CONTROLE DE ACESSO EM SEGMENTOS DE REDE
PARA USUÁRIOS AUTORIZADOS EM UM AMBIENTE
CORPORATIVO 1
Luciano Antonio Wolf <[email protected]>
Verônica Conceição Oliveira da Silva2 <[email protected]> – Orientadora
Universidade Luterana do Brasil (Ulbra) – Curso Superior de Tecnologia em Redes de Computadores – Campus Canoas
Av. Farroupilha, 8.001 – Bairro São José – CEP 92425-900 – Canoas – RS
20 de junho de 2011
RESUMO
Este artigo descreve a utilização do protocolo 802.1X para garantir que somente usuários devidamente
registrados tenham acesso a uma rede corporativa. Somente os usuários que possuírem as configurações locais de
acordo com as regras pré-estabeleciadas e configuradas com o uso do protocolo 802.1X terão seu acesso à rede
autorizado. O protocolo é fundamentado na autorização de acesso em nível físico, garantindo que nenhum invasor
consiga obter um endereço IP e assim ingressar no segmento de rede, podendo assim ter acesso aos serviços
disponíveis no ambiente.
Palavras-chave: Protocolo 802.1X; RADIUS e Certificado Digital.
ABSTRACT
Title: “Access Control in network segments for authorized users in a business environment”
This article describes the 802.1X protocol utilization to ensure that only duly registered users have access to
a corporate network. Only users who have your local settings according to the pre-established rules and configured
using the 802.1X protocol will have access to your network provider. The protocol is based on physical level for
access authorization, ensuring that no invader can obtain an IP address and thus join the network segment, so it can
access the services available in the environment.
Key-words: 802.1X Protocol; RADIUS and Digital Certificate.
1
INTRODUÇÃO
Um dos grandes problemas enfrentados na tecnologia da informação é o fator segurança, o qual se
deve relatar como um dos mais críticos devido às informações sigilosas que podem ser obtidas por invasores.
Existem diversas ferramentas e tecnologias para evitar que tais dados não sejam obtidos de forma ilícita
através de acessos externos, contudo, um erro muitas vezes cometido é o descuido dos acessos internos pelos
segmentos lógicos de rede que podem comprometer níveis de segurança implementados.
Uma forma eficiente para garantir acesso físico aos segmentos lógicos em uma rede corporativa,
somente para usuários autorizados, é a implementação do protocolo IEEE 802.1X. O mesmo garante esse
tipo de acesso através da validação entre os elementos de rede e as estações de trabalho dos usuários. Estes
acessos podem ser através de switch para conexões com fio e também por acesso sem fio junto a um ponto
de acesso (AP).
Este artigo descreve o estudo realizado para implementar essa tecnologia em ambientes corporativos,
desde que as estações de trabalho e equipamentos de rede atendam os requisitos mínimos exigidos para seu
funcionamento. Em um ambiente de testes, simulando um segmento de rede local de uma empresa, será
utilizado o padrão 802.1X a fim de validar e garantir que acessos físicos nos segmentos estejam disponíveis
somente para usuários previamente autorizados. Cada um desses usuários deve possuir uma conta registrada
e válida além de um certificado digital único para receber um endereço lógico que possui os acessos
requeridos.
1
Artigo elaborado como Trabalho de Conclusão do Curso Superior de Tecnologia em Redes de Computadores da Universidade Luterana do
Brasil. Campus Canoas.
2
Professora orientadora do projeto.
1
É necessário um servidor para armazenar a base de dados dos usuários contendo suas contas válidas
e também é necessário um servidor para autorização, autenticação e contabilização de acesso das solicitações
enviadas pelos usuários. Para que o envio de solicitação de acesso a rede de um usuário seja recebido pelo
servidor, são necessários elementos de rede capazes de transmitir as informações coletadas de cada estação
de trabalho, juntamente com seu certificado digital e informações da conta válida de login do mesmo.
O referencial teórico desse artigo contém informações essenciais para compreensão dos assuntos
abordados, tais como segurança, autenticação, certificados digitais e outros demonstrados na seção 2. A
seção 3 demonstra o desenvolvimento de um cenário com a utilização do protocolo 802.1X a fim de garantir
a segurança no processo de acesso aos segmentos de rede das estações de trabalho e usuários os quais devem
estar previamente registrados. A seção 4 apresenta a validação da implementação realizada. E, por fim, na
seção 5 estão as conclusões juntamente as referências utilizadas para a elaboração do artigo.
2
FUNDAMENTAÇÃO TEÓRICA
O presente capítulo tem como objetivo demonstrar os conceitos teóricos fundamentais para a
compreensão dos processos de autenticação segura nos segmentos de rede que o ambiente proporciona para
seus usuários.
2.1
Práticas em segurança da tecnologia de informação
A segurança da informação se caracteriza na preservação dos princípios de confidencialidade,
integridade e disponibilidade. Garantindo a preservação desses princípios, é possível diminuir os riscos de
vazamento de informações. Implementar protocolos de autenticação é uma das formas que garantem unir
esses serviços atendendo os requisitos de segurança, a privacidade e autenticação, sendo que todos os acessos
de usuários com suas estações de trabalho são controlados em nível de portas físicas. (SILVA et al, p 4,
2008).
A ISO 27002 relata os objetivos propostos a aumentar o nível de segurança em Tecnologia da
Informação. A ISO é uma norma de boas práticas aceitas mundialmente por grandes corporações para a
segurança da informação. Composta por uma cadeia de ramificações espalhando a questão de segurança em
todas as áreas de TI, o tópico onze da ISO aborda a segurança que deve ser aplicada no controle de acesso
em nível de rede. A mesma sessão ainda define que os usuários devam estar devidamente autorizados, a fim
de evitar o uso não autorizado nos sistemas e serviços hospedados em uma corporação (ISO/IEC 27002,
2005).
Outra definição importante sobre serviços de segurança está definida na norma X. 800 da arquitetura
de segurança OSI. Segundo Stallings (2008), a norma define um serviço de segurança com um serviço
oferecido por uma camada de protocolo de comunicação de sistemas abertos e que garante a segurança aos
sistemas ou em transferências de dados. O serviço de autenticação se refere à garantia de que uma
comunicação é autentica e a função deste serviço é garantir ao destinatário que a mensagem é proveniente de
onde ela afirma ter vindo.
Em segurança de redes o controle de acesso permite controlar e limitar o acesso a sistemas e
aplicações por meio de enlaces de comunicação. Para isso, toda entidade deve ser identificada antes de obter
o acesso, ou autenticada, a fim de que os direitos de acesso possam ser configuráveis a um determinado
usuário. (STALLINGS, 2008).
A arquitetura AAA (Authentication, Authorization e Accounting), referencia os procedimentos para
autenticação, autorização e contabilização de um ambiente que tenha os requisitos de acesso monitorados
para prover uma maior segurança. O padrão AAA esta definido nas três etapas a seguir.
• A autenticação valida a identidade de um usuário em um ambiente e verifica se ele deve ter
acesso à rede;
• A autorização garante que somente usuários devidamente registrados terão acesso aos recursos
disponíveis;
• Contabilização permite a coleta de informações referente a uso dos recursos disponíveis em um
ambiente. (BARROS e FOLTRAN 2011).
2.2
Certificados Digitais
De uma forma geral, um certificado digital pode ser compreendido como uma versão digital de um
2
documento de identidade. Quando for necessário efetuar uma autenticidade de um usuário, se utiliza o
certificado como forma de presença, o qual pode ser usado em vários meios, como controle de acesso a
recursos, autenticidade de programa na internet entre outras aplicações. (SILVA et al. p 25, 2008).
Certificado digital, também pode ser chamado por certificado de chave pública, é uma ligação entre a
chave pública de uma entidade e um ou mais atributos relacionados à entidade, armazenados em um arquivo
digital. O usuário pode ser uma pessoa ou um dispositivo de hardware, este certificado produz a garantia que
a chave pública pertence à entidade. Além disso, garante também que somente a entidade possui a
correspondente chave privada. (SILVA et al, p 26, 2008). A Figura 1 apresenta o certificado digital emitido
para uma conta de usuário.
