• Nenhum resultado encontrado

SEGURANÇA EM REDES SEM FIO - AUTENTICAÇÃO COM O PROTOCOLO 802.1X

N/A
N/A
Protected

Academic year: 2021

Share "SEGURANÇA EM REDES SEM FIO - AUTENTICAÇÃO COM O PROTOCOLO 802.1X"

Copied!
14
0
0

Texto

(1)

S

EGURANÇAEMREDES SEMFIO

- A

UTENTICAÇÃOCOMOPROTOCOLO

802.1X

Rafael C. Marques

Curso Superior de Tecnologia em Redes de Computadores

FACULDADE DE TECNOLOGIA SENAC PELOTAS (FATEC PELOTAS) Rua Gonçalves Chaves, 602 – 96.015-000 – Pelotas – RS – Brasil

Abstract. This article has aimed to describe the operation on the IEEE 802.1x and perform some tests on the network implementation.

Computer networks is growing at an extreme speed, a way to deploy the network is wireless (wireless), because wireless has more flexibility but requires more attention from the network administrator with the security that can be easily broken, so developed some form of encryption, WEP, WPA (TKIP), WPA (AES), WPA2 (AES), WPA2 with the IEEE Mixed 802.1x/RADIUS to authenticate the user on the network. But only the user that will register you can access the network.

Resumo. O presente artigo tem com objetivo descrever o funcionamento sobre o protocolo IEEE 802.1x e realizar alguns testes na rede de implementação. As redes de computadores vem crescendo em uma velocidade extrema, uma forma de

implantar a rede é sem fio (wireless), por ser sem fio tem mais flexibilidade porém requer mais atenção do administrador de rede com a segurança que pode ser facilmente quebrada, sendo assim desenvolveram algumas formas de criptografia, WEP, WAP(TKIP), WPA(AES), WPA2(AES), WAP2 Mixed com o protocolo IEEE 802.1x/RADIUS para fazer a autenticação do usuário na rede. Porém só o usuário que estiver cadastro vai poderá ter acesso a rede.

1. Introdução

As redes de computadores estão cada vez mais presentes em nossas vidas, seja no trabalho, na faculdade, em casa até mesmo na rua. Com a propagação da internet tivemos um grande crescimento das rede e necessidade de nos conectar com o mundo.

Devido a este crescimento se faz necessário utilizar formas de segurança para evitar ataques de hackers em redes para evitar danos em computadores e acesso a dados ou utilização da internet, com tudo isso foram feitos estudos para a criação de

criptografias.

Através destes estudos foi possível criar criptografias mais avançadas e difíceis de serem quebradas por hackers. O protocolo IEEE 802.1x com o RADIUS faz a autenticação, ou seja, a requisição e dados pessoais, como login e senha, para que o usuário autentique à rede.

(2)

com funcionamento do protocolo de autenticação RADIUS, criando um senário real para testes autenticando em um servidor.

2. Redes sem fio

O padrão IEEE em 1999, definiu uma norma para redes locais sem fio chamada "Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY)

Specifications . O padrão IEEE 802.11, como todos os protocolos da família 802.x, especifica as camadas física e de controle de acesso ao meio (MAC).(IEEE, 1999)

Assim, as redes de padrão IEEE 802.11, conhecidas também como Wi-Fi - Wireless Fidelity, utilizam como meio físico ondas de rádio para a transmissão de dados. Dessa forma, para os computadores se comunicarem com a ausência de fios é necessário apenas placas de rede padrão Wi-Fi.

O conjunto básico de serviços (BSS - Basic Service Set) é o bloco fundamental de construção da arquitetura do padrão IEEE 802.11 (IEEE, 1999). Um BSS é definido como um grupo de estações que estão sobre o controle direto de uma única função de coordenação, que determina quando uma estação pode transmitir e receber dados (RUBINSTEIN, 2002).

No protocolo IEEE 802.11 existem dois tipos de redes sem fio: ad-hoc ou infraestruturada. Uma rede ad-hoc é composta somente por estações dentro de um mesmo BSS que se comunicam entre si sem a ajuda de uma infraestrutura. “Qualquer estação pode estabelecer uma comunicação direta com outra estação no BSS sem a necessidade que a informação passe por um ponto de acesso centralizado.” (CROW, 1999)

O padrão 802.11 refere-se a uma rede ad-hoc como um BSS independente. Já em uma rede infraestruturada, é utilizado um ponto de acesso que é responsável por quase toda a funcionalidade de rede.

