S
EGURANÇAEMREDES SEMFIO- A
UTENTICAÇÃOCOMOPROTOCOLO802.1X
Rafael C. Marques
Curso Superior de Tecnologia em Redes de Computadores
FACULDADE DE TECNOLOGIA SENAC PELOTAS (FATEC PELOTAS) Rua Gonçalves Chaves, 602 – 96.015-000 – Pelotas – RS – Brasil
Abstract. This article has aimed to describe the operation on the IEEE 802.1x and perform some tests on the network implementation.
Computer networks is growing at an extreme speed, a way to deploy the network is wireless (wireless), because wireless has more flexibility but requires more attention from the network administrator with the security that can be easily broken, so developed some form of encryption, WEP, WPA (TKIP), WPA (AES), WPA2 (AES), WPA2 with the IEEE Mixed 802.1x/RADIUS to authenticate the user on the network. But only the user that will register you can access the network.
Resumo. O presente artigo tem com objetivo descrever o funcionamento sobre o protocolo IEEE 802.1x e realizar alguns testes na rede de implementação. As redes de computadores vem crescendo em uma velocidade extrema, uma forma de
implantar a rede é sem fio (wireless), por ser sem fio tem mais flexibilidade porém requer mais atenção do administrador de rede com a segurança que pode ser facilmente quebrada, sendo assim desenvolveram algumas formas de criptografia, WEP, WAP(TKIP), WPA(AES), WPA2(AES), WAP2 Mixed com o protocolo IEEE 802.1x/RADIUS para fazer a autenticação do usuário na rede. Porém só o usuário que estiver cadastro vai poderá ter acesso a rede.
1. Introdução
As redes de computadores estão cada vez mais presentes em nossas vidas, seja no trabalho, na faculdade, em casa até mesmo na rua. Com a propagação da internet tivemos um grande crescimento das rede e necessidade de nos conectar com o mundo.
Devido a este crescimento se faz necessário utilizar formas de segurança para evitar ataques de hackers em redes para evitar danos em computadores e acesso a dados ou utilização da internet, com tudo isso foram feitos estudos para a criação de
criptografias.
Através destes estudos foi possível criar criptografias mais avançadas e difíceis de serem quebradas por hackers. O protocolo IEEE 802.1x com o RADIUS faz a autenticação, ou seja, a requisição e dados pessoais, como login e senha, para que o usuário autentique à rede.
com funcionamento do protocolo de autenticação RADIUS, criando um senário real para testes autenticando em um servidor.
2. Redes sem fio
O padrão IEEE em 1999, definiu uma norma para redes locais sem fio chamada "Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY)
Specifications . O padrão IEEE 802.11, como todos os protocolos da família 802.x, especifica as camadas física e de controle de acesso ao meio (MAC).(IEEE, 1999)
Assim, as redes de padrão IEEE 802.11, conhecidas também como Wi-Fi - Wireless Fidelity, utilizam como meio físico ondas de rádio para a transmissão de dados. Dessa forma, para os computadores se comunicarem com a ausência de fios é necessário apenas placas de rede padrão Wi-Fi.
O conjunto básico de serviços (BSS - Basic Service Set) é o bloco fundamental de construção da arquitetura do padrão IEEE 802.11 (IEEE, 1999). Um BSS é definido como um grupo de estações que estão sobre o controle direto de uma única função de coordenação, que determina quando uma estação pode transmitir e receber dados (RUBINSTEIN, 2002).
No protocolo IEEE 802.11 existem dois tipos de redes sem fio: ad-hoc ou infraestruturada. Uma rede ad-hoc é composta somente por estações dentro de um mesmo BSS que se comunicam entre si sem a ajuda de uma infraestrutura. “Qualquer estação pode estabelecer uma comunicação direta com outra estação no BSS sem a necessidade que a informação passe por um ponto de acesso centralizado.” (CROW, 1999)
O padrão 802.11 refere-se a uma rede ad-hoc como um BSS independente. Já em uma rede infraestruturada, é utilizado um ponto de acesso que é responsável por quase toda a funcionalidade de rede.
“O padrão IEEE 802.11 também tem como objetivo especificar os detalhes da camada física e da subcamada MAC da camada de enlace para redes de computadores sem fio (WLAN - Wireless Local Area Network), tendo como fim relacionar as diferenças existentes com as redes Ethernet, tornando-as interoperáveis.” (DUARTE, 2003)
3. Protocolo IEEE 802.1X
O IEEE 802.1X é o padrão adotado para autenticação, ao nível de porta, em redes IEEE 802 cabeadas ou sem fio, atendendo à arquitetura AAA. O padrão define porta como sendo um ponto de conexão à LAN, podendo ser uma porta física, em redes cabeadas, ou uma porta lógica, como no caso da associação entre um dispositivo sem fio e o ponto de acesso.
