Departamento de Computação - Universidade Federal de São Carlos (UFSCar) T.I.S. São Carlos, v. 4, n. 2, p. 148-154, mai-ago 2015
©Tecnologias, Infraestrutura e Software
Identificação dos Usuários em Rede Corporativa
Rafael Vicente Carisani, Hélio Crestana Guardia
Resumo:Este estudo trata da identificação de usuários em um ambiente de rede corporativa, por meio do protocolo RADIUS, integrando a autenticação com uma base de dados LDAP. Para tanto, nos computadores clientes, prevê-se o uso do protocolo IEEE 802.1X, que define o transporte das credenciais do usuário e os mecanismos de autenticação. Uma vez autenticado, o protocolo libera o acesso do computador cliente à infraestrutura de rede.
Palavras-Chave:identificação de usuário, rede corporativa, segurança da informação,Radius, LDAP
Identification ofUsers in Corporate Network
Abstract: This study presents the user identification in a corporate network environment using RADIUS protocol, integrating the authentication with an LDAP database. Therefore, client devices must use the IEEE 802.1X protocol, which defines the transport of user credentials. Once a user is authenticated, the protocol provides the access to the network infrastructure through the client computer.
Keywords:user identification, corporate network, information safety, Radius, LDAP
I. INTRODUÇÃO
Uma palavra chave que podemos atribuir a uma rede é controle, principalmente na identificação dos usuários. Assim, o objetivo deste artigo é identificar uma solução eficiente para gerenciar os acessos dos usuários em um ambiente de rede corporativa. Com isso, espera-se possibilitar o controle de acesso e a posterior identificação e eventual responsabilização por usos indevidos da rede. De maneira geral, as soluções aqui apresentadas focam na mobilidade dos usuários, que podem estar conectados através da rede sem fio, usando dispositivos variados.
Estar conectado à rede garante que os usuários consigam usufruir dos recursos e serviços que a rede oferece, inclusive eventualmente acessar informações confidenciais e realizar acessos a sites com conteúdo não pertinente ao ambiente corporativo. Caso não haja controle dos acessos desses usuários, não é possível identificar autores de acessos em situações específicas.
Outro objetivo desse artigo é tratar de como uma empresa pode estar alinhada com o Marco Civil da Internet (VARGAS), que estabelece um termo de responsabilidades no uso da rede. De maneira geral, esta lei orienta que as informações de acesso devem ser gravadas em formato de logs, onde armazenam-se informações relevantes para associar usuário e endereço de rede (IP), com as respectivas datas de conexão. Esses logs devem ser guardados em local seguro pelo provedor de acesso e, no caso de ambiente corporativo, pelo gerente de rede de sua infraestrutura local.
Sob demanda judicial, novos tipos de informação podem ter que ser coletados, como a identificação dos acessos feitos por um usuário ou a partir de um computador específico.
Para prover uma solução adequada a esse problema, esse artigo considera o uso das tecnologias referentes ao protocolo 802.1X, ao protocolo RADIUS e ao servidor de diretórios LDAP. Para validar a funcionalidade obtida com as tecnologias e os protocolos determinados, um cenário alvo é caracterizado usando virtualização de sistemas computacionais. Para esse cenário, analisa-se as conexões e os registros de informações relevantes para identificação dos usuários e o atendimento das questões legais. A análise da rede corporativa do ambiente de uma universidade também é tratada como estudo de caso para questões conceituais de tipos de uso da rede e controle de acesso.
II. SEGURANÇA EM UMAREDEACADÊMICA
Num cenário acadêmico, existe um ambiente de rede heterogêneo que envolve o acesso de diferentes tipos de usuários, utilizando equipamentos individuais, compartilhados e pessoais, através de redes cabeadas e sem fio. Do ponto de vista da conectividade, uma rede sem fio possui todos os riscos de uma rede com fio e acrescenta o fator da facilidade de acesso aos sinais de transmissão, tangível a qualquer usuário que possua equipamentos nas áreas de alcance dos sinais. Isso significa que diferentes mecanismos de controle de acesso e identificação podem ser desejáveis na rede.