“O padrão IEEE 802.11 também tem como objetivo especificar os detalhes da camada física e da subcamada MAC da camada de enlace para redes de computadores sem fio (WLAN - Wireless Local Area Network), tendo como fim relacionar as diferenças existentes com as redes Ethernet, tornando-as interoperáveis.” (DUARTE, 2003)

3. Protocolo IEEE 802.1X

O IEEE 802.1X é o padrão adotado para autenticação, ao nível de porta, em redes IEEE 802 cabeadas ou sem fio, atendendo à arquitetura AAA. O padrão define porta como sendo um ponto de conexão à LAN, podendo ser uma porta física, em redes cabeadas, ou uma porta lógica, como no caso da associação entre um dispositivo sem fio e o ponto de acesso.

O padrão IEEE 802.1x é uma solução para os problemas de autenticação encontrados no IEEE 802.11, pois o mesmo tem suporte a diversos métodos de autenticação

existentes. Desta maneira, o IEEE 802.1x garante compatibilidade entre o Protocolo de Integridade Temporal de Chave (TKIP - Temporal Key Integrity Protocol), que foi

(3)

desenvolvido para solucionar o problema de chave estática do WEP, e o Padrão de Criptografia Avançada (AES - Advanced Encryption Standard), que é um mecanismo forte de criptografia que vem sendo adotado cada vez mais pelos administradores de redes.

Uma forma de utilizar os recursos que o padrão IEEE 802.1x oferece, é implementar o protocolo EAP (BLUNK, 1998), o 802.1X pode ser configurado para exigir

autenticação entre o cliente e a rede, se não houver autenticação, as comunicações não são permitidas.

3.1. Funcionamento do IEEE 802.1X

O 802.1x é projetado para trabalhar em qualquer tipo de rede: com ou sem fio. O 802.1x requer uma infraestrutura de suporte de clientes que suportem o 802.1x, switches, pontos de acesso sem fio, para realizar o processo de requisição requer um servidor RADIUS e algum tipo de banco de dados de contas.

Na figura acima pode-se observar um cliente, que faz uma requisição de conexão inicial para um autenticador, um switch de rede ou um ponto de acesso sem fio. O autenticador é configurado para exigir o 802.1x de todos os que tenta conectar na rede e irá ignorar qualquer conexão de entrada que não houver cadastro do usuário no servidor RADIUS. O autenticador solicita ao usuário sua identidade, a qual ele passará adiante para o autenticador server RADIUS.

4. Protocolo RADIUS - Remote Authentication Dial In User Service

“O RADIUS é um protocolo utilizado para disponibilizar acesso a redes utilizando a

(4)

arquitetura AAA( protocolos AAA é uma referência aos protocolos relacionados com os procedimentos de autenticação, autorização. A autenticação verifica a identidade digital do usuário de um sistema, a autorização garante que um usuário autenticado somente tenha acesso aos recursos autorizados). Inicialmente foi desenvolvido para uso em serviços de acesso discado. O protocolo RADIUS é definido pela RFC 2865”. (RIGNEY, 2000)

O RADIUS foi idealizado para centralizar as atividades de autenticação, autorização e contabilização. O processo de autenticação funciona da seguinte maneira: um usuário faz uma requisição de acesso a um cliente RADIUS (um ponto de acesso com ou sem fio). Este cliente requisita as credenciais e os parâmetros da conexão ao usuário de origem e os envia na forma de uma mensagem RADIUS, ao servidor. Este servidor checa os dados enviados e autentica e autoriza a requisição do cliente RADIUS. Sendo o acesso autorizado ou negado, uma mensagem é retornada ao cliente. No caso de acesso autorizado, o cliente libera o acesso à rede ao usuário que fez a requisição de acesso. É importante ressaltar que toda a comunicação entre o usuário e o cliente RADIUS é realizada na camada de enlace do modelo OSI. Entre o cliente e o servidor RADIUS, a comunicação se dá na camada de aplicação. Somente após o acesso ser autorizado ao usuário (host) que a o mesmo tem acesso concedido à camada de rede e superiores.