“A assinatura de um certificado por uma autoridade certificadora faz com que duas partes possam ter
um ponto de confiança em comum, que seria a própria autoridade certificadora.” (SILVA et al. p 25, 2008).
Figura 1 – Certificado digital de usuário
A assinatura digital ou assinatura eletrônica é utilizada para autenticar a identidade do emissor,
garantido sua autenticidade de seu certificado. A assinatura é utilizada para verificar a autenticidade e a
integridade de um documento eletrônico. Para a geração de uma assinatura são necessárias duas chaves, a
chave pública e a chave privada. O usuário mantém sua chave privada armazenada em um local seguro
enquanto a pública é enviada junto à mensagem para todos os seus destinatários. (REZENDE, 2005)
Para transmitir um documento se utiliza uma função matemática onde gera um hash ou resumo da
mensagem, o qual é criptografado utilizando sua chave privada anexado à mensagem e enviado para o
destinatário. O destinatário por já possuir a chave pública do remetente consegue descriptografar o hash da
mensagem e compará-lo com o mesmo resumo gerado localmente, se houver compatibilidade entre os
resumos a veracidade da informação está garantida. (ASSINATURA DIGITAL, 2011).
A autoridade certificadora (AC) é uma entidade confiável que emite certificados digitais e mantém
informações atualizadas sobre o estado dos mesmos. Entre os campos obrigatórios do certificado digital se
encontra a identificação e a assinatura da entidade que os emitiu, os quais permitem verificar a autenticidade
e integridade do certificado. A AC é o principal componente de uma infraestrutura de chaves públicas. (ITI,
2011).
Os certificados no formato X. 509 possuem um período de validade, o qual equivale a Lista de
Certificados Revogados (LCR), podendo variar em alguns meses ou anos dependendo do tempo em que a
3
aplicação utilizada deve aceitar. Depois de expirado esse período determinado o certificado se torna inválido,
em algumas situações é necessário que este certificado seja revogado antes do período de validade. Essa
situação pode ocorrer devido ao vazamento de chave privada ou mudança de dados do usuário equivalente.
Para este caso, a autoridade certificadora responsável pela sua emissão deve possuir o mecanismo que
permite mudar o estado de revogação dos certificados.
Uma aplicação que trabalha com certificados digitais deve obter a lista de certificados revogados
mais recentes e também verificar o número de série do certificado, que está se tentando usar na aplicação a
fim de analisar se o mesmo não está na lista de revogados. (SILVA et al. p 29, 2008).
A Infraestrutura de Chave Pública (ICP) é o que define o conjunto de padrões utilizados,
autoridades certificadoras, estrutura entre AC, métodos para validar certificados, protocolos
de operações, protocolos de gerenciamento, ferramentas de interoperabilidade e suporte
legislativo. (SILVA et al. p 31, 2008).
A Infraestrutura de Chave Pública (ICP) utiliza certificados de chaves públicas ou certificados
digitais que vinculam os usuários a uma chave pública. O certificado digital garante que uma chave pública é
verdadeira e pertence a quem ele diz pertencer. Uma ICP tem como objetivo implementar o suporte de um
sistema criptografado baseado em certificados digitais que se baseia em chaves públicas e privadas. A ICP se
responsabiliza pela geração de chaves e emissão de certificados digitais associadas a esse par de chaves.
Uma ICP possui uma hierarquia o qual forma uma cadeia de confiança, quando existir mais de uma AC as
outras entidades todas deve confiar na AC chamada de raiz ou principal. (INFOSEGURA, 2011).
2.3
Protocolos de autenticação
Os protocolos de autenticação provêem ou são úteis para prover um nível de segurança melhor
elaborado em um ambiente corporativo os quais serão demonstrados nos próximos itens. Os protocolos
atuam de forma paralela para garantir a autenticidade de um processo e garantir que somente usuários
autenticados consigam obter êxito em suas atividades.
O protocolo atual de autenticação, também chamado de método, utilizado em transações no padrão
802.1X, é chamado de Extensible Authentication Protocol (EAP – Protocolo de Autenticação Extensível). A
EAP foi originalmente concebida como mecanismo de autenticação para conexões baseadas em Ponit-toPoint Protocol (PPP – Protocolo ponto a ponto) definido na RFC 1661 (SIMPSON, 1994).
2.3.1
Protocolo LDAP
O Protocolo LDAP utiliza a pilha TCP/IP para realizar sua comunicação. O LDAP define um
método de acesso a uma base de diretório para atualizações e leituras. Um diretório se define em uma base
de dados especializado somente em leitura capaz de organizar recursos de uma rede de forma hierárquica. O
LDAP é definido na RFC 2251 (WAHL, HOWES e KILLE, 1997)
O LDAP se baseia no modo cliente/servidor, o cliente realiza sua conexão a um servidor LDAP
através da porta 389. Um servidor LDAP possui a base dados dos usuários criando uma árvore de diretórios,
aonde o mesmo responde ou realiza um ponteiro após uma requisição de um cliente para disponibilizar a
informação requerida. O padrão X. 500 organiza as entradas do diretório através de um espaço de nomes
hierárquicos, sendo capaz de integrar grandes volumes de informações. (BARROS e FOLTRAN 2011)
2.3.2
Protocolo Kerberos
O protocolo Kerberos recebeu esse nome para fazer referência à mitologia grega, onde existia um
cachorro com três cabeças que vigiava a entrada do inferno de Hades evitando que pessoas não autorizadas
tivessem acesso. Sendo assim o protocolo foi adotado em segurança devido ao seu processo de autorização
para acessos em sistemas de TI. (KERBEROS, 2011).
O Kerberos define como os clientes interagem com um serviço de autenticação de rede, o modelo do
protocolo é cliente/servidor independente da comunicação ser entre dois servidores ou entre um cliente e um
servidor para realizar uma conexão segura. Os clientes apresentam seus tickets aos servidores ao estabelecer
uma conexão, tickets que são obtidos pelo Centro de Distribuição de Chaves Kerberos (KDC) o qual se
encontra dentro de um controlador de domínio (Domain Controller). (MICROSOFT, 2011)
O KDC é responsável por emitir os tickets e as chaves de sessão para cada requisição de serviço
solicitado. O ticket é um certificado distribuído através do protocolo Kerberos contendo uma chave privada
do usuário distinto, enquanto a chave de sessão é utilizada para autenticar a conexão feita entre um cliente e
4
um servidor. (KERBEROS, 2011).
O processo de autenticação define os seguintes passos: o cliente envia uma solicitação para um
servidor de autenticação requisitando credenciais, o servidor responde com uma chave criptografada
denominada chave de sessão. O cliente envia para o servidor o bilhete que contém sua identidade e copia da
chave de sessão, todos criptografados na chave do servidor. Após o envio do bilhete a chave de sessão está
compartilhada entre o cliente e o servidor sendo possível autenticar o usuário. (KOHL 1993).
A proposta do protocolo Kerberos é que não seja armazenada uma chave privada e sim que o cliente
armazene o ticket e a chave de sessão, a qual dura um período limitado há aproximadamente oito horas
fazendo com isso, por exemplo, que um hacker consiga obter a chave privada de um usuário e tenha acesso
às informações se passando pelo mesmo (SILVA e DUARTE, 2011).
2.3.3
Protocolo RADIUS
O protocolo Remote Authentication Dial In User Service (RADIUS) foi inicialmente desenvolvido
para serviços de acesso discado, o qual pode ser também utilizado para disponibilizar acesso a segmentos de
redes junto com a arquitetura AAA. O protocolo serve para centralizar atividades de autenticação,
autorização e contabilização. O protocolo é definido pela RFC 2865 (RIGNEY et al., 2000) e sua
contabilização pela RFC 2866 (RIGNEY, 2000).
