Identificação dos Usuários em Rede Corporativa

Transcrição

1 ISSN T.I.S. São Carlos, v. 4, n. 2, p , mai-ago 2015 Tecnologias, Infraestrutura e Software Identificação dos Usuários em Rede Corporativa Rafael Vicente Carisani, Hélio Crestana Guardia Resumo: Este estudo trata da identificação de usuários em um ambiente de rede corporativa, por meio do protocolo RADIUS, integrando a autenticação com uma base de dados LDAP. Para tanto, nos computadores clientes, prevê-se o uso do protocolo IEEE X, que define o transporte das credenciais do usuário e os mecanismos de autenticação. Uma vez autenticado, o protocolo libera o acesso do computador cliente à infraestrutura de rede. Palavras-Chave: identificação de usuário, rede corporativa, segurança da informação,radius, LDAP Identification ofusers in Corporate Network Abstract: This study presents the user identification in a corporate network environment using RADIUS protocol, integrating the authentication with an LDAP database. Therefore, client devices must use the IEEE X protocol, which defines the transport of user credentials. Once a user is authenticated, the protocol provides the access to the network infrastructure through the client computer. Keywords: user identification, corporate network, information safety, Radius, LDAP I. INTRODUÇÃO Uma palavra chave que podemos atribuir a uma rede é controle, principalmente na identificação dos usuários. Assim, o objetivo deste artigo é identificar uma solução eficiente para gerenciar os acessos dos usuários em um ambiente de rede corporativa. Com isso, espera-se possibilitar o controle de acesso e a posterior identificação e eventual responsabilização por usos indevidos da rede. De maneira geral, as soluções aqui apresentadas focam na mobilidade dos usuários, que podem estar conectados através da rede sem fio, usando dispositivos variados. Estar conectado à rede garante que os usuários consigam usufruir dos recursos e serviços que a rede oferece, inclusive eventualmente acessar informações confidenciais e realizar acessos a sites com conteúdo não pertinente ao ambiente corporativo. Caso não haja controle dos acessos desses usuários, não é possível identificar autores de acessos em situações específicas. Outro objetivo desse artigo é tratar de como uma empresa pode estar alinhada com o Marco Civil da Internet (VARGAS), que estabelece um termo de responsabilidades no uso da rede. De maneira geral, esta lei orienta que as informações de acesso devem ser gravadas em formato de logs, onde armazenam-se informações relevantes para associar usuário e endereço de rede (IP), com as respectivas datas de conexão. Esses logs devem ser guardados em local seguro pelo provedor de acesso e, no caso de ambiente corporativo, pelo gerente de rede de sua infraestrutura local. Sob demanda judicial, novos tipos de informação podem ter que ser coletados, como a identificação dos acessos feitos por um usuário ou a partir de um computador específico. Para prover uma solução adequada a esse problema, esse artigo considera o uso das tecnologias referentes ao protocolo X, ao protocolo RADIUS e ao servidor de diretórios LDAP. Para validar a funcionalidade obtida com as tecnologias e os protocolos determinados, um cenário alvo é caracterizado usando virtualização de sistemas computacionais. Para esse cenário, analisa-se as conexões e os registros de informações relevantes para identificação dos usuários e o atendimento das questões legais. A análise da rede corporativa do ambiente de uma universidade também é tratada como estudo de caso para questões conceituais de tipos de uso da rede e controle de acesso. II. SEGURANÇA EM UMA REDE ACADÊMICA Num cenário acadêmico, existe um ambiente de rede heterogêneo que envolve o acesso de diferentes tipos de usuários, utilizando equipamentos individuais, compartilhados e pessoais, através de redes cabeadas e sem fio. Do ponto de vista da conectividade, uma rede sem fio possui todos os riscos de uma rede com fio e acrescenta o fator da facilidade de acesso aos sinais de transmissão, tangível a qualquer usuário que possua equipamentos nas áreas de alcance dos sinais. Isso significa que diferentes mecanismos de controle de acesso e identificação podem ser desejáveis na rede. Departamento de Computação - Universidade Federal de São Carlos (UFSCar) Caixa Postal São Carlos SP Brasil Autor para correspondência: : rafael@carisani.com.br, helio@dc.ufscar.br

