Faculdade SENAC DF Pós-Graduação em Segurança da Informação Implementação de Controle de Acesso em uma Rede WLAN: Protocolos IEEE 802.1x, Radius e Controles da Autores Yury Hans Kelsen Soares de Andrade yuryhans@gmail.com Edilberto Silva edilms@yahoo.com Brasília-DF 2012 Trabalho de Conclusão de Curso apresentado a FACSENAC-DF Faculdade Senac do DF como requisito para a obtenção do título de Especialista em Segurança da Informação. Ficha Catalográfica Andrade, Yury Hans Kelsen Soares de. Implementação De Controle de Acesso Em Uma Rede WLAN: Protocolos IEEE 802.1x, Radius e Controles Da ABNT NBR ISO/IEC 27002:2005/Yury Hans Kelsen Soares de Andrade. Brasília : Faculdade Senac-DF, 2012. 23 f. : il. Orientador: Edilberto Silva Trabalho de Conclusão de Curso (Especialização em Segurança da Informação), Faculdade Senac-DF, 2012. 1. IEE 802.1x. 2. RADIUS 3.ISO 4. EAP. RESUMO Um dos maiores problemas da rede de computadores nas empresas é como evitar que host e usuários desconhecidos conectem-se a rede e acessem os serviços presentes nesta. A norma evidencia que é imprescindível proteger a informação dos diversos tipos de ameaças existentes. O surgimento de protocolos como o IEEE 802.1x, EAP e o de autenticação RADIUS, que implementam autenticação ainda na camada de enlace, nível 2 do modelo OSI, possibilitam que qualquer host ou usuário tenha suas credenciais verificadas antes que se tenha qualquer acesso aos serviços disponíveis na rede de computadores da empresa. Será abordado neste artigo itens da norma referente ao controle de acesso, uma breve explicação das tecnologias envolvidas e demonstrar a implementação do protocolo IEEE 802.1x em uma rede WLAN, utilizando um servidor RADIUS como autenticador. Palavras-Chave: IEE 802.1x; RADIUS;ISO;EAP ABSTRACT One of the biggest problems of computer networking in business is how to prevent unknown users host and connect to the network and accessing the services available there in. The standard ISO / IEC 27002:2005 shows that it is essential to protect information of different types of threats. The emergence of protocols such as IEEE 802.1x, EAP and RADIUS authentication, authentication still implementing the data link layer, level 2 of the OSI model, enables any host or user has verified their credentials before they have any access to services available the company's computer network. Items will be discussed in this article the standard ard ISO / IEC 27002:2005 relating to access control, a brief explanation of the technologies involved and demonstrate the implementation of IEEE 802.1x protocol in a WLAN using a RADIUS server and authenticator. Keywords: IEE 802.1x; RADIUS;ISO;EAP.
2 1 INTRODUÇÃO Os ataques internos são historicamente apontados como responsáveis por cerca de 70% dos problemas de segurança de redes de computadores que uma empresa sofre[4]. Há, por exemplo, outros problemas tais como proliferação de vírus, roubos de informações, problemas nos controles de acesso das aplicações e ambiente computacional, entre outros. Ademais a possibilidade de um computador quando conectado a um ativo de rede conseguir, antes de qualquer autenticação, receber um IP dinamicamente por meio de DHCP (Dynamic Host Configuration Protocol) ou mesmo configurar um IP estático e assim tentar várias ações maliciosas ou fraudulentas. Isso ocorre pelo desconhecimento por parte dos administradores de redes de técnicas de autenticação na camada de enlace, nível dois do modelo OSI (Open Systems Interconnection). Na pesquisa de Ernst & Young s [4] as empresas tem detectado uma aumento de ataques internos de 25% [4] e aumento de fraudes perpetradas internamente de 13% [4]. A norma [11] evidencia que é imprescindível proteger a informação dos diversos tipos de ameaças existentes com o objetivo de garantir a continuidade do negócio para usuários, empresas e instituições, sejam elas privadas ou públicas. Essa norma estabelece diretrizes gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Em um ambiente de rede onde o meio de acesso é compartilhado e aberto - como nas redes sem fio ou no caso das redes cabeadas que existam segmentos da mesma que não possam ser verificados- a confiança nos hosts fica limitada. Para contornar esses aspectos falhos de segurança existem diversos métodos disponíveis para implementação de segurança. Uma forma eficiente é prover um mecanismo de segurança por meio de um protocolo que ofereça opções de segurança confiáveis.
