Escolar Documentos
Profissional Documentos
Cultura Documentos
DESIGNAO DO MESTRADO
Redes e Servios de Comunicao
AUTOR
Jorge Gonalo Monteiro da Fonseca
ANO
2016
www.estgf.ipp.pt
Implementacao de autenticacao 802.1.x e IPv6 na
rede cablada da ESTG
25 de Novembro de 2016
ii
Agradecimentos
Agradeco `
a Escola Superior de Tecnologia e Gestao por me ter proporci-
onado as condic
oes necess
arias `
a realizacao e implementacao deste trabalho.
Agradeco de forma muito especial e saudosa aos meus pais, pela educacao
que me deram e pelo exemplo de vida que foram. A eles dedico de forma
muito especial este trabalho.
iii
iv
Resumo
v
vi
Abstract
The current ESTG network only operates with IPv4 and only supports
authenticated connections on the eduroam wireless network. Wired network
connections are not authenticated and there is no IPv6 Internet connection.
The objective of this project consists on evaluating the feasibility of imple-
menting authentication mechanisms for the wired network in conjunction
with the implementation of IPv6.
IPv6 has significant differences when compared to IPv4. IPv6 protocol
is not compatible with IPv4, requiring the implementation of transition
mechanisms. There are several mechanisms developed specifically to support
this transition and to enable the coexistence of both IPv4 and IPv6.
The proposed solution can be divided into two main parts. The first
one relates to the implementation of the authentication, authorization of
equipment connected to the wired network and the implementation of a
guest-vlan. The other consists in configuring IPv6 services, such as address
configuration, routing, DNS service, traffic filtering and network activity
logging.
The 802.1X implementation enables the ESTG network to provide authen-
tication and authorization mechanisms on to the wired network. In the pro-
posed solution, the authentication server has an AD as an authentication
backend. The various equipments were analyzed and it was verified that all
supported the referred protocol. FreeRadius was the selected authentication
server. It supports the most common authentication protocols and was con-
figured with an Active Directory 2012 R2 as the authentication backend. A
guest-vlan was also implemented, where unauthenticated users are placed.
The IPv6 implementation at the ESTG network entailed both some chan-
ges on existing services and the implementation of new ones. The DNS
service has been reconfigured to accept and respond to IPv6 requests. The
DHCPv6 service was implemented. Traffic routing and filtering services
have been implemented in a firewall. Finally, activity logging mechanisms
were also implemented.
vii
viii
Conte
udo
1 Introdu
cao 1
1.1 Objetivos do trabalho . . . . . . . . . . . . . . . . . . . . . . 2
1.2 Resultados relevantes . . . . . . . . . . . . . . . . . . . . . . . 3
1.3 Estrutura do relat
orio . . . . . . . . . . . . . . . . . . . . . . 3
3 Protocolo Internet 19
3.1 IP vers
ao 4 (IPv4) . . . . . . . . . . . . . . . . . . . . . . . . 19
3.1.1 Enderecamento . . . . . . . . . . . . . . . . . . . . . . 20
3.1.2 Limitacoes do IPv4 . . . . . . . . . . . . . . . . . . . . 21
3.2 IP vers
ao 6 (IPv6) . . . . . . . . . . . . . . . . . . . . . . . . 23
3.2.1 Enderecamento . . . . . . . . . . . . . . . . . . . . . . 24
3.2.2 Novas funcionalidades . . . . . . . . . . . . . . . . . . 25
3.2.3 Transicao e Interoperabilidade IPv4/IPv6 . . . . . . . 26
3.3 Conclusao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
4 Rede ESTG/IPv6 31
4.1 Situac
ao atual . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
4.2 Requisitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
4.3 Proposta de solucao . . . . . . . . . . . . . . . . . . . . . . . 34
4.3.1 802.1X . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
4.3.2 IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
4.4 Conclus ao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
ix
CONTEUDO
CONTEUDO
5 Avalia
cao do trabalho 43
5.1 Soluc
ao Final . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
