FACULDADE DE TECNOLOGIA SENAC GOIÁS GESTÃO EM TECNOLOGIA DA INFORMAÇÃO WISLIY LOPES JULIANO PIROZZELLI TULIO TSURUDA LUIZ GUILHERME MENDES PROTOCOLO 802.1X COM FRERADIUS GOIÂNIA JUNHO DE 2014
Sumário 1. Resumo... 3 2. O Protocolo 802.1X e o EAP... 3 2.1 Funcionamento do Protocolo 802.1X... 4 3. O Protocolo RADIUS... 5 3.1 Topologia e Funcionamento... 6 3.2 Authentication, Authorization, Accounting... 7 4. Implementação do Protocolo 802.1X... 8 4.1 Instalação... 8 4.2 Configuração do Servidor RADIUS... 11
1. Resumo Com o constante crescimento das redes de computadores, que estão cada vez mais presentes em nossas vidas e são utilizadas para os mais variados fins e em diversos lugares, surge também a necessidade de se utilizar mecanismos de segurança para evitar ataques e/ou invasões. O protocolo RADIUS, em combinação com o protocolo 802.1X, pode ser usado para implementar um esquema de autenticação em redes sem fio, possibilitando gerenciar sem traumas uma grande quantidade de usuários. O sistema é compatível com clientes Windows e Unix/Linux e permite implementar redundâncias para garantir alta disponibilidade. Com pouquíssimo esforço extra, a solução pode ser aplicada para garantir a segurança de redes sem fio. Os administradores podem, ainda, se beneficiar das vastas opções de contabilidade disponíveis. 2. O Protocolo 802.1X e o EAP O protocolo IEEE 802.1X oferece controle de acesso na camada 2 do modelo OSI e permite a autenticação de clientes enquanto estes estabelecem uma conexão com a rede. Isso garante que possíveis invasores sejam barrados antes mesmo de ganhar um endereço IP via DHCP (Dynamic Host Configuration Protocol). O padrão especifica também a forma como o protocolo de autenticação (EAP, Extensible Authentication Protocol ou Protocolo Extensível de Autenticação) é encapsulado no protocolo Ethernet, seja dentro do cabo ou da interface de rádio. Por isso, o 802.1X também é conhecido como EAPOL (EAP over LAN, EAP sobre LAN). o 802.1X pode ser configurado para exigir autenticação entre o cliente e a rede, se não houver autenticação, as comunicações não são permitidas. Além do EAP, o 802.1X também trabalha com o protocolo PPP (Point to Point Protocol, ou Protocolo Ponto a Ponto). O PPP e o EAP são padrões da Internet (normatizados pelo IETF com documentos RFC), enquanto o 802.1X foi desenvolvido pelo IEEE (Institute of Electrical and Electronics Engineers). O EAP possibilita vários métodos de autenticação, permitindo que sejam usadas mais informações do que a combinação usual de nome e senha. Ele usa um autenticador no padrão NAS Network Access Server para abrir um túnel até o servidor de autenticação através da rede. Isso permite que outros protocolos usem o túnel. O 802.1X define um grande número de termos para as entidades envolvidas no processo.
Apesar de este padrão ter sido planejado para redes com fio Ethernet, ele também foi adaptado para o uso em LANs com fio 802.11, o que permite um efetivo controle sobre quais os dispositivos podem conectar-se à rede corporativa de uma organização. 2.1 Funcionamento do Protocolo 802.1X Conforme mencionado anteriormente, 802.1X é projetado para trabalhar em qualquer tipo de rede: com ou sem fio. O 802.1X requer uma infraestrutura de suporte, clientes nominais que suportem o 802.1X, switches, pontos de acesso sem fio, um servidor RADIUS e algum tipo de banco de dados de contas, como o LDAP ou Active Directory. O cliente que requisita a autenticação é chamado de Requerente (Supplicant); O servidor que autentica o cliente é conhecido como Servidor de Autenticação (Authentication Server); O dispositivo intermediário entre essas duas entidades é o Network Authentication Server (NAS), também chamado de Autenticador.
3. O Protocolo RADIUS O RADIUS (Remote Authentication Dial In User Service) é um protocolo de autenticação, autorização e accounting. O protocolo baseia-se em pergunta e resposta, que utiliza o protocolo de transporte UDP (portas 1812 e1813). A autenticação verifica a identidade digital do usuário, a autorização garante que um usuário autenticado somente tenha acesso aos recursos autorizados e, por fim, a accounting refere-se à coleta de informações sobre o uso dos recursos de um sistema pelos seus usuários. O accounting é gerado através de bilhetes de todos os usuários distribuídos na rede. O servidor RADIUS pode armazenar os bilhetes ou ser armazenado em outro servidor definido pelo operador.