O processo de transação para autenticação de um cliente segue os seguintes passos:
• Suplicante: um host envia uma solicitação de acesso a um cliente RADIUS, por exemplo, um
elemento de rede como um Switch;
• Autenticador: o cliente RADIUS requisita as credenciais ao host de origem e os envia em forma
de mensagem RADIUS a um servidor de autenticação RADIUS;
• Servidor Autenticador: o servidor RADIUS verifica os dados enviados e procede com a
autenticação, autorizando ou não a requisição do cliente RADIUS.
Sendo o acesso autorizado ou negado é retornada uma mensagem ao cliente, no caso de autorizado o
cliente libera o acesso à rede ao host que solicitou a requisição de acesso. Todo o procedimento de
comunicação entre host e cliente RADIUS é realizado na camada de enlace do modelo OSI. O cliente e o
servidor RADIUS é tratado na camada de aplicação, somente após acesso concedido e autorizado que o host
poderá trafegar pela camada de rede e superiores (BARROS e FOLTRAN, 2011).
A Figura 2 demonstra a solicitação de um usuário através de seu host a um cliente RADIUS.
Figura 2 – Processo de autenticação e autorização RADIUS
2.3.4
Protocolo EAP
O protocolo Extensible Authentication Protocol (EAP), é utilizado em redes ponto-a-ponto ou redes
IEEE 802. Uma das vantagens do seu uso é a flexibilidade dos mecanismos de autenticação, o EAP é usado
para selecionar um método de autenticação específico. Permite o uso de servidores de autenticação para
implementar os diversos mecanismos existentes, fazendo com que os autenticadores não precisem ser
atualizados para determinados mecanismos e atuem apenas como encaminhadores de requisição. (ABODA
et. al., 2004).
2.3.5
Protocolo 802.1X
O protocolo 802.1X é o padrão adotado para autenticação em redes IEEE 802, garantindo esses
acessos. O protocolo garante autenticação em nível de portas como conexão a redes locais (LAN) incluindo o
IEEE 802.3 para redes com fio e o IEEE 802.11 para redes sem fio, conforme definido na RFC 3580
(CONGDON et al., 2003).
5
O protocolo 802.1X é dividido em RADIUS Accounting e RADIUS Authentication, onde o
Accounting é habilitado ou não para o uso dos clientes RADIUS. Caso habilitado, no momenta da entrega do
serviço é gerado um pacote de inicio de contabilização, contendo informações de usuário e tipo de serviço
utilizado que será entregue a um servidor de contabilização RADIUS. No final do serviço o cliente gera um
pacote enviando a parada da contabilização o qual pode conter, opcionalmente, estatísticas de tempo
decorrido e banda utilizada.
O RADIUS Authentication utiliza o protocolo UDP na porta 1812, é responsável por transportar as
informações de autenticação, autorização e configuração entre o Network Access Server (NAS) e o servidor
de autenticação.
O NAS funciona como um cliente RADIUS, o autenticador RADIUS, é responsável por transmitir
informações do usuário para um servidor RADIUS e agir sobre a resposta assim que retornado. Os servidores
RADIUS são responsáveis por receber as requisições de conexão de usuários, o qual autentica o mesmo e
após o processo de autenticação retorna as informações de configuração necessárias para a entrega de serviço
a um usuário
A solicitação de acesso de um usuário é transmitida para um servidor RADIUS pela rede, caso
nenhuma resposta seja retornada após um determinado período de tempo o cliente envia novamente a
solicitação. O cliente pode enviar a solicitação para um servidor alternativo caso o primário estiver
inacessível. Após receber o pedido do usuário, o servidor RADIUS consulta a base de dados de usuários para
encontrar o usuário informado na requisição, o mesmo consulta as condições da conta e valida ou não esse
acesso. (RIGNEY et al., 2000).
3
METODOLOGIA
O presente projeto propõe a implementação do protocolo 802.1X, visando aumentar a segurança em
um ambiente corporativo no nível de acesso físico em seus segmentos de rede disponíveis para os usuários.
Independente do tamanho da corporação pode ser utilizada a tecnologia para assegurar que não serão
validados os acessos aos segmentos de rede por pessoas não autorizadas.
O planejamento para realizar a devida configuração em uma rede corporativa, deve suprir todos os
pontos de conexão do ambiente. Estabelecer um mapeamento para distribuição da rede, realizar
levantamento do número de estações de trabalho para cada usuário e quantidade de elementos de rede
necessários. Os equipamentos disponíveis devem suportar todos os requisitos exigidos para o correto
funcionamento da tecnologia. A Figura 3 demonstra o fluxograma para acesso aos segmentos de rede
disponíveis para o ambiente proposto.
6
Figura 3 - Fluxo para acesso ao segmento de rede
A implementação da tecnologia é realizada em um ambiente de testes, simulando um ambiente real
para validação dos processos e métodos de configuração. Cada usuário para ter seu acesso liberado deve
estar com suas estações de trabalho devidamente configuradas e autorizadas, equipamentos de rede devem
ter suporte para o protocolo 802.1X, o servidor RADIUS deve estar devidamente configurado e as contas
dos usuários também devem estar previamente registradas em uma base de usuários para consulta.
O ambiente para testes é composto pelos seguintes elementos:
• Um servidor com sistema operacional Windows 2003 Server Enterprise Edition SP2;
• Um servidor de arquivos configurado em uma maquina virtual;
• Switch Cisco Catalyst 2960G;
• Ponto de Acesso sem fio Cisco Small Business WAP 4410N;
• Estação de trabalho com sistema operacional Windows XP SP3.
O padrão IEEE 802.1X é amplamente composto pela arquitetura AAA (Authentication,
Authorization e Accounting) de acesso à redes, o qual depende dos seguintes protocolos:
• LDAP que realiza a leitura em uma base de dados de cadastro de usuários;
• Protocolo RADIUS para gerenciar e autorizar o acesso aos segmentos para os usuários;
• O EAP que gerencia os métodos de transporte dos protocolos através dos autenticadores da rede,
validando os acessos aos seus recursos.
O processo de autenticação deve ser de forma mútua, onde o host do usuário autentica no cliente
RADIUS o qual é um elemento de rede e o cliente autentica o host. Para essa autenticação ser realizada é
utilizado uma infraestrutura de chave publica (Public Key Infrastructure – PKI) onde define o protocolo EAP
juntamente com o método EAP-TLS (Transport Layer Security) para a identificação e validação do
certificado digital do usuário emitido pela AC do cenário.
Outro método EAP disponível, o EAP-MS-CHAPv2, realiza a validação da conta do usuário e conta
de computador na base de dados do controlador do domínio.
3.1
Configuração de autenticação
A utilização do protocolo no ambiente proposto permite configurar o servidor RADIUS através dos
métodos EAP-TLS e também pelo método EAP-MS-CHAPv2. Assim como simulado em um ambiente de
testes, o funcionamento se dará a qualquer rede corporativa que necessite de uma maior segurança contra
acessos não autorizados.
7
O método EAP-TLS utilizado para o funcionamento do protocolo 802.1X neste ambiente, necessita
do certificado digital de usuário e também o certificado digital da conta de computador que o mesmo utiliza.
A ICP definida no ambiente garante através da AC a emissão de certificados para os usuários do ambiente,
onde a mesma é confiável somente para uso interno.
O método EAP-MS-CHAPv2 também configurado no servidor RADIUS é uma alternativa para
utilização no ambiente onde a autorização de acesso dos usuários para ingressar nos segmentos disponíveis
se dará através das informações de conta e senha de login.
A plataforma Microsoft foi utilizada para a implementação no ambiente de testes juntos com os
pacotes nativos do sistema operacional. O Active Directory (AD) é a tecnologia de diretório utilizada,
contendo objetos como: contas de usuários, contas de computadores, grupos e unidades organizacionais
(OU), o Domain Name System (DNS), ferramenta obrigatória para um ambiente contendo um AD que é
responsável pela resolução de nomes para o ambiente, o Internet Authentication Service (IAS) é o servidor
RADIUS e prove a autenticação das solicitações das estações de trabalho e, por fim, para distribuição de
endereços foi instalado o serviço de DHCP no servidor, pois esta plataforma é semelhante ao ambiente real,
sendo possível construir um ambiente semelhante para validar o processo de ingresso a rede com garantia de
autenticidade do usuário e seu dispositivo computacional.