5.2 Testes efetuados . . . . . . . . . . . . . . . . . . . . . . . . . 53
6 Conclus
ao 59
6.1 Resultados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
6.2 Trabalho futuro . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Anexos 69
A Configura
c
ao do tayga 71
B Configura
cao do Authenticator 73
C Configura
cao dos Clientes 75
C.1 Windows 10 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
C.2 Fedora 24 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
C.3 MacOs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
D Configura
cao do servidor de autentica
cao 85
E Captive Portal 93
F Configura
cao da pfsense 95
F.1 DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
F.2 Regras de firewall . . . . . . . . . . . . . . . . . . . . . . . . . 95
G Plano de Endere
camento IPv6 97
x
Lista de Figuras
2.1 Autenticac
ao com RADIUS . . . . . . . . . . . . . . . . . . . 6
2.2 Autenticac
ao por endereco MAC . . . . . . . . . . . . . . . . 7
2.3 Autenticac
ao com Kerberos . . . . . . . . . . . . . . . . . . . 8
2.4 Estrutura de mensagem do Kerberos . . . . . . . . . . . . . . 9
2.5 Exemplo de autenticac
ao por Captive Portal . . . . . . . . . 10
2.6 Esquema funcional 802.1x . . . . . . . . . . . . . . . . . . . . 11
2.7 Componentes do 802.1x . . . . . . . . . . . . . . . . . . . . . 12
2.8 Autenticac
ao em 802.1X com RADIUS . . . . . . . . . . . . . 16
3.1 Comparac
ao entre cabecalhos IPv4 e IPv6 . . . . . . . . . . . 25
C.1 Servicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
C.2 Network Center . . . . . . . . . . . . . . . . . . . . . . . . . . 76
C.3 Propriedades da placa de rede . . . . . . . . . . . . . . . . . . 77
C.4 Propriedades EAP . . . . . . . . . . . . . . . . . . . . . . . . 78
C.5 Propriedades do EAP MSCHAPv2 . . . . . . . . . . . . . . . 79
C.6 Propriedades avancadas da autenticacao . . . . . . . . . . . . 80
C.7 Janela de autenticacao 802.1X . . . . . . . . . . . . . . . . . . 81
C.8 Network Manager . . . . . . . . . . . . . . . . . . . . . . . . . 81
xi
LISTA DE FIGURAS LISTA DE FIGURAS
F.1 Configurac
ao DHCPv6 na pfsense . . . . . . . . . . . . . . . . 95
F.2 Aliases na pfsense . . . . . . . . . . . . . . . . . . . . . . . . . 95
F.3 Regras de firewall na pfsense . . . . . . . . . . . . . . . . . . 96
xii
Lista de Tabelas
xiii
LISTA DE TABELAS LISTA DE TABELAS
xiv
Lista de Listagens
5.1 Resoluc
ao de nomes utilizando DNS64 . . . . . . . . . . . . . 44
5.2 Passos para a configuracao de autenticacao num switch HP
Proliant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
5.3 Script para autenticac ao 802.1X em Fedora . . . . . . . . . . 47
5.4 Ficheiro de zona do BIND . . . . . . . . . . . . . . . . . . . . 51
5.5 Teste de autenticac ao utilizando NTLM . . . . . . . . . . . . 53
5.6 Teste de autenticac ao utilizando radtest . . . . . . . . . . . . 54
5.7 Comandos para visualizacao do estado do authenticator . . . 54
5.8 Registo com sucesso de autenticacao no RADIUS . . . . . . . 55
5.9 Teste de resoluc
ao de nomes IPv6 . . . . . . . . . . . . . . . . 56
5.10 Registo de atividade no Rsyslog . . . . . . . . . . . . . . . . . 57
A.1 Ficheiro de configurac ao do tayga . . . . . . . . . . . . . . . . 71
A.2 Script de inicializac
ao do tayga . . . . . . . . . . . . . . . . . 71
B.1 Configurac
ao do switch HP Procurve . . . . . . . . . . . . . . 73
D.1 Ficheiro de configurac ao radiusd.conf . . . . . . . . . . . . . . 85
D.2 Ficheiro de configurac ao ldap.conf . . . . . . . . . . . . . . . 86
D.3 Ficheiro de configurac ao sites-enabled/default mschap . . . . 88
D.4 Ficheiro de configurac ao do sites-enabled/default . . . . . . . 88
D.5 Ficheiro de configurac ao sites-enabled/inner-tunnel . . . . . . 90
D.6 Ficheiro de configurac ao clients.conf . . . . . . . . . . . . . . 91
xv
LISTA DE LISTAGENS LISTA DE LISTAGENS
xvi
Lista de Acr
onimos
xvii
xviii
LISTA DE ACRONIMOS
Introdu
c
ao
1
2 Introducao
2. Autoriza c
ao: Para que seja concedido acesso `a rede cablada a um
utilizador, o mesmo devera ter permissao para tal.
