Você está na página 1de 189

Eduroam

Apresentao do Curso

Dbora C. Muchaluat Saade, Ricardo C. Carrano e Edelberto F. Silva Laboratrio MdiaCom Universidade Federal Fluminense

Cronograma do Curso Dia 1 manh


1. Introduo a. Viso geral Eduroam b. Conceito de Federao, CAFe 2. Rede sem Fio IEEE 802.11 a. Introduo ao padro IEEE 802.11 b. Segurana em Redes sem Fio (WEP, WPA, WPA2) 3. Prtica 1: a. configurar AP para autenticar em servidor RADIUS existente

Cronograma do Curso Dia 1 tarde


4. Mtodos de Autenticao a. PSK, Enterprise b. EAP, PEAP, TLS, TTLS c. PAP, MsCHAPv2 5. Prtica 2: a. configurar clientes com diferentes mtodos de autenticao: Windows, Linux, Mac, Android, Iphone

Cronograma do Curso Dia 2 manh


6. 7. Padro RADIUS Prtica 3: a. Instalao e configurao de um servidor RADIUS (representando uma instituio) b. configurar AP para autenticar em servidor RADIUS novo

Cronograma do Curso Dia 2 tarde


8. Padro LDAP a. Esquema brEduPerson 9. Prtica 4: a. Instalao e configurao de um servidor LDAP (representando uma instituio) b. configurar RADIUS para acessar LDAP

Cronograma do Curso Dia 3 manh


10. Roaming entre Instituies a. Funcionamento do proxy para Federao RADIUS 11. Prtica 5: a. configurao do proxy para federao eduroam-br b. testes de roaming (usando radtest) 12. Comunicao segura entre servidores RADSEC

Cronograma do Curso Dia 3 tarde


13. Prtica 6: a. configurao do proxy para federao com RADSEC 14. Accounting no RADIUS com base de dados relacional 15. Prtica 7: a. Instalao de BD PostgreSQL e configurao do accounting

Fim do curso

Eduroam

Atividades Prticas

Dbora C. Muchaluat Saade, Ricardo C. Carrano e Edelberto F. Silva Laboratrio MdiaCom Universidade Federal Fluminense

Prtica 1
Configurar AP para acessar RADIUS existente.

Ponto de Acesso

Usurio

Servidor RADIUS Instituio 1

Prtica 2
Configurar diferentes clientes com diferentes mtodos de autenticao.

Ponto de Acesso

Usurio

Servidor RADIUS Instituio 1

Prtica 3
Instalao de Servidor RADIUS da instituio.

Ponto de Acesso

Usurio

Servidor RADIUS Instituio 1

Prtica 4
Instalao de Servidor LDAP da instituio.

Ponto de Acesso

Usurio

Servidor RADIUS Instituio 1

Servidor LDAP Instituio 1

Prtica 5
Configurao de Proxy para a Federao (Roaming).

Servidor RADIUS Federao Ponto de Acesso


UDP UDP

Usurio

Servidor RADIUS Instituio 1

Servidor LDAP Instituio 1

Servidor RADIUS Instituio 2

Servidor RADIUS Insituio 2

Prtica 6
Configurao do Proxy utilizando RadSec.

LS / T ec P dS TC Ra

LS / T ec P dS TC Ra

Servidor RADIUS Federao

Ponto de Acesso

Usurio

Servidor RADIUS Instituio 1

Servidor LDAP Instituio 1

Servidor RADIUS Instituio 2

Servidor RADIUS Insituio 2

Prtica 7
Configurao do Accounting e banco de dados PostgreSQL. Relatrios
LS / T ec P dS TC Ra

LS / T ec P dS TC Ra

Servidor RADIUS Federao

Ponto de Acesso

Usurio

Servidor RADIUS Instituio 1

Servidor LDAP Instituio 1

Servidor RADIUS Instituio 2

Servidor RADIUS Insituio 2

Configurao do laboratrio
Servidor Federao
Servidor (RADIUS, LDAP)

Ponto de acesso (NAS)

Cliente (Suplicante)

Eduroam

Viso geral do Eduroam

Dbora C. Muchaluat Saade, Ricardo C. Carrano e Edelberto F. Silva Laboratrio MdiaCom Universidade Federal Fluminense

Roteiro da seo
Introduo Servio Eduroam RADIUS, 802.11i e 802.1X e CAFe Funcionamento do Eduroam Roaming

Problema Abordado

gostaria aleixo de acessar a senha!rede? senha123a

Anote o login e

Por favor,

Problema Abordado

gostaria aleixom de acessar a senha!rede? a senha1234

Anote o login e

Por favor,

Problema Abordado

Por favor,

gostaria de acessar

maleixo a senha! a rede? 123senha

Anote o login e

Problema Abordado

aleixom maleixogostaria de acessar aleixo conta aqui, certo? senha1234 123senha a rede? senha123

Voc j tem favor, Por

Problema Abordado

Introduo
Projeto Eduroam (Education Roaming) Iniciativa da TERENA - Trans-European Research and Education Networking Association. Servio de acesso sem fio seguro desenvolvido para a comunidade de educao e pesquisa. Usurios de instituies participantes tm acesso Internet dentro de seus campi e quando visitam as instituies parceiras de maneira transparente.

Apresentao
Mapa de membros eduroam www.eduroam.org

Amrica Latina ?