3 Para minimizar os efeitos desastrosos de tais problemas, o mercado partiu para a adoção de alternativas que viabilizassem o crescimento esperado no uso das redes sem fio. Daí surgiram as implementações não oficiais do IEEE e o uso das Redes Virtuais Privadas (Virtual Private Network VPN). Antecedendo o IEEE 802.11i, que promete sanar os problemas de segurança do IEEE 802.11, este artigo mostra a combinação entre o IEEE 802.1X e o Serviço de Autenticação Remota à Usuário Discado (Remote Authentication Dial In User Service RADIUS), provendo acesso às redes sem fio com segurança. Este artigo tem como objetivo apresentar as tecnologias existentes para aumentar a segurança na rede WLAN e está organizado da seguinte forma: No tópico 2 são apresentados os aspectos da norma [11] sobre o controle de acesso á rede. O tópico 3 explica o que é o IEEE 802.1X e como funciona o mecanismo de autenticação. A seguir, o tópico 4, é mostrado o RADIUS (Remote Authentication Dial In User Service), explicando suas fases e seu processo de autenticação. O tópico 5 apresenta a integração do IEEE 802.1X, aplicada às redes IEEE 802.11, exemplificada, por estudo de caso. Finalmente, no tópico 6, são apresentadas as considerações finais deste artigo. 2 NORMA Nesse item será apresentado os principais itens da norma referente à implementação de controles de acesso a rede [11]. 2.1 Controles de acesso à rede [11] Tem como objetivo, prevenir acesso não autorizado aos serviços de rede. O acesso aos serviços de rede internos e externos tem que ser controlado. Para que os usuários com acesso às redes e aos serviços de rede não comprometam a segurança desses serviços, deve ser assegurando: a) uso de interfaces apropriadas entre a rede da organização e as redes de outras organizações e redes públicas; b) uso de mecanismos de autenticação apropriados para os usuários e equipamentos; e c) reforço do controle de acesso de usuários aos serviços de informação.
4 2.1.1 Política de uso dos serviços de rede [11] Para o controle, os usuários somente recebam acesso para os serviços que tenham sido especificamente autorizados a usar. Políticas devem ser criadas para o uso de redes e serviços de rede, alinhada com negocio da empresa. Esta política tem que cobrir: a) redes e serviços de redes que são permitidos de serem acessados; b) procedimentos de autorização para determinar quem tem permissão para acessar em quais redes e serviços de redes; c) gerenciamento dos controles e procedimentos para proteger acesso a conexões e serviços de redes; e d) os meios usados para acessar redes e serviços de rede. 2.1.2 Controle de conexão de rede [11] As redes compartilhadas, especialmente WLAN 1 que se estendem pelos limites da organização, a capacidade dos usuários para conectar-se à rede deve ser restrita, alinhada com a política de controle de acesso e os requisitos das aplicações do negócio. Os direitos de acesso dos usuários a rede devem ser mantidos e atualizados conforme requerido pela política de controle de acesso. A capacidade de conexão de usuários pode ser restrita através dos gateways que filtram tráfico por meio de tabelas ou regras predefinidas. Devem ser aplicadas restrições nos seguintes exemplos de aplicações: a) mensagens, por exemplo, correio eletrônico; b) transferência de arquivo; c) acesso interativo; e d) acesso à aplicação. 2.1.3 Identificação e autenticação de usuário [11] Todos os usuários devem ter um identificador único (ID de usuário) para uso pessoal e exclusivo, e que uma técnica adequada de autenticação seja escolhida para validar a identidade alegada por um usuário. 1 WLAN (Wireless Local Área Network) é uma rede local que usa ondas de rádio para fazer uma conexão Internet ou entre uma rede, ao contrário da rede fixa ADSL ou conexão com TV, que geralmente usa cabos
