You are on page 1of 10

Implementaçao do protocolo

802.1x utilizando servidor de
autenticaçao FreeRadius

Faculdade de Tecnologia SENAC Goiás - Projeto Integrador – V
Curso: Gestão da Tecnologia da Informação - Noturno - 5º Período
Projeto de Redes de Computadores
Alunos:
 Lázaro Rodrigues Coelho
 Ricardo A. Portugal
 Itair Miguel Vieira Junior
 Túlio Accioly Fayad
Professor:
 Dinailton José da Silva

...................................................................... 6 8...................................................................................Lightweight Directory Access Protocol ................... O Padrão AAA ..................................... Extensible Authentication Protocol – EAP ....................................................................................................................... 10 ............................................ Introdução .............................Índice ] 1........ Servidores Radius Existentes ................ 6 7............................................................... 6 6......1x .......................................... Vantagens e Desvantagens do LDAP ....................................................... 5 5..................................................... Conclusão .........................................1X ................................................ 8 10............................................................ 3 2............................................................. Funcionamento do Radius ............................................................ 9 11....................................... Padrão IEEE 802........................... 10 12............................................................................................ 4 4...................... Funcionamento do padrão IEEE 802................. 7 9...................................... Radius ....... 3 3....................................................................... Arquitetura para Desenvolvimento ............................................................. LDAP .....................................................................................................................................................................

é implementar o protocolo EAP (BLUNK. Portanto. . O CHAP provê criptografia somente do usuário e senha. no qual o login e a senha trafegam em texto claro.1x oferece. Entretanto. e o Padrão de Criptografia Avançada (AES – Advanced Encryption Standard). o IEEE 802. atendendo à arquitetura AAA. Introdução Durante os últimos anos as redes de computadores tiveram um grande crescimento principalmente devido a popularização da Internet (NICBR. Em um ambiente de rede onde o meio de acesso é compartilhado e aberto. 2000). Uma forma eficiente é prover um mecanismo de segurança através de um protocolo que ofereça opções de segurança confiáveis. a confiança nos hosts fica limitada. ao nível de porta. em redes cabeadas. o padrão IEEE 802.11. o padrão IEEE 802. como no caso da associação entre um dispositivo sem fio e o ponto de acesso. O padrão define porta como sendo um ponto de conexão à LAN. antes limitada aos mecanismos providos pelo Protocolo para Controle de Link (LCP . O PAP é um protocolo utilizado principalmente para autenticação em redes discadas. Padrão IEEE 802. em redes IEEE 802 cabeadas ou sem fio.Link Control Protocol).1x descreve um modelo de controle de acesso à rede e uma arquitetura de controle centralizada que se integra com o padrão AAA (Authentication. Uma forma de utilizar os recursos que o padrão IEEE 802.Point-to-Point Protocol) (SIMPSON 1994). 2006).1x é uma solução para os problemas de autenticação encontrados no IEEE 802. Desta forma. que eram o Protocolo de Autenticação por Senha (PAP – Password Authentication Protocol) e o Protocolo de Autenticação por Negociação de Desafio (CHAP – Challenge Handshake Authentication Protocol) (SIMPSON.1X é o padrão adotado para autenticação.1x O IEEE 802. como nas redes sem fio ou no caso das redes cabeadas que existam segmentos da mesma que não possam ser verificados. 1998). O padrão IEEE 802. proposto para ampliar a funcionalidade de autenticação do protocolo pontoa-ponto (PPP . ou uma porta lógica. Authorization and Accounting) da IETF (Internet Engineering Task Force) definido em (VOLLBRECHT.1x garante compatibilidade entre o Protocolo de Integridade Temporal de Chave (TKIP Temporal Key Integrity Protocol).1. Desta maneira. pois o mesmo tem suporte a diversos métodos de autenticação existentes. porém os dados também trafegam em texto claro. que é um mecanismo forte de criptografia que vem sendo adotado recentemente. podendo ser uma porta física. 1996). 2. que foi desenvolvido para solucionar o problema de chave estática do WEP. a infraestrutura de redes de computadores necessita de atualizações para suportar novos protocolos para permitir seu gerenciamento e controle sobre os usuários da mesma. Para contornar esses aspectos falhos de segurança mencionados acima existem diversos métodos disponíveis para implementação.1x é o que provê autenticação entre os clientes da rede e o ativo no qual os mesmos estão conectados podendo este ser um switch ou um ponto de acesso (AP Access Point) para acessos sem fio.

