L.F.I Tecnologia e Inovação. Projeto de Redes de Computadores

L.F.I Tecnologia e Inovação Projeto de Redes de Computadores

1 Histórico de alterações do documento Versão Alteração efetuada Responsável Data 1.0 Versão inicial Fabiano Dias 25/05/15 1.1 Atualização nos componentes do Ian Moreira 27/05/15 documento 1.2 Atualização na documentação Luciano Tavares 28/05/15 1.3 Aprovação final Cristiano Gaspar 29/05/15

2 Sumário Histórico de alterações do documento... 1 1. Introdução... 3 2. Protocolo IEEE 802.1X... 3 2.1 Conceito... 3 2.2 História... 4 3. Autenticação, Autorização e Registo (FreeRadius) 4 4. Implementando o protocolo IEEE 802.1x FreeRadius 6 5. Conclusão... 18

3 1. Introdução As redes de computadores estão cada vez mais presentes em nossas vidas, seja no trabalho, na faculdade, em casa até mesmo na rua. Com a propagação da internet tivemos um grande crescimento das rede e necessidade de nos conectar com o mundo. Devido a este crescimento se faz necessário utilizar formas de segurança para evitar ataques de hackers em redes e danos em computadores e acesso a dados ou utilização da internet, com tudo isso foram feitos estudos para a criação de criptografias. Através destes estudos foi possível criar criptografias mais avançadas e difíceis de serem quebradas por hackers. O protocolo IEEE 802.1x com o RADIUS faz a autenticação, ou seja, a requisição e dados pessoais, como login e senha, para que o usuário autentique à rede. O presente estudo tem como foco descrever sobre rede sem fio, protocolo 802.1x com funcionamento do protocolo de autenticação RADIUS, criando um cenário real para testes autenticando em um servidor. A integração FreeRadius e IEEE 802.1X demonstra que as especificações já evoluíram a um patamar suficientemente alto e que o estabelecimento do padrão de segurança das redes, IEEE 802.1X é questão de tempo. 2. Protocolo IEEE 802.1X 2.1 Conceito O padrão 802.1X foi projetado para aumentar a segurança das redes locais sem fio (WLANs) que seguem o IEEE 802.11 padrões. 802.1X fornece uma autenticação estrutura para redes locais sem fio, permitindo que um usuário para ser autenticado por uma autoridade central. O real algoritmo que é usado para determinar se um utilizador é autêntico é deixada aberta e vários algoritmos são possíveis. 802.1X usa um protocolo já existente, o Extensible Authentication Protocol (EAP, RFC 2284), que funciona em Ethernet, Token Ring, ou LANs sem fio, para troca de mensagens durante o processo de autenticação. Em uma LAN sem fio com 802.1X, um usuário (conhecido como o suplicante) solicita acesso a um ponto de acesso (conhecido como o autenticador). O ponto de acesso força o usuário (na verdade, o software cliente do usuário) em um estado nãoautorizado que permite ao cliente enviar apenas uma mensagem de início EAP. O ponto de acesso retorna uma mensagem EAP solicitar a identidade do usuário. O cliente retorna à identidade, que é então transmitido pelo ponto de acesso para o servidor de autenticação, que usa um algoritmo para autenticar o utilizador e, em seguida, retorna uma mensagem de aceitação ou rejeição de volta para o ponto de acesso.

