Implementação do Protocolo 802.1x Utilizando Servidor de Autenticação FreeRadius. Discentes: Luiz Guilherme Ferreira Thyago Ferreira Almeida Vilmar de Sousa Junior Projeto de Redes de Computadores Professor Dinailton Jose da Silva Junho 2014 Goiânia GO
SUMÁRIO INTRODUÇÃO CAPÍTULO 1 FreeRadius 1.1 - Entendendo o FreeRadius. 1.2 - Instalando o FreeRadius no Linux. CAPÍTULO 2 - Protocolo IEEE 802.1X 2.1 - Conceito. 2.2 - História do Protocolo IEEE 802.1X e seus mecanismos de segurança. CAPÍTULO 3 Utilizando o Protocolo IEEE 802.1x/ FreeRadius em Conjunto CONCLUSÃO
INTRODUÇÃO Para este projeto exibiremos uma breve descrição com conceitos básicos, que se relacionam com as tecnologias utilizadas para o desenvolvimento desse projeto, com o FreeRadius e o protocolo IEEE 802.1X. Apesar de atrair a atenção de usuários em todo o mundo, as redes ainda não atingiram a dimensão equivalente a seus atrativos, principalmente devido aos problemas de segurança apresentados pelo padrão IEEE 802.1X. A integração FreeRadius/IEEE 802.1X demonstra que as especificações já evoluíram a um patamar suficientemente alto e que o estabelecimento do padrão de segurança das redes, IEEE 802.1X é questão de tempo. Uma maneira de prevenir estes problemas na segurança é implementar uma função de autenticação na camada 2 do modelo OSI (ou seja, no nível Ethernet) usando o protocolo 802.1X. Um switch que reconheça esse protocolo e um servidor FreeRadius é tudo de que você precisa. E neste projeto iremos implementar estes protocolos.
CAPÍTULO 1 FreeRadius 1.1 - Entendendo o FreeRadius. O FreeRadius é uma implementação de RADIUS modular, de alta performance e rica em opções e funcionalidades. Esta inclui servidor, cliente, bibliotecas de desenvolvimento e muitas outras utilidades. Para quem não sabe ele é um servidor de autenticação que permite autenticar utilizadores (e também máquinas). Numa rede de dados é muito usual existirem servidores de autenticação de forma que os utilizadores apenas tenham acesso aos recursos mediante a introdução de credenciais (user + senha). No segmento dos servidores de autenticação, o FreeRadius destaca-se como sendo uma ótima opção já que é bastante completo e disponibiliza variadíssimas funcionalidades. O desenvolvimento do projeto FreeRadius iniciou-se em Agosto 1999 por Alan DeKok e por Miquel Camionete Smoorenburg.
1.2 - Instalando o FreeRadius no Linux. Nesta instalação você irá precisa de um servidor MySQL funcionando corretamente. Faça o Download da versão estável do freeradius de http://www.freeradius.org/getting.html # wget ftp://ftp.freeradius.org/pub/radius/freeradius-1.0.1.tar.gz Agora vamos descompactar o arquivo que baixamos # tar zxvf freeradius-1.0.1.tar.gz Entre no diretório criado do freeradius # cd freeradius-1.0.1 Vamos compilar e instalar o programa #./configure --prefix=/usr --with-logdir=/var/log --with-radacctdir=/var/log/radacct --withraddbdir=/etc/raddb # make # make install Agora vamos decidir qual porta usar para o Radius. Neste caso foi usado o editor Nano. # nano /etc/services Lembre-se que precisa ser duas portas. Essas portas serão configuradas nos equipamentos que vão acessar o servidor de Radius. Se o resultado do comando terminar como o das linhas abaixo está tudo OK. #radius 1812/udp #RADIUS authentication protocol (old) #radacct 1813/udp #RADIUS accounting protocol (old) Ou então você poderá encontrar algo como: radius 1812/udp
#RADIUS authentication protocol (IANA sanctioned) radacct 1813/udp #RADIUS accounting protocol (IANA sanctioned) Lembre-se que você deve escolher as portas de conexão, não deixe todas comentadas, escolha a que desejar. É preciso escolher duas portas e lembre-se que essas portas serão configuradas nos clientes que vão acessar. Faça um teste para ver se o Radius está instalado corretamente: # /usr/sbin/radiusd -X Você deve receber algo parecido como: Listening on authentication *:1812 Listening on accounting *:1813 Listening on proxy *:1814 Ready to process requests. Lembrando que as portas vão depender de qual você estiver usando no /etc/services. Dê CRTL+C para terminar o radiusd. Os arquivos de configuração foram instalados em /etc/raddb, lá estão todos os arquivos necessários que iremos precisar para deixar o Radius funcionando de acordo com o que é preciso.
