Ilustração 1: Componentes do controle de acesso IEEE 802.1x



Documentos relacionados
Ilustração 1: Componentes do controle de acesso IEEE 802.1x

i) configurar uma rede local sem fio (WLAN) ii) investigar o funcionamento e desempenho da WLAN iii) criar um enlace sem fio ponto a ponto

i) configurar uma rede local sem-fio (WLAN) ii) investigar o funcionamento e desempenho da WLAN iii) criar um enlace sem-fio ponto-a-ponto

Objetivos: i) Verificar o impacto de loops em redes locais ii) Configurar o protocolo STP para remover loops da rede

Laboratório de RCO2 17 o experimento. Objetivo:

Objetivo: Criar redes locais virtuais (VLANs) usando switches e computadores

L A B O RATÓRIO DE REDES

cio Roteamento Linux

IPTABLES. Helder Nunes

Curso de extensão em Administração de sistemas GNU/Linux: redes e serviços

Controle de congestionamento em TCP

Ilustração 1: Exemplo de uma rede Frame Relay

Redes de Computadores. Guia de Laboratório Configuração de Redes

Entendendo como funciona o NAT

Professor: Macêdo Firmino Disciplina: Sistemas Operacionais de Rede

VIRTUAL PRIVATE NETWORKS

Prática NAT/Proxy. Edgard Jamhour. Esses exercícios devem ser executados através do servidor de máquinas virtuais: espec.ppgia.pucpr.

Mecanismos de QoS em Linux Hierarchical Token Bucket (HTB)

Projeto Integrador Projeto de Redes de Computadores

Guia de configuração para liberar Portas no DSLink 485 (GVT) Rev. 1.0gvt

Actividade 3: Configuração de VLANs

Confguração básica da rede

III WTR do POP-BA III Workshop de Tecnologias de Redes Ponto de Presença da RNP na Bahia Instrutor: Ibirisol Fontes Monitor: Jundaí Abdon.

Administração do Windows Server 2003

Configurando o DDNS Management System

Lab - Configurando o Firewall do Windows 7

Uso do iptables como ferramenta de firewall.

Procedimentos para Configuração de Redirecionamento de Portas

Sistema Operacional Unidade 12 Comandos de Rede e Acesso Remoto

Prof. Samuel Henrique Bucke Brito

Tutorial: Autor: Osmar Santos de Souza. Revisado por: Adrielle Fernandes Anschau. Abril,

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

LABORATÓRIO III. ROTEAMENTO ESTÁTICO Documento versão 0.1. Aluno: Paulo Henrique Moreira Gurgel #

Lab - Configurando o Firewall do Windows Vista

Segurança de Redes de Computadores

Guia de Prática. Windows 7 Ubuntu 12.04

PRÁTICA DE VLAN - LINUX 1. AMBIENTE PARA REALIZAÇÃO DAS PRÁTICAS UTILIZAÇÃO DA IMAGEM NO DVD UTILIZAÇÃO DO SERVIDOR REMOTO ESPEC

Atualizaça o do Maker

Firewall Iptables. Professor: João Paulo de Brito Gonçalves. Campus - Cachoeiro Curso Técnico de Informática

Protocolos básicos de LANs IP (primeiro trabalho laboratorial)

ADMINISTRAÇÃO DE REDES I LINUX. Firewall. Frederico Madeira LPIC 1, CCNA fred@madeira.eng.br

PRÁTICA DE DNS - LINUX DIFERENÇAS NO ROTEIRO EM RELAÇÃO A IMAGEM DO DVD 1.A) INSTALAÇÃO DO SERVIDOR DNS INICIALIZAÇÃO DO AMBIENTE DO DVD

GUIA DE CONFIGURAÇÃO CONEXÕES VPN SSL (CLIENT TO SERVER)

Instalação e Configuração Iptables ( Firewall)

MANUAL DE INSTALAÇÃO DO EQUIPAMENTO VOIP

Abra o software de programação. Clique na opção VOIP, depois opção configuração conforme as imagens:

Tutorial de Instalação do CentOS Versão 3.3

Troubleshooting em rede básica

GUIA PRÁTICO DE INSTALAÇÃO

Aula Prática Roteador

Roteiro de Práticas de Roteamento IGP usando Quagga

Mecanismos de QoS em Linux DiffServ (Marcação e Policiamento)