Motivao
Projeto Eduroam-br Desenvolver um piloto do servio eduroam em universidades brasileiras, sendo um dos primeiros esforos para disponibilizar o servio na Amrica Latina. 3 universidades participam do piloto com a RNP
UFF, UFRJ, UFMS

Mais sete voluntrias se integraram ao piloto


UFSC, UNICAMP, UFRGS, UFES, UFMG, UFPA e PUCRS

Funcionamento do Eduroam
Infraestrutura para implantao do servio: Estrutura hierrquica de servidores de autenticao RADIUS (Padro IETF); Infraestrutura de pontos de acesso sem fio IEEE 802.11 com suporte a 802.1X e 802.11i. Base de dados LDAP com informaes de usurios de cada instituio;
Integrao com base de dados da federao CAFe

RADIUS
Remote Authentication Dial In User Service Padro IETF - RFC 2865 Utiliza UDP porta 1812 Protocolo AAA (authentication, authorization and accounting) Realiza autenticao, controle de acesso e auditoria (accounting) a Network Access Server, que funciona como cliente RADIUS.

RADIUS
Servidores RADIUS so responsveis por: Receber solicitaes de conexo; Autenticar usurios; e Retornar todas as informaes de configurao necessrias para o cliente (NAS) prover conectividade a um usurio. Pode atuar como um cliente proxy de outros servidores de autenticao.

IEEE 802.11i
Publicada em 2004 Verso de 2003 deu origem ao WPA1 Verso final deu origem ao WPA2 Incorporado ao padro IEEE 802.11 em 2007 Autenticao baseada no padro IEEE 802.1X

802.1X
802.1X um arcabouo (framework) Adaptao do EAP (criado pelo IETF) (RFC 2284 atualizado em 3748) EAP um protocolo de arcabouo. A autenticao realizada por um protocolo de extenso - o mtodos EAP. Os mtodos podem ser mais ou menos adaptados s necessidades especficas de uma rede.

Arquitetura 802.1X

CAFe (Comuindade Acadmica Federada)


Eduroam e CAFe: similaridade de conceitos
Atravs da CAFe uma instituio de origem pode acessar servios oferecidos por instituies parceiras

Participantes da CAFe podem atuar como IdP e ISP Servio mantido pela RNP Sem custos para os provedores de servio participantes Base LDAP para armazenamento das credencias

Funcionamento do Eduroam
Eduroam utiliza uma estrutura hierrquica de servidores RADIUS em 3 nveis confederao federao (pas) instituio Identificao baseada em domnio

Autenticao na instituio de origem

Interconexo com Amrica Latina e Europa

Eduroam

Rede sem Fio IEEE 802.11

Dbora C. Muchaluat Saade, Ricardo C. Carrano e Edelberto F. Silva Laboratrio MdiaCom Universidade Federal Fluminense

Roteiro da seo
Introduo ao WiFi (IEEE 802.11) Modos de operao infraestruturado, ad hoc Arquitetura BSS, ESS, SSID Operaes Varredura, associao, etc Camada PHY e alocao de frequncias Camada MAC e mecanismo de acesso ao meio Segurana em redes IEEE 802.11

Introduo ao padro IEEE 802.11


Redes sem fio IEEE 802.11 e WiFi Arquitetura e modos do padro IEEE 802.11 Modo infraestrutura e modo ad hoc SSID , BSSID, IBSSID, e ESSID Componentes, clientes e APs. Camadas PHY e MAC do padro IEEE 802.11 PHY: 802.11 bang MAC: acesso ao meio

Introduo: uso de redes sem fio


Usos das redes locais sem fio Mobilidade Dificuldades de cabeamento Ligao entre redes Redes provisrias

Introduo: Redes IEEE 802.11


IEEE (Institute of Electrical and Electronic Engineers) uma organizao profissional sem fins lucrativos que, entre outras coisas, estabelece padres baseados em consenso. O IEEE 802.11 o padro de redes locais sem fio Ele foi pensado como uma extenso do padro de redes com fio Ethernet (IEEE802.3)

IEEE802.11 e WiFi
Wi-Fi no o mesmo que IEEE 802.11 IEEE 802.11 um padro Wi-Fi um certificado, dado pela Wi-Fi Alliance que garante que os produtos com este certificado falaro entre si Um produto Wi-Fi no tem que implementar todo o padro IEEE 802.11, apenas a parte necessria para interoperar. Por isto, podemos dizer que Wi-Fi um perfil do IEEE802.11

IEEE 802.11 arquitetura e modos de operao


O padro IEEE 802.11 define dois modos de operao, que resultam em duas arquiteturas distintas: Modo Infraestruturado Todo o trfego intermediado por ponto de acesso Modo Ad Hoc No h pontos de acesso, apenas clientes que se comunicam diretamente

Modos de Operao: ad hoc


O modo ad hoc serve para interconectar mquinas que estejam prximas para comunicao ocasional Por exemplo, para trocar arquivos entre os participantes de uma reunio, ou para a cooperao entre alunos de uma sala de aula
usando software apropriado

As mquinas no tm ligao com redes cabeadas A no ser que seja rodado software de roteamento

Modos de Operao: Infraestrutura


O modo infraestrutura foi feito para estender uma rede com fio Requer hardware especial: o ponto de acesso Access point ou AP Faz a interface da rede com fio com a rede sem fio Toda a comunicao passa pelo AP Mesmo aquela entre dois ns sem fio que poderiam formar uma rede Ad Hoc entre si

Componentes em Redes Ad-Hoc


Neste tipo de configurao, as interfaces de rede das estaes falam entre si em vez de com o ponto de acesso

Componentes em redes com infraestrutura


Em redes com infraestrutura usamos tambm pontos de acesso para fazer a interface entre a rede com fio e a rede sem fio.

Arquitetura: BSS
Uma rede IEEE 802.11 formada por um conjunto de um ou mais BSSs. Um BSS definido como um conjunto de estaes (STAs) que conseguem se comunicar via rdio

Arquitetura: IBSS
Uma rede ad hoc chamada de Independent Service Set (IBSS)

Arquitetura: Infrastructure BSS


Um BSS infraestruturado aquele que contm um ponto de acesso Sua rea pode ser definida como a rea de cobertura de um ponto de acesso, dado que toda a comunicao neste tipo de BSS feita entre o ponto de acesso e uma estao

Arquitetura: ESS
Um ESS um conjunto de BSSs inteligados por uma rede, que chamada de sistema de distribuio (DSDistribution Sistem) Um nome, chamado de ESSID (identificador de ESS), usado para identificar um ESS. Todos os BSS pertencentes ao mesmo ESS tem o mesmo ESSID.

