Ilustração 1: Componentes do controle de acesso IEEE 802.1x

Transcrição

1 Laboratório de RCO2 10 o experimento Objetivos: i) Configurar o controle de acesso IEEE 802.1x em uma LAN ii) Usar VLANs dinâmicas baseadas em usuário Introdução A norma IEEE 802.1x define o controle de acesso em nível de enlace em uma LAN. Um usuário ou equipamento deve primeiro se identificar frente à rede para somente então poder se comunicar. Esse controle de acesso depende de três componentes: i) Cliente (supplicant): o equipamento que deseja usar a rede ii) Autenticador: o equipamento da rede (switch ou AP) que faz o controle de acesso do cliente. iii) Servidor de autenticação: serviço (usualmente RADIUS) que verifica as credenciais fornecidas pelo cliente Ilustração 1: Componentes do controle de acesso IEEE 802.1x O switch Dlink DES-3526 do laboratório de Redes 1 tem suporte a IEEE 802.1x. Com ele se pode fazer autenticação baseada em porta ou em endereço MAC. Cada porta do switch funciona como um autenticador separado, o que possibilita que existam portas com controle de acesso misturadas com portas sem controle de acesso. O switch recebe as credenciais fornecidas pelo supplicant, e as repassa a um servidor de autenticação Radius. A figura 2 mostra uma configuração possível com esse switch.

2 Ilustração 2: Rede com portas controladas com IEEE 802.1x e switch DES-3526 Além da identificação do usuário para que ele possa ter acesso à rede, é possível definir a VLAN em que ele deve ser colocado (ver RFC 3580). Isto possibilita a definição de VLANs dinâmicas, e o acesso de um usuário a uma VLAN predefinida independente do ponto da rede que ele utiliza. Por exemplo, em um mesmo computador no IFSC um professor cairia na VLAN dos professores, com acesso a servidores específicos e certos tipos de tráfego liberados, e um aluno cairia na VLAN dos alunos. O switch DES-3526 suporta a definição de VLANs dinâmicas desta forma, bastando que o servidor de autenticação Radius informe a VLAN onde o usuário deve ser colocado. Roteiro 1. Conecte os computadores de sua bancada ao switch DES Acesse a interface web do switch (switch da esquerda = , da direita = ). 3. Habilite no switch o controle de acesso por porta IEEE 802.1x, usando o menu Configuration -> Advanced Settings. 4. Configure as portas que estarão sujeitas ao controle de acesso em Security -> Port Access Entity->PAE. 5. Configure o servidor RADIUS em Security Management-> Port Access Entity ->RADIUS. Os valores a serem preenchidos são:

3 IP: Authentication port: 1812 Accounting port: 1813 Secret key: redes1 6. Inicie a máquina virtual (VirtualBox), selecionando Ubuntu. Após o boot logue como aluno, e em seguida obtenha um shell de root (com sudo -s). Em seguida instale no seu computador a configuração do supplicant, que está em: Copie esse arquivo de configuração (rco2.conf), e grave-o dentro do subdiretório /etc/wpa_suplicant. O conteúdo de rco2.conf segue abaixo: ctrl_interface=dir=/var/run/wpa_supplicant GROUP=wheel ap_scan=0 network={ key_mgmt=ieee8021x eap=md5 identity="aluno" password="notsecure" eapol_flags=0 } Repare que as opções informam que se use o método EAP-MD5 (sem encriptação), com usuário aluno e senha notsecure. 7. Tendo tudo isto pronto, tente estabelecer alguma comunicação usando um dos computadores conectados ao switch. Você pode tentar fazer ping (este é o computador do professor). Se conseguir, então significa que o controle de acesso não foi ativado, e assim verifique a configuração do 802.1x no switch. 8. Execute o programa wpa_supplicant para efetuar a autenticação no switch e ter acesso à rede. O comando a ser executado é wpa_supplicant -Dwired -i eth0 -c /etc/wpa_supplicant/rco2.conf. Repare nas mensagens informadas pelo wpa_supplicant. Após ele informar que a autenticação teve sucesso tente novamente se comunicar na rede. 9. Temine o processo wpa_supplicant, fazendo CTRL C. Depois disto você consegue ainda acessar a rede? 10. Reative o wpa_supplicant, e espere que ele se autentique. Teste a comunicação na rede e, após verificar que está funcionando, desconecte o computador do switch por alguns segundos e reconecte-o em seguida. O wpa_supplicant mostrou algum aviso relacionado a isto? 11. Desconecte o computador do switch e em seguida mate o wpa_supplicant (comando killall -9 wpa_supplicant ). Reconecte o computador, e teste a comunicação. Foi possível se comunicar pela rede? O que se pode concluir com isto? 12. Pare o wpa_supplicant, e em seguida execute o wireshark (fora da máquina virtual, usando o comando sudo wireshark), de forma a coletar o tráfego da interface eth0. Execute de novo o wpa_supplicant,, observando os quadros mostrados pelo wireshark.. Você deve conseguir ver as mensagens do protocolo de enlace EAPOL, que faz a autenticação entre o equipamento cliente (via wpa_supplicant) ) e a rede (o switch). 13. Termine o wpa_supplicant,, e observe as mensagens do EAPOL com o wireshark.. Note o

