Autenticação

Na autenticação, realiza-se o procedimento de reconhecimento do usuário, este faz uma requisição de um serviço. Quando um cliente deseja ingressar na rede, envia a solicitação para

44 o NAS, que encaminha o pedido ao servidor RADIUS. Por fim verifica as credenciais do usuário junto a um banco de dados local ou remoto (SQL, OpenLDAP ou AD DS), tendo a responsabilidade de verificar a autenticidade do usuário e repassar as informações de volta para o NAS.

Existem três tipos de respostas que o RADIUS envia ao para a NAS, que são:

 Access Reject: Tal informação indica a negação de todos os serviços de rede solicitados. A falta dela na identificação, usuário desconhecido ou inativo pode ocasionar nessa negação.

 Access Challenge: Solicita informações adicionais como PIN, token ou cartão.  Access Accept: Acesso permitido.

Outra característica importante encontrada no RADIUS é a segurança aplicada durante a autenticação, tornando mais confiável a troca de dados através da criptografia de senhas e adicionando uma camada extra de segurança contra casos de captura de dados na rede (ataques como o Man-in-the-middle, por exemplo). A grande vantagem de se utilizar o RADIUS está na variedade das suas funcionalidades, que o torna um sistema de autenticação preparado para diversas situações da rede.

É considerado, na FIGURA 11, o NAS 1 como cliente RADIUS. A autenticação dos serviços do NAS 1 é efetuado pelo servidor RADIUS 1 e do NAS 2 pelo servidor RADIUS 2. O usuário A quer utilizar os serviços que o NAS 1 oferece e, para isso, ele envia uma solicitação ao NAS 1. Em seguida, o NAS1 faz a comunicação com o RADIUS 1, informando que o usuário A está querendo utilizar seus serviços. No exemplo usado o servidor RADIUS 1 pôde autenticar o usuário A sem falhas, o qual comprova sua autenticidade, podendo o mesmo beneficiar-se dos serviços que solicitou.

Já o usuário C quer utilizar os serviços que o NAS 2 oferece, então, o servidor RADIUS 1 assume a função de Proxy RADIUS para o servidor RADIUS 2. Dessa forma a autenticação entre RADIUS 2 e o NAS 2 será realizada pelo RADIUS 1. Ele consegue autenticar serviços tanto localmente quanto intermediar a autenticação de outros serviços.

45 Fonte: www.freeradius.org.com, Acesso em 10 ago. 2014

FIGURA 10: Topologia com uso do RADIUS.

2.10.2 FreeRADIUS

O FreeRADIUS é um servidor baseado no protocolo RADIUS Open Source (licença Gnu Not is Unix/General Public License - GNU/GPL), que teve seu projeto iniciado no ano de 1999, por Alan Dekok e Miquel Smoorenburg. Ganhou força devido à integração de módulos para o suporte a banco de dados como o SQL e também ao LDAP.

É o servidor de autenticação mais amplamente difundido no mundo, sendo responsável por autenticar grande parte de usuários da Internet. Tem como principais vantagens alto desempenho, grandes funcionalidades e flexibilidade, suportando os seguintes métodos de autorização: Local, LDAP e Base de Dados SQL (MySQL/PostgreSQL/Oracle) e tem capacidade para métodos de autenticação: Password Authentication Protocol (PAP), Challenger-Handshake Authentication Protocol (CHAP), Microsoft-Challenger-Handshake Authentication Protocol (MS-CHAP), Microsoft-Challenger-Handshake Authentication Protocol Version 2 (MS-CHAPv2), Kerberos, Extensible Authentication Protocol (EAP), Extensible Authentication Protocol-Message-Digest Algorithm 5 (EAP-MD5), Cisco Lightweight Extensible Authentication Protocol (LEAP), Extensible Authentication Protocol- Microsoft Challenge Handshake Authentication Protocol-Version 2 (EAP-MSCHAP-v2),

Extensible Authentication Protocol-Generic Token-Card (EAP-GTC), Extensible Authentication Protocol -Subscriber Identity Module (EAP-SIM) e Extensible Authentication Protocol -Transport Layer Security (EAP-TLS).

46 2.10.3 Princípio de funcionamento

Um usuário só poderá se conectar à rede caso suas credenciais sejam validadas pelo servidor RADIUS, efetuada por meio de protocolos de autenticação. Sem isso, a porta do Switch estará bloqueada para tráfegos de rede, no caso de autenticação de dispositivos com fio ou a associação do dispositivo será negada, se for de redes wireless. Em ambos utiliza-se o padrão 802.1x, também conhecido como Port Based Authentication).