5 Este controle deve ser aplicado para todos os tipos de usuários (incluindo o pessoal de suporte técnico, operadores, administradores de rede, programadores de sistema e administradores de banco de dados). Os identificadores de usuários (ID de usuários) devem ser utilizados para rastrear atividades ao indivíduo responsável e que atividades regulares de usuários não sejam executadas através de contas privilegiadas. Em circunstâncias excepcionais, onde exista um claro benefício ao negócio, pode ocorrer a utilização de um identificador de usuário (ID de usuário) compartilhado por um grupo de usuários ou para um trabalho específico. A aprovação pelo gestor deve ser documentada nestes casos. Controles adicionais podem ser necessários para manter as responsabilidades. Os identificadores de usuários (ID de usuários) genéricos para uso de um indivíduo devem ser permitidos somente onde as funções acessíveis ou as ações executadas pelo usuário não precisam ser rastreadas (por exemplo, acesso somente leitura), ou quando existem outros controles implementados (por exemplo, senha para identificador de usuário genérico somente fornecido para um indivíduo por vez e registrado). Onde autenticação forte e verificação de identidade são requeridas, métodos alternativos de autenticação de senhas, como meios criptográficos, cartões inteligentes (smart card), tokens e meios biométricos sejam utilizados. Adicionalmente as senhas são uma maneira muito comum de se prover identificação e autenticação com base em um segredo que apenas o usuário conhece. O mesmo pode ser obtido com meios criptográficos e protocolos de autenticação. Convém que a força da identificação e autenticação de usuário seja adequada com a sensibilidade da informação a ser acessada. Objetos como tokens de memória ou cartões inteligentes (smart card) que os usuários possuem também podem ser usados para identificação e autenticação. As tecnologias de autenticação biométrica que usam características ou atributos únicos de um indivíduo também podem ser usadas para autenticar a identidade de uma pessoa. Uma combinação de tecnologias e mecanismos seguramente relacionados resultará em uma autenticação forte.
6 3 AUTENTICAÇÃO IEEE 802.1X Nesse item explica o que é o IEEE 802.1X e como funciona o mecanismo de autenticação e seus elementos. O IEEE 802.1x é um padrão da IEEE (Institute of Electrical and Electronic Engineers) aprovado em junho de 2001 e que possibilita criar uma plataforma de autenticação com base em portas (Based Network Access Control Protocol). Projetado para redes Ethernet. Este protocolo é aplicado ao nível 2 do modelo OSI e atende a dois requisitos de segurança: privacidade e autenticação. Este controle de acesso à rede em portas é característica física de uma rede LAN (wired), por meio de um switch que suporte o padrão 802.1x. Atualmente ele foi adaptado para redes sem fio (wireless) designado pelo padrão 802.11. [2,6,15,21] 3.1 EAP (Extensible Authentication Protocol) O EAP (Extensible Authentication Protocol) é um protocolo designado para autenticação extensível, ou seja, suportado para trabalhar com múltiplas formas de autenticar, a definição do protocolo foi feita na RFC 2284 [19], com atualizações no draft RFC 2284bis [20]. O protocolo EAP foi projetado e desenvolvido pela IETF (Internet Engineering Task Force). Primeiramente o EAP (Extensible Authentication Protocol) foi projetado para conexões PPP (Point-to-Point Protocol), e depois transformado para redes convencionais IEEE802 e redes sem fio. [6] O protocolo EAP é muito flexível podendo trabalhar com vários métodos de autenticação como: combinação usuário/senha, Tokens, Certificados, Chaves Públicas, Cartão Magnético e Smartcard. O EAP possui algumas variantes, ou seja, devido à aplicação do servidor de autenticação, o mesmo utiliza ou não determinados protocolos para os serviços desejados, atualmente existem cinco protocolos: EAP-MD5, EAP-TLS, EAP-CISCO (ou LEAP), EAPTTLS e EAP-PEAP. [7]
7 3.2 IEEE 802.1x O padrão IEEE 802.1X define os seguintes termos [23]: 3.2.1 Entidade de Acesso à Porta (PAE) A entidade de acesso à porta (PAE) é conhecida como uma porta de rede local, essa entidade oferece suporte ao protocolo IEEE 802.1x referente a uma porta da rede, este tem como função de autenticador, suplicante ou ambos. 3.2.2 Autenticador O autenticador é uma entidade em uma extremidade de um segmento de rede ponto-a-ponto que facilita a autenticação da entidade ligada à outra extremidade desse link, por exemplo, através do login e senha do usuário, depois da confirmação é liberado o serviço para aquele usuário e essa liberação é através de portas como no exemplo mostrado na figura 1 [23]. Figura 1: Autorização de Portas 3.2.3 Suplicante O suplicante é o serviço solicitado através do usuário em uma rede, ele solicita serviços do autenticador, para que, baseado na informação do servidor de autenticação, confirme ao suplicante seu acesso ou não. 3.2.4 Servidor de Autenticação Os serviços de autenticação têm como função de verificar as credenciais do suplicante para responder ao autenticador, podendo estar ou não autorizado a essa