2 Neste cenário, há diferentes formas de prover o controle de acesso dos usuários. Estratégias mais comuns incluem a permissão de conectividade a um segmento de rede e controle restrito de acesso a outros segmentos externos, e o controle de acesso já no primeiro ponto de conectividade. Mecanismos como captive portals (PFSENSE, 201 3) podem ser usados em cenários em que a conectividade inicial é liberada, mas o acesso a outros segmentos de rede e à Internet é restrito. Mecanismos de controle para a conectividade restrita já no segmento de acesso à rede também podem ser desejados. Nos dois contextos, contudo, procedimentos de identificação e autorização de usuários podem ser baseados em protocolos e serviços de rede padronizados. Para garantir a segurança e viabilizar a identificação legal dos usuários, o acesso deve ser restrito apenas aos usuários autorizados, não permitindo que um invasor possa conectar seu equipamento na rede e ganhar acesso às informações e serviços sem autenticação. Assim, em ambientes de rede corporativa, os usuários tipicamente devem primeiro autenticar-se para obter acesso físico à rede. Isso pode ser feito através de procedimentos que podem ser executados por um switch, em redes com fio, ou por um acccess point, em redes sem fio. A função desse elemento de autenticação é agir como um proxy para a interação com um servidor denominado NAS (Network Authentication Server ou Servidor de Autenticação de Rede). Esse servidor de autenticação é comumente um sistema RADIUS, que pode obter as credenciais de acesso a partir de servidores e protocolos variados. O resultado da interação de um switch ou access point com um servidor RADIUS é uma indicação do status da autorização, permitida ou não para os usuários. A figura 1 apresenta um exemplo de arquitetura base de utilização do sistema RADIUS. Nesse cenário podem ser observados os procedimentos e protocolos de autenticação, onde o usuário transmite suas credenciais; em seguida, o NAS delega a autenticação ao servidor RADIUS, enviando-lhe a credencial do usuário. De acordo com a resposta, o NAS permite ou não acesso do usuário. Rafael Vicente Carisani, Hélio Crestana Guardia modelo cliente/servidor, validando as credenciais dos usuários, e retornando as informações de configuração e as políticas a serem aplicadas para o mesmo (CARVALHO, 2008). Este protocolo foi idealizado para centralizar as atividades de Autenticação, Autorização e Contabilidade (Authentication, Authorization and Accounting AAA), pois autentica os usuários, administra as requisições de autorização e coleta informações para auditoria. A) Autenticação RADIUS Uma das formas mais utilizadas para autenticação é através de login e senha, na qual o usuário precisa confirmar sua autenticidade. Assim, o usuário, o elemento de autenticação (NAS) e o servidor RADIUS trocam mensagens entre si quando um usuário pretende se autenticar para utilizar um determinado servidor de rede. Neste cenário, a principal característica do servidor RADIUS é não permitir o acesso sem autenticação à rede protegida, atuando com flexibilidade tanto em redes com fio quanto em redes sem fio. A autenticação é o processo que verifica se uma combinação de informações é válida para o sistema. A figura 2 apresenta o tratamento das requisições de acesso a um serviço, usando pacotes de autenticação encapsulados. Figura 2. Possibilidades da requisição de acesso a um serviço (Adaptado de CARVALHO, 2008) Figura 1. Modelo de acesso à rede com autenticação III. RADIUS Amplamente utilizado pelos sistemas embutidos em switches e access points, o protocolo RADIUS baseia-se no No esquema da Figura 2, o usuário envia pela rede uma mensagem de requisição de acesso. Se não houver resposta, o pedido é reenviado até atingir o tempo limite. Após receber a requisição de associação, o NAS inicia o processo de autenticação, solicitando que o usuário confirme sua identidade. Com o recebimento do login e senha, o NAS as repassa ao servidor RADIUS. O servidor tenta validar o cliente e, caso o usuário não for reconhecido, os pedidos são descartados e é enviado um pacote de acesso negado. O NAS recebe esta mensagem e desconecta o usuário. Se o cliente for autenticado, a próxima fase corresponde à análise do pedido de autenticação do usuário, checando o login e senha. Em resposta, o servidor RADIUS pode enviar uma indicação de acesso aceito, ou acesso negado, ou envia uma nova requisição de login e senha. T.I.S. 2015; 4 (2):