CAPÍTULO 2 Protocolo 802.1X 2.1 - Conceito IEEE 802.1X é um padrão para controle de acesso à rede com base em portas. Faz parte do grupo IEEE 802.1, grupo de protocolos de redes. Ele fornece um mecanismo de autenticação para dispositivos que desejam conectar. Usar o 802.1X para controlar quem acessa uma rede é uma solução cada vez mais aplicada. O 802.1X pode ser configurado para exigir autenticação mútua entre o cliente e a rede, se não houver autenticação, as comunicações não são permitidas. É projetado para trabalhar em qualquer tipo de rede: com ou sem fio. Ele requer uma infraestrutura de suporte, clientes nominais que suportem o 802.1X, switches, pontos de acesso sem fio, um servidor RADIUS e algum tipo de banco de dados de contas, a uma LAN ou WLAN IEEE. Assim quando um computador se conectar a uma porta de um switch, ele terá seu acesso à rede liberado somente após ser autenticado e autorizado. Para mostrar a utilização do padrão IEEE 802.1X faz-se necessário definir as entidades envolvidas, sendo elas: suplicante, a entidade que está solicitando autenticação; autenticador, a entidade que intermedeia a autenticação do suplicante; servidor de autenticação, a entidade que provê o serviço de autenticação ao autenticador. O serviço de autenticação provido determina, a partir das credenciais apresentadas pelo suplicante, as características do acesso obtido. A entidade servidor pode ser combinada com o autenticador ou pode ser acessada remotamente, através de rede que o autenticador acesse aonde o suplicante é representado pelo dispositivo sem fio, o autenticador está no AP e o servidor de autenticação pode ser um servidor RADIUS localizado na rede cabeada.
2.2 - História do Protocolo IEEE 802.1X e seus mecanismos de segurança. Antes do estabelecimento do padrão IEEE 802.1X os fabricantes de equipamentos sem fio utilizavam tecnologia proprietária, o que tornava os usuários dependentes do par fabricante/tecnologia escolhido. O padrão surgiu como a solução para os consumidores, insaturados por mobilidade, porém os itens de segurança adotados não garantiram o crescimento esperado no número de usuários das redes locais. A adoção do padrão foi acompanhada pelo surgimento de vulnerabilidades de segurança, que comprometeram sua confiabilidade. A concepção dos mecanismos de segurança foi feita considerando um nível de administração não aplicado pelos administradores das redes e nem tão pouco por seus usuários. O padrão IEEE 802.1X estabelece três mecanismos para prover segurança, sendo eles: filtragem por Identificador de Grupo de Serviço (Service Set Identifier SSID) que é o mais simples e não dedicado à segurança, tem a ver com a identificação da rede que se deseja acessar, composta por um ou mais Ponto de Acesso (Access Point AP), o de filtragem por endereço e Controle de Acesso à Mídia (Media Access Control MAC) que tem por objetivo impedir o acesso de dispositivos não autorizados a rede. E o de Privacidade Equivalente à Rede
Cabeada (Wired Equivalent Privacy WEP) e principal mecanismo que fica responsável por criptografar os dados que trafegam no segmento. CAPÍTULO 3 Implementando o protocolo IEEE 802.1x/FreeRadius. O protocolo 802.1x já é previsto para tratar da autenticação de usuários, desde que um programa externo ofereça na rede os serviços AAA (Authentication, Authorization and Accounting ou Autenticação, Autorização e Contabilidade). O servidor Radius se encarrega disso, acessando um diretório Open LDAP que guarda as informações sobre as contas. Com tal instrumento, fica fácil gerenciar sem traumas um número impressionante de usuários. O sistema é compatível com clientes Windows e Unix/Linux indiscriminadamente e permite implementar redundâncias para garantir alta disponibilidade, usando proxies para os servidores Radius e replicação de catálogos para os bancos de dados LDAP. CONCLUSÃO O FreeRadius em conjunto com o protocolo IEEE 802.1X se apresenta como uma solução eficiente, capaz de promover uma autenticação de forma segura e que consegue fazer a auditoria dos acessos e recursos providos a este usuário. Utilizando também o LDAP o nível de segurança é acrescido, pois os usuários podem ser separados por grupos e obter somente a liberação dos acessos necessários para sua rotina de trabalho. Embora o FreeRadius possua a vantagem de ter uma configuração bem simples e de considerarmos o mesmo ser um bom incremento na segurança do ambiente, o protocolo não deixa de ser um tanto quanto velho. Vale lembrar que atualmente o serviço oferecido pelo protocolo IEE 802.1X é utilizado, na sua ampla maioria, por grandes empresas de telecomunicações na autenticação de seus usuários ADSL, contudo é um excelente aliado à segurança que pode ser inserido nas empresas de médio e pequeno porte devido às falhas nas permissões ao acesso as redes.