8 autenticação, esses serviços é através de um servidor denominado RADIUS, possuindo um banco de dados dos usuários e serviços correspondentes. Figura 2: Servidor de Autenticação Um cliente, chamado supplicant (suplicante), figura 2, faz uma conexão inicial para um para um authenticator (autenticador), um switch de rede ou um ponto de acesso sem fio. O autenticador é configurado para exigir o 802.1X de todos os suplicantes e irá ignorar qualquer conexão de entrada que não se adequar. O autenticador solicita ao suplicante sua identidade, a qual ele passará adiante para o authentication server (RADIUS). O RADIUS segue qualquer mecanismo necessário para autenticar o cliente que está entrando. Em geral, isto envolve a instalação de uma conversa EAP entre o suplicante e o servidor de autenticação (o autenticador é apenas um dispositivo de passagem aqui) e o estabelecimento de um método de autenticação dentro da conversa EAP. Note que o EAP em si não define qualquer tipo de segurança sozinho - os protocolos de identificação usados devem incorporar sua própria segurança.
9 4 RADIUS RADIUS é um protocolo que foi criado em 1992 pela Livingston que é parte da Lucent Technologies implementado em servidores para Autenticar, Autorizar e Contabilizar (Authentication, Authorization e Accounting AAA).[18] O RADIUS é composto das seguintes fases[18]: Fase de Autenticação: quando um servidor recebe uma chamada através de uma identificação do usuário, o servidor verifica se as informações do cliente conferem com os requisitos do usuário. Fase de Autorização: nesta fase podem-se destacar os direitos, privilégios e restrições que clientes e usuários irão possuir, de acordo com a tabela criada no banco de dados. Fase de Contabilização: Esta é a fase que a partir que o usuário ou o cliente já esteja autenticado, todo e qualquer tipo de acontecimentos referentes aos seus usuários é registrado para que possam ser analisados e processados futuramente em uma base de dados. O processo de autenticação, baseado na tecnologia RADIUS pode ser explicado em seis etapas [18]. 1) O servidor de Acesso Remoto tenta negociar a conexão com o Cliente, sempre utilizando o protocolo mais seguro. Caso não seja este o protocolo utilizado pelo Cliente, o servidor vai passando sempre para o próximo menos seguro. Desta forma, o servidor tenta negociar a conexão do protocolo mais seguro para o menos mais seguro, até encontrar o protocolo que o Cliente esta utilizando. 2) Depois de feita a autenticação do protocolo utilizado pelo Cliente, o servidor envia ao protocolo RADIUS a solicitação enviada pelo cliente. 3) Agora o servidor RADIUS poderá verificar, pelo número de IP do Cliente, se é um cliente RADIUS configurado. Caso o cliente RADIUS identifique-o como um cliente RADIUS válido, ele verifica a assinatura digital do pacote. Para isso ele utiliza um recurso chamado Shared Secret (Segredo Compartilhado) que é uma string de texto e funciona como uma senha especial de reconhecimento utilizada entre o servidor e o cliente.
10 4) Caso a autenticação do cliente falhe, o servidor descartará o pacote. Como esse pacote foi descartado, o servidor não está recebendo nada válido do cliente, desta forma a conexão é quebrada. 5) Caso a autenticação da assinatura digital seja efetuada com sucesso, as informações serão repassadas ao servidor de autenticação que, por sua vez, é responsável pela validação das informações de login do cliente. 6) Depois de efetuar as validações necessárias para entrar na rede, o servidor programa as políticas de acesso e segurança referentes a esse usuário. Por outro lado, se as informações de login não forem validadas, o acesso do usuário a rede é negado. Figura 03: Processo de Autenticação RADIUS O FreeRadius é um projeto iniciado em 2004 [FreeRaidus.org] por meio de uma comunidade de programadores para servidores em plataforma Linux que utiliza o protocolo RADIUS do padrão autenticação, autorização e contabilização. O servidor trabalha com o modelo cliente/servidor, onde o Network Access Server (NAS) é o cliente que precisa autenticar usuários para o acesso. A comunicação feita entre o RADIUS e o NAS ocorre através do protocolo UDP na porta 1812 (autenticação-radius) e na porta 1813 (contabilização-radacct) e definido pela RFC 2865.