O servidor RADIUS possui permissão para entrar em contato com o controlador de domínio para autenticação do usuário. Mesmo que a porta do Switch esteja fechada, o computador pode transferir informações com o servidor RADIUS através do Protocolo EAP e suas variáveis. Com isso, o servidor RADIUS verifica junto ao controlador de domínio a existência do usuário e se a senha correspondente está correta. Caso esteja, o servidor RADIUS informa ao NAS que permitirá os demais protocolos utilizados na rede.

2.11 PACKETFENCE

O PacketFence é um sistema NAC Open Source. Ele provê funções que incluem Captive Portal para registro e remediação, gerenciamento sem fio e com fio centralizado, suporte ao padrão 802.1x, isolamento de dispositivos problemáticos em camada 2, integração com o Network Intrusion Detection System (NIDS) Snort/Suricata e com o scanner de vulnerabilidades Nessus/Openvas.

2.11.1 Funções do PacketFence

Promove proteção tanto para pequenas quanto para grandes redes. Atualmente em sua versão 4.4.0, fornece as seguintes funções:

 Out of band (VLAN Enforcement): Operação fora de banda. Quando utilizado com aplicação de VLAN oferecendo uma solução geograficamente escalável, proporcionando um agrupamento de dispositivos de forma lógica, gerando flexibilidade e redução da divulgação do tráfego sobre a rede.

47  In band (In Line Enforcement): Operação em banda. Utilizado especialmente quando se dispõe de Access Point (AP) e switches com hardware legado (out-of- date). Esse modo de operação possui algumas limitações;

 Hybrid Support (Inline Enforcement with RADIUS support): Pode-se utilizar a configuração híbrida, combinando os modos In Line e Out of band. É indicado para redes que ainda possuem alguns switches ou AP legados, ou seja, sem suporte a VLAN, Mac-Authentication ou 802.1x;

 Hotspot Support: Permite a configuração de um hotspot, caso se disponha de um dispositivo gerenciável que suporte um Captive Portal externo (como o Cisco WLC e o Aruba IAP);

 Voice over Internet Protocol (VoIP) Support: VoIP é completamente suportado mesmo em ambientes heterogêneos, tendo compatibilidade com diversos fabricantes (Cisco, Edge-Core, Hewlett Packard (HP), LinkSys, Nortel Networks e outros);

 802.1x: Dot1x com suporte com fio e sem fio através do módulo FreeRADIUS.

 Wireless Integration: Esta função permite garantir que a autenticação em redes sem fio seja efetuada da mesma maneira que em redes com fio, utilizando uma única base de dados de usuário e um único Captive Portal, e provendo, assim, uma experiência consistente aos usuários. Suporta que AP e Wireless Controllers de diversos fabricantes operem simultaneamente;

 Registration: Promove um método opcional de registro de dispositivos, semelhante ao Captive Portal, permitindo que dispositivos previamente registrados ingressem na rede sem nenhuma autenticação, e tendo como única interação com o usuário a exibição dos termos referentes às políticas de segurança da empresa. O acesso à rede é liberado após a aceitação por parte do usuário;

 Detection of abnormal Network activities: Atividades anormais na rede (vírus, worms, spywares, tráfego negado pela aplicação de políticas de rede e outros)

48 podem ser detectadas através do uso do sensor de rede Snort/Suricata (local ou remoto). O PacketFence tem seu próprio mecanismo de alerta e supressão de mensagens de acordo com seu tipo. Um conjunto de ações configuráveis para cada violação está disponível aos administradores;

 Proactive vulnerability scans: Escaneamentos de vulnerabilidades podem ser executados, com Nessus ou OpenVas, antes do registro do dispositivo. O PacketFence correlaciona os Commom Vulnerabilities and Exposures (CVE) de vulnerabilidades de cada escaneamento com as configurações de violação declaradas pelo administrador, retornando páginas web específicas sobre o conteúdo de cada violação que um host tenha infringido;

 Isolation of problematics devices: PacketFence suporta várias técnicas de isolamento, incluindo VLAN com suporte VoIP, mesmo em ambientes heterogêneos (diversos fabricantes de switches);