4 2.2 História Inicialmente desenvolvido pela 3Com, HP e Microsoft, 802.1X foi reconhecido primeiramente pelo IEEE em janeiro de 1999 e foi aprovado como um padrão em junho de 2001 (IEEE Computer Society, 2001). Ele foi desenvolvido como um mecanismo para impedir o acesso não autorizado a um LAN no nível porta do switch, o objetivo de permitir que as organizações protejam redes tomadas em espaços públicos no interior dos edifícios. É importante considerar que existem muitos componentes para uma implementação completa 802.1X e as tecnologias têm evoluído ao longo de um curto espaço de tempo. EAP é a pedra angular do padrão 802.1X e foi desenvolvido originalmente em 1998. O protocolo EAP, RFC 2284, tem sido aperfeiçoado ao longo do tempo até que uma revisão significativa em 2004, o que levou ao protocolo que é familiar para administradores de rede hoje. EAP foi originalmente baseado no protocolo Point-to-Point (PPP) e foi associado com tecnologias Ethernet de série e não. Dentro da definição PPP Link Control Protocol é delineado, descrevendo como deve ser estabelecida a ligação, enquanto EAP descreve a fase de autenticação. RADIUS (autenticação remota usuários dial-in de Serviços) originou-se com o grupo de Internet Engineering Task Force (IETF) com um projeto de 1994 a apresentação standard. Em 1997, o primeiro RADIUS RFC foi lançado e, posteriormente revisto. RFC 2865 foi lançado em junho de 2000. RADIUS foi expandido com uma série de extensões para prestar serviços para implantações de rede modernos. Essas extensões tornaram em grande parte a proposta de substituição para RADIUS, com o nome de diâmetro, redundante. 3. Autenticação, Autorização e Registo (FreeRadius) Arquitetura AAA A arquitetura AAA é uma importante tecnologia no auxílio da segurança das redes de telecomunicações. É uma estrutura de segurança independente e centralizada, mas que pode ser configurada em conjunto, de modo consistente e modular. Desta forma é possível controlar os acessos, definir políticas e fazer um logging (registo) dos utilizadores enquanto estes estão ligados. Autenticação O processo de autenticação é um processo que consiste em verificar a identidade de um utilizador, ou seja, se o utilizador é quem diz ser. Este processo é fundamental no aspecto da segurança e pode ser de uma forma simples, bastando para isso implementar um mecanismo de suporte à autenticação (ex. um formulário para que solicite um nome de utilizador e palavra-chave) ou então

5 algo mais complexo, recorrendo a informações complementares de smart-cards ou certificados digitais. Autorização Depois da autenticação de um utilizador, é necessário verificar quais os tipos de serviços/propriedades que se podem conceder (autorizar a este). A autorização pode ser feita a vários níveis, como por exemplo, por horários, por perfil, por acesso, por serviço, etc. De acordo com o tipo de perfil do utilizador é possível definir o tipo de privilégios/restrições. Registo O registo, tal como o nome sugere, é o processo de registar a sessão do utilizador. Este serviço é importante, na medida em que é possível fazer a verificação dos tempos de utilização, natureza do serviço e o momento em que o serviço se inicia e termina, para fins de auditoria e contabilização. Protocolo Radius O RADIUS (Remote Authentication Dial In User Service Serviço de Autenticação Remota de Utilizadores por Acesso Telefónico), é um protocolo normalmente usado em ISPs e em empresas que façam controlo de acesso à rede. Este protocolo pode ser usado em vários tipos de tecnologia como por exemplo, a tecnologia DSL, wireless e VPN, permitindo efetuar a autenticação, autorização e registo (AAA) do cliente que acede aos serviços. Inicialmente o RADIUS foi criado para ser utilizado em serviços de acesso por telefone, pela sua simplicidade, eficiência e facilidade de implementação. Atualmente suporta VPNs (Virtual Private Network), norma 802.1x que é a usada na autenticação de clientes em ambientes de rede. As principais características do RADIUS são: Protocolo aberto, assim qualquer fabricante/utilizador pode utilizá-lo sem custos; É independente do sistema operativo; É considerado um protocolo seguro; É escalável e expansível, sendo capaz de acompanhar a evolução/necessidades futuras; Ser simples de implementar, tanto no lado do servidor RADIUS como no cliente; FreeRadius É uma implementação de RADIUS modular, de alta performance e rica em opções e funcionalidades. Esta inclui servidor, cliente, bibliotecas de

6 desenvolvimento e muitas outras utilidades. Pode ser instalada em sistemas Linux e Macintosh. Devido a estas características e tendo em conta o facto de ser uma aplicação open source esta será a implementação de RADIUS utilizada para o desenvolvimento do trabalho. Ele é um servidor de autenticação que permite autenticar utilizadores (e também máquinas). Numa rede de dados é muito usual existirem servidores de autenticação de forma que os utilizadores apenas tenham acesso aos recursos mediante a introdução de credenciais usuário mais senha. No segmento dos servidores de autenticação, o FreeRadius destaca-se como sendo uma ótima opção já que é bastante completo e disponibiliza variadíssimas funcionalidades. Principais funcionalidades Métodos de autorização Local LDAP Bases de dados MySQL/PostgreSQL/Oracle Métodos de autenticação PAP CHAP MS-CHAP MS-CHAPv2 Kerberos EAP EAP-MD5 Cisco LEAP EAP-MSCHAP-v2 EAP-GTC EAP-SIM EAP-TLS Métodos de Accounting Local (ficheiros com informação detalhada) Suporte para SQL (Oracle, MySQL, PostgreSQL, Sybase, IODBC, etc) 4. Implementando o protocolo IEEE 802.1x FreeRadius Os arquivos serão divididos da seguinte forma: Instalação de servidor Radius (FreeRadius) e configurações para autenticação de clientes wireless com PEAP-MSCHAPv2 (usuário e senha); Instalação de um portal de autenticação HotSpot (Captive Portal), utilizando o NoCat.