3 Identificação dos Usuários em Rede Corporativa IV. LDAP As informações de autenticação de uma organização podem ser consolidadas em um repositório central, para que estejam acessíveis em qualquer ponto da rede. O protocolo LDAP Lightweight Directory Access Protocol, ou Protocolo Leve de Acesso a Diretórios, é um protocolo de padrão aberto e multiplataforma, que atende a esse propósito. Para tanto, servidores LDAP organizam informações em forma de diretórios, segundo uma estrutura hierárquica. Ao compartilhar o acesso a essas informações através de um protocolo de comunicação em rede, as informações ficam centralizadas, facilitando consultas e manipulações a partir de nós distribuídos em rede (GIL 2012). A estrutura LDAP organiza as entradas de um diretório em um espaço de nomes hierárquico (uma árvore), como apresentado na Figura 3. Essa organização permite incorporar grandes volumes de informação e tornar a recuperação dessa informação fácil e eficiente. Um exemplo da utilização dessa estrutura hierárquica são as consultas realizadas pelos clientes LDAP, como um servidor RADIUS, obtendo as informações dos usuários cadastrados. para controlar os acessos à rede, pois não permite que a comunicação entre usuário e rede seja estabelecida, sem a devida autenticação. A sua arquitetura prevê que este protocolo seja executado entre três nós: o nó requerente (usuário), ou nó que solicita acesso, o nó autenticador (NAS) e o Servidor de Autenticação (RADIUS). O nó requerente é tipicamente um terminal (notebook, smartphone, etc.), o autenticador é um equipamento de rede (switch e/ou acccesspoint) e o Servidor de Autenticação que é um serviço de autenticação em rede, neste artigo representado pelo Figura 3. Exemplo de estrutura de árvore LDAP V. IEEE 802.1X Padronizado pelo IEEE (Instituto de Engenheiros Eletricistas e Eletrônicos), o protocolo X é um exemplo de protocolo de autenticação que atua no controle da rede, no nível das portas de conexão de equipamentos de acesso ou na liberação da conexão de dispositivos a pontos de acesso a redes sem fio. Usando esse protocolo, um usuário deve autenticar-se para obter acesso aos recursos da rede (IEEE 201 0). Os mecanismos de autenticação implementados provêm suporte a praticamente qualquer método de autenticação existente. Dada a flexibilidade das formas de autenticação oferecidas, o protocolo 802.1X é uma solução cada vez mais aplicada Figura 4. Método de acesso IEEE 802.1X Usando o protocolo X, a segurança da autenticação inicia-se quando um nó da rede envia uma requisição de associação ao ponto de acesso. O autenticador recebe a requisição e abre uma porta para a sessão IEEE 802.1X de autenticação. Caso o usuário seja autenticado com sucesso, o servidor de autenticação envia um "pacote de aceitação" ao ponto de acesso, alterando a porta para status aberta e o tráfego de dados é permitido. Caso o usuário não seja autenticado, o mesmo fica barrado na porta do ponto de acesso, ou switch. Toda a transação de autenticação do IEEE 802.1X é feita utilizando-se o protocolo EAP sobre LAN, ou seja, as mensagens de autenticação são encapsuladas em mensagens EAP sobre Redes Locais (EAP over LAN EAPOL) (IEEE 2010), para autenticar o usuário para a rede e a rede para o usuário, garantindo que ambos os lados se comuniquem com entidades reconhecidas. A) EAP Extensible Authentication Protocol (EAP) é um framework de autenticação que suporta múltiplos métodos de autenticação (IETF 2004). Seu papel é transportar as informações trocadas na identificação dos utilizadores. Para tanto, durante a troca de pacotes de autenticação, o usuário encaminha os pacotes EAP / RADIUS. Nesta fase, apenas o tráfego EAP consegue passar pelo nó Autenticador. No EAP, os protocolos disponíveis são chamados de métodos de autenticação, podendo ou não utilizar criptografia. Os métodos não criptográficos são EAP-MD5 e MS-CHAP (v1 e v2) e os criptográficos são EAP-TLS, EAP-TTLS e Protected EAP (PEAP). A troca de mensagens entre os nós em uma ligação 150 T.I.S. 2015; 4 (2):