Neste cenário, há diferentes formas de prover o controle de acesso dos usuários. Estratégias mais comuns incluem a permissão de conectividade a um segmento de rede e controle restrito de acesso a outros segmentos externos, e o controle de acesso já no primeiro ponto de conectividade. Mecanismos comocaptive portals(PFSENSE, 2013) podem ser usados em cenários em que a conectividade inicial é liberada, mas o acesso a outros segmentos de rede e à Internet é restrito. Mecanismos de controle para a conectividade restrita já no segmento de acesso à rede também podem ser desejados.
Nos dois contextos, contudo, procedimentos de identificação e autorização de usuários podem ser baseados em protocolos e serviços de rede padronizados.
Para garantir a segurança e viabilizar a identificação legal dos usuários, o acesso deve ser restrito apenas aos usuários autorizados, não permitindo que um invasor possa conectar seu equipamento na rede e ganhar acesso às informações e serviços sem autenticação. Assim, em ambientes de rede corporativa, os usuários tipicamente devem primeiro autenticar-se para obter acesso físico à rede. Isso pode ser feito através de procedimentos que podem ser executados por um switch, em redes com fio, ou por um acccess point, em redes sem fio. A função desse elemento de autenticação é agir como umproxypara a interação com um servidor denominado NAS (Network Authentication Server ou Servidor de Autenticação de Rede). Esse servidor de autenticação é comumente um sistema RADIUS, que pode obter as credenciais de acesso a partir de servidores e protocolos variados. O resultado da interação de um switch ou access pointcom um servidor RADIUS é uma indicação do status da autorização, permitida ou não para os usuários.
A figura 1 apresenta um exemplo de arquitetura base de utilização do sistema RADIUS. Nesse cenário podem ser observados os procedimentos e protocolos de autenticação, onde o usuário transmite suas credenciais; em seguida, o NAS delega a autenticação ao servidor RADIUS, enviando-lhe a credencial do usuário. De acordo com a resposta, o NAS permite ou não acesso do usuário.
Figura 1. Modelo de acesso à rede com autenticação III. RADIUS
Amplamente utilizado pelos sistemas embutidos em
switches e access points, o protocolo RADIUS baseia-se no
modelo cliente/servidor, validando as credenciais dos usuários, e retornando as informações de configuração e as políticas a serem aplicadas para o mesmo (CARVALHO, 2008). Este protocolo foi idealizado para centralizar as atividades de Autenticação, Autorização e Contabilidade (Authentication, Authorization and Accounting – AAA), pois autentica os usuários, administra as requisições de autorização e coleta informações para auditoria.
A) Autenticação RADIUS
Uma das formas mais utilizadas para autenticação é através de login e senha, na qual o usuário precisa confirmar sua autenticidade. Assim, o usuário, o elemento de autenticação (NAS) e o servidor RADIUS trocam mensagens entre si quando um usuário pretende se autenticar para utilizar um determinado servidor de rede. Neste cenário, a principal característica do servidor RADIUS é não permitir o acesso sem autenticação à rede protegida, atuando com flexibilidade tanto em redes com fio quanto em redes sem fio.
A autenticação é o processo que verifica se uma combinação de informações é válida para o sistema. A figura 2 apresenta o tratamento das requisições de acesso a um serviço, usando “pacotes de autenticação” encapsulados.
Figura 2. Possibilidades da requisição de acesso a um serviço (Adaptado de CARVALHO, 2008)
No esquema da Figura 2, o usuário envia pela rede uma mensagem de requisição de acesso. Se não houver resposta, o pedido é reenviado até atingir o tempo limite. Após receber a requisição de associação, o NAS inicia o processo de autenticação, solicitando que o usuário confirme sua identidade. Com o recebimento do login e senha, o NAS as repassa ao servidor RADIUS. O servidor tenta validar o cliente e, caso o usuário não for reconhecido, os pedidos são descartados e é enviado um pacote de acesso negado. O NAS recebe esta mensagem e desconecta o usuário.
