PLUGIN DO NAGIOS PARA MONITORAMENTO DE REDES SEGURAS 802.1X. Resumo

Transcrição

1 PLUGIN DO NAGIOS PARA MONITORAMENTO DE REDES SEGURAS 802.1X Derlei Edson de Faria, Luis Francisco da Silva Curso de Especialização em Redes e Segurança de Sistemas Pontifícia Universidade Católica do Paraná Curitiba, fevereiro de 2013 Resumo Hoje em dia, é de extrema importância que um gerente de TI possua uma forma de monitorar e controlar componentes da infraestrutura de rede. Para que isso seja possível é necessário um software de gerenciamento capaz de monitorar e controlar qualquer componente gerenciável, como serviços, roteadores e comutadores, entre outros. O Nagios é uma das ferramentas que tornam possível esse tipo de monitoramento. Um dos grandes desafios das áreas de TI, é manter a LAN segura contra intrusos indesejáveis, principalmente, em pontos isolados da rede cabeada dentro de uma empresa, para isso, é possível habilitar nos ativos de rede a autenticação baseada em porta por meio do protocolo 802.1x, limitando o acesso à rede apenas à pessoas autorizadas. Baseando-se nestes pontos e na possibilidade de se agregar funcionalidades ao Nagios por meio do desenvolvimento de plugins, pensou-se em facilitar a monitoração da utilização do 802.1x com a geração de alertas customizados na interface do Nagios. 1 Introdução Com a evolução e o crescimento das redes locais (LAN Local Area Network), é de extrema importância manter a LAN segura contra intrusos indesejáveis, principalmente, em pontos isolados da rede cabeada dentro de uma empresa., como salas de reunião, salas de espera e áreas de comum acesso. Para prevenir e ao mesmo tempo possibilitar acesso aos usuários da rede local, é possível habilitar nos ativos de rede a autenticação baseada em porta por meio do protocolo 802.1x. Contudo, além da proteção, é extremamente importante que seja possível monitorar e gerenciar todos os ativos de rede envolvidos neste processo de forma correta, prevenindo assim possíveis intrusos. Por meio do estudo da ferramenta Nagios, pretende-se gerenciar redes que já implantaram o protocolo 802.1x, mas que possuem necessidade de um plugin capaz de monitorar determinados parâmetros da MIB 802.1x e de informar anormalidades por e- mail ou SMS, possibilitando ao administrador maiores informações para a tomada de decisão em caso de suspeita de invasão física na LAN. 2 Protegendo a LAN No século XXI a informação já é tratada com o bem mais valioso, sendo assim é de extrema importância manter a rede corporativa segura. Com certeza será pensado em um serviço como firewall como forma de impedir que intrusos acessem a rede interna da empresa.

