Implementaao do protocolo

802.1x utilizando servidor de

autenticaao FreeRadius

Faculdade de Tecnologia SENAC Gois - Projeto Integrador V

Curso: Gesto da Tecnologia da Informao - Noturno - 5 Perodo
Projeto de Redes de Computadores
Alunos:
Lzaro Rodrigues Coelho
Ricardo A. Portugal
Itair Miguel Vieira Junior
Tlio Accioly Fayad
Professor:
Dinailton Jos da Silva

ndice
]

1.

Introduo ................................................................................................................................................. 3

2.

Padro IEEE 802.1x .................................................................................................................................... 3

3.

Funcionamento do padro IEEE 802.1X .................................................................................................... 4

4.

O Padro AAA ............................................................................................................................................ 5

5.

LDAP - Lightweight Directory Access Protocol ........................................................................................... 6

6.

Vantagens e Desvantagens do LDAP ......................................................................................................... 6

7.

Extensible Authentication Protocol EAP ................................................................................................. 6

8.

Radius ........................................................................................................................................................ 7

9.

Funcionamento do Radius ......................................................................................................................... 8

10.

Servidores Radius Existentes ................................................................................................................. 9

11.

Arquitetura para Desenvolvimento ..................................................................................................... 10

12.

Concluso ............................................................................................................................................ 10

1. Introduo
Durante os ltimos anos as redes de computadores tiveram um grande crescimento
principalmente devido a popularizao da Internet (NICBR, 2006). Entretanto, a infraestrutura de
redes de computadores necessita de atualizaes para suportar novos protocolos para permitir
seu gerenciamento e controle sobre os usurios da mesma.
Em um ambiente de rede onde o meio de acesso compartilhado e aberto, como nas redes sem
fio ou no caso das redes cabeadas que existam segmentos da mesma que no possam ser
verificados, a confiana nos hosts fica limitada. Para contornar esses aspectos falhos de segurana
mencionados acima existem diversos mtodos disponveis para implementao. Uma forma
eficiente prover um mecanismo de segurana atravs de um protocolo que oferea opes de
segurana confiveis.
Desta forma, o padro IEEE 802.1x o que prov autenticao entre os clientes da rede e o ativo
no qual os mesmos esto conectados podendo este ser um switch ou um ponto de acesso (AP Access Point) para acessos sem fio.
Portanto, o padro IEEE 802.1x descreve um modelo de controle de acesso rede e uma
arquitetura de controle centralizada que se integra com o padro AAA (Authentication,
Authorization and Accounting) da IETF (Internet Engineering Task Force) definido em
(VOLLBRECHT, 2000).
2. Padro IEEE 802.1x
O IEEE 802.1X o padro adotado para autenticao, ao nvel de porta, em redes IEEE 802
cabeadas ou sem fio, atendendo arquitetura AAA. O padro define porta como sendo um ponto
de conexo LAN, podendo ser uma porta fsica, em redes cabeadas, ou uma porta lgica, como
no caso da associao entre um dispositivo sem fio e o ponto de acesso.
O padro IEEE 802.1x uma soluo para os problemas de autenticao encontrados no IEEE
802.11, pois o mesmo tem suporte a diversos mtodos de autenticao existentes. Desta maneira,
o IEEE 802.1x garante compatibilidade entre o Protocolo de Integridade Temporal de Chave (TKIP Temporal Key Integrity Protocol), que foi desenvolvido para solucionar o problema de chave
esttica do WEP, e o Padro de Criptografia Avanada (AES Advanced Encryption Standard), que
um mecanismo forte de criptografia que vem sendo adotado recentemente.
Uma forma de utilizar os recursos que o padro IEEE 802.1x oferece, implementar o protocolo
EAP (BLUNK, 1998), proposto para ampliar a funcionalidade de autenticao do protocolo pontoa-ponto (PPP - Point-to-Point Protocol) (SIMPSON 1994), antes limitada aos mecanismos providos
pelo Protocolo para Controle de Link (LCP - Link Control Protocol), que eram o Protocolo de
Autenticao por Senha (PAP Password Authentication Protocol) e o Protocolo de Autenticao
por Negociao de Desafio (CHAP Challenge Handshake Authentication Protocol) (SIMPSON,
1996). O PAP um protocolo utilizado principalmente para autenticao em redes discadas, no
qual o login e a senha trafegam em texto claro. O CHAP prov criptografia somente do usurio e
senha, porm os dados tambm trafegam em texto claro.