BSSID
O BSSID o endereo MAC do ponto de acesso que define o BSS

Fluxo de dados em um ESS


Redes sem fio de tamanhos arbitrrios podem ser criadas conectando vrios BSSs para realizao de um Conjunto de Servio Estendido (Extended Service Set). Estaes que faro parte do mesmo ESS podem se comunicar com outras estaes do grupo, mesmo estando em BSS distintas.

Fluxo de dados em um ESS


Conexo de vrias BSS formando um Conjunto de Servio Estendido (ESS)

SSID
Redes sem fio consistem basicamente de quatro componentes fsicos:

Para que uma estao possa ser reconhecida no seu domnio ou rea de atuao, tem que possuir uma identificao (ID) compartilhada com o ponto de acesso.

SSID
O SSID serve para identificar a rede que um cliente est usando No ponto de acesso, o SSID vem preconfigurado com um nome padro de fbrica: Ex: SSID = linksys, nos APs da marca Linksys Esse nome tem que ser modificado pelo administrador da rede.

Sistemas de distribuio
Um sistema de distribuio (DS Distribution System) uma rede de nvel de enlace que interliga os APs (BSSs) de um ESS

Operaes em uma rede IEEE 802.11


O processo de associao Varredura Seleo Associao Autenticao Reassociao Hand over

Conectando-se a uma rede sem fio


O processo de criar uma conexo virtual entre um computador (estao) e a rede (atravs de um ponto de acesso) tem vrios passos Encontrar os pontos de acesso (atravs de uma varredura) Escolher o ponto de acesso desejado Se identificar rede Se associar ao ponto de acesso

Varredura Passiva e Ativa


O processo de identificao da existncia de redes chamado de varredura. Existem dois tipos de varredura: Varredura Passiva
Ouvindo os quadros de Beacons

Varredura Ativa
Envio de Probe Request

A varredura pode ser realizada para uma rede especfica (usando um determinado Basic Service Set ID - BSSID) ou para qualquer rede (BSSID = Broadcast).

Beacons
Mensagens de sinalizao disseminadas pelo AP (em broadcast) a intervalos regulares; Fazem o anncio da existncia do AP na rede; So mensagens curtas; O intervalo de transmisso ajustvel (o default um quadro a cada 100 ms)

Recebendo Beacons

Varredura Passiva
A estao sintoniza um canal e espera por quadros de Beacon Como os quadros contm informaes do ponto de acesso, a estao pode criar uma lista de pontos de acesso O sistema eficiente em relao energia por no exigir a transmisso de quadros.

Mltiplos APs e ESSIDs

Varredura Ativa
A estao mvel envia um probe request para cada canal da lista de canais; A estao mvel espera por uma resposta do(s) AP(s); A estao mvel processa o probe response.

Varredura Ativa

Estados de uma estao


Uma estao pode ter trs estados: 1 no autenticada e no associada 2 autenticada e no associada 3 autenticada e associada

Autenticao
Os quadros de autenticao (authentication request e response) trocados nesta fase provem duas opes: Open system sistema aberto Chave pr-compartilhada (PSK) Esta fase de autenticao foi tornada obsoleta pelo IEEE 802.11i

Associao
Aps a autenticao, a estao pode tentar se associar enviando um quadro association request Aps se associar ela pode utilizar o AP para acessar a rede da qual faz parte. A estao mvel pode se associar somente a uma nica BSS

Troca de mensagens para associao

Depois da Associao

Reassociao
Quando a estao se desloca, pode haver necessidade de mudana de AP; A reassociao o processo de mudar a associao de um AP antigo para um novo AP quando uma estao mvel estiver se deslocando entre reas distintas; Tambm pode ocorrer quando a estao sai temporariamente da rea de um AP, e retorna APs adjacentes podem interagir uns com os outros durante esta operao.

Desassociao e Desautenticao
Para o AP terminar uma associao ou autenticao, ela usa os quadros de disassociation e deauthentication Um campo chamado reason code traz o motivo

Hand over
O IEEE 802.11 traz a base para um mecanismo de mobilidade semelhante ao da rede celular Estaes mveis pode se locomover dentro da rea de cobertura de um ESS, mudando de um AP para outro Os APs trocam quadros para atualizar a posio da estao e receber quadros armazenados No definido o mecanismo para trocar de ESSs, pois isto normalmente seria do nvel de rede

IEEE 802.11 Camadas PHY e MAC

802.2 LLC

Data link layer

802.11 MAC

802.11 FHSS

802.11 DSSS

802.11a OFDM

802.11b HR/DSSS

802.11g ERP

Physical layer (PHY)

Camada Fsica (PHY)


Diz respeito s tcnicas de transmisso e modulao Camada 1 do modelo OSI de referncia Evoluiu no IEEE 802.11 (b,a,n,g = bang!) 802.11 infravermelho, FHSS (2,4GHz) e DSSS (2.4GHz) 802.11b DSSS (2.4GHz) 802.11a OFDM (5 GHz) 802.11g ERP (diversos) (2.4GHz) 802.11n novo PHY (2.4GHz e 5GHz)

Canais na faixa de 2,4 GHz


Canal Freq. Central (MHz) 1 2412 2 3 4 5 6 7 8 9 10 11

2417 2422 2427 2432 2437 2442 2447 2452 2457 2462

Canais na faixa de 5GHz


Canal
Freq. Central (MHz)