Se o cliente for autenticado, a próxima fase corresponde à análise do pedido de autenticação do usuário, checando o login e senha. Em resposta, o servidor RADIUS pode enviar uma indicação de acesso aceito, ou acesso negado, ou envia uma nova requisição de login e senha.
IV. LDAP
As informações de autenticação de uma organização podem ser consolidadas em um repositório central, para que estejam acessíveis em qualquer ponto da rede. O protocolo LDAP – “Lightweight Directory Access Protocol”, ou
Protocolo Leve de Acesso a Diretórios, é um protocolo de padrão aberto e multiplataforma, que atende a esse propósito. Para tanto, servidores LDAP organizam informações em forma de diretórios, segundo uma estrutura hierárquica. Ao compartilhar o acesso a essas informações através de um protocolo de comunicação em rede, as informações ficam centralizadas, facilitando consultas e manipulações a partir de nós distribuídos em rede (GIL 2012).
A estrutura LDAP organiza as entradas de um diretório em um espaço de nomes hierárquico (uma árvore), como apresentado na Figura 3. Essa organização permite incorporar grandes volumes de informação e tornar a recuperação dessa informação fácil e eficiente. Um exemplo da utilização dessa estrutura hierárquica são as consultas realizadas pelos clientes LDAP, como um servidor RADIUS, obtendo as informações dos usuários cadastrados.
Figura 3. Exemplo de estrutura de árvore LDAP V. IEEE 802.1X
Padronizado pelo IEEE (Instituto de Engenheiros Eletricistas e Eletrônicos), o protocolo 802.1X é um exemplo de protocolo de autenticação que atua no controle da rede, no nível das portas de conexão de equipamentos de acesso ou na liberação da conexão de dispositivos a pontos de acesso a redes sem fio. Usando esse protocolo, um usuário deve autenticar-se para obter acesso aos recursos da rede (IEEE 2010). Os mecanismos de autenticação implementados provêm suporte a praticamente qualquer método de autenticação existente.
Dada a flexibilidade das formas de autenticação oferecidas, o protocolo 802.1X é uma solução cada vez mais aplicada
para controlar os acessos à rede, pois não permite que a comunicação entre usuário e rede seja estabelecida, sem a devida autenticação. A sua arquitetura prevê que este protocolo seja executado entre três nós: o nó requerente (usuário), ou nó que solicita acesso, o nó autenticador (NAS) e o Servidor de Autenticação (RADIUS). O nó requerente é tipicamente um terminal (notebook, smartphone, etc.), o autenticador é um equipamento de rede (switch e/ou acccess-point) e o Servidor de Autenticação que é um serviço de autenticação em rede, neste artigo representado pelo
Figura 4. Método de acesso IEEE 802.1X
Usando o protocolo 802.1X, a segurança da autenticação inicia-se quando um nó da rede envia uma requisição de associação ao ponto de acesso. O autenticador recebe a requisição e abre uma porta para a sessão IEEE 802.1X de autenticação.
Caso o usuário seja autenticado com sucesso, o servidor de autenticação envia um "pacote de aceitação" ao ponto de acesso, alterando a porta para status “aberta” e o tráfego de dados é permitido. Caso o usuário não seja autenticado, o mesmo fica barrado na porta do ponto de acesso, ou switch.
Toda a transação de autenticação do IEEE 802.1X é feita utilizando-se o protocolo EAP sobre LAN, ou seja, as mensagens de autenticação são encapsuladas em mensagens EAP sobre Redes Locais (EAP over LAN – EAPOL) (IEEE 2010), para autenticar o usuário para a rede e a rede para o usuário, garantindo que ambos os lados se comuniquem com entidades reconhecidas.
