Академический Документы
Профессиональный Документы
Культура Документы
ndice
]
1.
Introduo ................................................................................................................................................. 3
2.
3.
4.
5.
6.
7.
8.
Radius ........................................................................................................................................................ 7
9.
10.
11.
12.
Concluso ............................................................................................................................................ 10
1. Introduo
Durante os ltimos anos as redes de computadores tiveram um grande crescimento
principalmente devido a popularizao da Internet (NICBR, 2006). Entretanto, a infraestrutura de
redes de computadores necessita de atualizaes para suportar novos protocolos para permitir
seu gerenciamento e controle sobre os usurios da mesma.
Em um ambiente de rede onde o meio de acesso compartilhado e aberto, como nas redes sem
fio ou no caso das redes cabeadas que existam segmentos da mesma que no possam ser
verificados, a confiana nos hosts fica limitada. Para contornar esses aspectos falhos de segurana
mencionados acima existem diversos mtodos disponveis para implementao. Uma forma
eficiente prover um mecanismo de segurana atravs de um protocolo que oferea opes de
segurana confiveis.
Desta forma, o padro IEEE 802.1x o que prov autenticao entre os clientes da rede e o ativo
no qual os mesmos esto conectados podendo este ser um switch ou um ponto de acesso (AP Access Point) para acessos sem fio.
Portanto, o padro IEEE 802.1x descreve um modelo de controle de acesso rede e uma
arquitetura de controle centralizada que se integra com o padro AAA (Authentication,
Authorization and Accounting) da IETF (Internet Engineering Task Force) definido em
(VOLLBRECHT, 2000).
2. Padro IEEE 802.1x
O IEEE 802.1X o padro adotado para autenticao, ao nvel de porta, em redes IEEE 802
cabeadas ou sem fio, atendendo arquitetura AAA. O padro define porta como sendo um ponto
de conexo LAN, podendo ser uma porta fsica, em redes cabeadas, ou uma porta lgica, como
no caso da associao entre um dispositivo sem fio e o ponto de acesso.
O padro IEEE 802.1x uma soluo para os problemas de autenticao encontrados no IEEE
802.11, pois o mesmo tem suporte a diversos mtodos de autenticao existentes. Desta maneira,
o IEEE 802.1x garante compatibilidade entre o Protocolo de Integridade Temporal de Chave (TKIP Temporal Key Integrity Protocol), que foi desenvolvido para solucionar o problema de chave
esttica do WEP, e o Padro de Criptografia Avanada (AES Advanced Encryption Standard), que
um mecanismo forte de criptografia que vem sendo adotado recentemente.
Uma forma de utilizar os recursos que o padro IEEE 802.1x oferece, implementar o protocolo
EAP (BLUNK, 1998), proposto para ampliar a funcionalidade de autenticao do protocolo pontoa-ponto (PPP - Point-to-Point Protocol) (SIMPSON 1994), antes limitada aos mecanismos providos
pelo Protocolo para Controle de Link (LCP - Link Control Protocol), que eram o Protocolo de
Autenticao por Senha (PAP Password Authentication Protocol) e o Protocolo de Autenticao
por Negociao de Desafio (CHAP Challenge Handshake Authentication Protocol) (SIMPSON,
1996). O PAP um protocolo utilizado principalmente para autenticao em redes discadas, no
qual o login e a senha trafegam em texto claro. O CHAP prov criptografia somente do usurio e
senha, porm os dados tambm trafegam em texto claro.
Como pode ser visto na figura 01 um cliente, chamado supplicant faz uma conexo inicial para um
authenticator, um switch de rede ou um ponto de acesso sem fio. O autenticador configurado
para exigir o 802.1X de todos os suplicantes e ir ignorar qualquer conexo de entrada que no se
adequar. O autenticador solicita ao suplicante sua identidade, a qual ele passar adiante para o
authentication server RADIUS.
Elementos exigidos:
a) Software cliente, chamado de suplicante, em cada ponto de extremidade;
b) Switches ou pontos de acesso habilitados para 802.1X, chamados de autenticadores, para
mediar todas as comunicaes ocorridas antes da atribuio do endereo IP;
c) Servidor RADIUS, o servidor de autenticao, para gerenciar o processo AAA;
A inteligncia dessa soluo reside no suplicante e no servidor RADIUS, com o switch ou ponto de
acesso simplesmente re-empacotando e distribuindo as informaes.
4. O Padro AAA
Em segurana da informao, o padro AAA uma referncia aos protocolos relacionados com os
procedimentos de autenticao, autorizao e contabilizao (accounting). A autenticao verifica
a identidade digital do usurio de um sistema, a autorizao garante que um usurio autenticado
somente tenha acesso aos recursos autorizados e, por fim, a contabilizao refere-se a coleta de
informaes sobre o uso dos recursos de um sistema pelos seus usurios.
Os procedimentos acima que compem a arquitetura AAA so necessrios para oferecer uma
forma de autenticao segura a uma rede onde necessrio ter controle sobre a forma de
acesso dos usurios.
um padro aberto;
otimizado para realizar pesquisas e leitura;
Centraliza toda a informao proporcionando enormes benefcios tais como: um nico
ponto de administrao, menos informao duplicada, maior transparncia das
informaes;
Possui um mecanismo de replicao da base includo;
Suporta mecanismos de segurana para autenticao (SASL) e para a troca de dados (TLS);
Muitas aplicaes e servios possuem suporte ao LDAP.