2 Mas como aumentar a segurança contra invasores que tenham acesso à rede interna nas empresas? Visitantes, possíveis clientes ou espiões, que podem estar tentando acesso a um ponto de rede cabeado desprotegido, e outras formas de acesso poderiam abrir uma brecha na segurança inicialmente planejada. Uma possível solução seria a utilização de autenticação baseada em porta com o protocolo 802.1x na rede cabeada. Uma das principais características da autenticação baseada em portas é a não autorização de recursos de uma rede, como serviços, banco de dados e aplicações como a Intranet [7] X e Suas Características Para entender o funcionamento da autenticação baseada em porta, será feita uma analogia entre a apresentação do passaporte e a utilização do protocolo 802.1x. Para uma viagem ao exterior é necessário a apresentação do passaporte na imigração, pois ao mostrar o documento, o agente protocolará a entrada ou não no país. O agente de imigração avalia as informações contidas no passaporte, como nome, foto, número do documento e visto de entrada. Posteriormente, o agente consulta a base de dados para verificação da situação do passaporte. Dentro de uma situação de normalidade protocola a permissão de entrada no país. Da mesma forma, acontece com a utilização do protocolo 802.1x, no qual é realizada a verificação das credenciais, afim de constatar que trata-se de um acesso de usuário ou equipamento devidamente autorizado. O protocolo é regulamentado pela IEEE (Institute of Electrical and Electronics Engineers), onde é regido pela norma do padrão 802 que especifica as camada 1 e 2 do modelo OSI. O padrão 802 tem uma grande importância para o sistema de autenticação baseada em porta [7]. Em uma autenticação 802.1x existem três componentes essenciais, suplicante, autenticador e servidor de autenticação. O suplicante é todo computador que ainda não foi autorizado, sendo assim, será qualquer cliente tentando enviar suas credenciais a fim de ser autorizado. Para que o cliente seja considerado válido, podendo ser um dispositivo qualquer, é imprescindível a utilização do protocolo 802.1x e um método específico de autenticação EAP (Extensible Authentication Protocol) [7]. O autenticador é o dispositivo que controla fisicamente o acesso à rede local, no modelo OSI (Open Systems Interconnection) é especificado como um dispositivo da camada 2. É dele a função de realizar a comunicação entre o suplicante e o servidor de autenticação e enviar as credenciais do suplicante através de um quadro EAPOL (EAP over LAN) ao servidor de autenticação. O servidor de autenticação recebe uma solicitação do suplicante por intermédio do autenticador. A norma IEEE 802.1x (2004) não define um servidor de autenticação padrão, porém, o mais utilizado é o RADIUS (Remote Authentication Dial In User Service), que segundo é um protocolo usado para fornecer autenticação, autorização e responsabilidade centralizada [1]. 2.2 RADIUS RADIUS (Remote Authentication Dial-in User Service) é um protocolo de comunicação cliente/servidor. Através dele pode-se realizar consultas a credenciais de acesso, tanto locais como em uma bases externas. Isso é possível com a utilização de protocolos AAA (Autentication, Autorization e Accounting), que são responsáveis pela

3 verificação da identidade do usuário, verificação das politicas de acesso do usuário e contabilização dos acessos do usuário [7]. Um NAS (Network Autentication Server) é todo equipamento que recebe uma solicitação de autenticação, por exemplo, um switch, o qual envia essa solicitação ao servidor RADIUS para realizar as verificações do protocolo AAA. Após promover a autenticação do usuário retorna ao NAS as informações de configuração e as políticas a serem aplicadas para o mesmo [7]. O RADIUS é um servidor AAA consolidado no mercado como uma solução robusta para diversos serviços de autenticação. Desenvolvido no início da década de 90 e sendo continuamente incrementado, ainda consegue satisfazer os requisitos das tecnologias emergentes. O servidor de RADIUS mais popular é o FREERADIUS, mas esse serviço pode ser encontrado também na arquitetura Microsoft, na qual é chamado de IAS (Internet Authentication Service), ambos seguem as especificações da RFC Métodos de autenticação EAP O EAP (Extensible Authentication Protocol) é uma estrutura de autenticação frequentemente utilizada por redes sem fio e também em redes cabeadas com switch que possuem a funcionalidade de autenticação baseada em porta. Segundo a RFC 3748 (2004), o transporte de chaves e parâmetros garantidos pelos métodos EAP permitem realizar a autenticação. Devido ao EAP não ser um protocolo para conexões cabeadas e sim para redes sem fio, é importante entender o encapsulamento dos protocolos EAP, denominado EAPOL (EAP Over LAN), o qual realiza a comunicação entre o suplicante e o autenticador. O processo de estratificação é semelhante a outras arquiteturas de rede do computador. A Figura 1 ilustra este encapsulamento que ocorre entre o suplicante e o autenticador. Figura 1: Encapsulamento do protocolo EAP sobre a LAN 2.4 Modo de operação da autenticação baseada em portas De acordo com a RFC ieee802.1x (2004), são conhecidas duas formas de autenticações lógicas para uma porta, sendo elas "controlled port" e "uncontrolled port". A porta controlada é manipulada pelo PAE (Port Access Entity) 802.1X, para permitir

