Академический Документы
Профессиональный Документы
Культура Документы
Apresentao do Curso
Dbora C. Muchaluat Saade, Ricardo C. Carrano e Edelberto F. Silva Laboratrio MdiaCom Universidade Federal Fluminense
Fim do curso
Eduroam
Atividades Prticas
Dbora C. Muchaluat Saade, Ricardo C. Carrano e Edelberto F. Silva Laboratrio MdiaCom Universidade Federal Fluminense
Prtica 1
Configurar AP para acessar RADIUS existente.
Ponto de Acesso
Usurio
Prtica 2
Configurar diferentes clientes com diferentes mtodos de autenticao.
Ponto de Acesso
Usurio
Prtica 3
Instalao de Servidor RADIUS da instituio.
Ponto de Acesso
Usurio
Prtica 4
Instalao de Servidor LDAP da instituio.
Ponto de Acesso
Usurio
Prtica 5
Configurao de Proxy para a Federao (Roaming).
Usurio
Prtica 6
Configurao do Proxy utilizando RadSec.
LS / T ec P dS TC Ra
LS / T ec P dS TC Ra
Ponto de Acesso
Usurio
Prtica 7
Configurao do Accounting e banco de dados PostgreSQL. Relatrios
LS / T ec P dS TC Ra
LS / T ec P dS TC Ra
Ponto de Acesso
Usurio
Configurao do laboratrio
Servidor Federao
Servidor (RADIUS, LDAP)
Cliente (Suplicante)
Eduroam
Dbora C. Muchaluat Saade, Ricardo C. Carrano e Edelberto F. Silva Laboratrio MdiaCom Universidade Federal Fluminense
Roteiro da seo
Introduo Servio Eduroam RADIUS, 802.11i e 802.1X e CAFe Funcionamento do Eduroam Roaming
Problema Abordado
Anote o login e
Por favor,
Problema Abordado
Anote o login e
Por favor,
Problema Abordado
Por favor,
gostaria de acessar
Anote o login e
Problema Abordado
aleixom maleixogostaria de acessar aleixo conta aqui, certo? senha1234 123senha a rede? senha123
Problema Abordado
Introduo
Projeto Eduroam (Education Roaming) Iniciativa da TERENA - Trans-European Research and Education Networking Association. Servio de acesso sem fio seguro desenvolvido para a comunidade de educao e pesquisa. Usurios de instituies participantes tm acesso Internet dentro de seus campi e quando visitam as instituies parceiras de maneira transparente.
Apresentao
Mapa de membros eduroam www.eduroam.org
Amrica Latina ?
Motivao
Projeto Eduroam-br Desenvolver um piloto do servio eduroam em universidades brasileiras, sendo um dos primeiros esforos para disponibilizar o servio na Amrica Latina. 3 universidades participam do piloto com a RNP
UFF, UFRJ, UFMS
Funcionamento do Eduroam
Infraestrutura para implantao do servio: Estrutura hierrquica de servidores de autenticao RADIUS (Padro IETF); Infraestrutura de pontos de acesso sem fio IEEE 802.11 com suporte a 802.1X e 802.11i. Base de dados LDAP com informaes de usurios de cada instituio;
Integrao com base de dados da federao CAFe
RADIUS
Remote Authentication Dial In User Service Padro IETF - RFC 2865 Utiliza UDP porta 1812 Protocolo AAA (authentication, authorization and accounting) Realiza autenticao, controle de acesso e auditoria (accounting) a Network Access Server, que funciona como cliente RADIUS.
RADIUS
Servidores RADIUS so responsveis por: Receber solicitaes de conexo; Autenticar usurios; e Retornar todas as informaes de configurao necessrias para o cliente (NAS) prover conectividade a um usurio. Pode atuar como um cliente proxy de outros servidores de autenticao.
IEEE 802.11i
Publicada em 2004 Verso de 2003 deu origem ao WPA1 Verso final deu origem ao WPA2 Incorporado ao padro IEEE 802.11 em 2007 Autenticao baseada no padro IEEE 802.1X
802.1X
802.1X um arcabouo (framework) Adaptao do EAP (criado pelo IETF) (RFC 2284 atualizado em 3748) EAP um protocolo de arcabouo. A autenticao realizada por um protocolo de extenso - o mtodos EAP. Os mtodos podem ser mais ou menos adaptados s necessidades especficas de uma rede.