4 Rafael Vicente Carisani, Hélio Crestana Guardia WPA2/802.1 X/EAP encontra-se representada na figura 5, onde somente após a mensagem EAP Sucesso o usuário terá acesso aos recursos da rede. Figura 5. Controle de acesso IEEE 802.1X em redes sem fio Como ilustrado na Figura 5, um nó requerente envia uma mensagem EAP start ao ponto de acesso, solicitando o início do processo de autenticação EAP. Em resposta, o ponto de acesso envia uma mensagem EAP login/senha para pedir ao usuário a sua identificação. O usuário responde com uma mensagem EAP login/senha. O ponto de acesso então encapsula esta mensagem em uma mensagem requisição de acesso de RADIUS e a encaminha para o servidor de autenticação (servidor RADIUS). Se o ponto de acesso tiver permissão para acessar o recurso (a rede sem fios), o passo seguinte consiste no desafio RADIUS. Assim, o servidor RADIUS solicita credenciais para o ponto de acesso. Dependendo da extensão EAP em uso, o desafio pode basearse num certificado do utilizador ou de um conjunto login/senha. O ponto de acesso encapsula a mensagem recebida do RADIUS segundo o protocolo EAPOL em uma mensagem EAP requisição e a envia para o terminal. O usuário responde ao desafio (neste artigo utilizando login e senha) e envia a resposta para o ponto de acesso em uma mensagem EAP resposta. Neste momento, o ponto de acesso descodifica a resposta e a envia para o servidor RADIUS em uma mensagem RADIUS que valida credenciais. Em resposta, o servidor RADIUS devolve um access-accept (acesso liberado) ou um access-reject (acesso bloqueado) ao ponto de acesso. Admitindo o primeiro caso, o ponto de acesso encapsula a resposta em uma mensagem EAPOL-EAP sucesso e devolve ao usuário. VI. VIRTUAL LAN Usuários de uma corporação podem pertencer a grupos, de acordo com suas funções. Assim, eventualmente pode ser relevante separar os fluxos das comunicações em uma rede de acordo com os grupos existentes. Quando a dispersão física dos usuários não corresponde à organização em grupos lógicos, contudo, é preciso segmentar a rede criando redes virtuais (Virtual LANS VLANs). Por definição VLAN é um grupo de dispositivos em uma ou mais redes locais que estão configurados para se comunicarem como se estivessem conectados ao mesmo cabo, independentemente de estarem localizados em um número de diferentes segmentos da LAN. Assim, dispositivos (ou usuários) em uma mesma VLAN compartilham um domínio de broadcast. VLANs são baseadas em ligações lógicas, em vez de físicas, e são extremamente flexíveis (Cisco-System, 2004). A interconexão na mesma rede física garante segurança e eficiência, e não interrompe o tráfego de informações dos demais grupos da rede. A organização de dispositivos em VLANs ocorre no nível da camada de enlace e utiliza o conceito de quadros rotulados (tagged frames). Esses quadros são unidades de informações compartilhadas que serão entregues de acordo com a identificação da VLAN, requerendo, contudo, equipamentos com essa configuração. As VLANs são padronizadas através do protocolo IEEE Q, disponibilizado pelos ativos de rede como, por exemplo, switches e access points (IEEE 2006). De acordo com o protocolo IEEE 802.1Q, cada porta dos ativos de rede, seja ela física ou lógica, é alocada a uma ou mais VLANs, que são identificadas unicamente através de VLAN Ids. Essa identificação é feita por um número inteiro entre 1 e Entre os equipamentos que provêm suporte ao protocolo Q, uma marcação é adicionada em todos os pacotes transmitidos para informar de qual VLAN(s) ele originou. Em ambientes de rede sem fio, é possível associar identificadores de redes lógicas, definidos por SSIDs, com VLANs. A figura 6 apresenta um cenário exemplo de uma rede acadêmica, onde o ambiente é composto por access points com configuração Multi-SSID, o SSID- PROFESSORES na VLAN 1 (PROFESSORES), o SSID- GRADUAÇÃO na VLAN 2 (GRADUAÇÃO), o SSID-POS- GRADUAÇÃO na VLAN 3 (POS-GRADUAÇÃO) e o SSID- CAMPUS na VLAN 4 (CAMPUS). Figura 6. Rede com múltiplos SSIDs associados as VLANs Para integrar e isolar apropriadamente os fluxos de quadros de acordo com as VLANs às quais podem pertencer, um mecanismo de tags é usado. Assim, de acordo com o SSID ao qual um usuário for autenticado, é possível fazer com que os T.I.S. 2015; 4 (2):