7 Instalação de ferramenta de gerência gráfica para o FreeRadius (phpradmin) e autenticação com base de dados MySQL; Integração do FreeRadius com AD e LDAP. Autenticação 802.1x utilizando certificado Digital; Integração da gerência do FreeRadius, MySQL, DHCP Server, OpenSSL, DNS, Apache e Nocat, com o WebMin. Como parte inicial teremos os pré-requisitos que serão: Instalação do Fedora Core 6, marcando as seguintes opções na instalação inicial: 1. Servidor web; 2. Servidor MySQL; 3. Desenvolvimento KDE; Instalação Primeiramente deve se instalar o FreeRadius com suporte a MySQL. Linhas precedidas de # devem ser interpretadas como comandos executados diretamente no shell como root. # yum -y install freeradius-mysql Serão instalados os seguintes pacotes e dependências: freeradius-mysql; freeradius; net-snmp; net-snmp-utils. Após a conclusão da instalação todos os arquivos de configuração estarão em /etc/raddb/, sendo que os principais arquivos e os que utilizaremos são: radiusd.conf : Principal arquivo de configuração, nele configuram-se todos os parâmetros do servidor e também se habilita os módulos de AAA desejados; clients.conf : Configuração dos dispositivos que farão as consultas ao Radius (NAS), tipo Access Point, switches etc..; users : Base de usuários, neste arquivo pode-se cadastrar as credenciais dos usuários, o uso deste arquivo para cadastrar a base de usuários pode se tornar um sério risco de segurança caso você pense em manter assim, visto que você terá que se preocupar em gerenciar o controle de acesso ao mesmo. Parte 1 O objetivo desta primeira fase é realizar um teste básico para verificar o funcionamento do servidor, para tanto, será configurado de modo a aceitar pedidos de autenticação da máquina local e consultar o arquivo "users" para autenticar o usuário.

8 Em /etc/raddb/ -- edite o arquivo radius.conf e altere as seguintes linhas "apenas" (as demais linhas não comentadas aqui deixe como estão, por padrão). Obs: O # no início de linhas em arquivos de configuração são comentários e // no final de linhas também serão comentários. # indica a interface que o radius responde, coloque o ip da # interface desejada ou coloque "*" caso queira que responda # em qualquer interface bind_address = 10.34.122.1 # indica a porta udp de escuta, pode usar também "*" port = 1812 # log para as autenticações log_auth = yes // log dos de autenticações e tentativas de autenticações log_auth_badpass = yes // log de login/senha incorretos log_auth_goodpass = yes // log de login/senha corretos Em /etc/raddb edite users e acrescente o usuário conforme indicado abaixo ao final do arquivo: # adicionar um usuário simples para teste teste Auth-Type := Local, User-Password == "teste" Em /etc/raddb edite clients.conf e acrescente o NAS conforme indicado abaixo ao final do arquivo: # adiciona o localhost (NAS) permitindo que ele consulte o radius, outros # dispositivos também devem ser adicionados da mesma forma alterando # apenas os dados client 10.1.1.2 { secret = testing123 // chave secreta que deve também ser configurada no NAS shortname = localhost // nome do dispositivo, que também deve ser o mesmo do configurado no dispositivo nastype = other // nastype é o tipo de NAS, existe alguns padrões de fabricantes já pré estabelecidos, pode ser consultado neste mesmo arquivo Agora será iniciado o radius, o arranque padrão deve ser feita com o seguinte comando: # /etc/init.d/radiusd start