Arquitetura 802.1X
Participantes da CAFe podem atuar como IdP e ISP Servio mantido pela RNP Sem custos para os provedores de servio participantes Base LDAP para armazenamento das credencias
Funcionamento do Eduroam
Eduroam utiliza uma estrutura hierrquica de servidores RADIUS em 3 nveis confederao federao (pas) instituio Identificao baseada em domnio
Eduroam
Dbora C. Muchaluat Saade, Ricardo C. Carrano e Edelberto F. Silva Laboratrio MdiaCom Universidade Federal Fluminense
Roteiro da seo
Introduo ao WiFi (IEEE 802.11) Modos de operao infraestruturado, ad hoc Arquitetura BSS, ESS, SSID Operaes Varredura, associao, etc Camada PHY e alocao de frequncias Camada MAC e mecanismo de acesso ao meio Segurana em redes IEEE 802.11
IEEE802.11 e WiFi
Wi-Fi no o mesmo que IEEE 802.11 IEEE 802.11 um padro Wi-Fi um certificado, dado pela Wi-Fi Alliance que garante que os produtos com este certificado falaro entre si Um produto Wi-Fi no tem que implementar todo o padro IEEE 802.11, apenas a parte necessria para interoperar. Por isto, podemos dizer que Wi-Fi um perfil do IEEE802.11
As mquinas no tm ligao com redes cabeadas A no ser que seja rodado software de roteamento
Arquitetura: BSS
Uma rede IEEE 802.11 formada por um conjunto de um ou mais BSSs. Um BSS definido como um conjunto de estaes (STAs) que conseguem se comunicar via rdio
Arquitetura: IBSS
Uma rede ad hoc chamada de Independent Service Set (IBSS)
Arquitetura: ESS
Um ESS um conjunto de BSSs inteligados por uma rede, que chamada de sistema de distribuio (DSDistribution Sistem) Um nome, chamado de ESSID (identificador de ESS), usado para identificar um ESS. Todos os BSS pertencentes ao mesmo ESS tem o mesmo ESSID.
BSSID
O BSSID o endereo MAC do ponto de acesso que define o BSS
SSID
Redes sem fio consistem basicamente de quatro componentes fsicos:
Para que uma estao possa ser reconhecida no seu domnio ou rea de atuao, tem que possuir uma identificao (ID) compartilhada com o ponto de acesso.
SSID
O SSID serve para identificar a rede que um cliente est usando No ponto de acesso, o SSID vem preconfigurado com um nome padro de fbrica: Ex: SSID = linksys, nos APs da marca Linksys Esse nome tem que ser modificado pelo administrador da rede.
Sistemas de distribuio
Um sistema de distribuio (DS Distribution System) uma rede de nvel de enlace que interliga os APs (BSSs) de um ESS
Varredura Ativa
Envio de Probe Request
A varredura pode ser realizada para uma rede especfica (usando um determinado Basic Service Set ID - BSSID) ou para qualquer rede (BSSID = Broadcast).
Beacons
Mensagens de sinalizao disseminadas pelo AP (em broadcast) a intervalos regulares; Fazem o anncio da existncia do AP na rede; So mensagens curtas; O intervalo de transmisso ajustvel (o default um quadro a cada 100 ms)
Recebendo Beacons
Varredura Passiva
A estao sintoniza um canal e espera por quadros de Beacon Como os quadros contm informaes do ponto de acesso, a estao pode criar uma lista de pontos de acesso O sistema eficiente em relao energia por no exigir a transmisso de quadros.
Varredura Ativa
A estao mvel envia um probe request para cada canal da lista de canais; A estao mvel espera por uma resposta do(s) AP(s); A estao mvel processa o probe response.