5 Identificação dos Usuários em Rede Corporativa quadros gerados por seu sistema computacional sejam encaminhados de maneira restrita a apenas os segmentos e nós da resma rede local (VLAN). Como o uplink (cabo de conexão à infraestrutura cabeada) de dispositivos pontos de acesso à rede sem fio é comumente feito por uma única porta, é necessário criar as mesmas VLANs no switch e configurar a porta que está conectada ao access point como "tagged". Assim, cada SSID está associado a uma VLAN e, como o cabo de rede do access point para o switch pode levar dados de várias VLANs há um encapsulamento dos quadros com o formato Q. Quando o encapsulamento é configurado, é atribuída uma porta de túnel para um ID de VLAN que se dedica a tunelamento. Cada cliente requer um provedor de serviços de VLAN ID separado, mas o serviço de provedor de VLAN ID suporta VLANs de todos os clientes. VII. CENÁRIO IDEALIZADO PARA A REDE CORPORATIVA SEM FIO Tendo em vista os protocolos e as organizações físicas e funcionais de uma infraestrutura de rede sem fio para atender o ambiente de rede alvo deste estudo (rede corporativa educacional), a Figura 7 apresenta a situação desejada da arquitetura da rede. Figura 7. Proposta para rede corporativa com acesso autenticado Abaixo estão listados os principais requisitos que deverão ser atendidos com a implementação desse cenário: Identificação e autenticação de todos os usuários da rede no momento da sua conexão; Implantação de políticas de acesso à rede de acordo com o perfil de cada usuário; Criação de login e senha únicos para acesso a rede e outros serviços ofertados; Controle de acesso dos usuários; Possibilidades de contabilização de todos os acessos realizados dos usuários; Garantia de desempenho e confiabilidade do acesso à rede. VIII. AUDITORIA E LOGS A auditoria interna é uma das mais importantes ferramentas para o controle administrativo da rede. A ausência de controles adequados em uma rede corporativa a expõe a inúmeros riscos e muitas vezes prejuízos irreparáveis, como o acesso a informações sigilosas. O foco da auditoria em uma rede é a verificação da conformidade e do desempenho das ações dos usuários na rede protegida, a partir de análises sistemáticas de informações sobre aspectos de segurança, utilizando critérios de análise fundamentados no marco civil da internet. Um exemplo de log de informações é apresentado a seguir: Requisição de acesso Sending Access-Challenge of id 25 to port rad_recv: Access-Request packet from host port 38088, id=26, length=31 4 User-Name = "rafael.carisani" NAS-IP-Address = NAS-Port = 0 Called-Station-Id = "C0-4A D7-76: POS-GRADUAÇÃO WI-FI" Calling-Station-Id = "64-B D-95-87" Framed-MTU = 1400 NAS-Port-Type = Wireless Connect-Info = "CONNECT 0Mbps " O NAS envia uma requisição de acesso ao servidor RADIUS, iniciando o processo de autenticação X. Após o NAS ser reconhecido, a troca de informações entre usuário, cliente e servidor é iniciada. Início do túnel EAP +- entering group authenticate {...} [eap] Request found, released from the list [eap] EAP/peap [eap] processing type peap [peap] processing EAP-TLS [peap] eaptls_verify returned 7 [peap] Done initial handshake [peap] eaptls_process returned 7 [peap] EAPTLS_OK [peap] Session established. Decoding tunneled attributes. [peap] Peap state phase2 [peap] EAP type mschapv2 [peap] Got tunneled request EAP-Message = 0x a1 a cc881 36afa91 6d6e76503a8daf8b ace bfb6d bafff0ab8d45c1 5 d5f c2e e69 server { [peap] Setting User-Name to rafael.carisani Sending tunneled request EAP-Message = 0x a1 a cc881 36afa91 6d6e76503a8daf8b ace bfb6d bafff0ab8d45c1 5 d5f c2e e69 FreeRADIUS-Proxied-To = User-Name = "rafael.carisani" 152 T.I.S. 2015; 4 (2):

6 Rafael Vicente Carisani, Hélio Crestana Guardia Com o estabelecimento da comunicação, as trocas de informações são possíveis utilizando os métodos EAP. Neste caso o túnel EAP foi estabelecido com o método MSCHAP. Autenticação LDAP [ldap] expand: %{User-Name} -> rafael.carisani [ldap] expand: (uid=%{%{stripped-user-name}:-%{user- Name}}) -> (uid=rafael.carisani) [ldap] expand: dc=ufscar,dc=br -> dc=ufscar,dc=br [ldap] ldap_get_conn: Checking Id: 0 [ldap] ldap_get_conn: Got Id: 0 [ldap] performing search in dc=ufscar,dc=br, with filter (uid=rafael.carisani) [ldap] looking for check items in directory... [ldap] userpassword -> Password-With-Header == "{SSHA}+L0HK5++NMDFAfGEZVErEnpbOJU0dm8h" [ldap] looking for reply items in directory... [ldap] user rafael.carisani authorized to use remote access [ldap] ldap_release_conn: Release Id: 0 ++[ldap] returns ok Busca das informações de usuário e senha em uma base de dados LDAP. Método MSCHAP [eap] Request found, released from the list [eap] EAP/mschapv2 [eap] processing type mschapv2 [mschapv2] # Executing group from file /etc/raddb/sitesenabled/inner-tunnel [mschapv2] +- entering group MS-CHAP {...