3. Funcionamento do padro IEEE 802.1X

O 802.1X projetado para trabalhar em qualquer tipo de rede: com ou sem fio. O 802.1X requer
uma infraestrutura de suporte, clientes nominais que suportem o 802.1X, switches, pontos de
acesso sem o, um servidor RADIUS e algum tipo de banco de dados de contas, como o LDAP ou
Active Directory.

Figura 01: Infraestrutura para operar com 802.1X

Como pode ser visto na figura 01 um cliente, chamado supplicant faz uma conexo inicial para um
authenticator, um switch de rede ou um ponto de acesso sem fio. O autenticador configurado
para exigir o 802.1X de todos os suplicantes e ir ignorar qualquer conexo de entrada que no se
adequar. O autenticador solicita ao suplicante sua identidade, a qual ele passar adiante para o
authentication server RADIUS.
Elementos exigidos:
a) Software cliente, chamado de suplicante, em cada ponto de extremidade;
b) Switches ou pontos de acesso habilitados para 802.1X, chamados de autenticadores, para
mediar todas as comunicaes ocorridas antes da atribuio do endereo IP;
c) Servidor RADIUS, o servidor de autenticao, para gerenciar o processo AAA;
A inteligncia dessa soluo reside no suplicante e no servidor RADIUS, com o switch ou ponto de
acesso simplesmente re-empacotando e distribuindo as informaes.

4. O Padro AAA
Em segurana da informao, o padro AAA uma referncia aos protocolos relacionados com os
procedimentos de autenticao, autorizao e contabilizao (accounting). A autenticao verifica
a identidade digital do usurio de um sistema, a autorizao garante que um usurio autenticado
somente tenha acesso aos recursos autorizados e, por fim, a contabilizao refere-se a coleta de
informaes sobre o uso dos recursos de um sistema pelos seus usurios.

No processo de autenticao, necessria a reciprocidade. O usurio tem que possuir a

certeza de que est enviando as suas informaes de conta para o local correto. Um
usurio deve identificar-se e autenticar-se para o sistema, mas o sistema no se autentica
para o usurio de maneira bvia. O problema simplesmente composto pela crescente
quantidade de vulnerabilidades no pacote de protocolos TCP/IP, que pode criar
informaes incorretas para vantagem de um usurio que esteja tentando obter acesso
indevido a um recurso da rede.
Para solucionar este problema, conhecido como man-in-the-middle, definido em (ASOKAN,
2005), preciso colocar um mecanismo adequado de autenticao mtua. Autenticao
tua quando o host autentica o cliente e o cliente autentica o host. Os mtodos de
autenticao mtua so baseados em uma infra-estrutura de chave pblica (PKI Public
Key infrastructure).

O procedimento de autorizao a concesso de tipos especficos de servios para um

usurio, com base na sua autenticao, quais servios esto sendo solicitados, bem como o
atual estado do sistema. A autorizao pode ser baseada em restries como, por exemplo,
hora, localizao fsica ou contra vrias sesses simultneas pelo mesmo usurio. A
autorizao determina a natureza do servio, que concedido a um usurio. Exemplos de
tipos de servios incluem, filtragem de endereo IP, concesso de endereo IP, concesso
de rotas, QoS (Quality of Service), servios de controle de largura de/gesto de trfego e
criptografia entre outros (VOLLBRECHT, 2000).

O processo de contabilizao (accounting) refere-se ao monitoramento do consumo de

recursos de rede pelos usurios. Estas informaes podero ser utilizadas para o
gerenciamento, planeamento, pagamento ou para outros fins. Accounting em tempo real
refere-se informao que entregue simultaneamente com o consumo dos recursos.
Accounting em batch refere-se informao que armazenada at que seja utilizada em
momento oportuno. Informaes tpicas que so recolhidas no processo de accounting a
identidade do usurio, a natureza do servio, quando o servio foi concedido e quando o
mesmo foi encerrado.

Os procedimentos acima que compem a arquitetura AAA so necessrios para oferecer uma
forma de autenticao segura a uma rede onde necessrio ter controle sobre a forma de
acesso dos usurios.