4. Configura c
ao de IP: A configuracao de enderecamento IP (IPv6)
dever
a ocorrer de forma automatica.
6. DNS: A resoluc
ao de nomes IPV4 e IPv6 devera estar devidamente
configurada.
Controlo de acesso `
a rede
5
6 Controlo de acesso `a rede
Cliente RADIUS
2.1 RADIUS
O protocolo Remote Authentication Dial-In User Service (RADIUS) e defi-
nido pelo RFC 2865 [69] e permite a gestao centralizada de Authentication,
Authorization, and Accounting (AAA) para os utilizadores que se autenti-
quem para usarem um servico de rede. Trata-se de um protocolo cliente-
servidor que suporta diversos mecanismos de autenticacao, funcionando na
camada de aplicacao do modelo Open Systems Interconnection (OSI) e pode
funcionar tanto em Transmission Control Protocol (TCP) como em User
Datagram Protocol (UDP). A operacao sobre TCP e mais comum pois
garante a retransmiss ao em caso de perda de pacotes. Os network access
server (NAS) normalmente contem clientes RADIUS que comunicam com
o servidor RADIUS. O servidor RADIUS e, normalmente, um processo que
corre numa m aquina Windows ou Linux [4].
Na Figura 2.1 podemos ver a troca de mensagens que ocorre quando um
utilizador se autentica. Esta troca compreende 5 passos.
4 Resposta ao pedido de
3 RADIUS Accept
associao (Aceite)
Cliente RADIUS
Switch
2.2 Autentica
c
ao baseada em MAC Address
A autenticacao baseada em MAC address autentica um dispositivo utili-
zando o endereco fsico de origem das tramas recebidas. Existem duas for-
mas principais de efetuar este tipo de autenticacao. Atraves do switch, ou
de forma centralizada utilizando um servidor RADIUS [12].
Quando efetuada localmente no switch, o equipamento e configurado
para permitir a ligac
ao de equipamentos em que o MAC address esteja regis-
tado no mesmo. Desta forma teremos que configurar em cada equipamento
de rede quais os equipamentos que poderao aceder aos recursos de rede.
A outra forma de configuracao de autenticacao baseada em MAC address
e utilizando um servidor RADIUS. Este modo de operacao e semelhante ao
do 802.1X. O authenticator envia ao servidor de autenticacao o MAC address
de origem bem como o utilizador e palavra passe configurada no switch (que
autentica o switch junto do servidor RADIUS). Se o servidor de autenticacao
receber credenciais validas do switch, envia uma mensagem de aceitacao para
o mesmo. O esquema de funcionamento descrito pode ser visto de forma
resumida na figura 2.2. A autenticacao por MAC address pode permitir
a autenticac
ao de sistemas terminais mais antigos, de terminais que nao
suportem autenticac ao 802.1x ou via web.
Uma vez que a autenticac ao baseada em MAC address autentica o dis-
positivo e n
ao o utilizador, esta sujeito a ataques do tipo MAC spoofing 1 ,
1
Ataque que consiste num cliente tentar ludibriar um servidor indicando como seu um
endereco MAC diferente do real [13].
8 Controlo de acesso `a rede
1
2
3
4 4.1
Cliente Servidor de Servidor de
autenticao Aplicao
n
ao sendo considerado um metodo de autenticacao seguro [70]. Permite no
entanto a existencia um certo nvel de autenticacao para dispositivos que
n
ao o poderiam fazer de outra forma.
2.3 Kerberos
Kerberos e um protocolo de autenticacao de rede, projetado para fornecer
autenticacao para aplicacoes cliente/servidor utilizando criptografia de chave
privada. O Massachusetts Institute of Technology (MIT) disponibiliza uma
implementac ao livre deste protocolo, que tambem se encontra disponvel em
muitos produtos comerciais [34].