} [mschap] Creating challenge hash with username: rafael.carisani [mschap] Told to do MS-CHAPv2 for rafael.carisani with NT- Password ++[mschap] returns accept [eap] Freeing handler ++[eap] returns accept Success to authenticate the user. O método MSCHAP é mais tradicionalmente utilizado, pois caracteriza o uso de login e senha. Ao final o usuário foi autenticado com sucesso. Para a obtenção do conjunto de informações de acesso apresentadas, é preciso coletar e tratar dados armazenados em diferentes arquivos. Principais arquivos de configuração do RADIUS: Protocolo RADIUS: # vi /etc/freeradius/radius.conf: modules { server = "ufscar.br"identity = "cn=admin, identity = "cn=admin, dc=ufscar,dc=br" password = openldap basedn = "dc=ufscar,dc=br " filter = "(uid=%{stripped-user-name:-%{user-name}})" } Método EAP: # vi /etc/freeradius/eap.conf: default_eap_type = peap Protocolo MSCHAP-V2: # vi /etc/freeradius/modules/mschap use_mppe = yes require_encryption = yes require_strong = yes with_ntdomain_hack = yes Clientes RADIUS (AP): # vi /etc/freeradius/clients.conf client { secret = 1234 shortname = POS-GRADUAÇÃO WI-FI } IX. CONCLUSÕES Os processos de autenticação baseados no padrão IEEE 802.1X reforçam a segurança de uma rede. Em conjunto com servidor de autenticação RADIUS esses mecanismos têm a capacidade de avaliar as credenciais dos usuários, buscando informações em um serviço de diretórios LDAP. Tais tecnologias visam a controlar e contabilizar o ingresso de usuários em uma rede, filtrando os dispositivos dos usuários até que as sejam fornecidas as credenciais válidas. Uma grande vantagem desta configuração é a possibilidade de permitir aos usuários flexibilidade no acesso à rede, de acordo com as políticas definidas para o seu perfil e utilizando sempre as mesmas credenciais. Dessa forma, será possível para os usuários terem privilégios de acesso à rede a partir de qualquer ponto de acesso. Assim também todos os acessos serão contabilizados, produzindo logs de acesso de todos os usuários. Como consequência, usuários mal intencionados utilizando a rede poderão ser identificados para responderem pelos acessos indevidos, tornando a rede um ambiente confiável. Esses procedimentos ocorrem de forma independente da escalabilidade do projeto, provendo solução para usuários corporativos e acadêmicos. X. TRABALHOS FUTUROS O uso de IEEE Q proposto por este artigo abre caminho para trabalhos futuros destinados a segmentação de uma rede corporativa em VLANs, tornando o ambiente mais seguro e controlado. O ambiente pode ser melhor dimensionado por meio da criação de regras de configuração no servidor RADIUS, com configuração para autenticação a partir de LDAPs diferentes em função do SSID, de forma a conceder acesso aos usuários em suas respectivas VLANs independentemente da localização, ainda controlar os horários e os equipamentos utilizados. T.I.S. 2015; 4 (2):

7 Identificação dos Usuários em Rede Corporativa REFERÊNCIAS VARGAS, F. G. Instituto de Direito. - MARCO REGULATÓRIO CIVIL DA INTERNET NO BRASIL. Disponível em: < Acesso em: 03 ago PFSENSE. Captive Portal Disponível em: < Acesso em: 17 jul CARVALHO, H. E. T. - Radius Disponível em: < Acesso em: 23 jul GIL, A. P.: OpenLDAP Extreme. Rio de Janeiro: BRASPORT, IEEE Std X-201 0, Local and Metropolitan Area Networks Port-Based Net-work Access Control, Fevereiro de B. Aboba, L. Blunk, J. Vollbrecht, J. Carlson, H. Levkowetz, Extensible Authentication Protocol (EAP), IETF RFC 3748, Junho 2004, CISCO-SYSTEMS. Catalyst 4500 Series Switch Cisco IOS Software Configuration Guide. San Jose, CA, USA: Cisco Systems, Inc IEEE-COMPUTER-SOCIETY. Virtual Bridged Local Area Networks: IEEE Std Q Institute of Electrical and Electronics Engineers Standard for Local and Metropolitan Area Networks T.I.S. 2015; 4 (2):