Em relação à segurança, pela RFC 2865 (RIGNEY, 2000), não é necessário que as requisições de acesso RADIUS sejam autenticadas e protegidas em relação à integridade. Já na RFC 2869 (RIGNEY, 2000) define-se que todas as mensagens envolvidas em uma conversação EAP incluam autenticação e proteção à integridade.

5. Sobre RADIUS Windows Server 2008 (NPS)

RADIUS server. O NPS realiza autenticação, autorização e contabilização centralizada

de conexões sem fio, por chave de autenticação, e conexões remotas dial-up e VPN (rede virtual privada). Quando você usa o NPS como servidor RADIUS, configura servidores de acesso à rede, como pontos de acesso sem fio e servidores VPN, como clientes RADIUS no NPS. Configure também as diretivas de rede que o NPS usa para autorizar solicitações de conexão. Quando você configurar a contabilização RADIUS para que o NPS registre as informações de contabilização em arquivos de log no disco rígido local ou em um banco de dados do Microsoft SQL Server.

5.1. Instalação NPS no Windows Server 2008

Quando o NPS é usado como um servidor RADIUS, as mensagens do RADIUS fornecem autenticação, autorização e contabilização para conexões de acesso à rede da seguinte maneira:

Os servidores de acesso, como os servidores de acesso à rede dial-up, os servidores VPN e os pontos de acesso sem fio, recebem solicitações de conexão de clientes de acesso.

(5)

autenticação, autorização e contabilização, cria uma mensagem de solicitação de acesso e a envia para o servidor NPS.

O servidor NPS avalia a mensagem de solicitação de acesso.

Se necessário, o servidor NPS envia uma mensagem de desafio de acesso ao servidor de acesso. O servidor de acesso processa o desafio e envia uma solicitação de acesso atualizada ao servidor NPS.

As credenciais de usuário são verificadas e as propriedades de discagem da conta do usuário são obtidas usando-se uma conexão segura a um controlador de domínio.

Uma tentativa de conexão é autorizada com as propriedades de discagem da conta do usuário e das diretivas de rede.

Se a tentativa de conexão for autenticada e autorizada, o servidor NPS envia uma mensagem de aceitação de acesso ao servidor de acesso.

Se a tentativa de conexão não for autenticada ou não for autorizada, o servidor NPS envia uma mensagem de rejeição de acesso ao servidor de acesso.

O servidor de acesso conclui o processo de conexão com o cliente de acesso e envia uma mensagem de solicitação de contabilização ao servidor NPS, onde a mensagem é registrada.

O servidor NPS envia uma resposta de contabilização ao servidor de acesso.

5.2. Passo a passo instalação NPS Windows Server 2008

Figura 3: Instalar

(6)

Figura 6: Adicionar funções

Figura 5: Serviço de Acesso e Diretiva de Rede Figura 4: Adicionando Serviços

(7)

Figura 8: Configurar e Habilitar Roteamento e Acesso Remoto

(8)

Figura 10: Configuração: VPN e NAT

(9)

Figura 12: Atribuir endereço de IP Automaticamente

(10)

Figura 14: Concluir Assistente

(11)

Figura 16: Adicionando Novo Cliente RADIUS

(12)

O passo final é configurar as diretivas do NPS de acordo com a sua infraestrutura. 6. Conclusão

O padrão 802.1X com o protocolo RADIUS certamente tem uma grande funcionalidade em um senário com redes sem fio, por um simples motivo, se o cliente não possuir usuário e senha não autenticará e não possuirá acesso à rede, o HOST cliente não recebera IP atribuído pelo sever ou o ponto de acesso sem fio.

Foi criado um senário real contendo um servidor com sistema Windows Server 2008, fazendo todas as configurações encontradas no artigo, fiz diversas configurações e testes para realizar a autenticação sem obter exito. Provavelmente não funcionou por causa do Access Point que apresentou algumas falhas de comunicação com o servidor, faz a requisição porem não autentica o usuário.

7. Lista de Siglas e Abreviaturas

AAA: Authentication, Authorization, and Accounting - auntenticação, autorização e contabilização.