A Autoridade Certificadora (AC) deve ser instalada para gerenciar a emissão dos certificados das
contas de usuários e contas de computador. O Internet Information Service (IIS) foi instalado para permitir
requisições dos certificados através da uma página web dentro do ambiente, a página por segurança, solicita
as credenciais da conta do usuário que deve estar previamente criado ao AD. Somente usuários cadastrados
no controlador de domínio podem solicitar seus certificados.
A versão Enterprise do Windows 2003 Server foi escolhida para evitar problemas na configuração
do servidor RADIUS, o IAS. A plataforma Microsoft versão Standard permite até cinqüenta clientes
RADIUS para atender requisições dos autenticadores, enquanto a versão escolhida possibilita configurar
mais clientes autenticadores de rede caso necessários, conforme o ambiente a ser implementado.
As requisições dos usuários são transportadas pelos clientes RADIUS, elementos de rede ou
autenticadores, até o servidor de autenticação RADIUS. O ambiente possui equipamentos de rede do
fabricante Cisco, switch composto por vinte portas Gigabit Ethernet para atender às conexões com fio e
quatro portas para extensões cascateáveis junto a outros equipamentos de rede na necessidade de interligar
mais pontos de distribuição. Para conexões em rede sem fio, o ambiente possui de um Access Point (AP).
3.2
Configuração do servidor controlador de domínio
A instalação do sistema operacional Windows 2003 Server foi realizada em um computador com
arquitetura padrão Intel. O servidor dispõe de duas interfaces de rede para conectar cada uma em um
segmento único no switch definidos por VLANS (Virtual Local Area Network) diferentes. Após a conclusão
da instalação do sistema operacional, foi especificado um endereço IP para cada interface, sendo uma
interface renomeada para serviço com endereço IP 192.168.0.1/24 e a outra interface com nome de restrita
com endereço IP 192.168.1.1/24.
A configuração do servidor também permite o uso de apenas uma interface de rede sendo que a
mesma possua compatibilidade de habilitar a opção de mais de uma VLAN pela placa de rede e também na
porta do switch. Devido as dificuldades em relação à compatibilidade no ambiente, foram utilizados duas
placas para suprir os dois segmentos de rede.
Após a instalação ser concluída foi iniciado o processo para tornar o servidor como controlador de
domínio. O controlador de domínio possui seu Full Qualified Domain Name (FQDN) server.radius.com.br.
A Figura 4 demonstra o servidor da rede como o controlador de domínio do radius.com.br.
8
Figura 4 – Controlador de domínio do ambiente de teste
3.3
Criação das contas de usuários
O primeiro passo após instalação e configuração do servidor, foi à identificação dos usuários para
este ambiente. Após esse levantamento foram criadas as contas com senhas para cada usuário em uma base
de dados configurada no controlador de domínio. As contas devem ser criadas preenchendo o maior número
de informações a fim de obter um maior controle sobre cada usuário.
Em cada conta de usuário, deve ser habilitada na guia DIAL-IN a opção Allow Access (permitir
acesso) para garantir que o processo de autenticação seja autorizado no momento de sua requisição. O objeto
da conta do computador do usuário, localizado na opção computers do AD, deve também ser habilitado à
mesma configuração, a fim de garantir que somente computadores habilitados tenham acesso ao segmento da
rede de serviço.
A Figura 5 demonstra a opção habilitada para que o usuário Carlos Alberto tenha seu acesso ao
segmento de rede garantido.
Figura 5 – Permissão de acesso ao usuário
Para um controle mais detalhado foram criados Unidades Organizacionais (OU) para separar setores
do cenário, simulando um ambiente corporativo. Para mais organização na base de diretório do ambiente,
foram criados grupos distinguindo usuários que utilizam estações de trabalho com acesso a rede com fio e
grupos para os usuários que utilizam as estações por rede sem fio.
3.4
Distribuição dos endereços de rede
Foi criado uma estrutura para a implementação que visa atender todo o ambiente. A distribuição
garante atender dois segmentos de rede, sendo um para a rede válida dos usuários atendendo todos os
serviços e outro segmento para as requisições de usuários que ainda não possuem seu certificado digital de
9
conta de usuário e da conta de seu computador.
Para a distribuição de endereços IP foi instalado no servidor o serviço de DHCP Server, ferramenta
nativa do sistema operacional. Foram criados dois escopos para atender aos dois tipos de requisição, acesso a
rede de serviço para usuários devidamente autorizados e acesso ao segmento restrito para usuários que
pretendem ingressar na rede do ambiente e não tem permissão para tal. O escopo com nome de Serviço foi
configurado para distribuir endereços da rede IP 192.168.0.0/24 e o escopo nomeado de Restrito distribui os
endereços IP 192.168.1.0/24.
Para o funcionamento do serviço DHCP é necessário registrá-lo juntamente ao AD do ambiente.
Após criar os escopos, configurá-los de forma correta e ativar o serviço, a ferramenta está pronta para
atender as requisições dos clientes. A Figura 6 demonstra os acessos das estações de trabalho dos usuários
deste ambiente, a fim de realizar uma visualização rápida das solicitações.
Figura 6 – Distribuição dos endereços IP do ambiente
3.5
Autoridade Certificadora do ambiente
Ao saber que qualquer usuário pode produzir um certificado digital, a preocupação principal para
garantir a identificação de um usuário é a implementação de uma autoridade certificadora. A AC do
ambiente com nome de Autoridade Certificadora Projeto, é responsável por garantir a autenticidade dos
certificados digitais, onde a validação ocorre inicialmente por um processo de verificação das informações
do certificado e, depois, pela assinatura digital com uma chave privada pertencente à autoridade certificadora
do certificado gerado.
Somente usuários do domínio podem solicitar certificados digitais junto ao AC do ambiente. Ao
requisitar esse certificado, também é necessário solicitar o certificado da conta do computador que o mesmo
utiliza. Os certificados são armazenados no perfil de cada usuário em uma estação de trabalho e também
podem ser salvos em unidades de armazenamento portátil. A emissão do certificado ao usuário do ambiente
é um processo necessário para a validação do mesmo no momento de requisitar o acesso à rede através de
uma porta local dos equipamentos disponíveis.
A AC do ambiente também possui uma Lista de Certificados Revogados (LCR), são mecanismos
que uma entidade raiz usa para publicar informações sobre certificados revogados. Uma LCR é uma
estrutura de dados, digitalmente assinada pela autoridade certificadora, que contém:
• Dia e hora da publicação da LCR;
• Nome da autoridade certificadora;
• Numero de série dos certificados revogados ainda não expirados.
A requisição dos certificados da AC raiz pode ser realizada por acesso web dentro do ambiente. Para
requisitar o certificado pessoal através da pagina web, o servidor dispõe do IIS para responder as solicitações
dos usuários.
A Figura 7 demonstra os certificados emitidos para os usuários e contas de estações de trabalho para
os quais foram requisitados. Cada usuário possui um certificado único e pode ser revogado a qualquer
momento por um administrador do sistema.
10
Figura 7 – Certificados emitidos para o ambiente
Caso o certificado do usuário seja revogado, o mesmo não terá seu acesso garantido aos segmentos
do ambiente. Também é necessário que cada estação de trabalho tenha seu certificado de máquina para o
sucesso no ingresso. Caso apenas o certificado do usuário ou da conta de seu computador estiver revogado, o
mesmo pode solicitar um novo certificado e por fim ter seu acesso garantido novamente.
Para um administrador restringir o acesso de um colaborador em definitivo, sua conta de usuário e
conta do seu computador do domínio devem ser bloqueadas e seu certificado digital revogado junto à
autoridade certificadora. As contas dos computadores dos usuários do ambiente são automaticamente
cadastradas ao inseri-las no domínio, o qual garante que somente esses computadores podem ter acesso ao
segmento da rede de serviço, juntamente com um usuário válido.