A) EAP
Extensible Authentication Protocol(EAP) é umframework
de autenticação que suporta múltiplos métodos de autenticação (IETF 2004). Seu papel é transportar as informações trocadas na identificação dos utilizadores. Para tanto, durante a troca de “pacotes de autenticação”, o usuário encaminha os pacotes EAP / RADIUS. Nesta fase, apenas o tráfego EAP consegue passar pelo nó Autenticador.
No EAP, os protocolos disponíveis são chamados de métodos de autenticação, podendo ou não utilizar criptografia. Os métodos não criptográficos são EAP-MD5 e MS-CHAP (v1 e v2) e os criptográficos são EAP-TLS, EAP-TTLS e Protected EAP (PEAP).
WPA2/802.1X/EAP encontra-se representada na figura 5, onde somente após a mensagem EAP – Sucesso o usuário terá acesso aos recursos da rede.
Figura 5. Controle de acesso IEEE 802.1X em redes sem fio
Como ilustrado na Figura 5, um nó requerente envia uma mensagem EAP start ao ponto de acesso, solicitando o início do processo de autenticação EAP. Em resposta, o ponto de acesso envia uma mensagem EAP login/senha para pedir ao usuário a sua identificação. O usuário responde com uma mensagem EAP login/senha. O ponto de acesso então encapsula esta mensagem em uma mensagem requisição de acesso de RADIUS e a encaminha para o servidor de autenticação (servidor RADIUS). Se o ponto de acesso tiver permissão para acessar o recurso (a rede sem fios), o passo seguinte consiste no desafio RADIUS. Assim, o servidor RADIUS solicita credenciais para o ponto de acesso. Dependendo da extensão EAP em uso, o desafio pode basear-se num certificado do utilizador ou de um conjunto login/senha. O ponto de acesso encapsula a mensagem recebida do RADIUS segundo o protocolo EAPOL em uma mensagem EAP requisição e a envia para o terminal. O usuário responde ao desafio (neste artigo utilizando login e senha) e envia a resposta para o ponto de acesso em uma mensagem EAP resposta. Neste momento, o ponto de acesso descodifica a resposta e a envia para o servidor RADIUS em uma mensagem RADIUS que valida credenciais. Em resposta, o servidor RADIUS devolve um access-accept
(acesso liberado) ou um access-reject(acesso bloqueado) ao
ponto de acesso. Admitindo o primeiro caso, o ponto de acesso encapsula a resposta em uma mensagem EAPOL-EAP sucesso e devolve ao usuário.
VI. VIRTUALLAN
Usuários de uma corporação podem pertencer a grupos, de acordo com suas funções. Assim, eventualmente pode ser relevante separar os fluxos das comunicações em uma rede de acordo com os grupos existentes. Quando a dispersão física
dos usuários não corresponde à organização em grupos lógicos, contudo, é preciso segmentar a rede criando redes virtuais (Virtual LANS – VLANs). Por definição VLAN é um grupo de dispositivos em uma ou mais redes locais que estão configurados para se comunicarem como se estivessem conectados ao mesmo cabo, independentemente de estarem localizados em um número de diferentes segmentos da LAN. Assim, dispositivos (ou usuários) em uma mesma VLAN compartilham um domínio de broadcast. VLANs são
baseadas em ligações lógicas, em vez de físicas, e são extremamente flexíveis (Cisco-System, 2004). A interconexão na mesma rede física garante segurança e eficiência, e não interrompe o tráfego de informações dos demais grupos da rede.
A organização de dispositivos em VLANs ocorre no nível da camada de enlace e utiliza o conceito de quadros rotulados (tagged frames). Esses quadros são unidades de informações
compartilhadas que serão entregues de acordo com a identificação da VLAN, requerendo, contudo, equipamentos com essa configuração. As VLANs são padronizadas através do protocolo IEEE 802.1Q, disponibilizado pelos ativos de rede como, por exemplo, switches e access points (IEEE
2006).