3.1 Topologia e Funcionamento O protocolo RADIUS segue a arquitetura servidor/cliente, ou seja o usuário que deseja utilizar um determinado serviço de rede envia as suas informações para o NAS solicitado (o NAS atua como um cliente para o servidor RADIUS), que pode solicitar a autenticação deste usuário a um servidor RADIUS AAA, na forma de uma mensagem de requisição de acesso (Access- Request message). De acordo com a resposta fornecida pelo servidor AAA, o cliente (NAS) pode então fornecer os serviços requisitados pelo usuário de acordo com as políticas e informações estabelecidas pelo servidor RADIUS AAA. Após receber uma requisição do cliente, o servidor RADIUS tenta promover a autenticação do usuário, e retorna as informações de configuração e as políticas a serem aplicadas para o mesmo.
3.2 Authentication, Authorization, Accounting O servidor RADIUS é um servidor AAA. Para poder ser considerado como tal, ele precisa ser capaz de autenticar usuários, lidar efetivamente com as requisições de autorização e prover a coleta de informações dos usuários (auditoria). Autenticação: se refere ao processo de se apresentar uma identidade digital de uma entidade para outra. Normalmente, esta autenticação ocorre entre um cliente e um servidor. De uma forma mais geral, a autenticação é efetuada através da apresentação de uma identidade e suas credenciais correspondentes, como a senha associada, tickets, tokens e certificados digitais. Autorização: se refere à associação de certos tipos de privilégios para uma entidade, baseados na própria autenticação da entidade e de quais serviços estão sendo requisitados. Dentre as políticas de autorização, podemos utilizar restrições em determinados horários, restrições de acordo com o grupo ao qual pertence o usuário e proteção contra múltiplas conexões simultâneas efetuadas pelo mesmo usuário. Como exemplo de aplicações que utilizam estas políticas de autorização, podemos citar as políticas de Qualidade de Serviço, que podem fornecer mais banda de acordo com o serviço requisitado, o controle de certos tipos de pacotes, como ocorre no traffic shapping, dentre outros. Accounting (auditoria): se refere ao monitoramento do comportamento dos usuários e de que forma estes consomem os recursos da rede. Estas informações podem ser muito úteis para melhor gerenciar os recursos de rede, para a cobrança de serviços e para o planejamento de quais setores da rede precisam ser melhorados.
4. Implementação do Protocolo 802.1X 4.1 Instalação Em Configuration Tasks, e clique em Add Roles (Adicionar função) Selecione Network Policy and Access Services, e clique em Avançar. Se Necessário verifique as informações através do help na Introdução da função. Em seguida clique em Next.
O Network Policy Server precisa ser selecionado para usar qualquer um dos itens que fazem parte da função. Basta clicar em Add Required Role Services. A próxima tela contém uma orientação sobre o Serviço. Todos esses itens são necessários para a seção deste papel da função. Selecione o Protocolo Host Credential Authorization Protocol, (HCAP) Protocolo de Autorização de credenciais.
Clique em Next até chegar à página de conclusão. Verifique se todas as funções necessárias estão selecionadas, e clique em Install.
4.2 Configuração do Servidor RADIUS Clique em Iniciar > Ferramentas Administrativas > abra o Network Policy Server. Em Network Access Protection (NAP), selecione servidor RADIUS 802.1X para redes sem fio ou conexões com fio na tela inicial do NPS e clique em Configure NAP.
No campo Name, digite Secure Wireless Connections. Cada configuração de Access Point (AP) varia, mas a maioria possui a criptografica WPA2- Enterprise que é a recomendada, Digite o endereço IP do servidor que vai adicionar, e digite o Shared Secret. Devemos consultar os manuais de AP s ou fóruns sobre a localização das configurações de cada um.
Isso funciona criando uma ligação segura entre o servidor e o cliente. Digite um nome para o cliente, e coloque o IP do servidor para o assistente tentar se comunicar com o destino. Escolha um Shared Secret conforme solicitado acima, ele é usado para autenticar no seu ponto de acesso (AP), esta será a forma como o cliente e o servidor vai se comunicar com o AP para poder verificar a conexão. Clique em avançar depois de ter criado o seu RADIUS Client. Agora selecione Microsoft: Smart Card ou outro certificado, caso queira usar qualquer o certificado existente que foi criado ou se possui uma autoridade certificadora (CA) no servidor. Adicione os grupos de usuários que terão permissão ao acesso de autenticação RADIUS, clique em avançar e Finish. Quando o Access Point for ligado, ele tentará autenticar os usuários que se conectarem a ele e os obrigará a obter um certificado. Será necessário solicitar ao servidor para que confirme a autenticidade e faça parte dos recursos da rede.