3.6
Servidor RADIUS
O servidor de autenticação, servidor RADIUS, preferencialmente deve ser aplicado em um ambiente
corporativo em mais de um servidor para ter tolerância a falhas. Para validar o funcionamento da tecnologia
de autenticação proposta, não é necessário possuir mais de um servidor para atender as requisições de seus
autenticadores de rede. O servidor RADIUS foi instalado no ambiente juntamente ao IAS, o mesmo se
encontra no Server.
O IAS para atender as requisições de acesso físico à rede deve ser registrada ao AD para permitir a
leitura da base de dados dos usuários. Após registrar o servidor RADIUS, foram configurados os clientes
RADIUS, ou autenticadores de rede, informando seus endereços IP e uma senha para garantir a segurança
entre o elemento de rede e o servidor RADIUS. Os clientes RADIUS podem ser associados a um nome
amigável para controle do equipamento e fácil identificação para visualizar os logs registrados pelo mesmo.
Para o RADIUS efetuar a contabilização e gerenciar os acessos dos usuários, foi habilitado a opção
contabilização de requisições na aba configurações do menu de opções Remote Access Logging. A partir
desse momento todas as requisições entre as estações de trabalho e os autenticadores serão devidamente
contabilizadas. O arquivo de log para contabilização pode ser definido para armazenar informações em um
arquivo local que pode ser no servidor ou em um local da rede e/ou também pode ser salvo em base de
dados, tipo SQL. As configurações são definidas, respectivamente nas propriedades do arquivo local na aba
arquivo de log e, configurações na opção servidor SQL.
A autenticação de requisições depois de selecionada, garante aceitar ou rejeitar os acessos dos
usuários que são enviados ao servidor RADIUS através dos autenticadores da rede. Na opção políticas de
acesso remoto são definidos os métodos de autenticação entre os elementos de rede e estações de trabalho
informando o método de autenticação EAP que será usada por cada regra.
Cada regra deve conter além do método escolhido para autenticar seus usuários, as opções
informando o tipo de conexão que será controlada pela mesma, tais como, rede com fio ou rede sem fio.
Também é definido na regra adicionada, o valor da VLAN que é utilizada para atender o segmento da rede
de serviço entre outras opções disponíveis para aprimorar o serviço.
3.7
Configuração dos elementos de rede
O atendimento às requisições dos usuários por acesso a rede com fio são transmitidas por um switch
11
que tenha suporte a ativação do protocolo 802.1X. O seu funcionamento corresponde à ativação da
configuração global do mesmo onde, devem ser informados entre os comandos necessários o endereço IP do
servidor RADIUS e a senha criada na configuração do IAS.
A configuração global do switch possui uma VLAN para o segmento da rede de serviço e outra
VLAN para o segmento restrito com os respectivos endereços IP 192.168.0.2/24 e 192.168.1.2/24. As portas
do switch, com exceção a porta um, dois e três, foram definidas para a utilização do protocolo 802.1X e com
isso por padrão todas encaminham para a VLAN restrita se não obtiver sucesso, a solicitação de acesso. As
portas em exceção foram utilizadas para o servidor RADIUS e o AP, a porta um conecta na placa de rede de
serviço e a porta dois conecta na placa de rede restrita.
Após as configurações globais do switch, devem ser adicionadas a cada porta de conexão do mesmo
as informações necessárias para ativar os pontos de rede, de forma que, toda requisição trafegue entre o host
cliente e o servidor RADIUS de forma segura. O autenticador recebe a solicitação do usuário e encaminha ao
servidor RADIUS as informações a fim de validar ou negar o acesso do solicitante ao segmento de rede. A
Figura 8 demonstra as configurações básicas do cliente RADIUS utilizadas no equipamento para
conectividade do segmento de rede com fio.
Figura 8 – Configurações de switch
O autenticador somente concederá acesso ao usuário caso o servidor RADIUS encaminhe a
autorização do acesso solicitado, fazendo então, que sua porta de conexão seja alterada para a VLAN de
serviço. Caso contrário, a porta de conexão da qual foi requisitado o acesso, permanecerá na VLAN restrita.
O acesso a rede sem fio do ambiente compreende o uso de um AP que deve suportar o protocolo
802.1X para validação de acesso. Os acessos são assegurados da mesma forma que na rede com fio, porém
neste meio, somente está disponível a rede de serviço para os clientes que estão devidamente configurados
nos padrões adotados. O usuário deve possuir seu certificado digital da sua conta de usuário e a estação de
trabalho do cliente também deve possuir seu certificado para garantir o acesso.
O acesso a rede sem fio está definido através do método EAP-TLS para validação do certificado
digital do usuário junto ao servidor RADIUS. O ambiente também permite utilizar o método EAP-MSCHAPv2 para autenticação dos clientes. O acesso ao segmento de rede serviço através de conexão sem fio se
encontra disponível apenas para os usuários autorizados.
O AP está conectado a uma porta do switch que somente possui acesso a VLAN da rede de serviço.
Todas as requisições dos usuários devem estar munidas das configurações necessárias para validar acesso a
esse segmento de rede e obter um endereço IP.
O AP desse ambiente não permite acesso à rede restrita e, portanto, o usuário com estação de
trabalho da rede sem fio que não esteja dentro dos pré-requisitos exigidos, como, certificados da conta de
usuário e da conta da estação de trabalho, essa estação deve ser primeiramente conectada ao segmento de
rede com fio, a fim de ingressar na rede restrita e obter tais certificados. Após atender esses pré-requisitos,
12
então o usuário poderá ingressar ao segmento da rede de serviço via rede sem fio.
4
FUNCIONAMENTO DO PROTOCOLO NO AMBIENTE
Depois de concluída a configuração dos serviços necessários para validar a autenticação dos usuários
e a configuração dos elementos de rede, é iniciada a segunda parte da configuração para o funcionamento do
protocolo que atende as configurações básicas para ativar o serviço nas estações de trabalho dos usuários
deste ambiente. As configurações das estações de trabalho são definidas por usuários com permissões de
administração local das estações, como por exemplo, equipes de suporte em tecnologia da informação.
Par uma maior segurança do ambiente, os colaboradores não possuem permissões administrativas em
suas estações de trabalho. Essa premissa garante que nenhum colaborador pode obter acesso a configurações
restritas em sua estação de trabalho e também aumenta a segurança da rede evitando que vírus se espalhem
com facilidade.
Todas as tentativas de acesso ao segmento de rede disponível são registradas pelo servidor RADIUS,
os logs do servidor identificam as estações de trabalho e os usuários que estão solicitando acesso a partir de
um cliente RADIUS.
4.1
Preparação do ambiente
Os acessos dos usuários são gerenciados por um administrador do ambiente ou por um analista com
permissões avançadas. Esses acessos podem ser restringidos a partir de uma revogação do seu certificado
digital ou certificado da conta do computador, também pode ser desabilitado o objeto de conta do usuário ou
da conta do computador no controlador de domino, restringindo seu acesso ao segmento de rede de serviços.
Devido a característica do ambiente possuir dois métodos de autenticação EAP, o EAP-TLS e o
EAP-MS-CHAPv2, as requisições dos usuários também podem ser configuradas para autenticar por qualquer
um desses dois métodos. O método padrão adotado foi o EAP-TLS, fazendo com que todos os usuários
possuam seu certificado digital único para aumentar a segurança na autenticação. Toda requisição será
encaminhada ao servidor RADIUS que processará a solicitação autorizando ou restringindo o acesso.
O acesso para visitantes em reuniões dentro da empresa é disponibilizado por equipamentos wireless
a fim de permitir o uso da internet. Não são os mesmos equipamentos que provêem acesso sem fio a rede
corporativa. Esse acesso é disposto por senhas predefinidas para que seja compartilhada entre os visitantes
que necessitarem de acesso à internet. O segmento de rede é totalmente diferente dos segmentos do
ambiente, o acesso a internet é provido por um ADSL, pertencente a uma infraestrutura de rede paralela ao
ambiente corporativo.