BlackBerry Mobile Voice System

GUIA RÁPIDO SISTEMA ANTIFURTO THEFT DETERRENT

INSTALANDO SQL SERVER 2008

Segurança de redes com Linux. Everson Scherrer Borges Willen Borges de Deus

Manual do usuário. Softcall Java. versão 1.0.5

Procedimento para instalação do OMNE-Smartweb em Raio-X

Concurso Público. Prova Prática - parte 2. Técnico Laboratório Informática. Técnico Administrativo em Educação 2014

1. DHCP a. Reserva de IP

Roteamento e Comutação

Autor: Armando Martins de Souza <armandomartins.souza at gmail.com> Data: 12/04/2010

1 REQUISITOS BÁSICOS PARA INSTALAR O SMS PC REMOTO

Administração de Sistemas Operacionais

Configuração de Redirecionamento de Porta. Manual de configuração de redirecionamento de porta do modem TD5130.

Curso Técnico em Informática. Informática Aplicada Instrutor Rafael Barros Sales


Iniciando a configuração do BOT

Guia de configuração para liberar Portas no DSLink 260E para acesso via PPPoE Rev. 3.3

Aula pratica 4 Testar Conexões TCP/IP em Redes Industrias Usando os comandos Ping e Net View (1.a Parte)

Firewall. Tutorial Firewall em Linux Acadêmicos: Felipe Zottis e Cleber Pivetta

VLANs and IP networks. 1. Computadores ligados ao Switch

Elaboração de Script de Firewall de Fácil administração

Despachante Express - Software para o despachante documentalista veicular DESPACHANTE EXPRESS MANUAL DO USUÁRIO VERSÃO 1.1

Manual de Instalação de SQL Server (2005, 2008, 2012).

Professor Claudio Silva

Tutorial de TCP/IP Parte 21 Roteiro Para Resolução de Problemas

Laboratório Verificando Configurações de VLANs.

Firewall - IPTABLES. Conceitos e Prática. Tópicos em Sistemas de Computação Prof. Dr. Adriano Mauro Cansian adriano@acmesecurity.

Roteiro de Práticas de Roteamento IGP usando Quagga

Operador de Computador. Informática Básica

O que é conexão de área de trabalho remoto?

CONFIGURANDO O SERVIÇO DE VPN NO WINDOWS SERVER 2008 R2

Curso Firewall. Sobre o Curso de Firewall. Conteúdo do Curso

Aula Prática 9 - Filtragem de Pacotes e Serviço Proxy

Área de Trabalho. Encontramos: Ìcones Botão Iniciar Barra de Tarefas

Procedimentos para Reinstalação do Sisloc

Recuperando a comunicação com o seu Modem DSL-500G

PRÁTICA DE IPV6: ENDEREÇAMENTO, AUTOCONFIGURAÇÃO E ROTEAMENTO 1. APRESENTAÇÃO DO CENÁRIO DIFERENÇAS NO ROTEIRO EM RELAÇÃO A IMAGEM DO DVD

EA080- Laboratório de Redes de Computadores Laboratório 2 Virtualização (Relatório Individual) Prof. Responsável: Mauricio Ferreira Magalhães

Firewalls, um pouco sobre...

ALTERNATIVA PARA CONEXÃO VIA INTERNET DE IP MASCARADO A IP REAL

Procedimentos para configuração de Filters

1. Introdução. 2. Conteúdo da embalagem

EAI Manual do Administrador

Lab - Configurando o Firewall do Windows XP

ConneXium TCSESM, TCSESM-E Managed Switch

WiNGS Wireless Gateway WiNGS Telecom. Manual. Índice

Transcrição:

Laboratório de RCO2 10 o experimento Objetivos: i) Configurar o controle de acesso IEEE 802.1x em uma LAN ii) Usar VLANs dinâmicas baseadas em usuário Introdução A norma IEEE 802.1x define o controle de acesso em nível de enlace em uma LAN. Um usuário ou equipamento deve primeiro se identificar frente à rede para somente então poder se comunicar. Esse controle de acesso depende de três componentes: i) Cliente (supplicant): o equipamento que deseja usar a rede ii) Autenticador: o equipamento da rede (switch ou AP) que faz o controle de acesso do cliente. iii) Servidor de autenticação: serviço (usualmente RADIUS) que verifica as credenciais fornecidas pelo cliente Ilustração 1: Componentes do controle de acesso IEEE 802.1x O switch Dlink DES-3526 do laboratório de Redes 1 tem suporte a IEEE 802.1x. Com ele se pode fazer autenticação baseada em porta ou em endereço MAC. Cada porta do switch funciona como um autenticador separado, o que possibilita que existam portas com controle de acesso misturadas com portas sem controle de acesso. O switch recebe as credenciais fornecidas pelo supplicant, e as repassa a um servidor de autenticação Radius. A figura 2 mostra uma configuração possível com esse switch.