36

40

44

48

52

56

60

64

5180 5200 5220 5240 5260 5280 5300 5320

Taxas do IEEE 802.11


Redes multitaxas b 1, 2, 5.5 e 11 Mbps g 1, 2, 5.5, 6, 9, 11, 12, 18, 24, 36, 48 e 54 Mbps g puro 6, 9, 12, 18, 24, 36, 48 e 54 Mbps a 6, 9, 12, 18, 24, 36, 48 e 54 Mbps Controle de taxa item sensvel Interoperabilidade Compromisso entre eficincia e robustez

Camada MAC
As regras de Controle de Acesso ao Meio MAC = Medium Access Control Evitar colises Ethernet CSMA/CD (detecta coliso) Wi-Fi CSMA/CA (evita coliso) Garantir confiabilidade Perda de quadros por corrupo mais comum em redes sem fio

CSMA/CA
Carrier Sense Multiple Access with Collision Avoidance Escuta o meio Est livre por um tempo maior que DIFS?
SIM transmite NO entra em regime de backoff

O backoff exponencial
SIFS + ACK + DIFS

A B

Frame

Frame
Backoff

Frame

Frame Frame

TEMPO

O quadro 802.11
O cabealho MAC tem 30 bytes Proviso para 4 endereos 4 bytes ao final para verificao de integridade (CRC) O corpo do quadro tem at 2312 bytes Esse tamanho ser aumentado para 7995 (emenda n)

Endereos MAC
Endereos MAC esto para os quadros IEEE 802.11 como os endereos IP esto para os pacotes IP Endereos de 48 bits (6 bytes) Duas partes: OUI identifica fabricante (3 bytes) ltimos 3 bytes identificam dispositivo

Endereo de destino
Unicast: um destinatrio primeiro byte par (exemplo 00:01:02:03:04:05) Multicast: diversos destinatrios primeiro byte mpar (exemplo 01:02:03:04:05:06) Broadcast: todos FF:FF:FF:FF:FF:FF

Vazo efetiva das redes Wi-Fi

Segurana em redes IEEE 802.11


O problema da segurana em redes sem fio Os padres de segurana WEP 802.11i
WPA1 e 2, WPA Personal e Enterprise

O problema da segurana
O trfego no confinado No necessrio o acesso fsico infraestrutura Como garantir Privacidade Integridade Autenticidade

Problemas tpicos das redes sem fio


Associao no autorizada Proposital Acidental Negao de servio (DoS - Denial of Service) Voltada aos elementos da rede (ponto de acesso) Voltada ao espectro (jamming) Interceptao de trfego

Padres de segurana no Wi-Fi


Cronologia dos mecanismos de segurana WEP 1997 parte do padro WPA 2002 baseado em um draft do IEEE 802.11i Personal e Enterprise WPA2 2004 verso final do IEEE802.11i Personal e Enterprise

WEP
Wired Equivalent Privacy Mecanismo original do IEEE 802.11 Chave pr-compartilhada (PSK) Algoritmo de criptografia RC4 Chaves de 40 ou 104 bits Integridade baseada em CRC32

WEP: cifragem
RC4 Algoritmo de criptografia de fluxo (streamcipher) Muito utilizado (SSL, TLS) mensagem cifrada mensagem chave Chaves criptogrficas 1 1 0 40 (64 - 24) bits 0 1 1 104 (128 -24) bits 1 1 0
XOR

1 1 0 0

0 1 1 0

0 0 1 0

WEP: integridade
CRC32 Message Integrity Check (MIC) Fcil e rpido de calcular Criptograficamente fraco No impede adulterao transparente do quadro

Problemas do WEP
RC4 mal implementado Chaves curtas Reso frequente das chaves Uso prolongado das chaves CRC no forte o suficiente Vetor de inicializao Revela parte da senha PSKs so intrinsecamente inseguras

WPA
IEEE reconheceu as deficincias do WEP Criou TGi (Fora tarefa i) WPA foi lanado em 2002 baseado numa verso preliminar do trabalho do TGi Retrocompatibilidade foi um objetivo WPA consideravelmente mais forte do que o WEP Protocolo de Criptografia TKIP Ainda sobre RC4

WPA: TKIP
Novo esquema para verificao de integridade da mensagem. MIC (Michael Integrity Check) Novo modo de escolher e utilizar os Vetores de Inicializao Cada pacote encriptado com uma chave diferente.

WPA: Personal versus Enterprise


WPA Pessoal Uso de chaves pr-compartilhadas Mais fcil de implementar WPA Empresarial Uso de servidor de autenticao RADIUS foi escolhido Cada usurio tem sua senha

WPA Enterprise: esquema

802.1X e EAP
802.1X Padro IEEE para autenticao de usurios Baseado no EAP (Extended Authentication Protocol) apenas um framework para diversos mtodos Mtodos EAP Uso de mtodos legados
TTLS, PEAP

Criptogrficos
TLS

No criptogrficos
MD5, MS-CHAP

WPA2
Mecanismo de segurana reconstrudo do zero No se preocupa com a retrocompatibilidade Protocolo de criptografia CCMP Utiliza criptografia de bloco AES Tambm existem o WPA2 Personal e o WPA2 Enterprise

RSN: Robust Security Network


Implementao completa do IEEE 802.11i Sem suporte a WEP Com servidor de autenticao Descreve os mecanismos de gerncia de chaves Gerao e distribuio de chaves

Estado da arte em segurana


WPA2 (CCMP) CCMP mais seguro que TKIP EAP-TTLS Proteo adicional ao mecanismo de autenticao RSN Sistema bem desenhado para gerncia de chaves Mas e as redes domsticas? WPA2, ou mesmo WPA1 Senhas difceis, trocadas com frequncia

Requisitos Eduroam
Suporte a autenticao robusta Servidor RADIUS IEEE 802.1X IEEE 802.11i Comumente chamado WPA2 Enterprise Parte considervel dos APs consumer grade

Prtica 1
Configurar AP para acessar RADIUS existente.