11 5 AMBIENTE DE AVALIAÇÃO A seguir será apresentado um estudo de caso, mostrando como implementar o controle de acesso na rede WLAN através dos protocolos expostos nesse artigo. Figura 04: Etapas para implementação do ambiente de avaliação. Para implementar um ambiente IEEE 802.1x em rede WLAN, é necessário a utilização de switchs que tenham suporte a 802.1x, um servidor RADIUS e clientes 802.1x instalados nas nos host de acesso. Estações de trabalho que não tenham clientes 802.1x simplesmente não conseguem trafegar dados na rede, sequer conseguem obter endereço pelo DHCP. Nesse ambiente de avaliação será utilizado para o procedimento de autenticação um Access Point em vez de switch devido a custo do equipamento, mas as funcionalidades e a utilização dos protocolos envolvidos se aplicam de forma idêntica a qualquer ativo de rede que tenha suporte ao IEEE 802.1x 5.1 Configurações do Ambiente de Teste a) Servidor Autenticador: Notebook Marca HP Pavilion Ze2000 CPU AMD Sempron Móbile 3000+ 1.8 Ghz Memória RAM 1024 Mb Hard Disk (HD) 80 Gb Sistema Operacional: Debian Etch 4.0 R5 b) Access Point (AP) AP Marca D-Link Modelo DWL-900AP+
12 c) Suplicante Notebook Marca Lenovo G460 CPU Inter i3 2.13 Ghz Memória RAM 4096 Mb Hard Disk (HD) 1 Tb Sistema Operacional : Microsoft Windows XP Service Pack 3 5.2 Servidor FreeRadius 5.2.1 Passos para Instalação no Servidor Autenticador Efetuar o download do pacote freeradius no site: http://freeradius.org/download.html. A versão utilizada é a freeradius-2.1.10.tar.gz. [FreeRaidus.org] Após o download dos arquivos é necessário realizar a instalação por meio dos comandos descritos na tabela 1: Tabela 1 Instalação do FreeRadius # tar zxvf freeradius-2.1.10.tar.gz # cd freeradius-2.1.10.tar.gz #./configure disable-shared # make # make install Após a instalação do freeradius, os arquivos de configuração foram criados em /usr/local/etc/raddb. A configuração do freeradius foi aplicada às necessidades da avaliação habilitando os protocolos de autenticação EAP-TLS que cria túneis de comunicação criptografados e o EAP-PEAP autenticação via rede sem fio ao suplicante. Configuração do arquivo eap.conf está descrito na tabela 2: Tabela 2 - Configuração do arquivo eap.conf eap { default_eap_type = peap timer_expire = 60 ignore_unknown_eap_types = no cisco_accounting_username_bug = no md5 { } gtc { auth_type = PAP } tls { private_key_password = whatever private_key_file = ${raddbdir}/certs/cert-srv.pem
13 certificate_file = ${raddbdir}/certs/cert-srv.pem CA_file = ${raddbdir}/certs/democa/cacert.pem dh_file = ${raddbdir}/certs/dh random_file = ${raddbdir}/certs/random } peap { default_eap_type = mschapv2 } mschapv2 { } } Configurar o /usr/local/etc/raddb/clients.conf,descrito na tabela 3, para permitir a troca de dados entre o Acess Point e o Servidor RADIUS, direcionando o AP para poder autenticar, no IP 127.0.0.1 (é apenas um teste localmente das configurações do RADIUS). O secret (senha) é um modo de segurança através do qual se inicia a comunicação e necessita ser configurado tanto no Acess Point como no Servidor RADIUS. O shortname é apenas um apelido fornecido para facilitar a localização do cliente nos logs. Tabela 3 - Configuração do arquivo clients.conf client 127.0.0.1 { secret = testing123 shortname = localhost nastype = other # localhost isn't usually a NAS... client 192.168.0.50 { secret = testing123 shortname = private-network-1 } Configurar no servidor Linux o user no arquivo usr/local/etc/raddb/clients.conf, que é responsável aos usuários que terão permissão de autenticidade na rede, como no exemplo abaixo o usuário softline e a senha softline2010. "softline" User-Password == "softline2010" Com o Servidor RADIUS configurado é necessário o teste para ter certeza de que estar tudo certo. Inicie o servidor RADIUS no modo de depuração (-x),digitando : # RADIUSd X Caso não receber mensagens de erro o servidor foi configurado corretamente.