Ilustração 2: Rede com portas controladas com IEEE 802.1x e switch DES-3526 Além da identificação do usuário para que ele possa ter acesso à rede, é possível definir a VLAN em que ele deve ser colocado (ver RFC 3580). Isto possibilita a definição de VLANs dinâmicas, e o acesso de um usuário a uma VLAN predefinida independente do ponto da rede que ele utiliza. Por exemplo, em um mesmo computador no IFSC um professor cairia na VLAN dos professores, com acesso a servidores específicos e certos tipos de tráfego liberados, e um aluno cairia na VLAN dos alunos. O switch DES-3526 suporta a definição de VLANs dinâmicas desta forma, bastando que o servidor de autenticação Radius informe a VLAN onde o usuário deve ser colocado. Roteiro 1. Conecte os computadores de sua bancada ao switch DES-3526. 2. Acesse a interface web do switch (switch da esquerda = 192.168.1.240, da direita = 192.168.1.241). 3. Habilite no switch o controle de acesso por porta IEEE 802.1x, usando o menu Configuration -> Advanced Settings. 4. Configure as portas que estarão sujeitas ao controle de acesso em Security -> Port Access Entity->PAE. 5. Configure o servidor RADIUS em Security Management-> Port Access Entity ->RADIUS. Os valores a serem preenchidos são:

IP: 192.168.1.250 Authentication port: 1812 Accounting port: 1813 Secret key: redes1 6. Inicie a máquina virtual (VirtualBox), selecionando Ubuntu. Após o boot logue como aluno, e em seguida obtenha um shell de root (com sudo -s). Em seguida instale no seu computador a configuração do supplicant, que está em: http://www.sj.ifsc.edu.br/~msobral/rco2/roteiros/rco2.conf Copie esse arquivo de configuração (rco2.conf), e grave-o dentro do subdiretório /etc/wpa_suplicant. O conteúdo de rco2.conf segue abaixo: ctrl_interface=dir=/var/run/wpa_supplicant GROUP=wheel ap_scan=0 network={ key_mgmt=ieee8021x eap=md5 identity="aluno" password="notsecure" eapol_flags=0 } Repare que as opções informam que se use o método EAP-MD5 (sem encriptação), com usuário aluno e senha notsecure. 7. Tendo tudo isto pronto, tente estabelecer alguma comunicação usando um dos computadores conectados ao switch. Você pode tentar fazer ping 192.168.1.1 (este é o computador do professor). Se conseguir, então significa que o controle de acesso não foi ativado, e assim verifique a configuração do 802.1x no switch. 8. Execute o programa wpa_supplicant para efetuar a autenticação no switch e ter acesso à rede. O comando a ser executado é wpa_supplicant -Dwired -i eth0 -c /etc/wpa_supplicant/rco2.conf. Repare nas mensagens informadas pelo wpa_supplicant. Após ele informar que a autenticação teve sucesso tente novamente se comunicar na rede. 9. Temine o processo wpa_supplicant, fazendo CTRL C. Depois disto você consegue ainda acessar a rede? 10. Reative o wpa_supplicant, e espere que ele se autentique. Teste a comunicação na rede e, após verificar que está funcionando, desconecte o computador do switch por alguns segundos e reconecte-o em seguida. O wpa_supplicant mostrou algum aviso relacionado a isto? 11. Desconecte o computador do switch e em seguida mate o wpa_supplicant (comando killall -9 wpa_supplicant ). Reconecte o computador, e teste a comunicação. Foi possível se comunicar pela rede? O que se pode concluir com isto? 12. Pare o wpa_supplicant, e em seguida execute o wireshark (fora da máquina virtual, usando o comando sudo wireshark), de forma a coletar o tráfego da interface eth0. Execute de novo o wpa_supplicant,, observando os quadros mostrados pelo wireshark.. Você deve conseguir ver as mensagens do protocolo de enlace EAPOL, que faz a autenticação entre o equipamento cliente (via wpa_supplicant) ) e a rede (o switch). 13. Termine o wpa_supplicant,, e observe as mensagens do EAPOL com o wireshark.. Note o