4 (no estado autorizado) ou impedir (no estado não autorizada) o tráfego de rede de entrada ou saída da mesma. A porta controlada (controlled port) pode ser associada a um status de autenticação definido como AuthControlledPortStatus, que controla a autenticação da porta definindo como autorizada (authorized) ou não autorizada (unauthorized) a trafegar informações, conforme pode ser visualizado na Figura 2. Figura 2: Efeito do estado de autorização de portas controladas A Definição da porta controlada pode obter três configurações diferentes definidas pelo autenticador ou pelo suplicante, que são: ForceUnauthorized Não autorizada pelo autenticador, tráfego não é permitido com essa configuração; ForceAuthorized Força a autenticação da porta em questão e permite o tráfego da informação incondicionalmente. É utilizada em casos de equipamentos que não possuem opções de autenticação suplicante; Auto Permite que o autenticador manipule o valor para autorizado ou não autorizado de acordo com a interação do suplicante e o servidor de autenticação. O valor de AuthControlledPortStatus é defindo como um parâmetro de configuração em um equipamento como habilitado (Enable) ou desabilitado (Disable). Dessa forma, um switch, por exemplo, possui a configuração disable por padrão (RFC ieee802.1x, 2004). 3 Gerenciando a LAN Hoje, em uma empresa, é de extrema importância que um gerente de TI (Tecnologia da Informação) possua uma forma de monitorar e controlar componentes da rede. Para realizar essa tarefa é necessário um software de gerenciamento para rede capaz de monitorar e controlar qualquer componente possível de ser gerenciado, como servidores de serviços, roteadores e comutadores de camada 2, conhecidos como switch [1,16]. Como vimos anteriormente, com o 802.1x em uma rede é possível limitar a entrada de usuários não desejados, além de disponibilizar a informação de quando e onde um usuário credenciado realizou sua autenticação. Uma ferramenta que pode auxiliar na coleta de informações em um switch é o SNMP (Simple Network Management Protocol), pois é capaz de capturar as informações armazenadas nas bases

5 de dados de equipamentos que possuem os protocolos e o sistema de gerenciamento SNMP. A coleta destes dados é realizada por meio consultas em um compartilhamento de variáveis chamado de MIB (Manager Information Base), através de um protocolo de comunicação no modelo cliente-servidor [7], como pode ser observado na Figura 3. Figura 3: Estrutura de gerenciamento SNMP O agente é um aplicativo presente em um elemento gerenciado. A principal função de um agente compreende o recebimento de requisições enviadas por um software gerente e o envio informações ao gerente através de um protocolo. O gerente é um aplicativo capaz de enviar e obter informações de gerenciamento aos elementos gerenciados, no caso os agentes da rede. Sua finalidade é coletar as informações obtidas dos agentes monitorados, tratá-las e analisá-las através de uma ferramenta para que seja possível uma tomada de decisão por parte do gerente de TI. A MIB é um conjunto de variáveis conceituais que o protocolo de gerenciamento utiliza para obter (fetch) ou imputar (store) uma informação no elemento gerenciado [2]. O protocolo de gerenciamento SNMP, é capaz de obter (fetch) e imputar um dado (store), segundo o paradigma de carga e armazenamento (fetch-store) [1]. Este conjunto de variáveis é estruturado de forma hierárquica padronizada pela ASN.1, conforme pode ser visualizada na Figura 4. Figura 4: Hierarquia da MIB

6 Segundo a RFC ieee802.1x (2004), os objetos definidos para a MIB do 802.1x estão organizados no conjunto denominado ieee8021paemib. A localização dentro da árvore da MIB pode ser visualizada na Figura 5. Figura 5: Árvore MIB 802.1x Dentro do conjunto de objetos da MIB 802.1x é possível encontrar as informações necessárias para identificar a autenticação, sendo que para o estudo em questão será utilizada apenas a configuração de leitura das configurações do autenticador que constam na RFC ieee8021x. Os itens mais importantes são: Port number número da porta do sistema; Authenticator PAE state O estado atual da autenticação efetuada peloequipamento. Os seguintes valores são encontrados: (1) Initialize, (2) Disconnected, (3) Connecting, (4) Authenticating, (5) Authenticated, (6) Aborting, (7) Held, (8) Force_Auth, (9) Force_Unauth, (10) Restart. 3.1 Ferramenta NAGIOS Originalmente escrito sob o nome Netsaint, o Nagios foi criado e ainda é mantido por Ethan Galstad e sua equipe de mais de 150 desenvolvedores espalhados por todo o mundo, dedicados a desenvolver plugins, corrigir bugs, desenvolver uma interface web, produzir e traduzir a vasta documentação, entre outras atividades. Este software de monitoramento de redes é distribuído livremente, através da lei de copyleft GPL. A habilidade em administrar ambientes com infraestrutura de WAN, LAN e MAN, e a interface gráfica GUI utilizada lhe garantem desempenho comparável a sistemas comerciais existentes, como WhatsUp e BigBrother, assim como o Angel Network Monitor, o PIKT, o Autostatus e outros. Com o Nagios é possível monitorar serviços de rede como (SMTP, POP3, HTTP, NNTP entre outros), é capaz de monitorar recursos de servidores como (carga do processador, uso de disco, memória entre outros). É possível definir uma hierarquia de configuração, facilitando a identificação correta de qual equipamento causou o problema em uma rede complexa. Notifica através de ou torpedo SMS. O Desenvolvimento simples permite que o gerente de TI crie seus próprios plugins, que dependendo das necessidades pode ser realizado em Shell script, C, Perl, Python, PHP, C#. O plugin para o Nagios é um executável compilado ou um script, exemplo (Perl, shell), sendo executado na linha de comando para identificar o status de um servidor ou serviço. O uso dos plugins no é indispensável, pois sem isso o Nagios torna-se uma ferramenta inútil, não realizando a recuperação de informação de serviços ou identificando se um servidor está ligado ou desligado [4].