4.2
Métodos de autenticação do ambiente
A garantia de segurança no método EAP-TLS necessita da utilização da Autoridade Certificadora do
ambiente, o que garante maior segurança. A AC confiável do ambiente que emite certificados digitais pode
ser conectada somente por estações de trabalho que estiverem adicionadas ao domínio. Toda tentativa de
conexão à AC por um computador que não estiver ingressado ao controlador de domínio, não obterá êxito
devido ao fato de não conseguir localizá-la na rede e, portanto, um computador não autorizado não pode
solicitar certificados.
O segundo passo do método EAP-TLS, busca as informações da conta do usuário e da conta do
computador na base de dados do domínio. O processo garante que não somente o certificado digital, mas
também as informações da conta de um usuário serão validadas a fim de garantir o acesso a um usuário de
forma integra. Esses passos garantem que a solicitação realmente vem do usuário que está se identificando
no cliente RADIUS.
Nenhuma outra AC que não seja a confiável pelo domínio irá receber uma consulta do servidor
RADIUS, fazendo com que nenhum atacante possa criar um certificado e realizar uma tentativa de acesso ao
segmento de rede de serviço.
O método EAP-MS-CHAPv2 pode ser utilizado pelas estações de trabalho dos usuários desde que o
servidor RADIUS tenha definido na política de acesso. O método também define que somente usuários
autorizados podem ter seu acesso garantido. O método valida de uma forma mais rápida o acesso de um
usuário por não necessitar verificar um certificado digital.
13
O EAP-MS-CHAPv2 estabelece um túnel protegido na conexão entra a estação de trabalho e o
servidor RADIUS, o PEAP. As informações da conta do usuário e senha serão validadas no controlador de
domínio para garantir o acesso. O cliente RADIUS envia as informações até o servidor RADIUS para
garantir o acesso realizando a validação no controlador de domínio.
Uma tentativa de acesso não autorizado utilizando o MS-CHAPv2 será restringindo mesmo que um
atacante consiga interceptar uma conta e senha de um usuário, pois mesmo com essas informações em mãos
o objeto da conta do computador do atacante, não estará criado no controlador de domínio e não terá acesso
concedido o qual deve estar habilitado nessa conta.
A utilização do método EAP-TLS é o mais robusto entre os dois disponíveis no ambiente, porém não
impacta ao usuário e também não seria menos seguro a utilização do método EAP-MS-CHAPv2. Entre os
métodos disponíveis no ambiente, o uso entre um e outro está livremente aberto para a escolha do usuário e
seu acesso será devidamente registrado pelo servidor RADIUS definindo o método escolhido.
O uso do método EAP-MS-CHAPv2 em equipamentos pessoais de um usuário do ambiente não será
validado devido a este computador pessoal não ter sua conta de computador cadastrada no domínio, o que
impede o acesso.
4.3
Configurações necessárias para validação do protocolo
Para que as estações de trabalho do ambiente tenham acesso aos segmentos de rede disponíveis, os
equipamentos devem ter algumas configurações alteradas para que o acesso seja garantido. Os passos para a
configuração das estações de trabalho, para este ambiente estão definidos a baixo:
• A estação de trabalho do usuário deve ser inserida ao domínio;
• Ao ingressar no domínio estará disponível a solicitação do certificado digital na AC raiz do
ambiente, o qual é a entidade confiável do domínio;
• Após solicitar o certificado digital do usuário e da conta de computador, se deve modificar a
configuração da conexão de rede da estação de trabalho a fim de garantir que sua solicitação seja
processada pelo cliente RADIUS;
• Nas propriedades da conexão de rede, na aba autenticação está disponível a propriedade para
ativar o uso do protocolo 802.1X e definir o método que será encaminhado ao servidor RADIUS.
As estações de trabalho dos clientes da rede para que seja possível executar a solicitação através do
uso do protocolo 802.1X, devem estar com o serviço “configuração automática com fio” habilitado para
disponibilizar a aba autenticação da conexão de rede de um computador. A mesma configuração é necessária
para os equipamentos que utilizam rede sem fio, o serviço “configuração zero sem fio” deve estar no modo
iniciado.
Para as estações de trabalho que utilizam o acesso a rede sem fio, as configurações da interface de
rede utiliza os mesmos passos descritos para autenticação em rede com fio. É possível observar que, as
estações de trabalho notebook, devem preferencialmente usar as configurações padrões do sistema
operacional e não utilizar softwares de fabricantes para localizar redes sem fio disponíveis, pois podem
causar transtornos no momento da validação do usuário. O processo de autenticação da rede sem fio é
validado da mesma maneira que a rede com fio, diferenciando na política de acesso o tipo de conexão a ser
configurada e especificada.
Um computador conectado junto a um ponto de rede com fio sem as configurações de ativação do
protocolo 802.1X, o mesmo receberá um endereço IP da rede restrita. Nesse momento a estação de trabalho
do usuário pode ser inserida ao domínio e efetuar o restante dos processos para conseguir acesso ao
segmento correto. Dessa forma, as estações de trabalho que utilizam acesso a rede sem fio também devem
ser configuradas para atender os requisitos e conseguir acesso ao segmento da rede de serviço através do
cliente RADIUS wireless.
A Figura 9 apresenta a configuração utilizada para a estação de trabalho que possui acesso através
de rede com fio efetuar a autenticação através do método EAP-TLS para garantia de acesso.
14
Figura 9 – Configuração da interface de rede estação de trabalho
Após este processo de configuração em uma estação de trabalho, a ativação do protocolo 802.1X está
apta para seu funcionamento. O controle de acesso das estações dos clientes serão todos monitorados e
somente o acesso estará garantido a quem possuir tais configurações. Toda requisição processada pelo
autenticador recebido por os usuários serão controladas.
O acesso a rede sem fio está definido através do método EAP-TLS para validação do certificado
digital do usuário junto ao servidor RADIUS assim como na rede com fio. O ambiente também permite
utilizar o método EAP-MS-CHAPv2 para autenticação dos clientes. O acesso ao segmento de rede serviço
através de conexão sem fio se encontra disponível apenas para os usuários autorizados e previamente
configurados.
4.4
Controle de acesso
O servidor RADIUS registra os logs de acessos com sucesso e tentativas de acesso que não estiver
nas conformidades do ambiente. Os acessos do ambiente são contabilizados pelo servidor RADIUS através
de um arquivo de log, referenciando datas de conexões dos usuários, tempo de uso, entre outras informações.
Todas as tentativas de acesso são registradas em log no servidor, independente do meio de conexão utilizado.
As conexões requisitadas por rede com fio que não possua nenhuma configuração na interface de
rede ou estiver faltando algum dos requisitos são encaminhadas para rede restrita. As conexões que são
realizadas com as configurações corretas e os usuários estiverem nos padrões exigidos garantem seu acesso
ao segmento correto. Todas as requisições que forem oriundas de um equipamento registrado da rede, um
autenticador da rede, são monitoradas pelo servidor RADIUS.
As solicitações recebidas pelo servidor RADIUS através da rede sem fio, solicitado por estações de
trabalho ou usuários não autorizados são automaticamente descartadas. A rede sem fio disponibilizada no
ambiente, com o SID (Service Set Identifier) Empresa, somente permite acesso para usuários devidamente
registrados e padrões previamente configurados.
As requisições solicitadas pelos usuários registrados terão acesso garantido à rede de serviço. Com a
permissão concedida para esse segmento, todos os serviços estarão disponíveis para o usuário. Com o
processo de autenticação realizado com sucesso, o mesmo será registrado em um log no servidor conforme
apresentado na Figura 10, que apresenta uma solicitação válida e uma negada para o segmento da rede de
serviço a partir de um cliente RADIUS de acesso a rede com fio e outro cliente para acesso a rede sem fio.