9 Porém para visualizarmos os logs com maior facilidade iniciaremos no modo "debug" com o comando: # radiusd -X Desta forma será exibido neste terminal todas as solicitações e respostas. Obs: Os logs também podem ser vistos em /var/log/radiusd/radius.log. A ferramenta de testes deve ser utilizada instalada junto com o pacote do "freeradius", o "radtest". Abra um novo shell e rode: # radtest teste teste 10.34.122.1:1812 1812 testing123 Obs: O "testing123" é a chave secreta configurada no exemplo esta deve ser alterada conforme sua definição. O retorno deve ser algo tipo: Sending Access-Request of id 40 to 10.34.122.1 port 1812 User-Name = "teste" User-Password = "teste" NAS-IP-Address = 255.255.255.255 NAS-Port = 1812 rad_recv: Access-Accept packet from host 10.34.122.1:1812, id=40, length=20 Autenticação O IEEE 802.1x é um padrão do IEEE (i 3 é), que define mecanismos para autenticação em camada 2, dentre os protocolos que usa esta o RADIUS (Remote Authentication Dial In User Service), que é um protocolo de autenticação AA(A) (a os que descordarão e dirão que AAA é para TACACS+ mas não vou entrar neste mérito). O 802.1x permite que utilizemos o EAP (Extensible Authentication Protocol) o qual nos possibilita uma variedade de métodos de autenticação conforme segue: EAP-TLS - Por padrão em clientes 802.1x Windows (XP por exemplo), utiliza estrutura de certificados digitais para cliente e servidor; EAP-TTLS - Permite a autenticação de usuários baseados em "usuários e senha" e de servidores com certificado digital; PEAP (Protected EAP) - permite o uso do MSCHAPv2. (Baseado em password), por exemplo; EAP_MD5 - Baseado em password também porem não a cifragem do campo, portanto para redes wireless, torna-se muito inseguro, a MS (Microsoft) nem disponibiliza em seus clients wireless somente para conexões cabeadas, mas o uso do MS-CHAPv2 é tão simples quanto e mais seguro, talvez seu uso seja necessário em situações de integração com outras plataformas e/ou soluções.

10 PEAP-MSCHAPv2 - Permite a autenticação baseada em password, autenticação múltipla de usuário e computador, integração de autenticação camada 2 com login em rede Windows e também é suportado em Linux, mas com uma linhas a mais de configuração. As boas práticas de segurança devem ser observadas sempre, tais como senhas fortes, período de validade de senhas e certificados, etc. Parte 2 Nesta fase configuraremos o radius para autenticar clientes wireless utilizando PEAP-MSCHAPv2 com criptografia WPA. PEAP-MSCHAPv2 = Mecanismos de credenciais para autenticação, neste projeto piloto utilizando usuário e senha. WPA = Mecanismos que fornecem criptografia aos dados, utilizando TKIP (ou AES caso seu equipamento suporte WPA2) como algorítimo de criptografia. Descrição: Rede com criptografia forte para os dados trafegados e com controle de acesso via 802.1x que permite um bom nível de segurança a rede wireless, basicamente com esta rede o usuário será solicitado a fornecer usuário e senha para ter acesso a rede, após a confirmação das credenciais é que o mesmo terá acesso a rede, antes disso fica bloqueado em camada 2 qualquer acesso à rede, após a autenticação os dados são criptografados usando WPA, que é fornecida automaticamente ao cliente. Configurações: altere os arquivos de configuração localizados em /etc/raddb/ conforme segue. clients.conf: client 10.34.122.3 { // endereço do AP secret = testing123 // chave secreta shortname = DWL-3200AP // nome do AP nastype = other // tipo eap.conf: eap { # neste arquivo definimos os mecanismos de EAP suportados e como # deve o servidor se comportar para cada requisição, observe que # tratamos não apenas da autenticação entre suplicante e servidor, # mas também entre o NAS e servidores. # especificaremos que por padrão a autenticação será com TTLS default_eap_type = ttls

11 timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no md5 { mschapv2 { tls { private_key_password = whatever private_key_file = ${raddbdir/certs/cert-srv.pem certificate_file = ${raddbdir/certs/cert-srv.pem CA_file = ${raddbdir/certs/democa/cacert.pem dh_file = ${raddbdir/certs/dh random_file = ${raddbdir/certs/random fragment_size = 1024 ttls { default_eap_type = md5 copy_request_to_tunnel = no use_tunneled_reply = no peap { default_eap_type = mschapv2 Em radius.conf altere conforme segue: radiusd.conf prefix = /usr exec_prefix = /usr sysconfdir = /etc localstatedir = /var sbindir = /usr/sbin logdir = ${localstatedir/log/radius raddbdir = /etc/freeradius radacctdir = ${logdir/radacct confdir = ${raddbdir run_dir = ${localstatedir/run listen { ipaddr = * port = 0 type = auth