O padrão IEEE 802.1x é uma solução para os problemas de autenticação encontrados no IEEE 802.11, pois o mesmo tem suporte a diversos métodos de autenticação
existentes. Desta maneira, o IEEE 802.1x garante compatibilidade entre o Protocolo de Integridade Temporal de Chave (TKIP - Temporal Key Integrity Protocol), que foi
desenvolvido para solucionar o problema de chave estática do WEP, e o Padrão de Criptografia Avançada (AES - Advanced Encryption Standard), que é um mecanismo forte de criptografia que vem sendo adotado cada vez mais pelos administradores de redes.
Uma forma de utilizar os recursos que o padrão IEEE 802.1x oferece, é implementar o protocolo EAP (BLUNK, 1998), o 802.1X pode ser configurado para exigir
autenticação entre o cliente e a rede, se não houver autenticação, as comunicações não são permitidas.
3.1. Funcionamento do IEEE 802.1X
O 802.1x é projetado para trabalhar em qualquer tipo de rede: com ou sem fio. O 802.1x requer uma infraestrutura de suporte de clientes que suportem o 802.1x, switches, pontos de acesso sem fio, para realizar o processo de requisição requer um servidor RADIUS e algum tipo de banco de dados de contas.
Na figura acima pode-se observar um cliente, que faz uma requisição de conexão inicial para um autenticador, um switch de rede ou um ponto de acesso sem fio. O autenticador é configurado para exigir o 802.1x de todos os que tenta conectar na rede e irá ignorar qualquer conexão de entrada que não houver cadastro do usuário no servidor RADIUS. O autenticador solicita ao usuário sua identidade, a qual ele passará adiante para o autenticador server RADIUS.
4. Protocolo RADIUS - Remote Authentication Dial In User Service
“O RADIUS é um protocolo utilizado para disponibilizar acesso a redes utilizando a
arquitetura AAA( protocolos AAA é uma referência aos protocolos relacionados com os procedimentos de autenticação, autorização. A autenticação verifica a identidade digital do usuário de um sistema, a autorização garante que um usuário autenticado somente tenha acesso aos recursos autorizados). Inicialmente foi desenvolvido para uso em serviços de acesso discado. O protocolo RADIUS é definido pela RFC 2865”. (RIGNEY, 2000)
O RADIUS foi idealizado para centralizar as atividades de autenticação, autorização e contabilização. O processo de autenticação funciona da seguinte maneira: um usuário faz uma requisição de acesso a um cliente RADIUS (um ponto de acesso com ou sem fio). Este cliente requisita as credenciais e os parâmetros da conexão ao usuário de origem e os envia na forma de uma mensagem RADIUS, ao servidor. Este servidor checa os dados enviados e autentica e autoriza a requisição do cliente RADIUS. Sendo o acesso autorizado ou negado, uma mensagem é retornada ao cliente. No caso de acesso autorizado, o cliente libera o acesso à rede ao usuário que fez a requisição de acesso. É importante ressaltar que toda a comunicação entre o usuário e o cliente RADIUS é realizada na camada de enlace do modelo OSI. Entre o cliente e o servidor RADIUS, a comunicação se dá na camada de aplicação. Somente após o acesso ser autorizado ao usuário (host) que a o mesmo tem acesso concedido à camada de rede e superiores.
Em relação à segurança, pela RFC 2865 (RIGNEY, 2000), não é necessário que as requisições de acesso RADIUS sejam autenticadas e protegidas em relação à integridade. Já na RFC 2869 (RIGNEY, 2000) define-se que todas as mensagens envolvidas em uma conversação EAP incluam autenticação e proteção à integridade.
5. Sobre RADIUS Windows Server 2008 (NPS)
RADIUS server. O NPS realiza autenticação, autorização e contabilização centralizada
de conexões sem fio, por chave de autenticação, e conexões remotas dial-up e VPN (rede virtual privada). Quando você usa o NPS como servidor RADIUS, configura servidores de acesso à rede, como pontos de acesso sem fio e servidores VPN, como clientes RADIUS no NPS. Configure também as diretivas de rede que o NPS usa para autorizar solicitações de conexão. Quando você configurar a contabilização RADIUS para que o NPS registre as informações de contabilização em arquivos de log no disco rígido local ou em um banco de dados do Microsoft SQL Server.
5.1. Instalação NPS no Windows Server 2008
Quando o NPS é usado como um servidor RADIUS, as mensagens do RADIUS fornecem autenticação, autorização e contabilização para conexões de acesso à rede da seguinte maneira:
Os servidores de acesso, como os servidores de acesso à rede dial-up, os servidores VPN e os pontos de acesso sem fio, recebem solicitações de conexão de clientes de acesso.
autenticação, autorização e contabilização, cria uma mensagem de solicitação de acesso e a envia para o servidor NPS.
O servidor NPS avalia a mensagem de solicitação de acesso.
Se necessário, o servidor NPS envia uma mensagem de desafio de acesso ao servidor de acesso. O servidor de acesso processa o desafio e envia uma solicitação de acesso atualizada ao servidor NPS.