Varredura Ativa
Autenticao
Os quadros de autenticao (authentication request e response) trocados nesta fase provem duas opes: Open system sistema aberto Chave pr-compartilhada (PSK) Esta fase de autenticao foi tornada obsoleta pelo IEEE 802.11i
Associao
Aps a autenticao, a estao pode tentar se associar enviando um quadro association request Aps se associar ela pode utilizar o AP para acessar a rede da qual faz parte. A estao mvel pode se associar somente a uma nica BSS
Depois da Associao
Reassociao
Quando a estao se desloca, pode haver necessidade de mudana de AP; A reassociao o processo de mudar a associao de um AP antigo para um novo AP quando uma estao mvel estiver se deslocando entre reas distintas; Tambm pode ocorrer quando a estao sai temporariamente da rea de um AP, e retorna APs adjacentes podem interagir uns com os outros durante esta operao.
Desassociao e Desautenticao
Para o AP terminar uma associao ou autenticao, ela usa os quadros de disassociation e deauthentication Um campo chamado reason code traz o motivo
Hand over
O IEEE 802.11 traz a base para um mecanismo de mobilidade semelhante ao da rede celular Estaes mveis pode se locomover dentro da rea de cobertura de um ESS, mudando de um AP para outro Os APs trocam quadros para atualizar a posio da estao e receber quadros armazenados No definido o mecanismo para trocar de ESSs, pois isto normalmente seria do nvel de rede
802.2 LLC
802.11 MAC
802.11 FHSS
802.11 DSSS
802.11a OFDM
802.11b HR/DSSS
802.11g ERP
2417 2422 2427 2432 2437 2442 2447 2452 2457 2462
36
40
44
48
52
56
60
64
Camada MAC
As regras de Controle de Acesso ao Meio MAC = Medium Access Control Evitar colises Ethernet CSMA/CD (detecta coliso) Wi-Fi CSMA/CA (evita coliso) Garantir confiabilidade Perda de quadros por corrupo mais comum em redes sem fio
CSMA/CA
Carrier Sense Multiple Access with Collision Avoidance Escuta o meio Est livre por um tempo maior que DIFS?
SIM transmite NO entra em regime de backoff
O backoff exponencial
SIFS + ACK + DIFS
A B
Frame
Frame
Backoff
Frame
Frame Frame
TEMPO
O quadro 802.11
O cabealho MAC tem 30 bytes Proviso para 4 endereos 4 bytes ao final para verificao de integridade (CRC) O corpo do quadro tem at 2312 bytes Esse tamanho ser aumentado para 7995 (emenda n)
Endereos MAC
Endereos MAC esto para os quadros IEEE 802.11 como os endereos IP esto para os pacotes IP Endereos de 48 bits (6 bytes) Duas partes: OUI identifica fabricante (3 bytes) ltimos 3 bytes identificam dispositivo
Endereo de destino
Unicast: um destinatrio primeiro byte par (exemplo 00:01:02:03:04:05) Multicast: diversos destinatrios primeiro byte mpar (exemplo 01:02:03:04:05:06) Broadcast: todos FF:FF:FF:FF:FF:FF
O problema da segurana
O trfego no confinado No necessrio o acesso fsico infraestrutura Como garantir Privacidade Integridade Autenticidade
WEP
Wired Equivalent Privacy Mecanismo original do IEEE 802.11 Chave pr-compartilhada (PSK) Algoritmo de criptografia RC4 Chaves de 40 ou 104 bits Integridade baseada em CRC32
WEP: cifragem
RC4 Algoritmo de criptografia de fluxo (streamcipher) Muito utilizado (SSL, TLS) mensagem cifrada mensagem chave Chaves criptogrficas 1 1 0 40 (64 - 24) bits 0 1 1 104 (128 -24) bits 1 1 0
XOR
1 1 0 0
0 1 1 0
0 0 1 0
WEP: integridade
CRC32 Message Integrity Check (MIC) Fcil e rpido de calcular Criptograficamente fraco No impede adulterao transparente do quadro
Problemas do WEP
RC4 mal implementado Chaves curtas Reso frequente das chaves Uso prolongado das chaves CRC no forte o suficiente Vetor de inicializao Revela parte da senha PSKs so intrinsecamente inseguras
WPA
IEEE reconheceu as deficincias do WEP Criou TGi (Fora tarefa i) WPA foi lanado em 2002 baseado numa verso preliminar do trabalho do TGi Retrocompatibilidade foi um objetivo WPA consideravelmente mais forte do que o WEP Protocolo de Criptografia TKIP Ainda sobre RC4
WPA: TKIP
Novo esquema para verificao de integridade da mensagem. MIC (Michael Integrity Check) Novo modo de escolher e utilizar os Vetores de Inicializao Cada pacote encriptado com uma chave diferente.
802.1X e EAP
802.1X Padro IEEE para autenticao de usurios Baseado no EAP (Extended Authentication Protocol) apenas um framework para diversos mtodos Mtodos EAP Uso de mtodos legados
TTLS, PEAP
Criptogrficos
TLS
No criptogrficos
MD5, MS-CHAP
WPA2
Mecanismo de segurana reconstrudo do zero No se preocupa com a retrocompatibilidade Protocolo de criptografia CCMP Utiliza criptografia de bloco AES Tambm existem o WPA2 Personal e o WPA2 Enterprise
Requisitos Eduroam
Suporte a autenticao robusta Servidor RADIUS IEEE 802.1X IEEE 802.11i Comumente chamado WPA2 Enterprise Parte considervel dos APs consumer grade
Prtica 1
Configurar AP para acessar RADIUS existente.
Ponto de Acesso
Usurio
Eduroam
Mtodos de autenticao
Dbora C. Muchaluat Saade, Ricardo C. Carrano e Edelberto F. Silva Laboratrio MdiaCom Universidade Federal Fluminense
Roteiro da seo
Autenticao em redes IEEE 802.11 IEEE 802.11i IEEE 802.1X Mtodos de autenticao (EAP) Transao EAP Mtodos internos e externos Mtodos criptogrficos e no criptogrficos Principais mtodos EAP: TLS, TTLS, PEAP, PAP e MSCHAPv2
IEEE 802.11i
Publicada em 2004 Verso de 2003 deu origem ao WPA1 Verso final deu origem ao WPA2 Incorporado ao padro IEEE 802.11 em 2007 Autenticao baseada no padro IEEE 802.1X
802.1X
802.1X um arcabouo (framework) Adaptao do EAP (criado pelo IETF) (RFC 2284 atualizado em 3748) EAP um protocolo de arcabouo. A autenticao realizada por um protocolo de extenso - o mtodos EAP. Os mtodos podem ser mais ou menos adaptados s necessidades especficas de uma rede.
Arquitetura 802.1X
O protocolo EAP
Formato do quadro
Link layer header
Transao EAP
Iniciada logo aps a associao do cliente Fase inicial: Identidade (Identity) Requisies e Respostas A seguir: Negociao do mtodo Requisies e Respostas Finalizando Sucesso ou Falha
Mtodos EAP
Mtodos criptogrficos PEAP, TLS, TTLS Mtodos no criptogrficos PAP, MsCHAPv2 Autenticao Interna (inner) vs. Externa (outer)
TTLS e PEAP
TTLS = tunneled TLS (TLS tunelado) PEAP = Protected EAP Em ambos, dois mecanismos de autenticao so usados: Autenticao externa (outer)
Criao de tnel TLS
Diferena entre TTLS e PEAP est na forma como o protocolo interno usado
MsCHAP v2
Nativo
Nativo
Nativo
Nativo
PAP
No (SecureW2)
Nativo
No (MobileConfig)
Nativo
Prtica 2
Configurar diferentes clientes com diferentes mtodos de autenticao.
Ponto de Acesso
Usurio
Eduroam
Dbora C. Muchaluat Saade, Ricardo C. Carrano e Edelberto F. Silva Laboratrio MdiaCom Universidade Federal Fluminense
Roteiro da seo
Introduo Principais entidades NAS Cliente (suplicante) Servidor RADIUS Padro RADIUS Formato das mensagens Atributos das mensagens Exemplo de acesso utilizando RADIUS Comandos mais comuns do FreeRadius
Introduo
Estrutura cliente-servidor Servidor RADIUS; NAS (Network Access Server) como cliente RADIUS; Cliente final ou suplicante (EAP). Criado primeiramente s para autenticao. NAS encaminhava dados de cliente PPP. Estendido para Autorizao e Accounting (AAA).
RADIUS e EAP
NAS
NAS excerce papel importante na comunicao entre suplicante e servidor RADIUS. NAS encaminha requisies do cliente ao RADIUS. NAS responsvel pela coleta de informaes para accounting Utiliza IEEE 802.1X (acesso baseado em portas).
Cliente (Suplicante)
Requisita acesso. NAS encaminha pedido ao servidor RADIUS. Suporta mtodos EAP PAP, CHAP, MSCHAP etc. Suplicantes: so os softwares que do suporte aos mtodos EAP.
Length (2 octetos): tamanho do pacote. Authenticator (16 octetos): utilizado para autenticar a reposta
requerida pelo servidor RADIUS ou esconder senha. O octeto mais significativo transmitido primeiramente.
Atributos
1 2 3 4 5 6 ... 32 33 User-Name User-Password CHAP-Password NAS-IP-Address NAS-Port Service-Type
NAS-Identifier Proxy-State
Atributo User-Password
Atributo enviado no Access-Request. Exemplo: para que a senha no seja enviada em texto-puro na rede.
1. 2.
A senha completada com zeros at formar um mltiplo de 16 bytes. Request Authenticator concatenado a ela e, depois calculado o hash por MD5. realizado um XOR em seu resultado com os dezesseis primeiros octetos da senha.
Exemplo
Usurio "nemo" deseja acesso. Senha compartilhada (NAS - Servidor): "xyzzy5461" Senha do usurio: "arctangent" Acesso realizado pela porta 3. Ser enviado um pacote UDP com um pedido de acesso (Access-Request).
Exemplo (parte 2)
Contedo da mensagem:
01 00 00 38 0f 40 3f 94 73 97 80 57 bd 83 d5 cb 98 f4 22 7a 01 06 6e 65 6d 6f 02 12 0d be 70 8d 93 d4 13 ce 31 96 e4 3f 78 2a 0a ee 04 06 c0 a8 01 10 05 06 00 00 00 03
Code = Access-Request ID = 0 Length = 56 Request Authenticator: nmero randmico de 16 octetos Atributos: User-Name = "nemo" User-Password: 16 octets do password completados com zeros e combinados por XOR com o MD5 de (senha compartilhada | Request Authenticator) NAS-IP-Address = 192.168.1.16 NAS-Port = 3
Exemplo (parte 3)
Cliente Autenticado e pacote de Access-Accept retornado ao NAS.
Contedo da mensagem:
02 00 00 26 86 fe 22 0e 76 24 ba 2a 10 05 f6 bf 9b 55 e0 b2 06 06 00 00 00 01 0f 06 00 00 00 00 0e 06 c0 a8 01 03
Code = Access-Accept ID = 0 (o mesmo do Access-Request) Length = 38 Response Authenticator: 16 bytes gerado por um MD5 de code + ID + length + Request Authenticator + Atributos da Resposta + senha compartilhada Atributos: Service-Type = Login Login-Service = Telnet Login-IP-Host = 192.168.1.3
Comandos do FreeRADIUS
Comandos mais comuns: radiusd ou freeradiusd (daemon) radtest (teste de autenticao) radiusd X (modo debug)
radtest
Prtica 3
Instalao de Servidor RADIUS da instituio.
Ponto de Acesso
Usurio
Eduroam
Dbora C. Muchaluat Saade, Ricardo C. Carrano e Edelberto F. Silva Laboratrio MdiaCom Universidade Federal Fluminense
Roteiro da seo
Servio de diretrio e surgimento do LDAP Estrutura de um diretrio Modelos Modelo de informao Classes de objetos LDIF Esquemas brEduPerson OpenLDAP
Servio de diretrio
Base de dados especializada Otimizada para busca e navegao Grande volume de informao textual
pessoas, instituies, servios, etc
Surgimento do LDAP
X.500 Conjunto de padres do UIT para sistemas de diretrios anos 1980. DAP - Directory Access Protocol Ou X.500 Directory Access Protocol era o protocolo de acesso a um diretrio X.500 Baseado na pilha OSI LDAP Lightweight Directory Access Protocol Alternativa ao DAP Simplificado e baseado na pilha TCP/IP Atualmente na verso 3.
Verses do LDAP
LDAPv3 Final dos anos 90 Autenticao forte com SASL
Suporte a certificados TLS e SSL
Internacionalizao Unicode Encaminhamentos (Referrals) LDAPv2 considerado ultrapassado Ainda suportado (OpenLDAP, desabilitado por default) Incompatvel com o LDAPv3
Operao do LDAP
Modelo Cliente-Servidor Cliente se conecta a um servidor e envia sua requisio Servidor responde e/ou envia ponteiro para outro servidor Consistncia na viso do cliente, independente do servidor consultado
Estruturas LDAP
Modelos LDAP
So quatro os modelos bsicos definidos pelo LDAP (em conjunto, eles descrevem completamente a operao do diretrio): Modelo de Informao - tipo de informao que pode ser armazenada Modelo de Nomes - como a informao pode ser organizada e referenciada Modelo Funcional - que operaes podem ser realizadas nos dados Modelo de Segurana que mecanismos de autenticao e controle de acesso so usados
LDIF
LDAP Data Interchange Format (LDIF) Descrio textual da rvore hierrquica
dn: uid=jsliva,dc=uff, dc=br sn: Silva
cn: Jose
uid: jsilva objectClass: person objectClass: inetOrgPerson objectClass: sambaSamAccount userPassword: {SSHA}gWRX6IuyiGw+0xvPN3JhaGEcvuLJqmlB sambaNTPassword: 1E39A9A92F2B08A0E69B4D5ADA7E5332
Esquemas
Um esquema LDAP consiste de um pacote contendo objectClasses e atributos. Forma prtica de encapsular atributos e classes que traduzem o interesse especfico de uma instituio Todos os atributos e objectClass, incluindo os atributos e objectClasses superiores na hierarquia devem ser definidos em um esquema. Esquemas so configurados no servidor LDAP.
Esquema brEduPerson
Objetiva armazenar dados de pessoas ligadas s instituies de ensino superior no Brasil Professores, funcionrios, alunos, pesquisadores Mltiplos vnculos Informaes de residentes no Brasil + informaes especificamente ligadas comunidade acadmica.
OpenLDAP
Implementao de cdigo aberto do LDAP http://openldap.org Para S.O. Linux Inclui: Slapd o servidor (stand-alone LDAP daemon) Bibliotecas que implementam o protocolo LDAP Utilitrios, ferramentas e amostras de configuraes e clientes
Exemplos: ldapadd e ldapsearch
Exemplos de opes
-f arquivo (arquivo de configurao alternativo) -d nvel (nvel de debug)
Parando...
kill -INT `cat /usr/local/var/slapd.pid
Prtica 4
Instalao de Servidor LDAP da instituio.
Ponto de Acesso
Usurio
Eduroam
Dbora C. Muchaluat Saade, Ricardo C. Carrano e Edelberto F. Silva Laboratrio MdiaCom Universidade Federal Fluminense
Roaming - Motivao
Finalidade: Prover acesso transparente a usurios em instituies parceiras independentes. Manter uma identidade nica. Mtodo EAP interno baseado na instituio de origem Integrar o servio RADIUS geograficamente. Premissa para que o Eduroam funcione.
Estrutura Hierrquica
3 Nvel Confederao
2 Nvel Federao
1 Nvel Institucional
Realms (domnio)
Identificao da instituio de origem Definido por um delimitador @ outro delimitator seria o \ (e.g. domnio Windows)
Ateno!
Para que o acesso seja transparente ao usurio em roaming, configure sempre login@dominio!
senha
UFF
UFRJ
UFRJ
UFF
UFRJ
UFRJ
Servidor de Encaminhamento
Encaminhada de forma transparente os pacotes de: Access-Request Access-Response Access-Reject Access-Accept Atributo Proxy-State: Inserido e removido (no retorno da mensagem) pelo servidor de encaminhamento. Identifica que a mensagem veio de um proxy. No removido no caminho de ida, mas podem ser acrescentados mais atributos Proxy-State.
Prtica 5
Configurao de Proxy para a Federao (Roaming).
Usurio
Eduroam
Dbora C. Muchaluat Saade, Ricardo C. Carrano e Edelberto F. Silva Laboratrio MdiaCom Universidade Federal Fluminense
Introduo
RadSec (RADIUS-over-TLS): RFC 6614 - Transport Layer Security (TLS) Encryption for RADIUS de 2012 (ainda draft) Diversos drafts desde 2008. Altera a comunicao RADIUS baseada em UDP para TCP/TLS. Benefcios: Segurana Confiana Outros (veremos os problemas do RADIUS)
Segurana do RADIUS
padro RADIUS no to seguro Utiliza senha compartilhada e um hash MD5 para cada conexo servidor-NAS. Autenticao por mensagem Alguns atributos em texto-puro Ataques possveis: http://www.untruth.org/~josh/security/radius/radiusauth.html Soluo: utilizar EAP com tnel TLS.
Segurana do RadSec
TLS entre as comunicaes RADIUS Certificados X.509 Cada servidor RADIUS tem seu certificado Alto nvel de encriptao Encripta toda a mensagem Utiliza TCP e no mais UDP Transporte confivel
Funcionamento
senha
usuario@uff.br senha
Implementaes
RADIATOR (RADIUS comercial) radsecproxy Gratuito Compatvel com FreeRADIUS possvel utiliz-lo em AP baseado em OpenWRT
maior segurana entre NAS e Servidor no mais baseado em senha compartilhada
Comandos do radsecproxy
Comandos mais comuns: radsecproxy f (modo debug em terminal) /etc/init.d/radsecproxy (start-stop-restart)
Prtica 6
Configurao do Proxy utilizando RadSec.
LS / T ec P dS TC Ra
LS / T ec P dS TC Ra
Ponto de Acesso
Usurio
Eduroam
Dbora C. Muchaluat Saade, Ricardo C. Carrano e Edelberto F. Silva Laboratrio MdiaCom Universidade Federal Fluminense
Roteiro da seo
Introduo RADIUS Accounting Formato das mensagens Atributos das mensagens Exemplo de funcionamento RADIUS Accounting Proxy (roaming) Concluso
Introduo
RADIUS Accounting foi introduzido pela RFC 2059 de 1997. Utiliza a porta 1813 (UDP) Padro RADIUS at ento era apenas AA (Autenticao e Autorizao) Finalidade: Fornecer informaes sobre a autenticao de um usurio. Facilitar a contabilidade de utilizao de usurios (originalmente em PPP, telnet, rlogin). Possibilidade de: Monitoramento e coleta de estatsticas. Cobrana por utilizao.
RADIUS Accounting
Segue o padro cliente-servidor RADIUS Autenticador (cliente RADIUS) NAS responsvel por encaminhar as informaes de accounting ao servidor RADIUS Servidor RADIUS accounting deve responder ao NAS com sucesso ou no. A segurana provida pela mesma senha compartilhada pelo mtodo de autenticao (shared secret).
Pacotes e Atributos
4 Accounting-Request 5 Accounting-Response
Atributo Acct-Status-Type
Type 40 for Acct-Status-Type. Length 6 Value (8 octetos) 1 Start 2 Stop 3 Interim-Update ...
Funcionamento
Proxy (roaming)
O encaminhamento do pacote de accounting por proxy realizado da mesma forma como com pacotes de autenticao. Insere (quando encaminha a outro servidor) ou retira (quando recebe um pacote) o ltimo atributo ProxyState. possvel accounting tanto no servidor de origem quanto no de destino.
Concluindo
Utilizado para fornecer informaes de acesso. Pode auxiliar tanto no monitoramento do acesso quanto inserir sistema de cobrana.
Em tempo: os atributos podem depender do fabricante! Alguns produtos podem fornecer informaes de forma diferente de outros.
Prtica 7
Configurao do Accounting e banco de dados PostgreSQL. Relatrios
LS / T ec P dS TC Ra
LS / T ec P dS TC Ra
Ponto de Acesso
Usurio
Obrigado!
Para maiores informaes sobre o Eduroam Site Eduroam Internacional
http://www.eduroam.org/
Instrutores
Prof. Ricardo C. Carrano (carrano@midiacom.uff.br) Edelberto Franco Silva (esilva@midiacom.uff.br)