5. LDAP - Lightweight Directory Access Protocol

A necessidade de integrao de informaes de maneira clara e consistente, de forma a reduzir o
custo de sua manuteno motivou o surgimento de um padro que provesse tais caractersticas.
Assim, o padro LDAP foi criado com esse intuito e trata-se de um protocolo que define um
mtodo para o acesso e a atualizao de informaes em um diretrio. A definio de um
diretrio descreve um banco de dados especializado em leitura apenas e no em gravao.
Portanto, o LDAP define um protocolo de comunicao desenvolvido para rodar sobre a pilha de
protocolos TCP/IP. Assim, o mesmo define o transporte e o formato das mensagens utilizadas pelo
cliente para acessar os dados que esto armazenados em um diretrio do tipo X.500.
atravs do padro X.500 que se organizam as entradas do diretrio em um espao de nomes
hierrquico (uma rvore) capaz de incorporar grandes volumes de informao. A rvore de
diretrio pode ser criada de acordo com a necessidade. O LDAP tambm define mtodos de busca
para tornar a recuperao dessa informao de forma eficiente (BARTH, 2006).
Entretanto, o LDAP no define o servio de diretrio em si. Com o LDAP, o cliente no
dependente da implementao em particular do servio de diretrio que est no servidor.

6. Vantagens e Desvantagens do LDAP

As principais vantagens do LDAP so:

um padro aberto;
otimizado para realizar pesquisas e leitura;
Centraliza toda a informao proporcionando enormes benefcios tais como: um nico
ponto de administrao, menos informao duplicada, maior transparncia das
informaes;
Possui um mecanismo de replicao da base includo;
Suporta mecanismos de segurana para autenticao (SASL) e para a troca de dados (TLS);
Muitas aplicaes e servios possuem suporte ao LDAP.

As principais desvantagens do LDAP so:

Em alguns casos no substitui as bases de dados relacionais;

Pouco eficiente para operaes de escrita e atualizao;
Integrao com outros servios e aplicaes torna a implantao complexa.

7. Extensible Authentication Protocol EAP

EAP o protocolo usado para autenticao, proposto para ampliar a funcionalidade de
autenticao do protocolo ponto-a-ponto - PPP Simpson (1994). Antes limitado aos mecanismos
providos pelo protocolo para controle de link, que eram o protocolo de autenticao - PAP e o
protocolo de autenticao por negociao de desafio - CHAP Simpson (1996).
Utilizando o EAP possvel ter independncia de mecanismos de autenticao PPP, sendo assim
uma alternativa interessante para interligao de redes visto a sua capacidade de adaptao a
novos mecanismos.

Uma vantagem do uso do protocolo EAP o aumento de vida til dos equipamentos que possuem
suporte ao padro IEEE 802.1X, pois os mesmos passam a funcionar como intermedirios entre o
host cliente e o servidor de autenticao, no sendo necessrio implementar mecanismos
adicionais de segurana no prprio equipamento.
Com a utilizao de EAP para autenticao dos usurios a identidade real no enviada antes do
tnel de TLS codificado ser ativado. Depois que a identidade for enviada, o processo de
autenticao comea. O protocolo usado entre o suplicante e o autenticador o EAP, ou, mais
corretamente, encapsulamento de EAP sobre a LAN EAPOL. O Autenticador re-encapsula as
mensagens EAP para o formato de RADIUS e passa para o servidor de autenticao.

Figura 02: Comunicao entre os elementos

Durante a autenticao, o autenticador retransmite os pacotes entre o suplicante e o servidor de

autenticao. Quando o processo de autenticao termina, o Servidor de autenticao envia uma
mensagem de sucesso (ou fracasso, se a autenticao falhar). O autenticador abre ento a porta
para o suplicante, depois de uma autenticao prspera, concedido acesso a outros recursos da
rede ao suplicante, conforme Figura 02.
8. Radius
O RADIUS um protocolo utilizado para disponibilizar acesso a redes utilizando a arquitetura AAA.
Inicialmente foi desenvolvido para uso em servios de acesso discado. Atualmente tambm
implementado em pontos de acesso sem o e outros tipos de dispositivos que permitem acesso
autenticado a redes de computadores. O protocolo RADIUS denido pela RFC 2865 (2000).