pontos de acesso sem o. clientes nominais que suportem o 802.3.1X Como pode ser visto na figura 01 um cliente. switches. O autenticador solicita ao suplicante sua identidade. com o switch ou ponto de acesso simplesmente re-empacotando e distribuindo as informações. chamados de autenticadores. o servidor de autenticação. O 802.1X. chamado supplicant faz uma conexão inicial para um authenticator. um servidor RADIUS e algum tipo de banco de dados de contas. O autenticador é configurado para exigir o 802. para gerenciar o processo AAA. a qual ele passará adiante para o authentication server RADIUS.1X O 802. chamado de suplicante. Funcionamento do padrão IEEE 802.1X requer uma infraestrutura de suporte. c) Servidor RADIUS. em cada ponto de extremidade. como o LDAP ou Active Directory.1X é projetado para trabalhar em qualquer tipo de rede: com ou sem fio. para mediar todas as comunicações ocorridas antes da atribuição do endereço IP. Elementos exigidos: a) Software cliente. um switch de rede ou um ponto de acesso sem fio.1X. Figura 01: Infraestrutura para operar com 802. b) Switches ou pontos de acesso habilitados para 802.1X de todos os suplicantes e irá ignorar qualquer conexão de entrada que não se adequar. A inteligência dessa solução reside no suplicante e no servidor RADIUS. .

Autenticação útua é quando o host autentica o cliente e o cliente autentica o host. por fim. que é concedido a um usuário. 2005). conhecido como man-in-the-middle. o padrão AAA é uma referência aos protocolos relacionados com os procedimentos de autenticação. com base na sua autenticação. QoS (Quality of Service). O Padrão AAA Em segurança da informação. concessão de endereço IP. . concessão de rotas. A autorização pode ser baseada em restrições como.  O procedimento de autorização é a concessão de tipos específicos de serviços para um usuário. Para solucionar este problema. 2000).  No processo de autenticação. Exemplos de tipos de serviços incluem. Accounting em tempo real refere-se à informação que é entregue simultaneamente com o consumo dos recursos. quando o serviço foi concedido e quando o mesmo foi encerrado.  O processo de contabilização (accounting) refere-se ao monitoramento do consumo de recursos de rede pelos usuários. é necessária a reciprocidade. O problema é simplesmente composto pela crescente quantidade de vulnerabilidades no pacote de protocolos TCP/IP. localização física ou contra várias sessões simultâneas pelo mesmo usuário. A autorização determina a natureza do serviço. Os métodos de autenticação mútua são baseados em uma infra-estrutura de chave pública (PKI – Public Key infrastructure). é preciso colocar um mecanismo adequado de autenticação mútua. serviços de controle de largura de/gestão de tráfego e criptografia entre outros (VOLLBRECHT. filtragem de endereço IP. Informações típicas que são recolhidas no processo de accounting é a identidade do usuário. por exemplo. definido em (ASOKAN. planeamento. Accounting em batch refere-se à informação que é armazenada até que seja utilizada em momento oportuno. quais serviços estão sendo solicitados. autorização e contabilização (accounting).4. Estas informações poderão ser utilizadas para o gerenciamento. Um usuário deve identificar-se e autenticar-se para o sistema. Os procedimentos acima que compõem a arquitetura AAA são necessários para oferecer uma forma de autenticação segura a uma rede onde é necessário ter controle sobre a forma de acesso dos usuários. pagamento ou para outros fins. O usuário tem que possuir a certeza de que está enviando as suas informações de conta para o local correto. que pode criar informações incorretas para vantagem de um usuário que esteja tentando obter acesso indevido a um recurso da rede. a natureza do serviço. A autenticação verifica a identidade digital do usuário de um sistema. mas o sistema não se autentica para o usuário de maneira óbvia. a autorização garante que um usuário autenticado somente tenha acesso aos recursos autorizados e. hora. bem como o atual estado do sistema. a contabilização refere-se a coleta de informações sobre o uso dos recursos de um sistema pelos seus usuários.