 Remediation Through a Captive Portal: Se uma anormalidade for detectada, todo tráfego de rede do dispositivo será controlado pelo PacketFence. Baseado no status atual do nó, não registrado, violação... o usuário é redirecionado para a Uniform Resource Locator (URL) apropriada a seu caso. Durante uma violação, serão apresentadas ao usuário instruções para a situação em especial que ele se encontra. Isso reduz custos com intervenções do suporte técnico;

 Command-line and Web-based management: Estão disponíveis interfaces baseadas em C e também em linha de comando para gerenciamento de todas as tarefas;

 Guest Access: Suporta uma VLAN especial “out-of-box”, permitindo a configuração de uma rede exclusivamente dedicada a visitantes, apenas com acesso à Internet. O registro dos dispositivos pode ser efetuado através do Captive Portal que apresentará uma explicação ao usuário de como se registrar ou através da criação de contas com períodos de expiração pré-definidos e totalmente configuráveis. É possível criar um usuário com acesso apenas ao módulo de criação

49 de contas temporárias (dando a oportunidade de um colaborador da empresa, uma recepcionista, por exemplo, de criar as contas temporárias). Ainda pode-se utilizar o gerador de código em lotes para imprimir vouchers de acesso à rede guest. Vários tipos de registros de usuários visitantes são suportados, dentre eles: Self- Registration, Pre-Registration, Owner’s Authentication 2 - OAuth2 (Google, Facebook, GitHub, LinkedIn, Windows Live) e Education Roaming (EduRoam).

 Game devices registration: Um usuário poderá acessar uma página web especial para arquivar seu próprio dispositivo de jogo (PS3/PS4, PSP, XBOX 360/ONE e WII). O processo de registro requer um login de usuário que irá registrar o dispositivo de jogo com um Media Access Control (MAC), que possui um Organizationally Unique Identifier (OUI) - prefixo do endereço MAC destinado ao fabricante - pré-aprovado, requerendo apenas a porção única do endereço físico da placa de rede do dispositivo e facilitando o cadastro.

2.11.2 Softwares

A solução PacketFence faz uso de diversos programas em prol de seu funcionamento. Essa integração o torna, juntamente com características importantes, como ser open source e ter compatibilidade com diversos fabricantes de ativos de rede, uma solução bastante interessante, principalmente para empresas que dispõem de profissionais capacitados, mas não de recursos financeiros para a implantação de um NAC proprietário.

A arquitetura de funcionamento do PacketFence é apresentada na FIGURA 5: Na parte inferior, podem-se visualizar os Network Access Server (NAS), bem como os fabricantes suportados. Eles se comunicam com o PacketFence através do Net-SNMP, que utiliza o protocolo Simple Network Management Protocol (SNMP). Na parte esquerda, veem-se os softwares responsáveis pela verificação de conformidade, controle de fluxo de rede e escâner de vulnerabilidades (Snort, Nessus e Netflow/IPFIX).

Á direita do PacketFence têm-se o FreeRADIUS, responsável pela solicitação/autenticação das credenciais dos usuários, utilizando o padrão 802.1x. Acima se encontra o Apache, responsável pelo gerenciamento web, onde são efetuadas as configurações do PacketFence e administração dos dispositivos, além do Captive Portal, página a qual os usuários efetuam logon na rede. Na parte superior, estão as bases de dados que contém as

50 credenciais dos usuários, com diversos tipos de serviços de diretórios Lightweight Directory Access Protocol - LDAP (OpenLDAP, AD DS, Novell e outros) e Structured Query Language - SQL (Microsoft SQL Server, PostgreSQL e Oracle).

2.11.3 Softwares (Opcionais)

Além dos softwares visualizados na FIGURA 5 e, dependendo do layout utilizado pelo administrador da rede, o PacketFence pode utilizar também:

Fonte: www.packetfence.org, Acesso em 01 ago. 2014 FIGURA 11: Arquitetura do PacketFence

51  Dynamic Host Configuration Protocol (DHCP) Server: Atribui vários parâmetros de configuração de rede como endereços Internet Protocol (IP), máscaras de sub- rede, gateway, endereços de servidores Domain Name System (DNS), entre outros, para as diversas VLAN existentes;

 DNS Server: Serviço de nomes de domínios que irá resolver endereços de computadores dentro do domínio da organização;

 MySQL Server: Servidor de banco de dados que armazenará as credenciais dos usuários, caso prefira utilizar um banco de dados local (no mesmo servidor do FreeRADIUS).