O desenvolvimento do RADIUS comeou de fato em 1994, quando Steve Willens e Carl Rigney da
Livingston Enterprise (hoje conhecida como Lucent) abriram o cdigo fonte do servidor RADIUS
para que outros desenvolvedores da Merit Networks, uma pioneira em criao de solues para
Internet na poca, pudessem ajudar na construo do que hoje um dos servios mais utilizados
na rede.
O RADIUS foi construdo para atender uma necessidade de mercado da poca. Naquele tempo,
precisava-se de um produto que autenticasse, autorizasse e fizesse acompanhamento e
monitoramento do uso de recursos de rede usado pelos usurios. Depois de uma primeira reunio
entre os desenvolvedores dessas duas empresas, nasceu uma verso muito superficial do RADIUS.
Hoje em dia, tanto a Lucent quanto a Merit Networks oferecem servios de Internet ao pblico
baseado no RADIUS sem nenhum tipo de cobrana.7
9. Funcionamento do Radius
O protocolo RADIUS baseia-se no modelo cliente/servidor, tendo de um lado o Network Access
Server - NAS como cliente e do outro o servidor RADIUS. O utilizador, o NAS e o servidor trocam
mensagens entre si quando o utilizador pretende se autenticar para utilizar um determinado
servidor de rede.
Uma mensagem RADIUS consiste num pacote contendo um cabealho RADIUS com o tipo de
mensagem, podendo ainda ter atributos associados mensagem, cada atributo RADIUS especfica
uma parte de informao sobre a tentativa de ligao. Por exemplo, existem atributos RADIUS
para o nome de utilizador, para a palavra passe do utilizador, para o tipo de servio pedido pelo
utilizador e para o endereo Internet Protocol - IP do servidor de acesso.
Os atributos RADIUS so utilizados para transmitir informaes entre clientes RADIUS, proxies
RADIUS e servidores RADIUS. Quando um utilizador da rede deseja utilizar um servio ele envia os
seus dados para o NAS.
O NAS responsvel por adquirir todos os dados do utilizador, que normalmente so o nome de
utilizador e a respectiva palavra passe (no envio do NAS para o servidor a palavra passe cifrada
de modo a prevenir possveis ataques) e envi-los para o servidor RADIUS atravs de um pedido
de acesso que se designa de Access - Request. Este tambm responsvel por processar respostas
vindas do servidor RADIUS.
O servidor ao receber um pedido de acesso tenta a autenticao do utilizador, enviando em
seguida resposta para o NAS contendo um Access - Reject caso o acesso seja negado, Access Accept caso o acesso seja aceito ou Access - Challenge caso seja pedida uma nova confirmao.
A Figura 03 ilustra a descrio do funcionamento do protocolo RADIUS.

Figura 03: Funcionamento do radius

10.

Servidores Radius Existentes

Existem no mercado muitas solues para servidores RADIUS. O FreeRadius o servidor RADIUS
mais utilizado para sistemas Linux. Este responsvel pela autenticao de pelo menos um tero
dos usurios da Internet. Os restantes dos usurios encontram-se divididos entre os servidores
restantes, destacando-se entre eles o Cisco Access Control Server (ACS) e o Microsoft Internet
Authentication Service (IAS).
FreeRadius

O FreeRadius uma implementao de RADIUS modular, de alta performance e rica em

opes e funcionalidades. Esta inclui servidor, cliente, bibliotecas de desenvolvimento e
muitas outras utilidades. Pode ser instalada em sistemas Linux e Machintosh FreeRadius
(2010). Devido a estas caractersticas e tendo em conta o fato de ser uma aplicao open
source esta ser a implementao de RADIUS utilizada para o desenvolvimento do
trabalho.

Cisco ACS

O Cisco Secure Access Control Server uma poltica de controle de acessos que
proporciona um ambiente centralizado de controle de autenticao, autorizao e
contabilizao de acesso de usurios de redes de computadores ACS (2010).

Microsoft IAS
O Internet Authentication Service a implementao da Microsoft de um servidor RADIUS. Tal
como especificado pelo RADIUS o IAS oferece servios de autenticao, autorizao e
contabilizao centralizados para diferentes tipos de acessos de rede, incluindo wireless e Virtual
Private Network VPN's. Funcionando como proxy, o IAS reencaminha as mensagens de
autenticao e autorizao para outros servidores RADIUS IAS (2010).

11.

Arquitetura para Desenvolvimento

O padro IEEE 802.1X requer:

Uma infra-estrutura de suporte;

Clientes nominais que suportem o 802.1X;
Switches que podem participar no 802.1X;
Um servidor RADIUS;
Algum tipo de banco de dados de(como o Active Directory - LDAP).

Um computador com a seguinte configurao (Servidor):

12.

CPU Intel(R) Xeon(TM)CPU 3.00 GHz;

3 GB Memria RAM;
Disco Rgido de 320 GB;
LAN 10/100 e demais componentes.
Concluso

Utilizar um ambiente de rede que possui uma forma de autenticao e autorizao para acesso ao
meio uma das formas de aumentar a segurana. Com o processo de autorizao, somente
usurios legtimos e devidamente identificados tem acesso aos recursos disponveis.
J o processo de autorizao fornece flexibilidade para implementar uma hierarquia de acesso,
bem como manter centralizada a base de usurios. Utilizar um meio de contabilizar o acesso
individual de cada cliente tambm ajuda no aspecto da segurana, pois possvel definir limites
como horrios disponveis para uso e tempo mximo de conexo, por exemplo.