4 término de sessão (mensagem EAPOL Logoff), com consequente bloqueio da porta. 14. O controle de acesso feito se baseia na porta do switch. Assim, uma vez um usuário tendo se autenticado, a porta do switch é liberada. Para testar isto, conecte dois computadores ao hub 3Com e então conecte esse hub ao switch, para criar um cenário parecido com o da figura 3. Faça a autenticação em apenas um dos computadores e então verifique se o outro computador consegue usar a rede. Isto foi possível? Que consequências isto teria do ponto de vista de segurança? Ilustração 3: Rede com mais de um cliente por porta do switch 15. O controle de acesso pode ser feito também baseado em MAC. Assim, cada equipamento conectado ao switch precisaria se autenticar de forma independente, mesmo que use uma porta compartilhada com outros equipamentos. Mude a configuração do switch para habilitar o controle baseado em MAC, e repita o ítem A RFC 3580 define um mecanismo simples para definição de VLANs dinâmicas que possibilita que usuários autenticados com IEEE 802.1x sejam colocados em VLANs predefinidas, além do conceito de Guest VLAN mostrado na figura 4. Para testar isto crie duas VLANs no switch, com VID 5 e 10. Defina a VLAN 10 com sendo uma Guest VLAN (em Security Management -> Port Access Entity -> Guest VLAN), e deixe a VLAN 5 vazia. Tire da VLAN 1 as portas que estão sendo usadas com 802.1x. Em seguida refaça a autenticação com wpa_supplicant e verifique o status das VLANs no switch (veja que portas são membros das VLANs). O que aconteceu?

5 Ilustração 4: Processo de seleção de VLAN de acordo com a autenticação 17. Para demonstrar a possibilidade de definir a VLAN em função do usuário, crie uma nova VLAN com VID 7. Em seguida edite o arquivo /etc/wpa_supplicant/rco2.conf, e defina o usuário professor, com senha redes2. Depois refaça a autenticação com o wpa_supplicant. Verifique o status das VLANs no switch. Como estão as VLANs agora? 18. Para encerrar o experimento de hoje, deve ser implantada uma rede no laboratório com a seguintes características: i) Todo usuário deve ser autenticado na rede com IEEE x antes de poder usá-la. ii) Usuários pertencem a três categorias: alunos, professores, e visitantes. Alunos podem acessar somente os servidores do IFSC, visitantes podem apenas acessar o servidor Web do IFSC, e professores podem acessar qualquer serviço (externo ou interno). iii) As restrições de acesso a serem impostas a cada usuário devem ser ativadas assim que a autenticação tiver sucesso. Usuários que falhem em se autenticar são considerados visitantes. iv) Para testar sua configuração, existem os seguintes usuários: aluno com senha notsecure e professor com senha redes2. Guia de referência Comandos para editar as regras do filtro IP no Linux: Para liberar todo o tráfego de conexões já estabelecidas: iptables -A FORWARD -m state state ESTABLISHED -j ACCEPT

6 Para liberar todo o tráfego TCP que entra pela interface iface_entrada (ex: eth0.5), e que se destina ao endereço IP_destino na porta port_destino: iptables -A FORWARD -p tcp -i iface_entrada -d IP_destino dport port_destino -m state state NEW -j ACCEPT Para registrar todo o tráfego que entra pela interface iface_entrada: iptables -A FORWARD -i iface_entrada -j LOG Para bloquear todo o tráfego que entra pela interface iface_entrada: iptables -A FORWARD -i iface_entrada -j DROP Para liberar todo o tráfego que entra pela interface iface_entrada: iptables -A FORWARD -i iface_entrada -j ACCEPT Para fazer o NAT do tráfego que sai pela interface iface_saida (ex: eth0): iptables -t nat -A POSTROUTING -o iface_saida -j MASQUERADE Comandos para visualização e edição de rotas: Adicionar a rota default: route add default gw IP_gateway Remover a rota default: route delete default Adicionar uma rota estática: route add -net IP_rede/mascara gw IP_gateway Remover uma rota estática: route delete -net IP_rede/mascara gw IP_gateway Visualizar as rotas: netstat -rn

7 Comandos para criação de interfaces virtuais Adicionar uma interface virtual associada a uma VLAN: vconfig add eth0 VID Ex: VID = 5: vconfig add eth0 5 Configurar o endereço IP de uma interface virtual: ifconfig eth0.vid endereço_ip netmask mascara Ex: VID = 5 e IP /26: ifconfig eth netmask