14 5.3 Access Point Na figura 05 observa-se a configuração do AP DWL900AP+. No primeiro campo AP Name é configurado o nome do Access Point, no segundo campo o SSID é uma peça fundamental nesta configuração pois tanto no Access Point quanto no suplicante deverá conter a mesma identificação, pois em rede sem fio um cliente só consegue conectar no Access Point se possuir o mesmo SSID. No terceiro item Channel é o canal escolhido para comunicação, na configuração Authentication é utilizado o WPA 2 este protocolo é utilizado para fazer a segurança dos dados trafegados, abaixo é feita a chamada do Servidor onde IP, é o IP do servidor RADIUS, Port é a porta do servidor RADIUS, o Shared Secret deve conter a mesma configuração no servidor RADIUS, pois no Shared Secret inicia-se a comunicação entre Access Point e Servidor RADIUS. Figura 05: Tela de configuração do Access Point 2 WPA surgiu de um esforço conjunto de membros da Wi-Fi Aliança e de membros do IEEE, empenhados em aumentar o nível de segurança das redes sem fio ainda no ano de 2003, combatendo algumas das vulnerabilidades do WEP.
15 Na figura 06 que apresenta os campos da segunda aba da tela de configuração do Access Point, observa-se a configuração do servidor de autenticação. Neste caso o 802.1x é habilitado com Enabled. Em Encryption Key foi escolhido 128 bits para encriptografia da chave. As outras configurações abaixo seguem da mesma forma como citado na figura 06. Figura 06: Access Point 802.1x 5.4 Configurações do Suplicante Nas propriedades da rede sem fio do suplicante, que neste caso de uso é apresentado no Windows XP. A aba Associação como mostrada na figura 06 observa-se a configuração do SSID (service set identifier) que deve ser o mesmo que está na configuração do Acess Point.
16 A Autenticação de Rede utilizada é o WPA (Wi-Fi Protected Access), em Criptografia de Dados é usado o TKIP 3 (Temporal Key Integrity Protocol) para identificar erros de chamadas. 4 Figura 07: Rede sem Fio Associação Windows XP 3 TKIP é um algoritmo de criptografia baseado em chaves que se alteram a cada novo envio de pacote. A sua principal característica é a frequentes mudanças de chaves que garante mais segurança.
17 Nas propriedades da rede sem fio do suplicante, na aba Autenticação como mostrada na figura 08 observa-se a configuração do EAP 5 que é utilizado para fazer a autenticação. Figura 08: Rede sem Fio Autenticação Na tela Propriedades da rede sem fio clicar no botão propriedade para definir como será o método de autenticação. Como mostra na figura 09. 5 MS-CHAP v2 é um processo de autenticação mútua, com senha unidirecional criptografada
18 Figura 09: Rede sem Fio Autenticação EAP Após é necessário selecionar o método de autenticação, onde é escolhido a Senha Segura (EAP-MSCHAP 6 v2). Após a escolha deste método, deve ser configurado como será realizada a autenticação do suplicado. Para tanto clique no botão configurar. Após clicar em configurar terá de ser escolhida a forma de autenticação, neste caso não será marcada a opção para que o usuário possa digitar login e senha figura 10. 6 EAP foi desenvolvido originalmente para trabalhar com o protocolo PPP. Ele possui quatro tipos de mensagem básica que são usadas durante a conexão: Requisição, Resposta, Sucesso e Falha.