7 Figura 6: Plugins NAGIOS De acordo com a documentação do Nagios um plugin deve ser escrito de forma que seu retorno após a execução tenha os seguintes códigos: Código de retorno Estado do serviço Estado do servidor 0 OK UP 1 WARNING UP or DOWN/UNREACHABLE 2 CRITICAL DOWN/UNREACHABLE 3 UNKNOWN DOWN/UNREACHABLE Tabela 1: Códigos de retorno plugins NAGIOS Todo plugin deve ter uma informação de saída, como por exemplo, no caso de um plugin que monitora a capacidade do disco rígido de um servidor a saída ficaria assim: DISK OK - free space: / 3326 MB (56%). 4 Desenvolvimento do Plugin de Monitoramento O cenário proposto para o desenvolvimento e a validação do plugin, foi uma rede LAN que já possuía implementado as configurações de autenticação 802.1x, ou seja, uma estrutura que possui os seguintes itens: Servidor Radius, switch com funcionalidade 802.1x, um notebook com sistema operacional Windows ou Linux capaz de realizar autenticação com o protocolo. Neste cenário já havia a ferramenta de monitoração Nagios instalada. O plugin elaborado neste tem por finalidade capturar a informação do estado da porta do switch através do SNMP e informar ao Nagios a ocorrência de algum problema, retornando se a situação é Warning, Critical ou OK. Conforme visto nos capítulos anteriores, a MIB disponibiliza as informações supracitadas, desta forma foi utilizada como parâmetro de conferência do plugin a opção Authenticator PAE state. O retorno da consulta SNMP ao endereço da MIB ( ) é um inteiro de 1 a 10, sendo que para este estudo foram utilizadas apenas os inteiros (3) Connecting, (7) Held, (8) Force_Auth.

8 4.1 Funcionamento do Plugin O plugin desenvolvido foi denominado check_8021x.sh e possui os seguinte parâmetros a serem informados: Sintaxe: [ -H Endereço IP -c comunidade -p numero portas ] -H--> Endereco ip do host -c --> Comunidade do snmp -p --> numero de portas a monitorar -h --> Imprime a ajuda Ao informar os parâmetros necessários, o plugin percorre todas as portas do switch e no momento que identifica um dos números inteiros entre 3, 7 ou 8 captura o número da porta do switch e informa o Nagios da sua situação. No momento em que o plugin é executado pelo Nagios, captura a informação da MIB realiza a verificação de qual estado encontra-se a porta. Caso retorne como (8) Force_Auth, imediatamente informa o Nagios com o alarme de CRITICAL e faz o seguinte retorno Porta X - ForceAuth - porta libera para acesso. Isso indica que a porta está sem as configurações de autenticação do 802.1x e portanto seria um ponto que qualquer usuário poderia estar utilizando. Nos casos de o estado da porta encontrar-se com as informações de (3) Connecting, (7) Held, é enviado o alarme de Warning ao Nagios. No entanto, caso a situação seja (3) Connecting, o tratamento foi ampliado e criado um arquivo de log somando o número de vezes que a porta em questão foi identificada com esse parâmetro, sendo que ao encontrar essa situação por mais de três (3) vezes o plugin identifica como sendo um problema e envie o alarme de Warning para o Nagios. Ao enviar o alarme Warning ao Nagios também é enviado a seguinte informação Porta X - esta muito tempo tentando autenticar, Porta X - Falha na autenticação, para (3) Connecting e (7) Held, respectivamente. 4.2 Configuração do Plugin no NAGIOS Para que o Nagios utilizasse o plugin elaborado em shell script foi necessário utilizar o plugin check_by_ssh, pois sem ele não seria possível a execução. O plugin elaborado foi adicionado no diretório /home/nagios, onde pode-se concentrar mais plugins elaborados em shell script. O endereço IP é onde se encontra a ferramenta Nagios instalada. Abaixo segue a configuração efetuada para o Nagios utilizar o plugin elaborado neste trabalho. ########################################################################### Configuração efetuada para o comando do serviço, arquivo commands.cfg define command { command_name check_dot1x command_line $USER1$/check_by_ssh -H C "~/check_8021x.sh -H $HOSTADDRESS$ -c $ARG1$ -p $ARG2$" } ########################################################################### O segundo trecho de configuração efetuada na ferramenta Nagios foi a do host para utilizar o plugin elaborado.