Uma vantagem do uso do protocolo EAP o aumento de vida til dos equipamentos que possuem
suporte ao padro IEEE 802.1X, pois os mesmos passam a funcionar como intermedirios entre o
host cliente e o servidor de autenticao, no sendo necessrio implementar mecanismos
adicionais de segurana no prprio equipamento.
Com a utilizao de EAP para autenticao dos usurios a identidade real no enviada antes do
tnel de TLS codificado ser ativado. Depois que a identidade for enviada, o processo de
autenticao comea. O protocolo usado entre o suplicante e o autenticador o EAP, ou, mais
corretamente, encapsulamento de EAP sobre a LAN EAPOL. O Autenticador re-encapsula as
mensagens EAP para o formato de RADIUS e passa para o servidor de autenticao.
O desenvolvimento do RADIUS comeou de fato em 1994, quando Steve Willens e Carl Rigney da
Livingston Enterprise (hoje conhecida como Lucent) abriram o cdigo fonte do servidor RADIUS
para que outros desenvolvedores da Merit Networks, uma pioneira em criao de solues para
Internet na poca, pudessem ajudar na construo do que hoje um dos servios mais utilizados
na rede.
O RADIUS foi construdo para atender uma necessidade de mercado da poca. Naquele tempo,
precisava-se de um produto que autenticasse, autorizasse e fizesse acompanhamento e
monitoramento do uso de recursos de rede usado pelos usurios. Depois de uma primeira reunio
entre os desenvolvedores dessas duas empresas, nasceu uma verso muito superficial do RADIUS.
Hoje em dia, tanto a Lucent quanto a Merit Networks oferecem servios de Internet ao pblico
baseado no RADIUS sem nenhum tipo de cobrana.7
9. Funcionamento do Radius
O protocolo RADIUS baseia-se no modelo cliente/servidor, tendo de um lado o Network Access
Server - NAS como cliente e do outro o servidor RADIUS. O utilizador, o NAS e o servidor trocam
mensagens entre si quando o utilizador pretende se autenticar para utilizar um determinado
servidor de rede.
Uma mensagem RADIUS consiste num pacote contendo um cabealho RADIUS com o tipo de
mensagem, podendo ainda ter atributos associados mensagem, cada atributo RADIUS especfica
uma parte de informao sobre a tentativa de ligao. Por exemplo, existem atributos RADIUS
para o nome de utilizador, para a palavra passe do utilizador, para o tipo de servio pedido pelo
utilizador e para o endereo Internet Protocol - IP do servidor de acesso.
Os atributos RADIUS so utilizados para transmitir informaes entre clientes RADIUS, proxies
RADIUS e servidores RADIUS. Quando um utilizador da rede deseja utilizar um servio ele envia os
seus dados para o NAS.
O NAS responsvel por adquirir todos os dados do utilizador, que normalmente so o nome de
utilizador e a respectiva palavra passe (no envio do NAS para o servidor a palavra passe cifrada
de modo a prevenir possveis ataques) e envi-los para o servidor RADIUS atravs de um pedido
de acesso que se designa de Access - Request. Este tambm responsvel por processar respostas
vindas do servidor RADIUS.
O servidor ao receber um pedido de acesso tenta a autenticao do utilizador, enviando em
seguida resposta para o NAS contendo um Access - Reject caso o acesso seja negado, Access Accept caso o acesso seja aceito ou Access - Challenge caso seja pedida uma nova confirmao.
A Figura 03 ilustra a descrio do funcionamento do protocolo RADIUS.
10.
Existem no mercado muitas solues para servidores RADIUS. O FreeRadius o servidor RADIUS
mais utilizado para sistemas Linux. Este responsvel pela autenticao de pelo menos um tero
dos usurios da Internet. Os restantes dos usurios encontram-se divididos entre os servidores
restantes, destacando-se entre eles o Cisco Access Control Server (ACS) e o Microsoft Internet
Authentication Service (IAS).
FreeRadius
Cisco ACS
O Cisco Secure Access Control Server uma poltica de controle de acessos que
proporciona um ambiente centralizado de controle de autenticao, autorizao e
contabilizao de acesso de usurios de redes de computadores ACS (2010).
Microsoft IAS
O Internet Authentication Service a implementao da Microsoft de um servidor RADIUS. Tal
como especificado pelo RADIUS o IAS oferece servios de autenticao, autorizao e
contabilizao centralizados para diferentes tipos de acessos de rede, incluindo wireless e Virtual
Private Network VPN's. Funcionando como proxy, o IAS reencaminha as mensagens de
autenticao e autorizao para outros servidores RADIUS IAS (2010).
11.
12.
Utilizar um ambiente de rede que possui uma forma de autenticao e autorizao para acesso ao
meio uma das formas de aumentar a segurana. Com o processo de autorizao, somente
usurios legtimos e devidamente identificados tem acesso aos recursos disponveis.
J o processo de autorizao fornece flexibilidade para implementar uma hierarquia de acesso,
bem como manter centralizada a base de usurios. Utilizar um meio de contabilizar o acesso
individual de cada cliente tambm ajuda no aspecto da segurana, pois possvel definir limites
como horrios disponveis para uso e tempo mximo de conexo, por exemplo.