Ponto de Acesso

Usurio

Servidor RADIUS Instituio 1

Eduroam

Mtodos de autenticao

Dbora C. Muchaluat Saade, Ricardo C. Carrano e Edelberto F. Silva Laboratrio MdiaCom Universidade Federal Fluminense

Roteiro da seo
Autenticao em redes IEEE 802.11 IEEE 802.11i IEEE 802.1X Mtodos de autenticao (EAP) Transao EAP Mtodos internos e externos Mtodos criptogrficos e no criptogrficos Principais mtodos EAP: TLS, TTLS, PEAP, PAP e MSCHAPv2

Autenticao em redes 802.11


Open system no prov autenticao WEP - Chave compartilhada (PSK) vulnervel IEEE 802.11i Substituto para o WEP Mecanismo recomendado

IEEE 802.11i
Publicada em 2004 Verso de 2003 deu origem ao WPA1 Verso final deu origem ao WPA2 Incorporado ao padro IEEE 802.11 em 2007 Autenticao baseada no padro IEEE 802.1X

802.1X
802.1X um arcabouo (framework) Adaptao do EAP (criado pelo IETF) (RFC 2284 atualizado em 3748) EAP um protocolo de arcabouo. A autenticao realizada por um protocolo de extenso - o mtodos EAP. Os mtodos podem ser mais ou menos adaptados s necessidades especficas de uma rede.

Arquitetura 802.1X

O protocolo EAP
Formato do quadro
Link layer header

Transporta diversos protocolos de autenticao sobre diversos protocolos de camada de enlace.

Transao EAP
Iniciada logo aps a associao do cliente Fase inicial: Identidade (Identity) Requisies e Respostas A seguir: Negociao do mtodo Requisies e Respostas Finalizando Sucesso ou Falha

Transao EAP Exemplo

Mtodos EAP
Mtodos criptogrficos PEAP, TLS, TTLS Mtodos no criptogrficos PAP, MsCHAPv2 Autenticao Interna (inner) vs. Externa (outer)

TLS (Transport Layer Security)


Sucessor do Secure Socket Layer Autenticao mtua Troca de certificados Previne instalao de APs clandestinos Infraestrutura de chave pblica (PKI) necessria Emitir e revogar chaves para APs e para usurios

TTLS e PEAP
TTLS = tunneled TLS (TLS tunelado) PEAP = Protected EAP Em ambos, dois mecanismos de autenticao so usados: Autenticao externa (outer)
Criao de tnel TLS

Autenticao interna (inner)


Mtodos no criptogrficos podem ser usados

Diferena entre TTLS e PEAP est na forma como o protocolo interno usado

Mtodos de autenticao interna


Podem ser mecanismos no criptogrficos Operam em um tnel TLS PAP e MSCHAPv2 so os mais comuns PAP um dos mtodos pioneiros (usado em enlaces PPP). Login e senha enviados desprotegidos. MSCHAPv2 a segunda verso do mecanismo criado pela Microsoft.

PAP - Password authentication protocol


Protocolo de autenticao simples baseado em senhas Cliente envia login e senha (Auth-Request) Servidor verifica e autentica ou no (Auth-Ack ou Auth Nack) Autenticao fraca RFC 1334 (PPP Authentication Protocols)

MSCHAP (Microsoft Challenge-Handshake Authentication Protocol)


Duas verses (MSCHAPv1 e MSCHAPv2) Vulnerabilidades conhecidas Prov autenticao mtua Servidor envia um desafio (desafio1) e um id de sesso Cliente envia resposta contendo: Login Um desafio (desafio2) para o servidor Resumo criptogrfico (desafio1 + desafio2 + id + senha usurio) Servidor verifica a resposta do cliente e envia: Indicador de sucesso ou de falha Resumo criptogrfico (desafio1 + desafio2 + resposta do cliente + senha do usurio) Cliente verifica a resposta de autenticao

PAP e MSCHAPv2 - disponibilidade


Windows Linux iOS Android

MsCHAP v2

Nativo

Nativo

Nativo

Nativo

PAP

No (SecureW2)

Nativo

No (MobileConfig)

Nativo

Outros mtodos (menos usados)


Criptogrficos LEAP No criptogrficos MD5 Challenge Token Card (GTC) SIM

Consideraes finais sobre os mtodos


Cada entidade escolhe seus mtodos Autenticao na instituio de origem MSCHAPv2 parece mais seguro que o PAP (pelo uso de desafios). No entanto, ambos so mtodos inseguros e devem ser usados como mtodos internos, apenas.

Prtica 2
Configurar diferentes clientes com diferentes mtodos de autenticao.

Ponto de Acesso

Usurio

Servidor RADIUS Instituio 1

Eduroam

Radius reviso e conceitos fundamentais

Dbora C. Muchaluat Saade, Ricardo C. Carrano e Edelberto F. Silva Laboratrio MdiaCom Universidade Federal Fluminense

Roteiro da seo
Introduo Principais entidades NAS Cliente (suplicante) Servidor RADIUS Padro RADIUS Formato das mensagens Atributos das mensagens Exemplo de acesso utilizando RADIUS Comandos mais comuns do FreeRadius

Introduo
Estrutura cliente-servidor Servidor RADIUS; NAS (Network Access Server) como cliente RADIUS; Cliente final ou suplicante (EAP). Criado primeiramente s para autenticao. NAS encaminhava dados de cliente PPP. Estendido para Autorizao e Accounting (AAA).

RADIUS e EAP

NAS
NAS excerce papel importante na comunicao entre suplicante e servidor RADIUS. NAS encaminha requisies do cliente ao RADIUS. NAS responsvel pela coleta de informaes para accounting Utiliza IEEE 802.1X (acesso baseado em portas).

