encontro de Engenharia e
Tecnologia dos Campos Gerais. 2008.
[23]. IEEE - Institute of Electrical and Electronics Engineers. IEEE 802.1X Overview
Port
Based
Network
Access
Control.
Disponível
em
http://www.ieee802.org/1/files/public/docs2000/P8021XOverview.PDF,
acessado em 06/10/2011.

- Prof. Edilberto Silva

Transcrição

Documentos relacionados

ETEC Santa Rosa de Viterbo Atividade Avaliatória

POTENCIÔMETRO Ex d - GBP

IMPLEMENTAÇÃO 802.1X

Manual para o Windows XP

Luminária EWBAY 51 Luminária para lâmpadas fluorescentes

ABNT cancela a NBR 5413, referida na NR

4LDG4300

Oradores

lynix hidrax aw 150 boletim técnico

iso iec 17799