De acordo com o protocolo IEEE 802.1Q, cada porta dos ativos de rede, seja ela física ou lógica, é alocada a uma ou mais VLANs, que são identificadas unicamente através de VLAN Ids. Essa identificação é feita por um número inteiro entre 1 e 4095. Entre os equipamentos que provêm suporte ao protocolo 802.1Q, uma marcação é adicionada em todos os pacotes transmitidos para informar de qual VLAN(s) ele originou.
Em ambientes de rede sem fio, é possível associar identificadores de redes lógicas, definidos por SSIDs, com VLANs. A figura 6 apresenta um cenário exemplo de uma rede acadêmica, onde o ambiente é composto por access points com configuração Multi-SSID, o PROFESSORES na VLAN 1 (PROFESSORES), o SSID-GRADUAÇÃO na VLAN 2 (SSID-GRADUAÇÃO), o POS-GRADUAÇÃO na VLAN 3 (POS-POS-GRADUAÇÃO) e o SSID-CAMPUS na VLAN 4 (SSID-CAMPUS).
Figura 6. Rede com múltiplos SSIDs associados as VLANs Para integrar e isolar apropriadamente os fluxos de quadros de acordo com as VLANs às quais podem pertencer, um mecanismo de tags é usado. Assim, de acordo com o SSID ao qual um usuário for autenticado, é possível fazer com que os
quadros gerados por seu sistema computacional sejam encaminhados de maneira restrita a apenas os segmentos e nós da resma rede local (VLAN).
Como ouplink(cabo de conexão à infraestrutura cabeada) de dispositivos pontos de acesso à rede sem fio é comumente feito por uma única porta, é necessário criar as mesmas VLANs noswitche configurar a porta que está conectada ao
access point como "tagged". Assim, cada SSID está associado a uma VLAN e, como o cabo de rede do access pointpara o switch pode levar dados de várias VLANs há um encapsulamento dos quadros com o formato 802.1Q. Quando o encapsulamento é configurado, é atribuída uma porta de túnel para um ID de VLAN que se dedica a tunelamento. Cada cliente requer um provedor de serviços de VLAN ID separado, mas o serviço de provedor de VLAN ID suporta VLANs de todos os clientes.
VII. CENÁRIO IDEALIZADO PARA A REDE CORPORATIVA SEM FIO
Tendo em vista os protocolos e as organizações físicas e funcionais de uma infraestrutura de rede sem fio para atender o ambiente de rede alvo deste estudo (rede corporativa educacional), a Figura 7 apresenta a situação desejada da arquitetura da rede.
Figura 7. Proposta para rede corporativa com acesso autenticado
Abaixo estão listados os principais requisitos que deverão ser atendidos com a implementação desse cenário:
• Identificação e autenticação de todos os usuários da rede no momento da sua conexão;
• Implantação de políticas de acesso à rede de acordo com o perfil de cada usuário;
• Criação de login e senha únicos para acesso a rede e outros serviços ofertados;
• Controle de acesso dos usuários;
• Possibilidades de contabilização de todos os acessos realizados dos usuários;
• Garantia de desempenho e confiabilidade do acesso à rede.
VIII. AUDITORIA ELOGS
A auditoria interna é uma das mais importantes ferramentas para o controle administrativo da rede. A
ausência de controles adequados em uma rede corporativa a expõe a inúmeros riscos e muitas vezes prejuízos irreparáveis, como o acesso a informações sigilosas.
O foco da auditoria em uma rede é a verificação da conformidade e do desempenho das ações dos usuários na rede protegida, a partir de análises sistemáticas de informações sobre aspectos de segurança, utilizando critérios de análise fundamentados no marco civil da internet.