Cliente (Suplicante)
Requisita acesso. NAS encaminha pedido ao servidor RADIUS. Suporta mtodos EAP PAP, CHAP, MSCHAP etc. Suplicantes: so os softwares que do suporte aos mtodos EAP.

RADIUS (Remote Authentication Dial in User Services)


Proposto pela RFC 2058 e seguido de diversas revises (RFCs 2138, 2865) Accounting em RFC separada [RFC 2866] Responsvel por: tratar as requisies; autenticar usurios; retornar ao NAS dados referentes liberao do usurio.

Formato da Mensagem RADIUS

Campos das Mensagens RADIUS


Code (1 octeto):
1 Access-Request: gerado pelo NAS para encaminhamento da requisio do usurio. 2 Access-Accept: enviado do RADIUS ao NAS para liberao de porta (acesso). 3 Access-Reject: enviado ao NAS como rejeio de autenticao ou autorizao. 4 e 5 Accounting-Request/Response: Tratados na seo sobre Accounting. 11 Access-Challenge: enviado do RADIUS para o NAS para perguntar ou negociar algo. 12 e 13 Status-Server/Client: verifica se ambos esto funcionando.

Campos das Mensagens RADIUS


Identifier (1 octeto): auxilia nos pedidos e respostas do
servidor RADIUS. Identifica mensagens duplicadas (mesmo IP, porta de origem e ID em um curto perodo de tempo).

Length (2 octetos): tamanho do pacote. Authenticator (16 octetos): utilizado para autenticar a reposta
requerida pelo servidor RADIUS ou esconder senha. O octeto mais significativo transmitido primeiramente.

Atributos: autenticar, autorizar, informar e configurar detalhes


para pedidos e respostas entre cliente e servidor.

Atributos
1 2 3 4 5 6 ... 32 33 User-Name User-Password CHAP-Password NAS-IP-Address NAS-Port Service-Type

NAS-Identifier Proxy-State

Atributo User-Password
Atributo enviado no Access-Request. Exemplo: para que a senha no seja enviada em texto-puro na rede.
1. 2.

A senha completada com zeros at formar um mltiplo de 16 bytes. Request Authenticator concatenado a ela e, depois calculado o hash por MD5. realizado um XOR em seu resultado com os dezesseis primeiros octetos da senha.

Exemplo
Usurio "nemo" deseja acesso. Senha compartilhada (NAS - Servidor): "xyzzy5461" Senha do usurio: "arctangent" Acesso realizado pela porta 3. Ser enviado um pacote UDP com um pedido de acesso (Access-Request).

Exemplo (parte 2)
Contedo da mensagem:
01 00 00 38 0f 40 3f 94 73 97 80 57 bd 83 d5 cb 98 f4 22 7a 01 06 6e 65 6d 6f 02 12 0d be 70 8d 93 d4 13 ce 31 96 e4 3f 78 2a 0a ee 04 06 c0 a8 01 10 05 06 00 00 00 03

Code = Access-Request ID = 0 Length = 56 Request Authenticator: nmero randmico de 16 octetos Atributos: User-Name = "nemo" User-Password: 16 octets do password completados com zeros e combinados por XOR com o MD5 de (senha compartilhada | Request Authenticator) NAS-IP-Address = 192.168.1.16 NAS-Port = 3

Exemplo (parte 3)
Cliente Autenticado e pacote de Access-Accept retornado ao NAS.

Contedo da mensagem:

02 00 00 26 86 fe 22 0e 76 24 ba 2a 10 05 f6 bf 9b 55 e0 b2 06 06 00 00 00 01 0f 06 00 00 00 00 0e 06 c0 a8 01 03

Code = Access-Accept ID = 0 (o mesmo do Access-Request) Length = 38 Response Authenticator: 16 bytes gerado por um MD5 de code + ID + length + Request Authenticator + Atributos da Resposta + senha compartilhada Atributos: Service-Type = Login Login-Service = Telnet Login-IP-Host = 192.168.1.3

Comandos do FreeRADIUS
Comandos mais comuns: radiusd ou freeradiusd (daemon) radtest (teste de autenticao) radiusd X (modo debug)
radtest

t chap usuario senha _usuario endereo_servidor_RADIUS porta_RADIUS senha_compartilhada

Prtica 3
Instalao de Servidor RADIUS da instituio.

Ponto de Acesso

Usurio

Servidor RADIUS Instituio 1

Eduroam

LDAP reviso e conceitos fundamentais

Dbora C. Muchaluat Saade, Ricardo C. Carrano e Edelberto F. Silva Laboratrio MdiaCom Universidade Federal Fluminense

Roteiro da seo
Servio de diretrio e surgimento do LDAP Estrutura de um diretrio Modelos Modelo de informao Classes de objetos LDIF Esquemas brEduPerson OpenLDAP

Servio de diretrio
Base de dados especializada Otimizada para busca e navegao Grande volume de informao textual
pessoas, instituies, servios, etc

Escrita e atualizao espordica, porm suportada Pode ser local ou distribudo

Surgimento do LDAP
X.500 Conjunto de padres do UIT para sistemas de diretrios anos 1980. DAP - Directory Access Protocol Ou X.500 Directory Access Protocol era o protocolo de acesso a um diretrio X.500 Baseado na pilha OSI LDAP Lightweight Directory Access Protocol Alternativa ao DAP Simplificado e baseado na pilha TCP/IP Atualmente na verso 3.