9 ########################################################################### Configuração efetuada para o arquivo de servicos.cfg define service { host_name SWITCH service_description 8021xmonitor display_name 8021xmonitor use generic-service check_command check_dot1x!public!48 register 1 } ########################################################################### Por meio dos testes foram simulados três tipos de falhas de acordo com retorno das informações do SNMP com objetivo de verificar o funcionamento do plugin. Portanto, esta pesquisa permitiu verificar que o funcionamento do plugin na ferramenta Nagios pode dar auxílio a um sistema de alerta contra intrusão em rede LAN de uma empresa. 4.3 Testes do Plugin De acordo com o cenário proposto, ilustrado na figura 7, foram realizados testes para validar a funcionalidade e eficácia do plugin desenvolvido. Figura 7 - Cenário proposto O primeiro teste a ser realizado foi à inserção de credenciais falsas ou errôneas causando a falha na autenticação. O suplicante estava conectado na porta 45 do switch. Abaixo é possível visualizar que a ferramenta Nagios muda o campo Current Status para Critical, através da sua interface web, conforme pode ser visualizado na figura 8.

10 Figura 8: Teste 1 O Segundo teste realizado foi a permanência de um suplicante na situação de tentativa de conexão, isso demonstra que há algum problema na autenticação, que pode ser alguma configuração incorreta da autenticação por parte do suplicante ou algum equipamento sem propriedades de autenticação 802.1x. Neste caso o equipamento estava ligado a porta 11, o campo Current Status informa Warning e o campo Status Information descreve o problema, como pode ser visualizado na figura 9. Figura 9: Teste 2 O terceiro e último teste realizado foi a verificação de portas desconfiguradas da autenticação 802.1x. Foi retirada a configuração do switch e colocado para que qualquer usuário utilizasse o ponto de rede, dessa forma a porta ficou com a situação de Force_Auth, causando o alarme de Warning, conforme indicado no campo Current Status, que pode ser observado o retorno do Nagios na figura 10.

11 Figura 10: Teste 3 Na tabela abaixo estão relacionados os possíveis alarmes do plugin e os principais problemas relacionados a cada situação, os quais podem ser visualizados no campo Current Status mostrado na interface web do Nagios. Current Status Principais problemas CRITICAL WARNING OK Falha na autennticação do equipamento Podem ser dois problemas: Portas liberadas ou portas que não conseguiram autenticação corretamente Nenhum problema encontrado nas portas configuradas no plugin Tabela 2: Descrição dos alarmes 5 Conclusão No estudo realizado, foi indicada como ferramenta para minimizar a utilização de usuários desconhecidos na rede LAN o protocolo 802.1x. Esta funcionalidade permite que o gestor de TI identifique ou solicite que todos informem credenciais válidas para o acesso, caso contrário, pode ser negada a entrada na rede ou o direcionamento à outra rede que não possua conectividade aos equipamentos importantes da empresa. Quanto aos ativos da rede, este trabalho buscou, de forma exploratória, sugerir a utilização de um plugin, apoiado pela ferramenta de monitoração Nagios, com a