término de sessão (mensagem EAPOL Logoff), com consequente bloqueio da porta. 14. O controle de acesso feito se baseia na porta do switch. Assim, uma vez um usuário tendo se autenticado, a porta do switch é liberada. Para testar isto, conecte dois computadores ao hub 3Com e então conecte esse hub ao switch, para criar um cenário parecido com o da figura 3. Faça a autenticação em apenas um dos computadores e então verifique se o outro computador consegue usar a rede. Isto foi possível? Que consequências isto teria do ponto de vista de segurança? Ilustração 3: Rede com mais de um cliente por porta do switch 15. O controle de acesso pode ser feito também baseado em MAC. Assim, cada equipamento conectado ao switch precisaria se autenticar de forma independente, mesmo que use uma porta compartilhada com outros equipamentos. Mude a configuração do switch para habilitar o controle baseado em MAC, e repita o ítem 11. 16. A RFC 3580 define um mecanismo simples para definição de VLANs dinâmicas que possibilita que usuários autenticados com IEEE 802.1x sejam colocados em VLANs predefinidas, além do conceito de Guest VLAN mostrado na figura 4. Para testar isto crie duas VLANs no switch, com VID 5 e 10. Defina a VLAN 10 com sendo uma Guest VLAN (em Security Management -> Port Access Entity -> Guest VLAN), e deixe a VLAN 5 vazia. Tire da VLAN 1 as portas que estão sendo usadas com 802.1x. Em seguida refaça a autenticação com wpa_supplicant e verifique o status das VLANs no switch (veja que portas são membros das VLANs). O que aconteceu?

Ilustração 4: Processo de seleção de VLAN de acordo com a autenticação 17. Para demonstrar a possibilidade de definir a VLAN em função do usuário, crie uma nova VLAN com VID 7. Em seguida edite o arquivo /etc/wpa_supplicant/rco2.conf, e defina o usuário professor, com senha redes2. Depois refaça a autenticação com o wpa_supplicant. Verifique o status das VLANs no switch. Como estão as VLANs agora? 18. Para encerrar o experimento de hoje, deve ser implantada uma rede no laboratório com a seguintes características: i) Todo usuário deve ser autenticado na rede com IEEE 802.1.x antes de poder usá-la. ii) Usuários pertencem a três categorias: alunos, professores, e visitantes. Alunos podem acessar somente os servidores do IFSC, visitantes podem apenas acessar o servidor Web do IFSC, e professores podem acessar qualquer serviço (externo ou interno). iii) As restrições de acesso a serem impostas a cada usuário devem ser ativadas assim que a autenticação tiver sucesso. Usuários que falhem em se autenticar são considerados visitantes. iv) Para testar sua configuração, existem os seguintes usuários: aluno com senha notsecure e professor com senha redes2. Guia de referência Comandos para editar as regras do filtro IP no Linux: Para liberar todo o tráfego de conexões já estabelecidas: iptables -A FORWARD -m state state ESTABLISHED -j ACCEPT

Para liberar todo o tráfego TCP que entra pela interface iface_entrada (ex: eth0.5), e que se destina ao endereço IP_destino na porta port_destino: iptables -A FORWARD -p tcp -i iface_entrada -d IP_destino dport port_destino -m state state NEW -j ACCEPT Para registrar todo o tráfego que entra pela interface iface_entrada: iptables -A FORWARD -i iface_entrada -j LOG Para bloquear todo o tráfego que entra pela interface iface_entrada: iptables -A FORWARD -i iface_entrada -j DROP Para liberar todo o tráfego que entra pela interface iface_entrada: iptables -A FORWARD -i iface_entrada -j ACCEPT Para fazer o NAT do tráfego que sai pela interface iface_saida (ex: eth0): iptables -t nat -A POSTROUTING -o iface_saida -j MASQUERADE Comandos para visualização e edição de rotas: Adicionar a rota default: route add default gw IP_gateway Remover a rota default: route delete default Adicionar uma rota estática: route add -net IP_rede/mascara gw IP_gateway Remover uma rota estática: route delete -net IP_rede/mascara gw IP_gateway Visualizar as rotas: netstat -rn

Comandos para criação de interfaces virtuais Adicionar uma interface virtual associada a uma VLAN: vconfig add eth0 VID Ex: VID = 5: vconfig add eth0 5 Configurar o endereço IP de uma interface virtual: ifconfig eth0.vid endereço_ip netmask mascara Ex: VID = 5 e IP 192.168.100.1/26: ifconfig eth0.5 192.168.100.1 netmask 255.255.255.192

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback