Curso Eduroam Slides Comentados

Eduroam
Apresentao do Curso
Dbora C. Muchaluat Saade, Ricardo C. Carrano e Edelberto F. Silva Laboratrio MdiaCom Universidade Federal Fluminense
Cronograma do Curso Dia 1 manh

1. Introduo a. Viso geral Eduroam b. Conceito de Federao, CAFe 2. Rede sem Fio IEEE 802.11 a. Introduo ao padro IEEE 802.11 b. Segurana em Redes sem Fio (WEP, WPA, WPA2) 3. Prtica 1: a. configurar AP para autenticar em servidor RADIUS existente
Cronograma do Curso Dia 1 tarde

4. Mtodos de Autenticao a. PSK, Enterprise b. EAP, PEAP, TLS, TTLS c. PAP, MsCHAPv2 5. Prtica 2: a. configurar clientes com diferentes mtodos de autenticao: Windows, Linux, Mac, Android, Iphone

6. 7. Padro RADIUS Prtica 3: a. Instalao e configurao de um servidor RADIUS (representando uma instituio) b. configurar AP para autenticar em servidor RADIUS novo

8. Padro LDAP a. Esquema brEduPerson 9. Prtica 4: a. Instalao e configurao de um servidor LDAP (representando uma instituio) b. configurar RADIUS para acessar LDAP

10. Roaming entre Instituies a. Funcionamento do proxy para Federao RADIUS 11. Prtica 5: a. configurao do proxy para federao eduroam-br b. testes de roaming (usando radtest) 12. Comunicao segura entre servidores RADSEC

13. Prtica 6: a. configurao do proxy para federao com RADSEC 14. Accounting no RADIUS com base de dados relacional 15. Prtica 7: a. Instalao de BD PostgreSQL e configurao do accounting
Fim do curso
Eduroam
Atividades Prticas
Prtica 1
Configurar AP para acessar RADIUS existente.
Ponto de Acesso
Usurio
Servidor RADIUS Instituio 1
Prtica 2
Configurar diferentes clientes com diferentes mtodos de autenticao.
Ponto de Acesso
Usurio
Prtica 3
Instalao de Servidor RADIUS da instituio.
Ponto de Acesso
Usurio
Prtica 4
Instalao de Servidor LDAP da instituio.
Ponto de Acesso
Usurio
Servidor LDAP Instituio 1
Prtica 5
Configurao de Proxy para a Federao (Roaming).
Servidor RADIUS Federao Ponto de Acesso

UDP UDP
Usurio
Servidor RADIUS Insituio 2
Prtica 6
Configurao do Proxy utilizando RadSec.
LS / T ec P dS TC Ra
Servidor RADIUS Federao
Ponto de Acesso
Usurio
Prtica 7
Configurao do Accounting e banco de dados PostgreSQL. Relatrios
Ponto de Acesso
Usurio
Configurao do laboratrio
Servidor Federao
Servidor (RADIUS, LDAP)
Ponto de acesso (NAS)
Cliente (Suplicante)
Eduroam
Viso geral do Eduroam
Roteiro da seo
Introduo Servio Eduroam RADIUS, 802.11i e 802.1X e CAFe Funcionamento do Eduroam Roaming
Problema Abordado
gostaria aleixo de acessar a senha!rede? senha123a
Anote o login e
Por favor,
Problema Abordado
gostaria aleixom de acessar a senha!rede? a senha1234
Anote o login e
Por favor,
Problema Abordado
Por favor,
gostaria de acessar
maleixo a senha! a rede? 123senha
Anote o login e
Problema Abordado
aleixom maleixogostaria de acessar aleixo conta aqui, certo? senha1234 123senha a rede? senha123
Voc j tem favor, Por
Problema Abordado
Introduo
Projeto Eduroam (Education Roaming) Iniciativa da TERENA - Trans-European Research and Education Networking Association. Servio de acesso sem fio seguro desenvolvido para a comunidade de educao e pesquisa. Usurios de instituies participantes tm acesso Internet dentro de seus campi e quando visitam as instituies parceiras de maneira transparente.
Apresentao
Mapa de membros eduroam www.eduroam.org
Amrica Latina ?
Motivao
Projeto Eduroam-br Desenvolver um piloto do servio eduroam em universidades brasileiras, sendo um dos primeiros esforos para disponibilizar o servio na Amrica Latina. 3 universidades participam do piloto com a RNP
UFF, UFRJ, UFMS
Mais sete voluntrias se integraram ao piloto

UFSC, UNICAMP, UFRGS, UFES, UFMG, UFPA e PUCRS
Funcionamento do Eduroam
Infraestrutura para implantao do servio: Estrutura hierrquica de servidores de autenticao RADIUS (Padro IETF); Infraestrutura de pontos de acesso sem fio IEEE 802.11 com suporte a 802.1X e 802.11i. Base de dados LDAP com informaes de usurios de cada instituio;
Integrao com base de dados da federao CAFe
RADIUS
Remote Authentication Dial In User Service Padro IETF - RFC 2865 Utiliza UDP porta 1812 Protocolo AAA (authentication, authorization and accounting) Realiza autenticao, controle de acesso e auditoria (accounting) a Network Access Server, que funciona como cliente RADIUS.
RADIUS
Servidores RADIUS so responsveis por: Receber solicitaes de conexo; Autenticar usurios; e Retornar todas as informaes de configurao necessrias para o cliente (NAS) prover conectividade a um usurio. Pode atuar como um cliente proxy de outros servidores de autenticao.
IEEE 802.11i
Publicada em 2004 Verso de 2003 deu origem ao WPA1 Verso final deu origem ao WPA2 Incorporado ao padro IEEE 802.11 em 2007 Autenticao baseada no padro IEEE 802.1X
802.1X
802.1X um arcabouo (framework) Adaptao do EAP (criado pelo IETF) (RFC 2284 atualizado em 3748) EAP um protocolo de arcabouo. A autenticao realizada por um protocolo de extenso - o mtodos EAP. Os mtodos podem ser mais ou menos adaptados s necessidades especficas de uma rede.
Arquitetura 802.1X
CAFe (Comuindade Acadmica Federada)

Eduroam e CAFe: similaridade de conceitos
Atravs da CAFe uma instituio de origem pode acessar servios oferecidos por instituies parceiras
Participantes da CAFe podem atuar como IdP e ISP Servio mantido pela RNP Sem custos para os provedores de servio participantes Base LDAP para armazenamento das credencias
Funcionamento do Eduroam
Eduroam utiliza uma estrutura hierrquica de servidores RADIUS em 3 nveis confederao federao (pas) instituio Identificao baseada em domnio
Autenticao na instituio de origem
Interconexo com Amrica Latina e Europa
Eduroam
Rede sem Fio IEEE 802.11
Roteiro da seo
Introduo ao WiFi (IEEE 802.11) Modos de operao infraestruturado, ad hoc Arquitetura BSS, ESS, SSID Operaes Varredura, associao, etc Camada PHY e alocao de frequncias Camada MAC e mecanismo de acesso ao meio Segurana em redes IEEE 802.11
Introduo ao padro IEEE 802.11

Redes sem fio IEEE 802.11 e WiFi Arquitetura e modos do padro IEEE 802.11 Modo infraestrutura e modo ad hoc SSID , BSSID, IBSSID, e ESSID Componentes, clientes e APs. Camadas PHY e MAC do padro IEEE 802.11 PHY: 802.11 bang MAC: acesso ao meio
Introduo: uso de redes sem fio

Usos das redes locais sem fio Mobilidade Dificuldades de cabeamento Ligao entre redes Redes provisrias
Introduo: Redes IEEE 802.11

IEEE (Institute of Electrical and Electronic Engineers) uma organizao profissional sem fins lucrativos que, entre outras coisas, estabelece padres baseados em consenso. O IEEE 802.11 o padro de redes locais sem fio Ele foi pensado como uma extenso do padro de redes com fio Ethernet (IEEE802.3)
IEEE802.11 e WiFi
Wi-Fi no o mesmo que IEEE 802.11 IEEE 802.11 um padro Wi-Fi um certificado, dado pela Wi-Fi Alliance que garante que os produtos com este certificado falaro entre si Um produto Wi-Fi no tem que implementar todo o padro IEEE 802.11, apenas a parte necessria para interoperar. Por isto, podemos dizer que Wi-Fi um perfil do IEEE802.11
IEEE 802.11 arquitetura e modos de operao

O padro IEEE 802.11 define dois modos de operao, que resultam em duas arquiteturas distintas: Modo Infraestruturado Todo o trfego intermediado por ponto de acesso Modo Ad Hoc No h pontos de acesso, apenas clientes que se comunicam diretamente
Modos de Operao: ad hoc

O modo ad hoc serve para interconectar mquinas que estejam prximas para comunicao ocasional Por exemplo, para trocar arquivos entre os participantes de uma reunio, ou para a cooperao entre alunos de uma sala de aula
usando software apropriado
As mquinas no tm ligao com redes cabeadas A no ser que seja rodado software de roteamento
Modos de Operao: Infraestrutura

O modo infraestrutura foi feito para estender uma rede com fio Requer hardware especial: o ponto de acesso Access point ou AP Faz a interface da rede com fio com a rede sem fio Toda a comunicao passa pelo AP Mesmo aquela entre dois ns sem fio que poderiam formar uma rede Ad Hoc entre si
Componentes em Redes Ad-Hoc

Neste tipo de configurao, as interfaces de rede das estaes falam entre si em vez de com o ponto de acesso
Componentes em redes com infraestrutura

Em redes com infraestrutura usamos tambm pontos de acesso para fazer a interface entre a rede com fio e a rede sem fio.
Arquitetura: BSS
Uma rede IEEE 802.11 formada por um conjunto de um ou mais BSSs. Um BSS definido como um conjunto de estaes (STAs) que conseguem se comunicar via rdio
Arquitetura: IBSS
Uma rede ad hoc chamada de Independent Service Set (IBSS)
Arquitetura: Infrastructure BSS

Um BSS infraestruturado aquele que contm um ponto de acesso Sua rea pode ser definida como a rea de cobertura de um ponto de acesso, dado que toda a comunicao neste tipo de BSS feita entre o ponto de acesso e uma estao
Arquitetura: ESS
Um ESS um conjunto de BSSs inteligados por uma rede, que chamada de sistema de distribuio (DSDistribution Sistem) Um nome, chamado de ESSID (identificador de ESS), usado para identificar um ESS. Todos os BSS pertencentes ao mesmo ESS tem o mesmo ESSID.
BSSID
O BSSID o endereo MAC do ponto de acesso que define o BSS
Fluxo de dados em um ESS

Redes sem fio de tamanhos arbitrrios podem ser criadas conectando vrios BSSs para realizao de um Conjunto de Servio Estendido (Extended Service Set). Estaes que faro parte do mesmo ESS podem se comunicar com outras estaes do grupo, mesmo estando em BSS distintas.
Fluxo de dados em um ESS

Conexo de vrias BSS formando um Conjunto de Servio Estendido (ESS)
SSID
Redes sem fio consistem basicamente de quatro componentes fsicos:
Para que uma estao possa ser reconhecida no seu domnio ou rea de atuao, tem que possuir uma identificao (ID) compartilhada com o ponto de acesso.
SSID
O SSID serve para identificar a rede que um cliente est usando No ponto de acesso, o SSID vem preconfigurado com um nome padro de fbrica: Ex: SSID = linksys, nos APs da marca Linksys Esse nome tem que ser modificado pelo administrador da rede.
Sistemas de distribuio
Um sistema de distribuio (DS Distribution System) uma rede de nvel de enlace que interliga os APs (BSSs) de um ESS
Operaes em uma rede IEEE 802.11

O processo de associao Varredura Seleo Associao Autenticao Reassociao Hand over
Conectando-se a uma rede sem fio

O processo de criar uma conexo virtual entre um computador (estao) e a rede (atravs de um ponto de acesso) tem vrios passos Encontrar os pontos de acesso (atravs de uma varredura) Escolher o ponto de acesso desejado Se identificar rede Se associar ao ponto de acesso
Varredura Passiva e Ativa

O processo de identificao da existncia de redes chamado de varredura. Existem dois tipos de varredura: Varredura Passiva
Ouvindo os quadros de Beacons
Varredura Ativa
Envio de Probe Request
A varredura pode ser realizada para uma rede especfica (usando um determinado Basic Service Set ID - BSSID) ou para qualquer rede (BSSID = Broadcast).
Beacons
Mensagens de sinalizao disseminadas pelo AP (em broadcast) a intervalos regulares; Fazem o anncio da existncia do AP na rede; So mensagens curtas; O intervalo de transmisso ajustvel (o default um quadro a cada 100 ms)
Recebendo Beacons
Varredura Passiva
A estao sintoniza um canal e espera por quadros de Beacon Como os quadros contm informaes do ponto de acesso, a estao pode criar uma lista de pontos de acesso O sistema eficiente em relao energia por no exigir a transmisso de quadros.
Mltiplos APs e ESSIDs
Varredura Ativa
A estao mvel envia um probe request para cada canal da lista de canais; A estao mvel espera por uma resposta do(s) AP(s); A estao mvel processa o probe response.
Varredura Ativa
Estados de uma estao

Uma estao pode ter trs estados: 1 no autenticada e no associada 2 autenticada e no associada 3 autenticada e associada
Autenticao
Os quadros de autenticao (authentication request e response) trocados nesta fase provem duas opes: Open system sistema aberto Chave pr-compartilhada (PSK) Esta fase de autenticao foi tornada obsoleta pelo IEEE 802.11i
Associao
Aps a autenticao, a estao pode tentar se associar enviando um quadro association request Aps se associar ela pode utilizar o AP para acessar a rede da qual faz parte. A estao mvel pode se associar somente a uma nica BSS
Troca de mensagens para associao
Depois da Associao
Reassociao
Quando a estao se desloca, pode haver necessidade de mudana de AP; A reassociao o processo de mudar a associao de um AP antigo para um novo AP quando uma estao mvel estiver se deslocando entre reas distintas; Tambm pode ocorrer quando a estao sai temporariamente da rea de um AP, e retorna APs adjacentes podem interagir uns com os outros durante esta operao.
Desassociao e Desautenticao
Para o AP terminar uma associao ou autenticao, ela usa os quadros de disassociation e deauthentication Um campo chamado reason code traz o motivo
Hand over
O IEEE 802.11 traz a base para um mecanismo de mobilidade semelhante ao da rede celular Estaes mveis pode se locomover dentro da rea de cobertura de um ESS, mudando de um AP para outro Os APs trocam quadros para atualizar a posio da estao e receber quadros armazenados No definido o mecanismo para trocar de ESSs, pois isto normalmente seria do nvel de rede
IEEE 802.11 Camadas PHY e MAC
802.2 LLC
Data link layer
802.11 MAC
802.11 FHSS
802.11 DSSS
802.11a OFDM
802.11b HR/DSSS
802.11g ERP
Physical layer (PHY)
Camada Fsica (PHY)

Diz respeito s tcnicas de transmisso e modulao Camada 1 do modelo OSI de referncia Evoluiu no IEEE 802.11 (b,a,n,g = bang!) 802.11 infravermelho, FHSS (2,4GHz) e DSSS (2.4GHz) 802.11b DSSS (2.4GHz) 802.11a OFDM (5 GHz) 802.11g ERP (diversos) (2.4GHz) 802.11n novo PHY (2.4GHz e 5GHz)
Canais na faixa de 2,4 GHz

Canal Freq. Central (MHz) 1 2412 2 3 4 5 6 7 8 9 10 11
2417 2422 2427 2432 2437 2442 2447 2452 2457 2462
Canais na faixa de 5GHz

Canal
Freq. Central (MHz)
36
40
44
48
52
56
60
64
5180 5200 5220 5240 5260 5280 5300 5320
Taxas do IEEE 802.11

Redes multitaxas b 1, 2, 5.5 e 11 Mbps g 1, 2, 5.5, 6, 9, 11, 12, 18, 24, 36, 48 e 54 Mbps g puro 6, 9, 12, 18, 24, 36, 48 e 54 Mbps a 6, 9, 12, 18, 24, 36, 48 e 54 Mbps Controle de taxa item sensvel Interoperabilidade Compromisso entre eficincia e robustez
Camada MAC
As regras de Controle de Acesso ao Meio MAC = Medium Access Control Evitar colises Ethernet CSMA/CD (detecta coliso) Wi-Fi CSMA/CA (evita coliso) Garantir confiabilidade Perda de quadros por corrupo mais comum em redes sem fio
CSMA/CA
Carrier Sense Multiple Access with Collision Avoidance Escuta o meio Est livre por um tempo maior que DIFS?
SIM transmite NO entra em regime de backoff
O backoff exponencial
SIFS + ACK + DIFS
A B
Frame
Frame
Backoff
Frame
Frame Frame
TEMPO
O quadro 802.11
O cabealho MAC tem 30 bytes Proviso para 4 endereos 4 bytes ao final para verificao de integridade (CRC) O corpo do quadro tem at 2312 bytes Esse tamanho ser aumentado para 7995 (emenda n)
Endereos MAC
Endereos MAC esto para os quadros IEEE 802.11 como os endereos IP esto para os pacotes IP Endereos de 48 bits (6 bytes) Duas partes: OUI identifica fabricante (3 bytes) ltimos 3 bytes identificam dispositivo
Endereo de destino
Unicast: um destinatrio primeiro byte par (exemplo 00:01:02:03:04:05) Multicast: diversos destinatrios primeiro byte mpar (exemplo 01:02:03:04:05:06) Broadcast: todos FF:FF:FF:FF:FF:FF
Vazo efetiva das redes Wi-Fi
Segurana em redes IEEE 802.11

O problema da segurana em redes sem fio Os padres de segurana WEP 802.11i
WPA1 e 2, WPA Personal e Enterprise
O problema da segurana
O trfego no confinado No necessrio o acesso fsico infraestrutura Como garantir Privacidade Integridade Autenticidade
Problemas tpicos das redes sem fio

Associao no autorizada Proposital Acidental Negao de servio (DoS - Denial of Service) Voltada aos elementos da rede (ponto de acesso) Voltada ao espectro (jamming) Interceptao de trfego
Padres de segurana no Wi-Fi

Cronologia dos mecanismos de segurana WEP 1997 parte do padro WPA 2002 baseado em um draft do IEEE 802.11i Personal e Enterprise WPA2 2004 verso final do IEEE802.11i Personal e Enterprise
WEP
Wired Equivalent Privacy Mecanismo original do IEEE 802.11 Chave pr-compartilhada (PSK) Algoritmo de criptografia RC4 Chaves de 40 ou 104 bits Integridade baseada em CRC32
WEP: cifragem
RC4 Algoritmo de criptografia de fluxo (streamcipher) Muito utilizado (SSL, TLS) mensagem cifrada mensagem chave Chaves criptogrficas 1 1 0 40 (64 - 24) bits 0 1 1 104 (128 -24) bits 1 1 0
XOR
1 1 0 0
0 1 1 0
0 0 1 0
WEP: integridade
CRC32 Message Integrity Check (MIC) Fcil e rpido de calcular Criptograficamente fraco No impede adulterao transparente do quadro
Problemas do WEP
RC4 mal implementado Chaves curtas Reso frequente das chaves Uso prolongado das chaves CRC no forte o suficiente Vetor de inicializao Revela parte da senha PSKs so intrinsecamente inseguras
WPA
IEEE reconheceu as deficincias do WEP Criou TGi (Fora tarefa i) WPA foi lanado em 2002 baseado numa verso preliminar do trabalho do TGi Retrocompatibilidade foi um objetivo WPA consideravelmente mais forte do que o WEP Protocolo de Criptografia TKIP Ainda sobre RC4
WPA: TKIP
Novo esquema para verificao de integridade da mensagem. MIC (Michael Integrity Check) Novo modo de escolher e utilizar os Vetores de Inicializao Cada pacote encriptado com uma chave diferente.
WPA: Personal versus Enterprise

WPA Pessoal Uso de chaves pr-compartilhadas Mais fcil de implementar WPA Empresarial Uso de servidor de autenticao RADIUS foi escolhido Cada usurio tem sua senha
WPA Enterprise: esquema
802.1X e EAP
802.1X Padro IEEE para autenticao de usurios Baseado no EAP (Extended Authentication Protocol) apenas um framework para diversos mtodos Mtodos EAP Uso de mtodos legados
TTLS, PEAP
Criptogrficos
TLS
No criptogrficos
MD5, MS-CHAP
WPA2
Mecanismo de segurana reconstrudo do zero No se preocupa com a retrocompatibilidade Protocolo de criptografia CCMP Utiliza criptografia de bloco AES Tambm existem o WPA2 Personal e o WPA2 Enterprise
RSN: Robust Security Network

Implementao completa do IEEE 802.11i Sem suporte a WEP Com servidor de autenticao Descreve os mecanismos de gerncia de chaves Gerao e distribuio de chaves
Estado da arte em segurana

WPA2 (CCMP) CCMP mais seguro que TKIP EAP-TTLS Proteo adicional ao mecanismo de autenticao RSN Sistema bem desenhado para gerncia de chaves Mas e as redes domsticas? WPA2, ou mesmo WPA1 Senhas difceis, trocadas com frequncia
Requisitos Eduroam
Suporte a autenticao robusta Servidor RADIUS IEEE 802.1X IEEE 802.11i Comumente chamado WPA2 Enterprise Parte considervel dos APs consumer grade
Prtica 1
Configurar AP para acessar RADIUS existente.
Ponto de Acesso
Usurio
Eduroam
Mtodos de autenticao
Roteiro da seo
Autenticao em redes IEEE 802.11 IEEE 802.11i IEEE 802.1X Mtodos de autenticao (EAP) Transao EAP Mtodos internos e externos Mtodos criptogrficos e no criptogrficos Principais mtodos EAP: TLS, TTLS, PEAP, PAP e MSCHAPv2
Autenticao em redes 802.11

Open system no prov autenticao WEP - Chave compartilhada (PSK) vulnervel IEEE 802.11i Substituto para o WEP Mecanismo recomendado
IEEE 802.11i
Publicada em 2004 Verso de 2003 deu origem ao WPA1 Verso final deu origem ao WPA2 Incorporado ao padro IEEE 802.11 em 2007 Autenticao baseada no padro IEEE 802.1X
802.1X
802.1X um arcabouo (framework) Adaptao do EAP (criado pelo IETF) (RFC 2284 atualizado em 3748) EAP um protocolo de arcabouo. A autenticao realizada por um protocolo de extenso - o mtodos EAP. Os mtodos podem ser mais ou menos adaptados s necessidades especficas de uma rede.
Arquitetura 802.1X
O protocolo EAP
Formato do quadro
Link layer header
Transporta diversos protocolos de autenticao sobre diversos protocolos de camada de enlace.
Transao EAP
Iniciada logo aps a associao do cliente Fase inicial: Identidade (Identity) Requisies e Respostas A seguir: Negociao do mtodo Requisies e Respostas Finalizando Sucesso ou Falha
Transao EAP Exemplo
Mtodos EAP
Mtodos criptogrficos PEAP, TLS, TTLS Mtodos no criptogrficos PAP, MsCHAPv2 Autenticao Interna (inner) vs. Externa (outer)
TLS (Transport Layer Security)

Sucessor do Secure Socket Layer Autenticao mtua Troca de certificados Previne instalao de APs clandestinos Infraestrutura de chave pblica (PKI) necessria Emitir e revogar chaves para APs e para usurios
TTLS e PEAP
TTLS = tunneled TLS (TLS tunelado) PEAP = Protected EAP Em ambos, dois mecanismos de autenticao so usados: Autenticao externa (outer)
Criao de tnel TLS
Autenticao interna (inner)

Mtodos no criptogrficos podem ser usados
Diferena entre TTLS e PEAP est na forma como o protocolo interno usado
Mtodos de autenticao interna

Podem ser mecanismos no criptogrficos Operam em um tnel TLS PAP e MSCHAPv2 so os mais comuns PAP um dos mtodos pioneiros (usado em enlaces PPP). Login e senha enviados desprotegidos. MSCHAPv2 a segunda verso do mecanismo criado pela Microsoft.
PAP - Password authentication protocol

Protocolo de autenticao simples baseado em senhas Cliente envia login e senha (Auth-Request) Servidor verifica e autentica ou no (Auth-Ack ou Auth Nack) Autenticao fraca RFC 1334 (PPP Authentication Protocols)
MSCHAP (Microsoft Challenge-Handshake Authentication Protocol)

Duas verses (MSCHAPv1 e MSCHAPv2) Vulnerabilidades conhecidas Prov autenticao mtua Servidor envia um desafio (desafio1) e um id de sesso Cliente envia resposta contendo: Login Um desafio (desafio2) para o servidor Resumo criptogrfico (desafio1 + desafio2 + id + senha usurio) Servidor verifica a resposta do cliente e envia: Indicador de sucesso ou de falha Resumo criptogrfico (desafio1 + desafio2 + resposta do cliente + senha do usurio) Cliente verifica a resposta de autenticao
PAP e MSCHAPv2 - disponibilidade

Windows Linux iOS Android
MsCHAP v2
Nativo
Nativo
Nativo
Nativo
PAP
No (SecureW2)
Nativo
No (MobileConfig)
Nativo
Outros mtodos (menos usados)

Criptogrficos LEAP No criptogrficos MD5 Challenge Token Card (GTC) SIM
Consideraes finais sobre os mtodos

Cada entidade escolhe seus mtodos Autenticao na instituio de origem MSCHAPv2 parece mais seguro que o PAP (pelo uso de desafios). No entanto, ambos so mtodos inseguros e devem ser usados como mtodos internos, apenas.
Prtica 2
Configurar diferentes clientes com diferentes mtodos de autenticao.
Ponto de Acesso
Usurio
Eduroam
Radius reviso e conceitos fundamentais
Roteiro da seo
Introduo Principais entidades NAS Cliente (suplicante) Servidor RADIUS Padro RADIUS Formato das mensagens Atributos das mensagens Exemplo de acesso utilizando RADIUS Comandos mais comuns do FreeRadius
Introduo
Estrutura cliente-servidor Servidor RADIUS; NAS (Network Access Server) como cliente RADIUS; Cliente final ou suplicante (EAP). Criado primeiramente s para autenticao. NAS encaminhava dados de cliente PPP. Estendido para Autorizao e Accounting (AAA).
RADIUS e EAP
NAS
NAS excerce papel importante na comunicao entre suplicante e servidor RADIUS. NAS encaminha requisies do cliente ao RADIUS. NAS responsvel pela coleta de informaes para accounting Utiliza IEEE 802.1X (acesso baseado em portas).
Cliente (Suplicante)
Requisita acesso. NAS encaminha pedido ao servidor RADIUS. Suporta mtodos EAP PAP, CHAP, MSCHAP etc. Suplicantes: so os softwares que do suporte aos mtodos EAP.
RADIUS (Remote Authentication Dial in User Services)

Proposto pela RFC 2058 e seguido de diversas revises (RFCs 2138, 2865) Accounting em RFC separada [RFC 2866] Responsvel por: tratar as requisies; autenticar usurios; retornar ao NAS dados referentes liberao do usurio.
Formato da Mensagem RADIUS
Campos das Mensagens RADIUS

Code (1 octeto):
1 Access-Request: gerado pelo NAS para encaminhamento da requisio do usurio. 2 Access-Accept: enviado do RADIUS ao NAS para liberao de porta (acesso). 3 Access-Reject: enviado ao NAS como rejeio de autenticao ou autorizao. 4 e 5 Accounting-Request/Response: Tratados na seo sobre Accounting. 11 Access-Challenge: enviado do RADIUS para o NAS para perguntar ou negociar algo. 12 e 13 Status-Server/Client: verifica se ambos esto funcionando.
Campos das Mensagens RADIUS

Identifier (1 octeto): auxilia nos pedidos e respostas do
servidor RADIUS. Identifica mensagens duplicadas (mesmo IP, porta de origem e ID em um curto perodo de tempo).
Length (2 octetos): tamanho do pacote. Authenticator (16 octetos): utilizado para autenticar a reposta
requerida pelo servidor RADIUS ou esconder senha. O octeto mais significativo transmitido primeiramente.
Atributos: autenticar, autorizar, informar e configurar detalhes

para pedidos e respostas entre cliente e servidor.
Atributos
1 2 3 4 5 6 ... 32 33 User-Name User-Password CHAP-Password NAS-IP-Address NAS-Port Service-Type
NAS-Identifier Proxy-State
Atributo User-Password
Atributo enviado no Access-Request. Exemplo: para que a senha no seja enviada em texto-puro na rede.
1. 2.
A senha completada com zeros at formar um mltiplo de 16 bytes. Request Authenticator concatenado a ela e, depois calculado o hash por MD5. realizado um XOR em seu resultado com os dezesseis primeiros octetos da senha.
Exemplo
Usurio "nemo" deseja acesso. Senha compartilhada (NAS - Servidor): "xyzzy5461" Senha do usurio: "arctangent" Acesso realizado pela porta 3. Ser enviado um pacote UDP com um pedido de acesso (Access-Request).
Exemplo (parte 2)
Contedo da mensagem:
01 00 00 38 0f 40 3f 94 73 97 80 57 bd 83 d5 cb 98 f4 22 7a 01 06 6e 65 6d 6f 02 12 0d be 70 8d 93 d4 13 ce 31 96 e4 3f 78 2a 0a ee 04 06 c0 a8 01 10 05 06 00 00 00 03
Code = Access-Request ID = 0 Length = 56 Request Authenticator: nmero randmico de 16 octetos Atributos: User-Name = "nemo" User-Password: 16 octets do password completados com zeros e combinados por XOR com o MD5 de (senha compartilhada | Request Authenticator) NAS-IP-Address = 192.168.1.16 NAS-Port = 3
Exemplo (parte 3)
Cliente Autenticado e pacote de Access-Accept retornado ao NAS.
Contedo da mensagem:
02 00 00 26 86 fe 22 0e 76 24 ba 2a 10 05 f6 bf 9b 55 e0 b2 06 06 00 00 00 01 0f 06 00 00 00 00 0e 06 c0 a8 01 03
Code = Access-Accept ID = 0 (o mesmo do Access-Request) Length = 38 Response Authenticator: 16 bytes gerado por um MD5 de code + ID + length + Request Authenticator + Atributos da Resposta + senha compartilhada Atributos: Service-Type = Login Login-Service = Telnet Login-IP-Host = 192.168.1.3
Comandos do FreeRADIUS
Comandos mais comuns: radiusd ou freeradiusd (daemon) radtest (teste de autenticao) radiusd X (modo debug)
radtest
t chap usuario senha _usuario endereo_servidor_RADIUS porta_RADIUS senha_compartilhada
Prtica 3
Instalao de Servidor RADIUS da instituio.
Ponto de Acesso
Usurio
Eduroam
LDAP reviso e conceitos fundamentais
Roteiro da seo
Servio de diretrio e surgimento do LDAP Estrutura de um diretrio Modelos Modelo de informao Classes de objetos LDIF Esquemas brEduPerson OpenLDAP
Servio de diretrio
Base de dados especializada Otimizada para busca e navegao Grande volume de informao textual
pessoas, instituies, servios, etc
Escrita e atualizao espordica, porm suportada Pode ser local ou distribudo
Surgimento do LDAP
X.500 Conjunto de padres do UIT para sistemas de diretrios anos 1980. DAP - Directory Access Protocol Ou X.500 Directory Access Protocol era o protocolo de acesso a um diretrio X.500 Baseado na pilha OSI LDAP Lightweight Directory Access Protocol Alternativa ao DAP Simplificado e baseado na pilha TCP/IP Atualmente na verso 3.
Verses do LDAP
LDAPv3 Final dos anos 90 Autenticao forte com SASL
Suporte a certificados TLS e SSL
Internacionalizao Unicode Encaminhamentos (Referrals) LDAPv2 considerado ultrapassado Ainda suportado (OpenLDAP, desabilitado por default) Incompatvel com o LDAPv3
Operao do LDAP
Modelo Cliente-Servidor Cliente se conecta a um servidor e envia sua requisio Servidor responde e/ou envia ponteiro para outro servidor Consistncia na viso do cliente, independente do servidor consultado
Estruturas LDAP
Modelos LDAP
So quatro os modelos bsicos definidos pelo LDAP (em conjunto, eles descrevem completamente a operao do diretrio): Modelo de Informao - tipo de informao que pode ser armazenada Modelo de Nomes - como a informao pode ser organizada e referenciada Modelo Funcional - que operaes podem ser realizadas nos dados Modelo de Segurana que mecanismos de autenticao e controle de acesso so usados
Modelo de Informao do LDAP

Entradas so os contineres de dados da estrutura hierrquica DIT (Directory Information Tree) a rvore resultante O topo da hierarquia chamado raiz, base ou sufixo. Cada entrada possui um nome nico e uma instncia de um ou mais objectClasses Cada objectClass tem um nome e pode conter atributos Cada atributo tem um nome e usualmente contm dados Os dados so, portanto, armazenados como atributos
Tipos de classe de objeto

objectClasses podem ser de 3 tipos: Abstratas modelo para criao de outras classes Estruturais classes instanciadas pelas entradas Auxiliares tambm instanciadas pelas entradas, mas apenas para estender as classes estruturais A definio de que classes so abstratas, estruturais ou auxiliares definida por um esquema (estudado adiante)
Directory Information Tree
LDIF
LDAP Data Interchange Format (LDIF) Descrio textual da rvore hierrquica
dn: uid=jsliva,dc=uff, dc=br sn: Silva
cn: Jose
uid: jsilva objectClass: person objectClass: inetOrgPerson objectClass: sambaSamAccount userPassword: {SSHA}gWRX6IuyiGw+0xvPN3JhaGEcvuLJqmlB sambaNTPassword: 1E39A9A92F2B08A0E69B4D5ADA7E5332
Esquemas
Um esquema LDAP consiste de um pacote contendo objectClasses e atributos. Forma prtica de encapsular atributos e classes que traduzem o interesse especfico de uma instituio Todos os atributos e objectClass, incluindo os atributos e objectClasses superiores na hierarquia devem ser definidos em um esquema. Esquemas so configurados no servidor LDAP.
Esquema brEduPerson
Objetiva armazenar dados de pessoas ligadas s instituies de ensino superior no Brasil Professores, funcionrios, alunos, pesquisadores Mltiplos vnculos Informaes de residentes no Brasil + informaes especificamente ligadas comunidade acadmica.
Classes de Objetos no Esquema brEduPerson

Entrada principal: inetOrgPerson (estrutural) schacPersonalCharacteristics, eduPerson e brPerson (auxiliares) inetOrgPerson pessoas (RFC 27981) schacPersonalCharacteristics - extenses ao inetOrgPerson Sugeridas pela TERENA eduPerson pessoas ligadas a comunidade acadmica Criado no mbito da Internet2 brPerson dados de um brasileiro ou residente no pas CPF, passaporte
OpenLDAP
Implementao de cdigo aberto do LDAP http://openldap.org Para S.O. Linux Inclui: Slapd o servidor (stand-alone LDAP daemon) Bibliotecas que implementam o protocolo LDAP Utilitrios, ferramentas e amostras de configuraes e clientes
Exemplos: ldapadd e ldapsearch
OpenLDAP: starting and stopping

Iniciando...
/usr/local/libexec/slapd [<option>]*
Exemplos de opes
-f arquivo (arquivo de configurao alternativo) -d nvel (nvel de debug)
Parando...
kill -INT `cat /usr/local/var/slapd.pid
Obs: a localizao do slapd e do pid file determinada na instalao, e pode variar.
Prtica 4
Instalao de Servidor LDAP da instituio.
Ponto de Acesso
Usurio
Eduroam
Roaming: Conceitos e funo
Roteiro das seo

Roaming - Motivao Funcionamento do Eduroam Realms (domnio) Autenticao na instituio de origem Encaminhamento entre RADIUS Concluso
Roaming - Motivao
Finalidade: Prover acesso transparente a usurios em instituies parceiras independentes. Manter uma identidade nica. Mtodo EAP interno baseado na instituio de origem Integrar o servio RADIUS geograficamente. Premissa para que o Eduroam funcione.
Estrutura Hierrquica
3 Nvel Confederao
2 Nvel Federao
1 Nvel Institucional
Realms (domnio)
Identificao da instituio de origem Definido por um delimitador @ outro delimitator seria o \ (e.g. domnio Windows)
Ateno!
Para que o acesso seja transparente ao usurio em roaming, configure sempre login@dominio!
Infraestrutura do Provedor de Acesso

UFF
UFRJ
Nvel Federao 1 Nvel Institucional
Processo de Autenticao Local

usuario@uff.br
2 Nvel Federao 1 Nvel Institucional
senha
UFF
UFRJ
UFRJ
Processo de Autenticao Remota

usuario@ufrj.br usuario@ufrj.br senha senha
UFF
UFRJ
UFRJ
Servidor de Encaminhamento
Encaminhada de forma transparente os pacotes de: Access-Request Access-Response Access-Reject Access-Accept Atributo Proxy-State: Inserido e removido (no retorno da mensagem) pelo servidor de encaminhamento. Identifica que a mensagem veio de um proxy. No removido no caminho de ida, mas podem ser acrescentados mais atributos Proxy-State.
Prtica 5
Configurao de Proxy para a Federao (Roaming).
Servidor RADIUS Federao Ponto de Acesso

UDP UDP
Usurio
Eduroam
RADSEC: Segurana na comunicao RADIUS
Roteiro das seo

Introduo Segurana do RADIUS Segurana do RadSec Funcionamento Implementaes Comandos mais comuns
Introduo
RadSec (RADIUS-over-TLS): RFC 6614 - Transport Layer Security (TLS) Encryption for RADIUS de 2012 (ainda draft) Diversos drafts desde 2008. Altera a comunicao RADIUS baseada em UDP para TCP/TLS. Benefcios: Segurana Confiana Outros (veremos os problemas do RADIUS)
Segurana do RADIUS
padro RADIUS no to seguro Utiliza senha compartilhada e um hash MD5 para cada conexo servidor-NAS. Autenticao por mensagem Alguns atributos em texto-puro Ataques possveis: http://www.untruth.org/~josh/security/radius/radiusauth.html Soluo: utilizar EAP com tnel TLS.
Segurana do RadSec
TLS entre as comunicaes RADIUS Certificados X.509 Cada servidor RADIUS tem seu certificado Alto nvel de encriptao Encripta toda a mensagem Utiliza TCP e no mais UDP Transporte confivel
Funcionamento
Autenticao com RadSec

Ca1l3kfsndvasd Estabelecimento de X sesso csdkbm TLS sobre TCP usuario@uff.br
senha
usuario@uff.br senha
Implementaes
RADIATOR (RADIUS comercial) radsecproxy Gratuito Compatvel com FreeRADIUS possvel utiliz-lo em AP baseado em OpenWRT
maior segurana entre NAS e Servidor no mais baseado em senha compartilhada
FreeRADIUS pretende incorporar o padro RADIUSover-TLS futuramente.
Comandos do radsecproxy
Comandos mais comuns: radsecproxy f (modo debug em terminal) /etc/init.d/radsecproxy (start-stop-restart)
Erro mais comum: H algum erro de configurao ???? No autoexplicativo ????
Prtica 6
Configurao do Proxy utilizando RadSec.
Ponto de Acesso
Usurio
Eduroam
RADIUS Accounting: Conceitos e finalidade
Roteiro da seo
Introduo RADIUS Accounting Formato das mensagens Atributos das mensagens Exemplo de funcionamento RADIUS Accounting Proxy (roaming) Concluso
Introduo
RADIUS Accounting foi introduzido pela RFC 2059 de 1997. Utiliza a porta 1813 (UDP) Padro RADIUS at ento era apenas AA (Autenticao e Autorizao) Finalidade: Fornecer informaes sobre a autenticao de um usurio. Facilitar a contabilidade de utilizao de usurios (originalmente em PPP, telnet, rlogin). Possibilidade de: Monitoramento e coleta de estatsticas. Cobrana por utilizao.
RADIUS Accounting
Segue o padro cliente-servidor RADIUS Autenticador (cliente RADIUS) NAS responsvel por encaminhar as informaes de accounting ao servidor RADIUS Servidor RADIUS accounting deve responder ao NAS com sucesso ou no. A segurana provida pela mesma senha compartilhada pelo mtodo de autenticao (shared secret).
Pacotes e Atributos
4 Accounting-Request 5 Accounting-Response
Diversos so os atributos possveis: 40 Acct-Status-Type 41 Acct-Delay-Time 46 Acct-Session-Time 47 Acct-Input-Packets 48 Acct-Output-Packets 51 Acct-Link-Count
Atributo Acct-Status-Type
Responsvel por informar o status da sesso: incio, fim ou ativa.
Type 40 for Acct-Status-Type. Length 6 Value (8 octetos) 1 Start 2 Stop 3 Interim-Update ...
Funcionamento
Proxy (roaming)
O encaminhamento do pacote de accounting por proxy realizado da mesma forma como com pacotes de autenticao. Insere (quando encaminha a outro servidor) ou retira (quando recebe um pacote) o ltimo atributo ProxyState. possvel accounting tanto no servidor de origem quanto no de destino.
Concluindo
Utilizado para fornecer informaes de acesso. Pode auxiliar tanto no monitoramento do acesso quanto inserir sistema de cobrana.
Em tempo: os atributos podem depender do fabricante! Alguns produtos podem fornecer informaes de forma diferente de outros.
Prtica 7
Configurao do Accounting e banco de dados PostgreSQL. Relatrios
Ponto de Acesso
Usurio
Obrigado!
Para maiores informaes sobre o Eduroam Site Eduroam Internacional
http://www.eduroam.org/
Site Eduroam-br no MdiaCom

http://www.midiacom.uff.br/eduroam-br/
Contatos Coordenao Eduroam-br

Profa. Dbora C. Muchaluat Saade (debora@midiacom.uff.br)
Instrutores
Prof. Ricardo C. Carrano (carrano@midiacom.uff.br) Edelberto Franco Silva (esilva@midiacom.uff.br)

Curso Eduroam Slides Comentados

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Curso Eduroam Slides Comentados

Загружено:

Авторское право:

Eduroam

Cronograma do Curso Dia 1 manh

Cronograma do Curso Dia 1 tarde

Cronograma do Curso Dia 2 manh

Cronograma do Curso Dia 2 tarde

Cronograma do Curso Dia 3 manh

Cronograma do Curso Dia 3 tarde

Servidor RADIUS Instituio 1

Servidor RADIUS Instituio 1

Servidor RADIUS Instituio 1

Servidor RADIUS Instituio 1

Servidor LDAP Instituio 1

Servidor RADIUS Federao Ponto de Acesso

Servidor RADIUS Instituio 1

Servidor LDAP Instituio 1

Servidor RADIUS Instituio 2

Servidor RADIUS Insituio 2

Servidor RADIUS Federao

Servidor RADIUS Instituio 1

Servidor LDAP Instituio 1

Servidor RADIUS Instituio 2

Servidor RADIUS Insituio 2

Servidor RADIUS Federao

Servidor RADIUS Instituio 1

Servidor LDAP Instituio 1

Servidor RADIUS Instituio 2

Servidor RADIUS Insituio 2

Ponto de acesso (NAS)

Viso geral do Eduroam

gostaria aleixo de acessar a senha!rede? senha123a

gostaria aleixom de acessar a senha!rede? a senha1234

maleixo a senha! a rede? 123senha

Voc j tem favor, Por

Mais sete voluntrias se integraram ao piloto

CAFe (Comuindade Acadmica Federada)

Autenticao na instituio de origem

Interconexo com Amrica Latina e Europa

Rede sem Fio IEEE 802.11

Introduo ao padro IEEE 802.11

Introduo: uso de redes sem fio

Introduo: Redes IEEE 802.11

IEEE 802.11 arquitetura e modos de operao

Modos de Operao: ad hoc

Modos de Operao: Infraestrutura

Componentes em Redes Ad-Hoc

Componentes em redes com infraestrutura

Arquitetura: Infrastructure BSS

Fluxo de dados em um ESS

Fluxo de dados em um ESS

Operaes em uma rede IEEE 802.11

Conectando-se a uma rede sem fio

Varredura Passiva e Ativa

Mltiplos APs e ESSIDs

Estados de uma estao

Troca de mensagens para associao

IEEE 802.11 Camadas PHY e MAC

Data link layer

Physical layer (PHY)

Camada Fsica (PHY)

Canais na faixa de 2,4 GHz

Canais na faixa de 5GHz

5180 5200 5220 5240 5260 5280 5300 5320

Taxas do IEEE 802.11

Vazo efetiva das redes Wi-Fi

Segurana em redes IEEE 802.11

Problemas tpicos das redes sem fio