19 Figura 10: Rede sem Fio Autenticação EAP MSCHAPv2 Com esta configuração a conexão será detectada, porém, só será realizada após o usuário digitar seu login e sua senha como mostra na figura 11. Na estação que vai conectar na WLAN a tela baixo,figura 11, é solicitado usuário/senha, se o usuário estiver de acordo para se autenticar o servidor RADIUS mandar uma mensagem ao Acess Point e o 802.1x liberar a rede ao suplicante 7 Figura 11: Autenticação
20 6 CONCLUSÃO Segurança é um termo que transmite conforto e tranquilidade a quem desfruta de seu estado. Entender e implementar este estado em um ambiente empresarial exige conhecimento e práticas especializadas que somente são possíveis com o emprego e uso de um código de práticas de segurança, contidos em uma norma, como a. A norma estabelece os controles a serem implantados, não mostra como implementar mas ajuda os administradores de rede o que deve ser implementado para melhoria do nível de segurança da informação nas empresas. A implementação descrita nesse artigo atende os itens da norma, implementando controles mais eficazes de acesso a rede. O protocolo IEEE 802.1x é robusto, escalável e flexível, mas, por isto, sua implementação não é trivial, requer ajustes de configuração que precisam ser determinados em um ambiente de homologação antes de colocar em produção, pois são muitas opções e o que funciona em uma rede pode não funcionar em outra. O surgimento do padrão IEEE 802.1x foi de grande importância, pois este tem por finalidade fazer autenticação com base em portas, nível 2 do modelo OSI. Aliado a ele destaca-se o protocolo EAP que também é um protocolo de autenticação com a grande vantagem de possuir vários métodos de autenticação. A implementação do IEEE 802.1x e RADIUS, como mais uma opção de autenticação, aumenta o nível de segurança de uma rede de computadores, evitando que usuários ou hosts não autorizados consigam conectar na rede. O protocolo 802.1X tem a função de garantir que todas as portas físicas disponíveis para acesso à rede com ou sem fio, sejam monitoradas pelo servidor RADIUS, forçando dessa forma que todos os usuários do ambiente devam estar com suas estações de trabalho previamente configuradas para garantir que sua solicitação de acesso à rede seja atendida Assim, mesmo um usuário que tentar acessar a rede de serviço com outro computador pessoal, que não for o seu de uso dentro da empresa, não terá acesso garantido devido a esse computador não estar cadastrado no servidor de autenticação.
21 A utilização de software livre na implantação do RADIUS e demais serviços de rede, garante uma implementação de segurança de baixo custo, o que é de grande importância, pois pode ser implementado tanto em um ambiente de uma grande empresa quanto a de uma empresa pequena. Esse artigo pode ser utilizado, como base, para implementação do RADIUS em conjunto com outros tipos de clientes e não somente de acesso sem fio. Como para autenticar conexões discadas, o procedimento seria o mesmo, e o cliente RADIUS seria um RAS (Remote Access Service), com modems digitais ligados a linhas telefônicas. É também possível utilizar o uso do protocolo RADIUS para redes com fios, sendo necessária exatamente a mesma forma de autenticação implementada nesse artigo, utilizando switchs gerenciáveis como clientes RADIUS. Apesar da implementação de segurança IEEE 802.1x, descrita nesse artigo, melhorar o nivel de autenticação em uma rede WLAN, outras meios de acessos à rede poderão ser alvo dessa implementação, como por exemplo a rede cabeada, que poderão ser abordadas em trabalhos futuros, bem como estudos de escabilidade da implentação em grandes corporações consideradas empresas globais, como por exemplo empresas com muitas filíais distribuídas em várias cidades e ou paises. Este artigo apresenta uma proposta de melhoria do nível de segurança de redes locais sem fio. Trabalhos futuros podem considerar a implementação desta proposta em redes reais, para análise mais efetivas. Um dos princípios seguidos ao elaborar este artigo é a sua adequação ao padrão IEEE 802.1x. Isto leva a vantagem da possibilidade de adoção da proposta em diversas redes que utilizam este padrão. Entretanto, novas propostas com os protocolos que garantem a segurança de redes sem fio podem ser consideradas. Podem ser considerados também outros mecanismos de autenticação diferentes daqueles mostrados neste artigo. Além de novos mecanismos de autenticação, podem também serem utilizados protocolos criptográficos modernos que tratam do gerenciamento das senhas dos usuários. Mesmo estando ainda em estado de evolução, o presente artigo eleva o nível de segurança das atuais redes locais sem fio melhorando a proteção de seus ativos e usuários, evitando acesso a rede por usuários e hosts não autorizados.