o cliente não é dependente da implementação em particular do serviço de diretório que está no servidor. As principais desvantagens do LDAP são:    Em alguns casos não substitui as bases de dados relacionais. o padrão LDAP foi criado com esse intuito e trata-se de um protocolo que define um método para o acesso e a atualização de informações em um diretório.PAP e o protocolo de autenticação por negociação de desafio . Assim.PPP Simpson (1994). A definição de um diretório descreve um banco de dados especializado em leitura apenas e não em gravação. Pouco eficiente para operações de escrita e atualização. . Assim. 6. maior transparência das informações.500. o LDAP não define o serviço de diretório em si.CHAP Simpson (1996). sendo assim uma alternativa interessante para interligação de redes visto a sua capacidade de adaptação a novos mecanismos. Portanto.500 que se organizam as entradas do diretório em um espaço de nomes hierárquico (uma árvore) capaz de incorporar grandes volumes de informação. Possui um mecanismo de replicação da base incluído. Muitas aplicações e serviços possuem suporte ao LDAP. Integração com outros serviços e aplicações torna a implantação complexa. É otimizado para realizar pesquisas e leitura. Vantagens e Desvantagens do LDAP As principais vantagens do LDAP são:       É um padrão aberto. LDAP . 2006). proposto para ampliar a funcionalidade de autenticação do protocolo ponto-a-ponto . Entretanto. Centraliza toda a informação proporcionando enormes benefícios tais como: um único ponto de administração. Utilizando o EAP é possível ter independência de mecanismos de autenticação PPP. o mesmo define o transporte e o formato das mensagens utilizadas pelo cliente para acessar os dados que estão armazenados em um diretório do tipo X. Suporta mecanismos de segurança para autenticação (SASL) e para a troca de dados (TLS). 7. É através do padrão X. Com o LDAP. menos informação duplicada. Extensible Authentication Protocol – EAP EAP é o protocolo usado para autenticação. O LDAP também define métodos de busca para tornar a recuperação dessa informação de forma eficiente (BARTH.Lightweight Directory Access Protocol A necessidade de integração de informações de maneira clara e consistente. A árvore de diretório pode ser criada de acordo com a necessidade. o LDAP define um protocolo de comunicação desenvolvido para rodar sobre a pilha de protocolos TCP/IP. Antes limitado aos mecanismos providos pelo protocolo para controle de link.5. de forma a reduzir o custo de sua manutenção motivou o surgimento de um padrão que provesse tais características. que eram o protocolo de autenticação .

encapsulamento de EAP sobre a LAN EAPOL. O protocolo RADIUS é denido pela RFC 2865 (2000). não sendo necessário implementar mecanismos adicionais de segurança no próprio equipamento. O Autenticador re-encapsula as mensagens EAP para o formato de RADIUS e passa para o servidor de autenticação. o Servidor de autenticação envia uma mensagem de sucesso (ou fracasso. Quando o processo de autenticação termina. se a autenticação falhar). o processo de autenticação começa. Radius O RADIUS é um protocolo utilizado para disponibilizar acesso a redes utilizando a arquitetura AAA. ou. Depois que a identidade for enviada. depois de uma autenticação próspera. O protocolo usado entre o suplicante e o autenticador é o EAP. 8. conforme Figura 02. Atualmente é também implementado em pontos de acesso sem o e outros tipos de dispositivos que permitem acesso autenticado a redes de computadores. o autenticador retransmite os pacotes entre o suplicante e o servidor de autenticação. é concedido acesso a outros recursos da rede ao suplicante. mais corretamente. Inicialmente foi desenvolvido para uso em serviços de acesso discado. O autenticador abre então a “porta” para o suplicante. Figura 02: Comunicação entre os elementos Durante a autenticação.Uma vantagem do uso do protocolo EAP é o aumento de vida útil dos equipamentos que possuem suporte ao padrão IEEE 802.1X. . Com a utilização de EAP para autenticação dos usuários a identidade real não é enviada antes do túnel de TLS codificado ser ativado. pois os mesmos passam a funcionar como intermediários entre o host cliente e o servidor de autenticação.