12 finalidade de monitorar portas de um switch, capaz de informar possíveis anormalidades sugerindo ao gestor de TI uma atenção maior nesses casos especiais. Constatou-se neste estudo que o conjunto de informações disponíveis na MIB podem ser utilizadas a favor do gestor de TI para resolver problemas ou informar a situação atual de uma autenticação, sem necessidade de pesquisas em outras ferramentas como o Radius, que é responsável por realizar a autenticação dos usuários. Por meio do SNMP foi possível coletar as informações necessárias para se definir as principais anormalidades que podem ocorrer em um switch operando com o protocolo 802.1x, como a tentativa de autenticação errônea, a permanência de um equipamento tentando autenticação sem sucesso e as que não possuam configurada a autenticação mas segundo a verificação deveriam estar configuradas. Desta forma, ao término da elaboração do plugin proposto para o Nagios, foi possível informar quais problemas podem ser encontrados em determinados pontos de um switch, alcançado o objetivo inicial deste estudo e constatando que a ferramenta de monitoração mostra-se importante, na tomada de decisão para o gestor de TI e na monitoração da configuração correta dos equipamentos conectados a rede local, além de auxiliar de forma pró-ativa na resolução de problemas, aumentando a credibilidade e eficiência, no quesito segurança, da rede LAN. Bibliografia [1] COMER, Douglas E.. Redes de Computadores e Internet: Abrange Transmissão de dados Ligações Inter-Redes, Web e Aplicações. 4 ed. Porto Alegre: Bookman, p. [2] COMER, Douglas E.; STEVENS, David L.. Interligação em Rede com TCP/IP. 3 ed. Rio de Janeiro: Editora Campus, p. [3] CONGDON, P.. IEEE 802.1X Remote Authentication Dial In User Service: RADIUS. Disponível em: < Acesso em: 18 dez [4] COSTA, Felipe. Ambiente de Rede Monitorado: com Nagios e Cacti. Única Rio de Janeiro: Editora Ciência Moderna, p. [5] FERNANDES, Wesley. Conceitos Fundamentais no Gerenciamento da Segurança. Disponível em: < Acesso em: 18 dez [6] GAST, Matthew S Wireless Networks: The Definitive Guide: Creating and Administering Wireless Networks. : Oreilly, p. [7] GEIER, Jim. Implementing 802.1X Security Solutions for Wired and Wireless Networks. Indianapolis, Indiana: Wiley Publishing, Inc., p. [8] IEEE 802.1X FROM WIKIPEDIA. IEEE 802.1X. Disponível em: < Acesso em: 18 dez [9] KUROSE, James F.; ROSS, Keith W.. Redes de Computadores e a Internet: Uma abordagem top-down. 3 Edição São Paulo: Pearson, p.

13 [10] MORIMOTO, Carlos E.. REDES: Guia Pátrico, São Paulo: GDH Press e Sul Editores, p. [11] NAGIOS CORE DEVELOPMENT TEAM AND COMMUNITY CONTRIBUTORS. Nagios: Nagios Plugins. Disponível em: < Acesso em: 20 dez [12] NEVES, Julio Cezar. Programação Shell Linux. 6 ed. Rio de Janeiro: Brasport, p. [13] RECH FILHO, Armando. Estudos para Implantação de uma gerência de rede corporativa utilizando arquitetura de protocolos abertos f. Dissertação (Mestrado) - Curso de Pós-graduação em Engenharia Elétrica e Informática Industrial, Centro Federal De Educação Tecnológica Do Paraná, Curitiba, [14] RILEY, Steve X em Redes com Fio Consideradas Perigosas. Disponível em: < Acesso em: 20 dez [15] SOLARWINDS.NET. Port Access Entity module for managing IEEE 802.1X. Disponível em: < Acesso em: 19 dez [16] STALLINGS, William. SNMP, SNMPv2, SNMPv3 and RMON 1 and 2. 3 ed. California: Addison Wesley Longman, p. [17] STANISLAV, Roškot; JIRI, Cejp X Authentication on Wired Networks. : Cesnet, p. [18] VOLLBRECHT, J.. AAA Authorization Framework. Disponível em: < Acesso em: 27 dez