15
Figura 10 – Controle de acesso de usuário
Após o processo de autenticação do usuário o mesmo recebe um endereço IP do segmento da rede de
serviço. Com esse acesso, o usuário demonstrado efetuou a solicitação através do cliente RADIUS Cisco
2960, nome amigável adicionado ao equipamento de rede, o endereço IP 192.168.0.2 relatado na figura
anterior informa o endereço IP do cliente RADIUS. A mesma ainda apresenta informações do tipo de
conectividade, a porta que a estação de trabalho do usuário está fisicamente conectada, também relata o
nome da política de acesso criado no servidor RADIUS e a autenticação realizada nessa política junto com o
método configurado.
A tentativa de acesso de um notebook sem as configurações foi registrada pelo servidor RADIUS, e
apresenta o descarte da solicitação. O log informa o nome da estação que solicitou o acesso, informa o IP
cadastrado no cliente RADIUS junto com seu mac-address e seu SID registrado e divulgado para o
ambiente. O mac-address do notebook também é informado. Nesse caso ele retorna o motivo do descarte da
solicitação, o código relata que a conta do objeto de computador que solicitou o acesso não existe no
domino.
4.5
Nível de segurança do ambiente
Nos equipamentos de rede que permitem a utilização do protocolo 802.1X, a funcionalidade de
configuração de VLANS está disponível. Cada porta do equipamento pode ser definida uma VLAN
especifica, no caso do ambiente, existem somente duas VLANS na configuração do switch. Como as
VLANS não permitem que os segmentos tenham acesso uma à outra, não é possível que um usuário não
autorizado encontre a rede de serviço.
A segurança do ambiente se equivale da separação dos segmentos de rede, o servidor de arquivos da
rede demonstra um serviço disponível que necessita de total garantia, o qual deve ser recusado os acessos
indevidos. O servidor possui o endereço IP 192.168.0.7, endereço da rede de serviço, o mesmo foi registrado
com hostname Serverfile. O Serverfile é acessível somente pelo segmente da rede de serviço, toda solicitação
encaminhada até o mesmo será processada somente por este segmento e, portanto, os hosts que estiverem
conectados ao segmento de rede restrita não terão acesso lógico ao servidor e outros serviços presentes na
rede de serviço.
Essa restrição entre os segmentos da rede garante que os diretórios compartilhados disponíveis para
16
o domínio, serão visualizados somente por usuários autorizados. As VLANS criadas nos autenticadores da
rede permitem segmentá-la e garante que as redes não tenham acesso uma a outra. Uma falha de
configuração em permissões de compartilhamento comprometeria as informações armazenadas no servidor
de arquivos e seria possível o vazamento dos dados caso uma estação não autorizada estiver no mesmo
segmento de rede do servidor de arquivos.
A Figura 11 demonstra o teste realizado a partir de um computador sem as configurações, simulando
uma tentativa de acesso indevido. O equipamento em questão recebeu um endereço IP da rede restrita e
tentou acessar os compartilhamentos do Serverfile. A tentativa de acesso foi recusada e retornou erro
acusando que não foi possível encontrá-lo na rede.
Figura 11 – Restrição na tentativa de acesso ao servidor de arquivos
A mesma solicitação de acesso ao servidor de arquivos, realizado pelo usuário Carlos Alberto, foi
concedida devido ao mesmo ter realizado o processo de autenticação e garantido seu acesso. A partir do
momento em que o usuário ingressou ao segmento da rede de serviço, todos os recursos para ele estão
disponíveis. A próxima etapa será controlada por permissões de acesso do compartilhamento, o mesmo não
encontrará dificuldades para continuar suas tarefas.
Uma possível falha de segurança nesse ambiente de testes poderia provir através do servidor
RADIUS por possuir conectividade direta entre os dois segmentos da rede. O firewall local do servidor não
impede encaminhamentos de uma rede à outra, um invasor poderia tentar invadir o servidor através da rede
restrita para ter acesso ao segmento da rede de serviço. Em um ambiente de produção o correto é a existência
de um firewall para impedir essa possível falha de segurança e bloquear a conectividade entre os dois
segmentos.
4.6
Segurança para expansão de estações de trabalho
Os autenticadores não permitem conectar outros equipamentos de rede em portas com as
configurações padrões para utilização do protocolo 802.1X. Essa restrição garante que não funcionará
qualquer tipo de equipamento de rede que venha a ser inserido à infraestrutura por pessoas não autorizadas.
A configuração spanning-tree portfast habilitada em todas as portas do switch torna a porta em estado
desabilitado no momento em que houver tentativa de negociação entre equipamentos do mesmo porte.
Todos os elementos de rede que não estão configurados conforme necessário, o servidor RADIUS
registra a tentativa de autenticação do mesmo em um log e esse equipamento não estará apto a receber
solicitações dos usuários da rede.
Todos os equipamentos da rede possuem senha para acesso tanto por conexão remota quanto por
conexão física, os equipamentos ainda por segurança devem permanecer em áreas privadas e com acesso
restrito para analistas de suporte autorizados.
17
A necessidade de extensão da rede, devido a um grande número de estações de trabalho deve ser
estudado e implementado através de uma rede estruturada para maior segurança e controle. O switch
principal ou switch core será responsável pela distribuição do cabeamento dos switches autenticadores onde
deve estar habilitado o Trunk das VLANS. Os autenticadores devem provir as configurações padrão do
protocolo 802.1X e devem ser criadas as VLANS iguais a configurada no switch core, para realizar a
autenticação dos usuários.
Por falta de recurso no servidor utilizado no ambiente, não foi gerado um segmento de rede para
atender uma VLAN específica de gerência do switch. Através de uma placa de rede distinta ou que
possibilite o uso de Trunk na interface seria capaz de adicionar essa VLAN para que somente o servidor
tenha esse acesso. Com isso, foi utilizada uma conexão remota via SSH habilitada no switch o qual utiliza
um canal criptografado a fim de efetuar configurações e ou alterações no mesmo.
O acesso a gerência do AP somente está habilitada através de HTTPS pelo seu IP configurado. Com
isso não é permitido o acesso a pessoas não autorizadas às configurações do equipamento. Para maior
segurança também é permitido ocultar seu SID predefinido para que não aumente as tentativas de conexões
por usuários não autorizados.
5
CONCLUSÃO
Com a implementação do protocolo 802.1X no ambiente simulado, foi possível solucionar o
problema de acesso físico não autorizado a um segmento de rede corporativo. Os testes dos acessos
simulados nesse ambiente são similares ao cotidiano em um ambiente real.
Com a restrição dos acessos indevidos, providos a partir dos segmentos da rede local, é possível
garantir que um invasor não consiga se conectar fisicamente aos segmentos disponíveis para este ambiente,
protegendo os seus serviços.
O protocolo 802.1X tem a função de garantir que todas as portas físicas disponíveis para acesso à
rede com ou sem fio, sejam monitoradas pelo servidor RADIUS, forçando dessa forma que todos os usuários
do ambiente devam estar com suas estações de trabalho previamente configuradas para garantir que sua
solicitação de acesso à rede seja atendida.
Os métodos disponíveis no ambiente, o EAP-TLS e o EAP-MS-CHAPv2, proporcionam um nível de
segurança elevado para garantir os acessos aos segmentos de rede, o padrão adotado foi o método EAP-TLS.
Esse método garante que, além da conta do usuário, a conta do computador também deve possuir um
certificado digital único para validar sua solicitação de acesso aos segmentos. Os certificados digitais são
validados na Autoridade Certificadora que os emitiu e a mesma verifica se estes não estão revogados. Após
essa verificação, o servidor RADIUS também valida as informações da conta do usuário e da conta do
computador no domínio, para garantir que os mesmos não estão desabilitados.
O método EAP-MS-CHAPv2 também possui a garantia de que somente usuários previamente
registrados tenham acesso ao segmento de rede de serviço, porém esse método, diferentemente do EAP-TLS,
atende apenas à política de validação da conta de usuário e do computador no domínio, através de um canal
protegido para verificação e validação das informações da conta e senha do usuário, juntamente com a conta
do computador e verifica se a mesma possui permissão de acesso no domínio.