O protocolo Kerberos foi criado como uma solucao para os problemas de
seguranca de rede permitindo a confidencialidade dos dados transmitidos e a
autenticacao mutua. Utiliza criptografia o que permite a um cliente provar
sua identidade perante um servidor e vice-versa, mesmo quando a conversao
ocorre sobre uma ligac ao de rede insegura. Alem da autenticacao m utua,
garante tambem a privacidade e a integridade dos dados trocados [45].
Em Kerberos existe um Key Distribution Center (KDC) central onde e
mantida uma base de dados de clientes e chaves privadas. O algoritmo de
encriptacao utilizado e o data encryption standard (DES) [49]. O procedi-
mento de autenticac ao esta representado na Figura 2.3. Um cliente inicia o
processo autenticando-se junto do servidor de autenticacao (KDC) (passo 1),
do qual obtem uma chave de sessao (passo 2) que lhe permite pedir acesso a
` chave de sessao e dado o nome de Ticket-granting Tickets (TGT).
servicos. A
Quando um cliente se quer autenticar perante um servico, envia um pedido
para o KDC (passo 3) que responde com um Ticket para o cliente (passo 4),
cifrado com a chave privada do cliente, e envia um segundo Ticket para o
servidor (passo 4.1), cifrado com a chave deste. O cliente decifra a resposta,
processa o seu conte udo e envia o Ticket numa mensagem de autenticacao
para o servico perante o qual se quer autenticar (passo 5). O servico, tendo
por base ambos os Tickets (o do cliente e o seu), valida a identidade do
9 Controlo de acesso `a rede
dor quando este tentar aceder a um qualquer web site. Permite tambem que
fornecedor de servico envie publicidade para os utilizadores que se ligam `a
rede.
Em implementac oes mais complexas pode requere a autenticacao do uti-
lizador atraves do username e password para que seja permitido o acesso aos
recursos de rede. Desta forma a utilizacao da rede de forma abusiva e de-
sencorajada, pois qualquer utilizacao para uso abusivo ou criminal pode ser
identificada, impedindo tambem o acesso aos recursos de rede a utilizadores
nao autorizados.
Os Captive Portal s ao principalmente utilizados em centros de negocios,
aeroportos, hoteis, que oferecem redes sem fios gratuitas. Pode tambem ser
utilizado em redes cabladas [70].
2.4.1 Implementac
ao
Uma das formas de implementacao e atraves de ICMP Redirect. Nesta
implementac ao o tr
afego do utilizador e redirecionado utilizando ICMP Re-
2
direct .
Outra forma de implementacao dos Captive Portal e atraves de redire-
cionamento por DNS. Neste caso quando um cliente quer aceder a um web
site e efetuado um pedido de resolucao ao servidor de DNS. A firewall vai
garantir a que so o servidor DNS configurado no servidor DHCP pode ser
utilizado por utilizadores nao autenticados na rede. Este servidor de DNS
ir
a retornar o endereco IP do servidor onde esta alojada a pagina do Captive
Portal para todos os pedidos efetuados.
2
O ICMP Redirect e um mecanismo que funciona na camada 3 do modelo OSI e que
permite que routers fornecam informaca
o de roteamento aos clientes. Estas mensagem
indicam qual o equipamento a utilizar como default gateway.
11 Controlo de acesso `a rede
LAN LAN
Porta Porta
no autorizada autorizada
2.4.2 Limitaco
es
2.5 802.1x
802.1X e um padr ao definido pelo Institute of Electrical and Electronics En-
gineers (IEEE) atraves do Request for Comments (RFC) 3580 [16] e consiste
num mecanismo de controlo de acesso `a rede baseado em portas, utilizando
as caractersticas de acesso fsico do IEEE 802 [41]. Utiliza metodos de
autenticacao baseados na camada 2 do modelo OSI, para verificar a legiti-
midade dos utilizadores que pretendem aceder aos recursos de rede. Antes
da autenticacao so e permitida a troca de mensagens do tipo 802.1x entre
o cliente e o dispositivo de rede, estando a porta em estado nao autorizado.
Ap os a autenticacao a porta passa para o estado autorizado, sendo todo o
tr
afego permitido. Este funcionamento pode ser visualizado na Figura 2.6.
Existem tres componentes envolvidos em autenticacao 802.1X. Os tres
componentes s ao necessarios para efetuar uma troca de autenticacao [66],
est
ao representados na Figura 2.7 e sao: o supplicant, o authenticator e o
servidor de autenticac ao.