Verses do LDAP
LDAPv3 Final dos anos 90 Autenticao forte com SASL
Suporte a certificados TLS e SSL

Internacionalizao Unicode Encaminhamentos (Referrals) LDAPv2 considerado ultrapassado Ainda suportado (OpenLDAP, desabilitado por default) Incompatvel com o LDAPv3

Operao do LDAP
Modelo Cliente-Servidor Cliente se conecta a um servidor e envia sua requisio Servidor responde e/ou envia ponteiro para outro servidor Consistncia na viso do cliente, independente do servidor consultado

Estruturas LDAP

Modelos LDAP
So quatro os modelos bsicos definidos pelo LDAP (em conjunto, eles descrevem completamente a operao do diretrio): Modelo de Informao - tipo de informao que pode ser armazenada Modelo de Nomes - como a informao pode ser organizada e referenciada Modelo Funcional - que operaes podem ser realizadas nos dados Modelo de Segurana que mecanismos de autenticao e controle de acesso so usados

Modelo de Informao do LDAP


Entradas so os contineres de dados da estrutura hierrquica DIT (Directory Information Tree) a rvore resultante O topo da hierarquia chamado raiz, base ou sufixo. Cada entrada possui um nome nico e uma instncia de um ou mais objectClasses Cada objectClass tem um nome e pode conter atributos Cada atributo tem um nome e usualmente contm dados Os dados so, portanto, armazenados como atributos

Tipos de classe de objeto


objectClasses podem ser de 3 tipos: Abstratas modelo para criao de outras classes Estruturais classes instanciadas pelas entradas Auxiliares tambm instanciadas pelas entradas, mas apenas para estender as classes estruturais A definio de que classes so abstratas, estruturais ou auxiliares definida por um esquema (estudado adiante)

Directory Information Tree

LDIF
LDAP Data Interchange Format (LDIF) Descrio textual da rvore hierrquica
dn: uid=jsliva,dc=uff, dc=br sn: Silva

cn: Jose
uid: jsilva objectClass: person objectClass: inetOrgPerson objectClass: sambaSamAccount userPassword: {SSHA}gWRX6IuyiGw+0xvPN3JhaGEcvuLJqmlB sambaNTPassword: 1E39A9A92F2B08A0E69B4D5ADA7E5332

Esquemas
Um esquema LDAP consiste de um pacote contendo objectClasses e atributos. Forma prtica de encapsular atributos e classes que traduzem o interesse especfico de uma instituio Todos os atributos e objectClass, incluindo os atributos e objectClasses superiores na hierarquia devem ser definidos em um esquema. Esquemas so configurados no servidor LDAP.

Esquema brEduPerson
Objetiva armazenar dados de pessoas ligadas s instituies de ensino superior no Brasil Professores, funcionrios, alunos, pesquisadores Mltiplos vnculos Informaes de residentes no Brasil + informaes especificamente ligadas comunidade acadmica.

Classes de Objetos no Esquema brEduPerson


Entrada principal: inetOrgPerson (estrutural) schacPersonalCharacteristics, eduPerson e brPerson (auxiliares) inetOrgPerson pessoas (RFC 27981) schacPersonalCharacteristics - extenses ao inetOrgPerson Sugeridas pela TERENA eduPerson pessoas ligadas a comunidade acadmica Criado no mbito da Internet2 brPerson dados de um brasileiro ou residente no pas CPF, passaporte

OpenLDAP
Implementao de cdigo aberto do LDAP http://openldap.org Para S.O. Linux Inclui: Slapd o servidor (stand-alone LDAP daemon) Bibliotecas que implementam o protocolo LDAP Utilitrios, ferramentas e amostras de configuraes e clientes
Exemplos: ldapadd e ldapsearch

OpenLDAP: starting and stopping


Iniciando...
/usr/local/libexec/slapd [<option>]*

Exemplos de opes
-f arquivo (arquivo de configurao alternativo) -d nvel (nvel de debug)

Parando...
kill -INT `cat /usr/local/var/slapd.pid

Obs: a localizao do slapd e do pid file determinada na instalao, e pode variar.

Prtica 4
Instalao de Servidor LDAP da instituio.

Ponto de Acesso

Usurio

Servidor RADIUS Instituio 1

Servidor LDAP Instituio 1

Eduroam

Roaming: Conceitos e funo

Dbora C. Muchaluat Saade, Ricardo C. Carrano e Edelberto F. Silva Laboratrio MdiaCom Universidade Federal Fluminense

Roteiro das seo


Roaming - Motivao Funcionamento do Eduroam Realms (domnio) Autenticao na instituio de origem Encaminhamento entre RADIUS Concluso

Roaming - Motivao
Finalidade: Prover acesso transparente a usurios em instituies parceiras independentes. Manter uma identidade nica. Mtodo EAP interno baseado na instituio de origem Integrar o servio RADIUS geograficamente. Premissa para que o Eduroam funcione.

Estrutura Hierrquica
3 Nvel Confederao

2 Nvel Federao

1 Nvel Institucional

Realms (domnio)
Identificao da instituio de origem Definido por um delimitador @ outro delimitator seria o \ (e.g. domnio Windows)

Ateno!
Para que o acesso seja transparente ao usurio em roaming, configure sempre login@dominio!

Infraestrutura do Provedor de Acesso


UFF
UFRJ

Nvel Federao 1 Nvel Institucional

Processo de Autenticao Local


usuario@uff.br

2 Nvel Federao 1 Nvel Institucional

senha

UFF

UFRJ

UFRJ

Processo de Autenticao Remota


usuario@ufrj.br usuario@ufrj.br senha senha

2 Nvel Federao 1 Nvel Institucional

UFF

UFRJ

UFRJ

Servidor de Encaminhamento
Encaminhada de forma transparente os pacotes de: Access-Request Access-Response Access-Reject Access-Accept Atributo Proxy-State: Inserido e removido (no retorno da mensagem) pelo servidor de encaminhamento. Identifica que a mensagem veio de um proxy. No removido no caminho de ida, mas podem ser acrescentados mais atributos Proxy-State.

Prtica 5
Configurao de Proxy para a Federao (Roaming).