As credenciais de usuário são verificadas e as propriedades de discagem da conta do usuário são obtidas usando-se uma conexão segura a um controlador de domínio.
Uma tentativa de conexão é autorizada com as propriedades de discagem da conta do usuário e das diretivas de rede.
Se a tentativa de conexão for autenticada e autorizada, o servidor NPS envia uma mensagem de aceitação de acesso ao servidor de acesso.
Se a tentativa de conexão não for autenticada ou não for autorizada, o servidor NPS envia uma mensagem de rejeição de acesso ao servidor de acesso.
O servidor de acesso conclui o processo de conexão com o cliente de acesso e envia uma mensagem de solicitação de contabilização ao servidor NPS, onde a mensagem é registrada.
O servidor NPS envia uma resposta de contabilização ao servidor de acesso.
5.2. Passo a passo instalação NPS Windows Server 2008
Figura 3: Instalar
Figura 6: Adicionar funções
Figura 5: Serviço de Acesso e Diretiva de Rede Figura 4: Adicionando Serviços
Figura 8: Configurar e Habilitar Roteamento e Acesso Remoto
Figura 10: Configuração: VPN e NAT
Figura 12: Atribuir endereço de IP Automaticamente
Figura 14: Concluir Assistente
Figura 16: Adicionando Novo Cliente RADIUS
O passo final é configurar as diretivas do NPS de acordo com a sua infraestrutura. 6. Conclusão
O padrão 802.1X com o protocolo RADIUS certamente tem uma grande funcionalidade em um senário com redes sem fio, por um simples motivo, se o cliente não possuir usuário e senha não autenticará e não possuirá acesso à rede, o HOST cliente não recebera IP atribuído pelo sever ou o ponto de acesso sem fio.
Foi criado um senário real contendo um servidor com sistema Windows Server 2008, fazendo todas as configurações encontradas no artigo, fiz diversas configurações e testes para realizar a autenticação sem obter exito. Provavelmente não funcionou por causa do Access Point que apresentou algumas falhas de comunicação com o servidor, faz a requisição porem não autentica o usuário.
7. Lista de Siglas e Abreviaturas
AAA: Authentication, Authorization, and Accounting - auntenticação, autorização e contabilização.
CHAP: Challenge Handshake Authentication Protocol - protocolo de autenticação por negociação de desafio.
DHCP: Dynamic Host Con#guration Protocol - protocolo de con#guração dinâmica de terminais.
EAP: Extensible Authentication Protocol - protocolo de autenticação extensível. IEEE: Institute of Electrical and Electronic Engineers.
IP: Internet Protocol - Protocolo de internet. LAN: Local Area Network - rede de área local.
LCP: Link Control Protocol - Protocolo para controle de link. MAC: Media Access Control.
NAS: Network Access Server - servidor de acesso à rede. NPS: Network Policy Server - servidor de política à rede.
PAP: PAP - Password Authentication Protocol - protocolo de autenticação por senha. PPP: Point-to-Point Protocol - protocolo ponto a ponto.
RADIUS: Remote Authentication Dial-in User Service.
WAN: Wireless Local Area Network - Rede de área local sem fio.
R
EFERÊNCIASABOBA, B.; SIMON D. RFC 2716 - PPP EAP TLS Authentication Protocol. 1999. AKOSAN, N.; NIEMI, V.; NYBERG, K. Man-in-the-Middle in Tunnelled
Authentication Protocols. 2005,
Artigo Científico. In 11th Security Protocols Workshop.
BARTH, D.; SIEWERT, V. Lightweight Directory Access Protocol. Florianópolis, 2005. Artigo Científico.
Serviço Nacional de Aprendizado Industrial – Santa Catarina.
BLUNK, L.; VOLLBRECHT, J. RFC 2284 - PPP Extensible Authentication Protocol (EAP), 1998.
CROW B. et al. IEEE 802.11 wireless local area networks. 1997. Artigo Científico. In IEEE Communications
DUARTE, L. Análise de Vulnerabilidades e Ataques Inerentes a Redes Sem Fio 802.11x. 2003.
Monografia. Universidade Estadual Paulista Júlio de Mesquita Filho, São José do Rio Preto.
IEEE - Institute of Electrical and Electronics Engineers. Wireless LAN medium access control (MAC) and physical layer (PHY) specifications. Padrão IEEE 802.11, 1999. NIC.BR - Núcleo de Informação e Coordenação do Ponto br. NIC.br anuncia resultados da pesquisa sobre o uso da internet no Brasil. 2006.
RIGNEY, C. et al. RFC 2865 - Remote Authentication Dial In User Service (RADIUS), 2000.
RUBINSTEIN M.; REZENDE J. Qualidade de Serviço em Redes 802.11. In XX Simposio Brasileiro de Redes de Computadores, 2002.
SIMPSON, W. RFC 1994 - PPP Challenge Handshake Authentication Protocol (CHAP), 1996.
SIMPSON, W. RFC 1661 - The Point-to-Point Protocol (PPP), 1994