Supplicant - O supplicant, executa no cliente e e o responsavel pelo
envio das credenciais do cliente ao authenticator, em resposta ao pedido
deste. O supplicant pode tambem inicializar o dialogo de autenticacao com o
authenticator. O cliente que corre o supplicant tenta normalmente autenticar
uma interface de rede wireless, podendo no entanto ser tambem utilizado
para autenticar uma porta de um switch.
Authenticator - O authenticator e um dispositivo de rede que e res-
pons avel pela autenticacao de um supplicant que se liga a uma das suas
portas. O authenticator e tambem responsavel pelo controlo do estado das
autorizacao das suas portas. Um authenticator e tipicamente composto pe-
las portas de um switch de rede com suporte 802.1x. Em redes wireless, o
authenticator pode ser o Ponto de Acesso ou uma wireless bridge. O authen-
ticator implementa a autenticacao atraves da comunicacao com o servidor
de autenticacao.
Servidor de autentica c
ao - O servidor de autenticacao tem como
func
ao executar a autenticacao, verificando as credenciais do cliente e indi-
cando se o mesmo est a autorizado a aceder aos servicos de rede. O servidor
de autenticacao e normalmente um servidor RADIUS utilizando Extensible
13 Controlo de acesso `a rede
Tipos de autentica
cao utilizados em 802.1X
O standard IEEE 802.1X implementa uma forma segura de troca de pacotes
entre o Suplicant e o Autenticator [5, 20]. O EAP e um dos mais importantes
elementos na autenticac
ao 802.1X pois fornece um mecanismo standard para
suporte de metodos de autenticac
ao adicionais como PPP. Atraves do uso do
EAP, pode ser adicionado suporte para outros protocolos de autenticacao,
incluindo smart cards, certificados de chave p ublica, one time passwords e
outros [5].
Existem varios tipos de autenticacao em EAP: EAP-MD5, Lightweight
Extensible Authentication Protocol (LEAP), EAP-Transport Layer Secu-
rity (EAP-TLS), EAP-Tunneled Transport Layer Security (EAP-TTLS) e
o Protected Extensible Authentication Protocol (PEAP), que se descrevem
de seguida:
3
Num ataque do tipo MITM o atacante interceta e retransmite uma comunicac ao entre
duas entidades que acreditam estar a comunicar diretamente uma com a outra.
4
O highjacking de sessoes consiste em tomar controlo de uma comunicaca
o entre duas
entidades fazendo-se passar por uma delas.
5
Ataque de dicionario e um tipo de ataque em que se tenta ganhar acesso ilegtimo a
um sistema inform atico utilizando um grande numero de palavras de um dicionario como
forma de descobrir a password.
15 Controlo de acesso `a rede
Mensagens EAP
O protocolo EAP recorre ao Extensible Authentication Protocol (EAP) over
LAN (EAPoL) para possibilitar a comunicacao segura entre o supplicant e
o servidor de autenticacao. O EAPoL define uma formato de trama es-
pecfico que pode ser de um de 5 tipos de mensagens [20]: A EAP-Packet, a
EAPOL-Start, a EAPOL-Logoff, a EAPOL-Key e a EAPOL-Encapsulated-
ASF-Alert.
2.6 An
alise comparativa
Os metodos de controlo de acesso `a rede apresentados anteriormente tem
uma abordagem diferenciada. A autenticacao baseada em endereco MAC
e em 802.1X limitam a ligacao do equipamento `a rede, nao sendo possvel
qualquer troca de mensagens com os equipamentos de rede ate que o equipa-
mento seja identificado ou autenticado. O Kerberos foca-se na autenticacao
com domnio Active Directory. O Captive Portal consiste numa autenticacao
por via de uma p agina web de autenticacao, que requer a utilizacao de um
browser, mas tambem, a intervencao de um firewall e/ou router.
A autenticac
ao baseada em enderecos MAC tem como grande desvanta-
gem o fato de ser necessaria a identificacao dos enderecos MAC autorizados
e a sua configurac
ao em todos os equipamentos de rede. Tal torna-se extre-
mamente moroso em redes complexas em que existam muitos equipamentos
17 Controlo de acesso `a rede
2.7 Conclus
ao
Existem v arias soluc
oes que permitem efetuar o controlo de acesso `a rede.