Servidor RADIUS Federao Ponto de Acesso


UDP UDP

Usurio

Servidor RADIUS Instituio 1

Servidor LDAP Instituio 1

Servidor RADIUS Instituio 2

Servidor RADIUS Insituio 2

Eduroam

RADSEC: Segurana na comunicao RADIUS

Dbora C. Muchaluat Saade, Ricardo C. Carrano e Edelberto F. Silva Laboratrio MdiaCom Universidade Federal Fluminense

Roteiro das seo


Introduo Segurana do RADIUS Segurana do RadSec Funcionamento Implementaes Comandos mais comuns

Introduo
RadSec (RADIUS-over-TLS): RFC 6614 - Transport Layer Security (TLS) Encryption for RADIUS de 2012 (ainda draft) Diversos drafts desde 2008. Altera a comunicao RADIUS baseada em UDP para TCP/TLS. Benefcios: Segurana Confiana Outros (veremos os problemas do RADIUS)

Segurana do RADIUS
padro RADIUS no to seguro Utiliza senha compartilhada e um hash MD5 para cada conexo servidor-NAS. Autenticao por mensagem Alguns atributos em texto-puro Ataques possveis: http://www.untruth.org/~josh/security/radius/radiusauth.html Soluo: utilizar EAP com tnel TLS.

Segurana do RadSec
TLS entre as comunicaes RADIUS Certificados X.509 Cada servidor RADIUS tem seu certificado Alto nvel de encriptao Encripta toda a mensagem Utiliza TCP e no mais UDP Transporte confivel

Funcionamento

Autenticao com RadSec


Ca1l3kfsndvasd Estabelecimento de X sesso csdkbm TLS sobre TCP usuario@uff.br

2 Nvel Federao 1 Nvel Institucional

senha

usuario@uff.br senha

Implementaes
RADIATOR (RADIUS comercial) radsecproxy Gratuito Compatvel com FreeRADIUS possvel utiliz-lo em AP baseado em OpenWRT
maior segurana entre NAS e Servidor no mais baseado em senha compartilhada

FreeRADIUS pretende incorporar o padro RADIUSover-TLS futuramente.

Comandos do radsecproxy
Comandos mais comuns: radsecproxy f (modo debug em terminal) /etc/init.d/radsecproxy (start-stop-restart)

Erro mais comum: H algum erro de configurao ???? No autoexplicativo ????

Prtica 6
Configurao do Proxy utilizando RadSec.

LS / T ec P dS TC Ra

LS / T ec P dS TC Ra

Servidor RADIUS Federao

Ponto de Acesso

Usurio

Servidor RADIUS Instituio 1

Servidor LDAP Instituio 1

Servidor RADIUS Instituio 2

Servidor RADIUS Insituio 2

Eduroam

RADIUS Accounting: Conceitos e finalidade

Dbora C. Muchaluat Saade, Ricardo C. Carrano e Edelberto F. Silva Laboratrio MdiaCom Universidade Federal Fluminense

Roteiro da seo
Introduo RADIUS Accounting Formato das mensagens Atributos das mensagens Exemplo de funcionamento RADIUS Accounting Proxy (roaming) Concluso

Introduo
RADIUS Accounting foi introduzido pela RFC 2059 de 1997. Utiliza a porta 1813 (UDP) Padro RADIUS at ento era apenas AA (Autenticao e Autorizao) Finalidade: Fornecer informaes sobre a autenticao de um usurio. Facilitar a contabilidade de utilizao de usurios (originalmente em PPP, telnet, rlogin). Possibilidade de: Monitoramento e coleta de estatsticas. Cobrana por utilizao.

RADIUS Accounting
Segue o padro cliente-servidor RADIUS Autenticador (cliente RADIUS) NAS responsvel por encaminhar as informaes de accounting ao servidor RADIUS Servidor RADIUS accounting deve responder ao NAS com sucesso ou no. A segurana provida pela mesma senha compartilhada pelo mtodo de autenticao (shared secret).

Pacotes e Atributos

4 Accounting-Request 5 Accounting-Response

Diversos so os atributos possveis: 40 Acct-Status-Type 41 Acct-Delay-Time 46 Acct-Session-Time 47 Acct-Input-Packets 48 Acct-Output-Packets 51 Acct-Link-Count

Atributo Acct-Status-Type

Responsvel por informar o status da sesso: incio, fim ou ativa.

Type 40 for Acct-Status-Type. Length 6 Value (8 octetos) 1 Start 2 Stop 3 Interim-Update ...

Funcionamento

Proxy (roaming)
O encaminhamento do pacote de accounting por proxy realizado da mesma forma como com pacotes de autenticao. Insere (quando encaminha a outro servidor) ou retira (quando recebe um pacote) o ltimo atributo ProxyState. possvel accounting tanto no servidor de origem quanto no de destino.

Concluindo
Utilizado para fornecer informaes de acesso. Pode auxiliar tanto no monitoramento do acesso quanto inserir sistema de cobrana.

Em tempo: os atributos podem depender do fabricante! Alguns produtos podem fornecer informaes de forma diferente de outros.

Prtica 7
Configurao do Accounting e banco de dados PostgreSQL. Relatrios
LS / T ec P dS TC Ra

LS / T ec P dS TC Ra

Servidor RADIUS Federao

Ponto de Acesso

Usurio

Servidor RADIUS Instituio 1

Servidor LDAP Instituio 1

Servidor RADIUS Instituio 2

Servidor RADIUS Insituio 2

Obrigado!
Para maiores informaes sobre o Eduroam Site Eduroam Internacional
http://www.eduroam.org/

Site Eduroam-br no MdiaCom


http://www.midiacom.uff.br/eduroam-br/

Contatos Coordenao Eduroam-br


Profa. Dbora C. Muchaluat Saade (debora@midiacom.uff.br)

Instrutores
Prof. Ricardo C. Carrano (carrano@midiacom.uff.br) Edelberto Franco Silva (esilva@midiacom.uff.br)