Assim, mesmo um usuário que tentar acessar a rede de serviço com outro computador pessoal, que
não for o seu de uso dentro da empresa, não terá acesso garantido devido a esse computador não estar
cadastrado no domínio.
A autenticação e autorização de acesso ficam sob a responsabilidade do servidor RADIUS, onde
todas as requisições da rede serão encaminhadas por seus clientes RADIUS para validação. O servidor
possui as políticas de acesso determinando os métodos de autenticação que são solicitados às estações de
trabalho, tanto para conexões com fio e como para a conexão sem fio. O servidor RADIUS ainda é capaz de
auditar a utilização de banda, períodos de conexão entre outras informações através do RADIUS accounting.
O servidor RADIUS pode também definir dias de semana para que determinados grupos de usuários tenham
seus acessos garantidos.
O objetivo da proposta deste artigo foi alcançado com sucesso após a aplicação do protocolo 802.1X
em um ambiente de testes. Os testes realizados em estações de trabalho, tanto por conexão de rede com fio e
como para conexão de rede sem fio, foram aprovadas com o uso do protocolo para gerenciar e controlar seus
18
acessos aos segmentos de rede. As configurações dos elementos de rede, com suporte ao protocolo, foram
atendidas com sucesso, garantidas por essa implementação. A plataforma escolhida para utilização nesse
ambiente atendeu todos os requisitos exigidos por essa tecnologia.
Por limitação do AP, a rede sem fio não permitiu que os usuários acessassem o segmento da rede
restrita para realizar as configurações por este meio. Fazendo com isso, que as configurações para acessar a
rede de serviço fossem realizadas de forma previa pelo meio de conexão com fio, para que pudessem enfim
acessar a rede de serviço disponibilizado no cliente RADIUS wireless. Utilizando outros modelos de AP este
problema pode ser solucionado permitindo acesso simultâneo a diversas VLANS.
Estudos futuros serão propostos para solucionar o problema de VLAN no AP utilizado em um
ambiente, e com isso, ser possível distribuir o segmento da rede restrita no mesmo meio de conexão.
Também será avaliada a necessidade de executar os processos de configuração dos clientes manualmente,
pode ser estudada a tentativa de executar esses procedimentos de forma automática aos usuários que
ingressem ao domínio.
Uma maneira de proteger uma rede corporativa junto ao protocolo 802.1X, seria exigir que, para
permitir acesso, o usuário possua o software antivírus padrão do ambiente instalado em sua estação de
trabalho e também que as atualizações automáticas de segurança do Windows estejam configuradas para
receber do servidor que as possui para esse ambiente. Será estudada uma maneira de configurar essas
restrições automaticamente com o controlador de domínio, através de Group Policy Object (GPO) para
garantir que no momento em que acesse a rede do ambiente, a estação de trabalho não possa contaminar o
ambiente com vírus e outras vulnerabilidades.
REFERÊNCIAS
ABOBA, B.; BLUNK, L.; VOLLBRECHT, J.; CARLSON, J. RFC 3748 – Extensible Authentication
Protocol (EAP). 2004
Assinatura Digital e PKI. Disponível em:
<http://homepages.nyu.edu/~lyl209/DigitalSignaturesAndPKI.pdf>. Acesso em: 22 abr. 2011.
BARROS, Luiz Gustavo; FOLTRAN, Dierone César. Autenticação IEEE 802.1X em Redes de
computadores Utilizando TLS e EAP. Disponível em: <http://www.4eetcg.uepg.br/oral/62_1.pdf>.
Acessado em: 02 mai. 2011.
CHAVES, Tiago Rodrigues. Estudo de caso: Autenticação IEEE 802.1X baseada no protocolo RADIUS
e serviço de diretório LDAP aplicado a rede GIGAUFOPNET. Ouro Preto, 2010. Disponível em:
<http://www.decom.ufop.br/menotti/monoII102/files/BCC391-102-vf-04.1.4174-TiagoRodriguesChaves.pdf
>. Acesso em: 10 abr. 2011.
CONGDOM, P.; ABOBA, B.; SMITH, A.; ZORN, G.; ROESE, J. RFC 3580 - IEEE 802.1X Remote
Authentication Dial In User Service (RADIUS) Usage Guidelines, 2003
DUVALETT, Claude. Protocolo RADIUS sistemas de rede. Disponível em:
<http://litis.univ-lehavre.fr/~duvallet/enseignements/Cours/English/Network-4.pdf>.
Acesso em: 13 abr. 2011.
FLECK, Bob; POTTER, Bruce. Segurança 802.11 – protegendo redes sem fio. Ed. O’Reilly, 2002. 208 p.
ISNB: 0-596-00290-4.
GEIER, Jim. Implementando 802.1X soluções de segurança para redes sem fio e redes com fio. Ed.
Wireless-nets, 2008. 330 p. ISBN: 978-0-470-16860-8.
HASSELL, Jonathan. RADIUS – Tornando seguro acesso público a recursos privados. Ed. O’Reilly,
2002. 206 p. ISBN: 0-596-00322-6.
Infraestrutura de Chave Pública (ICP). Disponível em: <http://www.infosegura.eti.br/artigos/icp.pdf>.
Acesso em: 15 abr. 2011.
ISO/IEC 27002 – Técnicas de segurança em tecnologia da informação. Disponível em:
<http://www.iso27001security.com/html/27002.html>. Acesso em: 10 mai. 2011.
19
Kerberos. Disponível em: <http://www.gta.ufrj.br/grad/02_2/kerberos/Kerberos.htm>. Acesso em: 11 abr.
2011.
KOHL, J.; NEUMAN, C. RFC 1510 – The Kerberos Network Authentication Sercice (v5). 1993
Microsoft Kerberos. Disponível em:
<http://msdn.microsoft.com/en-us/library/aa378747%28v=vs.85%29.aspx>. Acesso em: 25 abr. 2011.
Noções básicas sobre autenticação 802.1X para redes sem fio. Disponível em:
<http://technet.microsoft.com/pt-br/library/cc759077%28WS.10%29.aspx>. Acesso em: 09 abr. 2011
O que é certificado digital? Disponível em:
<http://www.iti.gov.br/twiki/pub/Certificacao/CartilhasCd/brochura01.pdf>. Acesso em: 09 abr. 2011.
REZENDE, Pedro Antonio Dourado de. O que é um certificado digital? Brasília, 13 nov. 2005. Disponível
em: <http://www.cic.unb.br/~pedro/trabs/certdigital.html>. Acesso em: 09 abr. 2011.
RIGNEY, C; WILLENS, S.; RUBENS, A.; SIMPSON, W. RFC 2865 – Remote Authentication Dial In
User Service (RADIUS), 2000
RIGNEY, C. RFC 2866 – RADIUS Accounting, 2000
SILVA, Luiz Antonio f.; DUARTE, Otto Carlos M.B. RADIUS em Redes sem fio. Disponível em:
<http://www.gta.ufrj.br/seminarios/CPE825/tutoriais/lafs/RADIUS_em_Redes_sem_Fio.pdf>.
Acesso
em: 05 mai. 2011.
WAHL, M.; HOWES, T.; KILLE, S. RFC 2251 - Lightweight Directory Access Protocol (v3), 1997.
SILVA, Luiz Gustavo Cordeiro da; SILVA, Paulo Caetano da; BATISTA, Eduardo Mazza; HOMOLKA,
Hebert Otto; AQUINO, Ivanilso José de Souza Júnio; LIMA, Marcelo Ferreira de. Certificação Digital Conceitos e Aplicações. Ed. Ciência Moderna Ltda, Rio de Janeiro 2008. 201 p. ISBN: 978-85-7393-566-1.
STALLINGS, William. Criptografia e segurança de redes. Ed. Pearson Prentice Hall, 2008. 481 p. ISBN:
978-85-7605-119-0.
20