Access Accept caso o acesso seja aceito ou Access . autorizasse e fizesse acompanhamento e monitoramento do uso de recursos de rede usado pelos usuários. pudessem ajudar na construção do que hoje é um dos serviços mais utilizados na rede.Challenge caso seja pedida uma nova confirmação. O RADIUS foi construído para atender uma necessidade de mercado da época. proxies RADIUS e servidores RADIUS. Hoje em dia. uma pioneira em criação de soluções para Internet na época. O utilizador. Quando um utilizador da rede deseja utilizar um serviço ele envia os seus dados para o NAS. enviando em seguida à resposta para o NAS contendo um Access .Reject caso o acesso seja negado.7 9. A Figura 03 ilustra a descrição do funcionamento do protocolo RADIUS. Uma mensagem RADIUS consiste num pacote contendo um cabeçalho RADIUS com o tipo de mensagem.Request. nasceu uma versão muito superficial do RADIUS.O desenvolvimento do RADIUS começou de fato em 1994. para o tipo de serviço pedido pelo utilizador e para o endereço Internet Protocol . Funcionamento do Radius O protocolo RADIUS baseia-se no modelo cliente/servidor. tendo de um lado o Network Access Server . tanto a Lucent quanto a Merit Networks oferecem serviços de Internet ao público baseado no RADIUS sem nenhum tipo de cobrança. O NAS é responsável por adquirir todos os dados do utilizador. quando Steve Willens e Carl Rigney da Livingston Enterprise (hoje conhecida como Lucent) abriram o código fonte do servidor RADIUS para que outros desenvolvedores da Merit Networks. Por exemplo. existem atributos RADIUS para o nome de utilizador. Naquele tempo. Os atributos RADIUS são utilizados para transmitir informações entre clientes RADIUS. Este é também responsável por processar respostas vindas do servidor RADIUS. o NAS e o servidor trocam mensagens entre si quando o utilizador pretende se autenticar para utilizar um determinado servidor de rede. para a palavra passe do utilizador. que normalmente são o nome de utilizador e a respectiva palavra passe (no envio do NAS para o servidor a palavra passe é cifrada de modo a prevenir possíveis ataques) e enviá-los para o servidor RADIUS através de um pedido de acesso que se designa de Access . precisava-se de um produto que autenticasse. Depois de uma primeira reunião entre os desenvolvedores dessas duas empresas.IP do servidor de acesso. O servidor ao receber um pedido de acesso tenta a autenticação do utilizador. .NAS como cliente e do outro o servidor RADIUS. podendo ainda ter atributos associados à mensagem. cada atributo RADIUS específica uma parte de informação sobre a tentativa de ligação.

Figura 03: Funcionamento do radius 10. Funcionando como proxy. . cliente. Devido a estas características e tendo em conta o fato de ser uma aplicação open source esta será a implementação de RADIUS utilizada para o desenvolvimento do trabalho. Microsoft IAS O Internet Authentication Service é a implementação da Microsoft de um servidor RADIUS. Pode ser instalada em sistemas Linux e Machintosh FreeRadius (2010). destacando-se entre eles o Cisco Access Control Server (ACS) e o Microsoft Internet Authentication Service (IAS). Tal como é especificado pelo RADIUS o IAS oferece serviços de autenticação. Servidores Radius Existentes Existem no mercado muitas soluções para servidores RADIUS. autorização e contabilização centralizados para diferentes tipos de acessos de rede. autorização e contabilização de acesso de usuários de redes de computadores ACS (2010). bibliotecas de desenvolvimento e muitas outras utilidades. Cisco ACS  O Cisco Secure Access Control Server é uma política de controle de acessos que proporciona um ambiente centralizado de controle de autenticação. FreeRadius  O FreeRadius é uma implementação de RADIUS modular. Este é responsável pela autenticação de pelo menos um terço dos usuários da Internet. Esta inclui servidor. o IAS reencaminha as mensagens de autenticação e autorização para outros servidores RADIUS IAS (2010). O FreeRadius é o servidor RADIUS mais utilizado para sistemas Linux. de alta performance e rica em opções e funcionalidades. incluindo wireless e Virtual Private Network VPN's. Os restantes dos usuários encontram-se divididos entre os servidores restantes.

Disco Rígido de 320 GB. 3 GB Memória RAM. Algum tipo de banco de dados de(como o Active Directory . Utilizar um meio de contabilizar o acesso individual de cada cliente também ajuda no aspecto da segurança. Já o processo de autorização fornece flexibilidade para implementar uma hierarquia de acesso.00 GHz.1X requer:      Uma infra-estrutura de suporte. . Clientes nominais que suportem o 802. CPU Intel(R) Xeon(TM)CPU 3. bem como manter centralizada a base de usuários.LDAP). Switches que podem participar no 802.1X. somente usuários legítimos e devidamente identificados tem acesso aos recursos disponíveis. Um servidor RADIUS. Conclusão Utilizar um ambiente de rede que possui uma forma de autenticação e autorização para acesso ao meio é uma das formas de aumentar a segurança.11.1X. LAN 10/100 e demais componentes. Um computador com a seguinte configuração (Servidor):     12. Arquitetura para Desenvolvimento O padrão IEEE 802. por exemplo. Com o processo de autorização. pois é possível definir limites como horários disponíveis para uso e tempo máximo de conexão.