12 thread pool { start_servers = 1 max_servers = 4 min_spare_servers = 1 max_spare_servers = 3 max_requests_per_server = 0 #Importando o arquivo com os clientes NAS, com permissão de autenticação $INCLUDE ${confdir/clients.conf # abaixo estão os módulos de autenticação, autorização e contabilidade # que serão suportados. modules { # se utilizado apenas pap, usuário e senha passarão em texto puro, o # que não e nosso caso. pap { encryption_scheme = clear chap { authtype = CHAP # inclui o arquivo de configuração do EAP anterior $INCLUDE ${confdir/eap.conf # suporta MS-CHAP para autenticação e também MS-CHAPv2 mschap { authtype = MS-CHAP with_ntdomain_hack = yes mschapv2 { # suporte a autenticação de usuários cadastrados em arquivo no caminho especificado files { usersfile = ${confdir/users compat = no # autoriza os seguintes módulos, obs MS-CHAP inclui v2 authorize { files mschap eap # mecanismo de autenticação

13 authenticate { Auth-Type MS-CHAP { mschap eap Em "users" altere conforme segue: usuario1 User-Password == "senha1" # usuário e senha para o PEAP-MS-CHAPv2 Configuração do AP para autenticação 802.1x com as seguintes informações: Servidor radius = 10.34.122.1 Porta = 1812 Chave secreta = testing123 // altere a chave Configuração AP (ACCESS POINT) Será utilizado o AP da TrendNet, porém pode-se utilizar qualquer AP que possua suporte a IEEE 802.1x, seguem os passos para configuração deste equipamento. 1. Configuração de endereço IP no equipamento:

14 Configuração de rede wireless (SSID), desabilitando modo 802.11ª, neste caso estou usando somente rede 802.11g, mas pode configurar para 802.11a também. Obs: A função de "L2 isolation" é de grande importância, principalmente para os usuários da rede "guest", protegendo contra o acesso direto de clientes wireless a outros clientes wireless. 2. Selecione o modo de autenticação WPA.

15 3. Configurações para IEEE 802.1x (Radius). Configuração Cliente Segue exemplo de configuração de cliente Windows XP, também é válida para W2K, W2K3.

16 Obs: Para o Windows 98 é necessário utilizar um cliente, pois o 98 não tem suporte nativo ao 802.1x. Os requisitos básicos da configuração para Windows XP valem para os demais sistemas operacionais que possuem suplicante 802.1x, ou seja, para outro SO basta configurar os mesmos parâmetros. 1. Identificando a rede: 2. Dê dois cliques sobre esta rede, assim o perfil desta rede será adicionado, clique então em "change advanced Settings" e vá em "wireless network" conforme imagem abaixo, selecione a rede e clique em propriedades.

17 3. Por padrão o Windows XP ao identificar uma rede wireless com 802.1x habilitado, seleciona como credenciais de autenticação certificado digital (EAP-TLS), que é baseado em certificado digital (uma mensagem de que não pode encontrar o certificado para validar-se na rede deve ser indicado no balão), porém como queremos utilizar usuário e senha, temos que configurar para que seja solicitado este modelo de autenticação (EAP-PEAP-MSCHAPv2). Obs: Caso este balão não seja exibido, confira se o serviço "configurações zero sem fio" está ativo. Conforme indicado na imagem acima, deve se selecionar para a associação com o AP, WPA e TKIP como mecanismo de criptografia (AES caso use WPA2), depois na aba autenticação selecione EAP-PEAP, clique então em propriedades e desmarque a opção de validar certificado (como estamos usando TTLS temos a opção de autenticar apenas com usuário e senha.

18 5. Conclusão O FreeRadius junto com o protocolo IEEE 802.1X oferecem uma solução mais eficiente, responsável por promover uma autenticação de forma segura e que consegue fazer a auditoria dos acessos e recursos providos a este usuário. Podemos considerar que de certa forma o FreeRadius possui um ponto positivo de ter uma configuração mais simplificada e consideramos o mesmo ser um bom incremento na segurança do ambiente. Lembrando que atualmente o serviço oferecido pelo protocolo IEE 802.1X é utilizado, na sua ampla maioria, por grandes empresas de telecomunicações na autenticação de seus usuários ADSL, contudo é um excelente aliado a segurança que pode ser inserido nas empresas de médio e pequeno porte devido às falhas nas permissões ao acesso as redes.