22 7 REFERÊNCIAS [1]. TANENBAUM, Andrew S. Redes de computadores. 4.ed. Rio de Janeiro: Campus, 2003. [2]. Microsoft,Brasil. Understanding 802.1x authentication. Disponivel em < http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/ en-us/understanding_8021x.mspx?mfr=true>. Acesso em : 03/06/2011.] [3]. BRASIL,Symantec. Por Trás do Firewall A Ameaça Interna. Disponível em: <http://www.symantec.com/region/br/enterprisesecurity/content/framework/b R_2122.html>. Acesso em: 03/12/2010. [4]. Ernst & Young s 12 th annual global information security survey. USA : Ernst & Youngs 2009. [5]. FeeRadius.org,USA. FreeRADIUS Version 2 Documentation. Disponível em : < http://freeradius.org/doc/>. Acesso em: 03/06/2011. [6]. Microsoft,Brasil. IEEE 802.1X Wired Authentication. Disponível em : <http://technet.microsoft.com/enus/magazine/2008.02.cableguy.aspx?ppud=4>. Acesso em: 03/06/2011. [7]. Microsoft,Brasil. Microsoft 802.1X Authentication Client. Disponível em: < http://technet.microsoft.com/en-us/library/bb878130.asp>. Acesso em: 04/12/2010. [8]. Microsoft,Brasil. Extensible Authentication Protocol Overview. Disponível em: <http://technet.microsoft.com/en-us/network/cc917480.aspx>. Acesso em: 03/06/2011. [9]. MOREIRA, Nilton Stringasci. Segurança mínima uma visão Corporativa da segurança de Informações. Rio de Janeiro: Axcel Books, 2001. [10]. ABNT Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27001 Tecnologia da informação Técnicas de segurança Sistemas de gestão de segurança da informação Requisitos. Rio de Janeiro: ABNT. 2006. [11]. ABNT Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27002 Tecnologia da Informação Técnicas de segurança Código de prática para a gestão da segurança da informação. Rio Janeiro: ABNT. 2005. [12]. ABNT- Associação Brasileira de Normas Técnicas. NBR ISO/IEC 27005 Tecnologia da informação Técnicas de segurança Gestão de riscos de segurança da informação. Rio de Janeiro: ABNT. 2008. [13]. Silva, Edilberto. Políticas de Segurança e Planos de Continuidade de Negócios. Texto Base. Disponível em:
23 http://www.edilms.eti.br/uploads/file/politicasseg/textobase- PoliticasdeSeguranca.pdf. Acessado em 17 de maio de 2011, 21:00. [14]. Microsoft,Brasil. Implantação de redes 802.11 protegido Usando o Microsoft Windows. Disponivel em : < http://technet.microsoft.com/enus/network/cc917481.aspx>. Acessado em 02/06/2011. [15]. Microsoft,Brasil. Noções básicas sobre autenticação 802.1X para redes sem fio. Disponivel em < http://technet.microsoft.com/ptbr/library/cc759077(ws.10).aspx>. Acessado em 02/06/2011. [16].FreeRaidus.org. The FreeRADIUS Project. Disponivel em <http://freeradius.org/>. Acessado em 02/06/2011. [17].Microsoft,Brasil,Protocolo Radius,Disponivel em http://technet.microsoft.com/pt-br/library/cc781821(v=ws.10).aspx, Acessado em 06/10/2011. [18].UFRJ,Brasil, Radius,Disponivel em http://www.gta.ufrj.br/~natalia/autenticacao/radius/index.html, acessado em 06/10/2011. [19]. Blunk, L. and Vollbrecht, J. PPP Extensible Authentication Protocol (EAP).RFC 2284. 1998. [20]. Blunk, L et al. Extensible Authentication Protocol (EAP). Internet Draft (draftietf-eap-rfc2284bis-00). 2003. [21]. Microsoft,Brasil, Noções básicas sobre autenticação 802.1X para redes sem fio. Disponível em http://technet.microsoft.com/ptbr/library/cc759077(v=ws.10).aspx, acessado em 06/10/2011. [22]. Barrosi, L. G. e Foltran, C. Autenticação ieee 802.1x em redes de computadores utilizando tls e eap. 4º Encontro de Engenharia e Tecnologia dos Campos Gerais. 2008. [23]. IEEE - Institute of Electrical and Electronics Engineers. IEEE 802.1X Overview Port Based Network Access Control. Disponível em http://www.ieee802.org/1/files/public/docs2000/p8021xoverview.pdf, acessado em 06/10/2011.