Um exemplo de log de informações é apresentado a seguir:
Requisição de acesso
Sending Access-Challenge ofid 25 to 192.168.0.1 port 38088 rad_recv: Access-Request packet from host 192.168.0.1 port 38088, id=26, length=314
User-Name = "rafael.carisani" NAS-IP-Address = 192.168.0.1 NAS-Port = 0
Called-Station-Id = "C0-4A-00-86-D7-76: POS-GRADUAÇÃO WI-FI"
Calling-Station-Id = "64-B3-10-6D-95-87" Framed-MTU = 1400
NAS-Port-Type = Wireless-802.11
Connect-Info = "CONNECT 0Mbps 802.11"
O NAS envia uma requisição de acesso ao servidor RADIUS, iniciando o processo de autenticação 802.1X. Após o NAS ser reconhecido, a troca de informações entre usuário, cliente e servidor é iniciada.
Início do túnel EAP
+- entering group authenticate {...} [eap] Request found, released from the list [eap]EAP/peap
[eap] processing type peap [peap] processing EAP-TLS [peap] eaptls_verify returned 7 [peap] Done initial handshake [peap] eaptls_process returned 7 [peap] EAPTLS_OK
[peap]Session established. Decoding tunneled attributes. [peap] Peap state phase2
[peap]EAP type mschapv2 [peap] Got tunneled request
EAP-Message = 0x0208004a1a0208004531023cc88136afa916d6e76503a8daf8b6000 0000000000000ace8973751bfb6d794295225297343bafff0ab8d45c15 d5f0072616661656c2e6361726973616e69 server { [peap] Setting User-Name torafael.carisani Sending tunneled request
EAP-Message = 0x0208004a1a0208004531023cc88136afa916d6e76503a8daf8b6000 0000000000000ace8973751bfb6d794295225297343bafff0ab8d45c15 d5f0072616661656c2e6361726973616e69 FreeRADIUS-Proxied-To = 127.0.0.1 User-Name ="rafael.carisani"
Com o estabelecimento da comunicação, as trocas de informações são possíveis utilizando os métodos EAP. Neste caso o túnel EAP foi estabelecido com o método MSCHAP.
Autenticação LDAP
[ldap] expand: %{User-Name} ->rafael.carisani
[ldap] expand: (uid=%{%{Stripped-User-Name}:-%{User-Name}}) -> (uid=rafael.carisani)
[ldap] expand: dc=ufscar,dc=br -> dc=ufscar,dc=br [ldap] ldap_get_conn: Checking Id: 0
[ldap] ldap_get_conn: Got Id: 0
[ldap] performing search in dc=ufscar,dc=br, with filter (uid=rafael.carisani)
[ldap] looking for check items in directory...
[ldap] userPassword -> Password-With-Header == "{SSHA}+L0HK5++NMDFAfGEZVErEnpbOJU0dm8h"
[ldap] looking for reply items in directory...
[ldap] userrafael.carisaniauthorized to use remote access [ldap] ldap_release_conn: Release Id: 0
++[ldap]returns ok
Busca das informações de usuário e senha em uma base de dados LDAP.
Método MSCHAP
[eap] Request found, released from the list [eap]EAP/mschapv2
[eap]processing type mschapv2
[mschapv2] # Executing group from file /etc/raddb/sites-enabled/inner-tunnel
[mschapv2] +- entering group MS-CHAP {...}
[mschap] Creating challenge hash with username:rafael.carisani [mschap] Told to do MS-CHAPv2 for rafael.carisaniwith NT-Password
++[mschap] returns accept [eap] Freeing handler ++[eap]returns accept
Success to authenticate the user.
O método MSCHAP é mais tradicionalmente utilizado, pois caracteriza o uso de login e senha. Ao final o usuário foi autenticado com sucesso.
Para a obtenção do conjunto de informações de acesso apresentadas, é preciso coletar e tratar dados armazenados em diferentes arquivos.