CHAP: Challenge Handshake Authentication Protocol - protocolo de autenticação por negociação de desafio.

DHCP: Dynamic Host Con#guration Protocol - protocolo de con#guração dinâmica de terminais.

(13)

EAP: Extensible Authentication Protocol - protocolo de autenticação extensível. IEEE: Institute of Electrical and Electronic Engineers.

IP: Internet Protocol - Protocolo de internet. LAN: Local Area Network - rede de área local.

LCP: Link Control Protocol - Protocolo para controle de link. MAC: Media Access Control.

NAS: Network Access Server - servidor de acesso à rede. NPS: Network Policy Server - servidor de política à rede.

PAP: PAP - Password Authentication Protocol - protocolo de autenticação por senha. PPP: Point-to-Point Protocol - protocolo ponto a ponto.

RADIUS: Remote Authentication Dial-in User Service.

WAN: Wireless Local Area Network - Rede de área local sem fio.

R

EFERÊNCIAS

ABOBA, B.; SIMON D. RFC 2716 - PPP EAP TLS Authentication Protocol. 1999. AKOSAN, N.; NIEMI, V.; NYBERG, K. Man-in-the-Middle in Tunnelled

Authentication Protocols. 2005,

Artigo Científico. In 11th Security Protocols Workshop.

BARTH, D.; SIEWERT, V. Lightweight Directory Access Protocol. Florianópolis, 2005. Artigo Científico.

Serviço Nacional de Aprendizado Industrial – Santa Catarina.

BLUNK, L.; VOLLBRECHT, J. RFC 2284 - PPP Extensible Authentication Protocol (EAP), 1998.

CROW B. et al. IEEE 802.11 wireless local area networks. 1997. Artigo Científico. In IEEE Communications

DUARTE, L. Análise de Vulnerabilidades e Ataques Inerentes a Redes Sem Fio 802.11x. 2003.

Monografia. Universidade Estadual Paulista Júlio de Mesquita Filho, São José do Rio Preto.

IEEE - Institute of Electrical and Electronics Engineers. Wireless LAN medium access control (MAC) and physical layer (PHY) specifications. Padrão IEEE 802.11, 1999. NIC.BR - Núcleo de Informação e Coordenação do Ponto br. NIC.br anuncia resultados da pesquisa sobre o uso da internet no Brasil. 2006.

RIGNEY, C. et al. RFC 2865 - Remote Authentication Dial In User Service (RADIUS), 2000.

(14)

RUBINSTEIN M.; REZENDE J. Qualidade de Serviço em Redes 802.11. In XX Simposio Brasileiro de Redes de Computadores, 2002.

SIMPSON, W. RFC 1994 - PPP Challenge Handshake Authentication Protocol (CHAP), 1996.

SIMPSON, W. RFC 1661 - The Point-to-Point Protocol (PPP), 1994

Referências

Documentos relacionados

Dicas para conservar melhor o seu barco: a- Evite deixar seu barco exposto ao Sol quando não estiver em uso b- Quando não for utilizar o seu barco diminua a pressão de ar

As demonstrações contábeis da Direcional, que incluem as demonstrações contábeis consolidadas com suas controladas e sociedades de propósito específico, indicadas na Nota

Em um texto publicado na revista Allegoria com um sugestivo título L’Italian Theory nella crise dela globalizzazione”, Dario Gentili, seguindo Esposito, defende que a

Pode acontecer que outros já fizeram a mesma operação, com a mesma maneira de fazer, ou já viram em outro lugar, mas verão que estou fazendo e fotografando da minha maneira, e

Assim, o objetivo deste estudo é realizar uma revisão de literatura sobre a aplicação da toxina botulínica como uma alternativa terapêutica para o tratamento do

Mas a falta de recursos não pode virar uma desculpa para deixar de in- vestir nessa área: até mesmo uma planilha ou um caderno simples podem servir para armazenar os dados

i n t e r f a c e Notify < val_t > { command error_t enable (); command error_t disable (); event void notify ( val_t val );.. Listing 3.12 The

É proibida a reprodução desta obra, mesmo parcial, por qualquer processo, sem prévia autorização, por escrito, do autor e da Editora.. Editor: