Tecnologia 802.1 Eng. Alessandro C. Bianchini alessanc@gmail.com
Apresentação Alessandro Coneglian Bianchini exerce a função de engenheiro na NEC Brasil, atuando na elaboração de projetos e implantação de VoIP, Wireless, Redes e Segurança da informação; formado em engenharia elétrica com ênfase em telecomunicações pela Escola de Engenharia Mauá-SP, pós-graduado em segurança da informação pelo IBTA-SP e também pós-graduado em engenharia de rede e sistema de telecomunicações pelo INATEL-MG; Possui certificações de fabricantes como Cisco,Allied Telesyn, Fortinet e Vmware. 2
Certificações VCP 4 Vmware Certified Professional 4.0 VCP 3 Vmware Certified Professional 3.0 ITIL v3 Foundation CCNP - Cisco Certified Network Professional CCDP - Cisco Certified Design Professional CCVP - Cisco Certified Voice Professional CCSP - Cisco Certified Security Professional CCNA - Cisco Certified Network Associate CCDA - Cisco Certified Design Associate CAWDS Cisco Advanced Wireless Design Specialist CAWFS Cisco Advanced Wireless Field Specialist CISS - Cisco Information Security Specialist CIOSSS - Cisco IOS Security Specialist CFWS - Cisco Firewall Specialist CIPSS - Cisco IPS Specialist FCNSA- Fortinet Certified Network Security Administrator CAIR Certified Allied installation Router CAIS Certified Allied installation switch CASE Certified Allied system engineer 4011 Recognition - CNSS (Committee on National Security Systems) 4013 Recognition CNSS (Committee on National Security Systems) 3
Controle de acesso 4
Principio da autenticação 5
Rede cabeada Topologia 802.1x Suplicante Autenticador Servidor de Rede sem fio autenticação Suplicante Autenticador Servidor de autenticação 6
Definições Suplicante: a entidade que quer ter acesso Autenticador: a entidade que controla o acesso Servidor de autenticação: a entidade que autoriza ou nega o acesso 7
Estado inicial do 802.1 8
Iniciando a requisição 9
Pedindo autorização 10
802.1 em ambiente wireless 11
Vantagens Padrão aberto Baseado na identificação do usuário Gerenciamento dinâmico de chaves Administração centralizada do usuário Suporte a vários tipos de autenticação 12
EAP Extensible Authentication Protocol RFC2284 Criado para aumentar os métodos de autenticação (expandir) Modo que o suplicante prova sua identidade para o servidor de autenticação Autenticador faz o encaminhamento das mensagens EAP para o servidor de autenticação Exemplo 13
Tipos de EAP EAP-MD5 EAP-TLS EAP-PEAP EAP-LEAP EAP-TTLS Entre outros Obs. Em nosso estudo iremos nos dedicar ao PEAP e ao TLS 14
Tipos de mensagens EAP Request: Mensagem enviada do autenticador para o suplicante Response:Mensagem enviada do suplicante para o autenticador Success: Mensagem enviada pelo autenticador indicando a liberação do acesso. Failure: Mensagem enviada pelo autenticador indicando a rejeição do acesso. 15
Formato das mensagens EAP Códigos: Request (01) Response (02) Success (03) Failure (04) 16
Formato das mensagens EAP Mensagens do tipo Request e Response usam EAP TYPE FIELD. Existem apenas 6 tipos, o restante métodos proprietários TYPE: 1 Identity: é utilizado na fase de introdução 2 Notification: é utilizado para um prompt para usuário 3 NAK: é utilizado para notificar ao suplicante que o autenticador não suporta determinado método de autenticação 17
Formato das mensagens EAP Identifier: valor entre 0-255 é incrementado a cada mensagem enviada. Lenght:é o numero de bytes da mensagem EAP DATA:é o dado que é enviado nas mensagens request e response Obs. Mensagens Success e Failure não tem o campo DATA 18
EAPOL EAP foi desenvolvido para trabalhar com PPP e não com protocolos de LAN EAP over LAN (EAPOL) Nem todas mensagens EAPOL carregam mensagens EAP, existem mensagens administrativas. 19
Tipos de mensagens EAPOL EAPOL-START: Quando o suplicante faz a primeira conexão para a rede, este não possui o MAC address do autenticador, para resolver este problema o IEEE 802.1 definiu esta mensagem que utiliza um endereço MAC especial e reservado de um grupo multicast EAPOL-KEY:Autenticador envia a chave de encriptação para o suplicante EAPOL-PACKET: utilizado para transportar mensagens EAP EAPOL-LOGOFF: indica que o suplicante deseja desconectar da rede EAPOL-Encapsulated-ASF-Alert 20
Fluxo das mensagens EAP 21
Radius Transporta mensagens de autenticação sobre uma rede IP Tecnologia altamente estável Padrão 22
Padrões Radius RFC2865: Remote Authentication Dial-In User Service RFC 2866: RADIUS Accounting RFC 2867: RADIUS Accounting for Tunneling RFC 2868: RADIUS Authentication for Tunneling RFC2869: RADIUS Extensions (EAP over radius) RFC 3162: RADIUS over IP6 RFC 2548: Microsoft Vendor-Specific RADIUS Attributes 23
Mensagens relevantes do RADIUS ACCESS-REQUEST:Mensagem do autenticador para o servidor de autenticação, que realiza uma requisição ACCESS-CHALLENGE : Mensagem do servidor de autenticação para o autenticado, envia um desafio (CHAP) ACCESS-ACCEPT: Mensagem do servidor de autenticação para o autenticador indicando a aceitação do suplicante ACCESS-REJECT: Mensagem do servidor de autenticação para o autenticador indicando a rejeição do suplicante 24
Autenticação Básica do Radius 25
CODE: 1 - Access-Request 2 Access-Accept 3 Access-Reject 11 Access-Challenge Tipo de mensagem Identifier: Numero arbitrário utilizado para identificar as requisições e respostas Lenght: Indica o numero de bytes total da mensagem Autenticador: depende do tipo de mensagem Em mensagem Access-Request o campo authenticator tem um NONCE de 16 bytes 26
Tipo de mensagem Autenticador: depende do tipo de mensagem Em mensagem Access-Request o campo authenticator tem um NONCE de 16 bytes, este é usado para dois propósitos: o primeiro se a mensagem Access-request está enviando uma senha, esta senha é criptografada utilizando uma combinação entre entre a chave secreta e o nonce. Segundo em mensagens do tipo reply usa o valor do nonce derivando um valor do check de integridade. Atributes: Informação transportada pelo RADIUS 27
A Nome Tipos de atributos Descrição 1 2 4 26 User-name User-password NAS-IP-ADDRESS Vendor-specific Identificação de um user-name Contem a senha do usuário Endereço IP do NAS Permite fabricantes implementar suas particularidade 28
Exemplo de EAP over Radius 29
Análise dos Servidores Radius Client Software Microsoft Funk Odyssey Client Meetinghouse Aegis Client RADIUS Servers Microsoft IAS (2000) Cisco ACS (2000, NT, Unix) Funk Steel Belted Radius (2000, NT, Solaris) Meetinghouse Aegis Server (2000, P, Unix, Linux) TLS TTLS PEAP GTC PEAP -MSCHAPv2 MD5 LEAP 30
Exemplo de EAP-TLS Suplicante Autenticador Servidor de Autenticacao EAPOL START EAP: Request Identity EAP: Response Identity TLS Client Hello EAP: Request, EAP-TLS TLS Server hello, certificate, certificate request e Server Hello done TLS certificate, client key exchange, certificate verify, change cipher spec e encrypted handshake message TLS change cipher spec e encrypted handshake message EAP: Response, EAP-TLS EAP: Response Identity TLS Client Hello TLS Server hello, certificate, certificate request e Server Hello done TLS certificate, client key exchange, certificate verify, change cipher spec e encrypted handshake message TLS change cipher spec e encrypted handshake message EAP: Response, EAP-TLS EAP: Request, EAP-TLS EAPOL: KEY 31
Análise do EAP-TLS O cliente inicia fase de autenticação O Access point requisita a identidade, que e o campo CN (Common Name) do certificado. O Access point faz a requisição da identidade para o servidor de autenticação, e este envia a sua identidade para o cliente. Ao receber a identidade do servidor o cliente envia a sua identidade para o servidor através do access point. O servidor inicia o EAP-TLS 32
Análise do EAP-TLS O cliente envia mensagem TLS- Client Hello, nessa mensagem o cliente informa todas as capacidade que estes possui para criptografia e hash, segue abaixo as competências do cliente. Cipher Suite: TLS_RSA_WITH_RC4_128_MD5 Cipher Suite: TLS_RSA_WITH_RC4_128_SHA Cipher Suite: TLS_RSA_WITH_3DES_EDE_CBC_SHA Cipher Suite: TLS_RSA_WITH_DES_CBC_SHA Cipher Suite: TLS_RSA_EPORT1024_WITH_RC4_56_SHA Cipher Suite: TLS_RSA_EPORT1024_WITH_DES_CBC_SHA Cipher Suite: TLS_RSA_EPORT_WITH_RC4_40_MD5 Cipher Suite: TLS_RSA_EPORT_WITH_RC2_CBC_40_MD5 Cipher Suite: TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA Cipher Suite: TLS_DHE_DSS_WITH_DES_CBC_SHA Cipher Suite: TLS_DHE_DSS_EPORT1024_WITH_DES_CBC_SHA 33
Análise do EAP-TLS O Servidor responde com algumas mensagens concatenadas, na mensagem server hello o servidor escolhe uma das opções oferecidas pelo cliente, no caso como a placas clientes possuem apenas capacidade de criptografia de fluxo, usando o algoritmo RC4, que exige muito menos poder computacional do que um algoritmo DES, por exemplo, segue abaixo a opção escolhida pelo servidor. Cipher Suite: TLS_RSA_WITH_RC4_128_MD5 Nesse pacote tem também a mensagem certificate, na qual o servidor manda o seu certificado para o cliente, na mensagem certificate request, o servidor requisita o certificado do cliente. O cliente responde para o servidor com algumas mensagens, na mensagem certificate, este envia o seu certificado, na mensagem key exchange, o cliente requisita a chave de sessão que será utilizada, na mensagem Certificate verify, o cliente após verificar o certificado do servidor envia a resposta para o servidor. 34
Análise do EAP-TLS O cliente envia o EAP-TLS response, finalizando a sessão TLS Servidor envia a mensagem EAP-SUCESS, e nessa mensagem que o Access Point libera o acesso o acesso à rede para o cliente. O servidor envia a chave de sessão para que o cliente possa enviar os dados criptografados com WEP. Obs. Note que o algoritmo RC4 utilizado no WEP, não é inseguro, mas os processos para distribuição da chave e a forma de autenticação que era muito ruim, mas utilizando a autenticação 802.1x, eu melhoro estes processos tendo um sistema mais seguro 35
PEAP 36