Principais arquivos de configuração do RADIUS: Protocolo RADIUS:
# vi /etc/freeradius/radius.conf: modules {
server = "ufscar.br"identity = "cn=admin,
identity = "cn=admin, dc=ufscar,dc=br" password = openldap basedn = "dc=ufscar,dc=br " filter = "(uid=%{Stripped-User-Name:-%{User-Name}})" } Método EAP: # vi /etc/freeradius/eap.conf: default_eap_type = peap Protocolo MSCHAP-V2: # vi /etc/freeradius/modules/mschap use_mppe = yes require_encryption = yes require_strong = yes with_ntdomain_hack = yes
Clientes RADIUS (AP):
# vi /etc/freeradius/clients.conf client 192.168.0.1 { secret = 1234
shortname = POS-GRADUAÇÃO WI-FI }
IX. CONCLUSÕES
Os processos de autenticação baseados no padrão IEEE 802.1X reforçam a segurança de uma rede. Em conjunto com servidor de autenticação RADIUS esses mecanismos têm a capacidade de avaliar as credenciais dos usuários, buscando informações em um serviço de diretórios LDAP. Tais tecnologias visam a controlar e contabilizar o ingresso de usuários em uma rede, filtrando os dispositivos dos usuários até que as sejam fornecidas as credenciais válidas.
Uma grande vantagem desta configuração é a possibilidade de permitir aos usuários flexibilidade no acesso à rede, de acordo com as políticas definidas para o seu perfil e utilizando sempre as mesmas credenciais. Dessa forma, será possível para os usuários terem privilégios de acesso à rede a partir de qualquer ponto de acesso. Assim também todos os acessos serão contabilizados, produzindo logs de acesso de todos os usuários.
Como consequência, usuários mal intencionados utilizando a rede poderão ser identificados para responderem pelos acessos indevidos, tornando a rede um ambiente confiável. Esses procedimentos ocorrem de forma independente da escalabilidade do projeto, provendo solução para usuários corporativos e acadêmicos.
X. TRABALHOSFUTUROS
O uso de IEEE 802.1Q proposto por este artigo abre caminho para trabalhos futuros destinados a segmentação de uma rede corporativa em VLANs, tornando o ambiente mais seguro e controlado.
O ambiente pode ser melhor dimensionado por meio da criação de regras de configuração no servidor RADIUS, com configuração para autenticação a partir de LDAPs diferentes em função do SSID, de forma a conceder acesso aos usuários em suas respectivas VLANs independentemente da localização, ainda controlar os horários e os equipamentos utilizados.
REFERÊNCIAS
VARGAS, F. G. Instituto de Direito. - MARCO REGULATÓRIO CIVIL DA INTERNET NO BRASIL.
Disponível em:
<http://ccsl.ime.usp.br/files/ANEXO_9.pdf>. Acesso em: 03 ago. 2014.
PFSENSE. Captive Portal. 2013. Disponível em: <https://doc.pfsense.org/index.php/Captive_Portal>. Acesso em: 17 jul. 2014.
CARVALHO, H. E. T. - Radius. 2008. Disponível em: <http://www.gta.ufrj.br/grad/08_1/radius/RADIUS.html>. Acesso em: 23 jul 2013.
GIL, A. P.: OpenLDAP Extreme. Rio de Janeiro: BRASPORT, 2012.
IEEE Std. 802.1X-2010, “Local and Metropolitan Area Networks – Port-Based Net-work Access Control”, Fevereiro de 2010.
B. Aboba, L. Blunk, J. Vollbrecht, J. Carlson, H. Levkowetz, “Extensible Authentication Protocol (EAP)”, IETF RFC 3748, Junho 2004, http://www.ietf.org/rfc/rfc3748.txt. CISCO-SYSTEMS. Catalyst 4500 Series Switch Cisco IOS
Software Configuration Guide. San Jose, CA, USA: Cisco Systems, Inc. 2004.
IEEE-COMPUTER-SOCIETY. Virtual Bridged Local Area Networks: IEEE Std 802.1Q-2005. Institute of Electrical and Electronics Engineers Standard for Local and Metropolitan Area Networks. 2006.