Dependendo do cen ario de implementacao, todas elas poderao ser considera-
das como opc oes v
alidas, pese embora todas com vantagens e desvantagens.
A tecnologia 802.1X e aquela que se apresenta como mais adequada para
ser implementada em redes de media ou grande complexidade pelo fato de
ser uma soluc ao robusta, facilmente escalavel, apropriada para ambientes
heterogeneos, com grande diversidade de sistemas operativos envolvidos e
de diferentes tipos de equipamentos cliente. Esta solucao, quando imple-
mentada de forma interligada com o servidor RADIUS, permite efetuar a
autenticac
ao num Active Directory local, e assim manter um ponto u nico de
autenticac
ao.
Captulo 3
Protocolo Internet
3.1 IP vers
ao 4 (IPv4)
O protocolo IPv4 foi criado nos anos 70 e definido pelo RFC 791 [3] em
1981. E um dos principais protocolos de rede baseados em standards na
Internet, tendo sido a primeira versao implementada na Advanced Research
Projects Agency Network (ARPANET) em 1983. Nos dias de hoje ainda e
responsavel pela maioria do tr
afego [1] na Internet. O protocolo IP e um dos
mais importantes no TCP/IP. No modelo de referencia OSI, o IP trabalha
na camada de rede e a sua principal funcao e e a identificacao dos hosts
baseando-se no seu endereco l ogico, de forma a poder encaminhar dados
entre esse host e outros na rede. O endereco logico de um host e o seu
endereco IP. O esquema de enderecamento do IPv4 e utilizado ate aos dias
de hoje e permite a identificac
ao de hosts na rede. Este sistema e baseado
num endereco logico de 32 bits. [9]
IPv4 e um protocolo n ao orientado `a conexao que opera num modelo
de menor esforco para a entrega de pacotes, nao garantindo a entrega, a
correta sequencia, nem evita duplicacao de pacotes. Estes aspetos, incluindo
integridade de dados, s ao dirigidos para protocolos de camada superior,
como o TCP, por exemplo.
19
20 Protocolo Internet
3.1.1 Enderecamento
Antes da implementac ao do IPv4, os engenheiros da ARPANET discutiram
se o tamanho de um endereco IP deveria ser de 32 ou de 128 bits, tendo
sido decidido que seria de 32 bits. Isto representa um total de 4.294.967.296
(232 ) enderecos. Na altura, a necessidade de um n umero maior de hosts do
que este n ao era previsvel [18].
Para permitir redes de diferentes dimensoes foram criadas as classes de
rede. O enderecamento IPv4 esta dividido em cinco classes, A, B, C, D,
E. As classes A, B, e C tem um tamanho de bits diferentes para enderecar
um host de rede. Os enderecos da classe D estao reservados para multicast,
enquanto que a classe E estaria reservada para uso futuro. Um exemplo de
um endereco de IPv4 e 172.20.100.1. Este e composto por 4 octetos de 8
bits, i.e. um endereco de 32 bits. O endereco anterior tera a seguinte repre-
sentacao em binario 10101100 00010100 01100100 00000001. Na Tabela 3.1
podemos ver como os enderecos das classes de IPv4 sao atribudas, incluindo
o numero de hosts que cada classe tem.
Esta divisao de enderecamento em classes foi abandonado em 1993 com a
publicacao do RFC 1517 e substitudo pelo Classless Inter-Domain Routing
(CIDR) [22]. Enquanto o enderecamento por classes implica um tamanho
de rede fixo para cada classe, em CIDR uma rede pode ter tamanho variavel
que depende do n umero de bits da mascara de rede (por exemplo /24). O
CIDR permite assim o reparticionamento do espaco de enderecamento de
forma a que blocos de enderecos de diferentes tamanhos possam ser alocados
aos utilizadores de acordo com as suas necessidades.
O sistema de enderecamento IP inclui uma mascara de rede que nos
permite distinguir entre enderecos de rede e enderecos de host. Por exem-
plo assumindo-se um endereco IP 192.168.0.2 com a mascara de rede de
255.255.255.0, o endereco 192.168.0 identifica a rede (classe C) e o endereco
0.0.0.2 identifica o host. Um endereco IP nao identifica maquinas, mas in-
terfaces de rede de m aquinas. Um equipamento que possua dois interfaces
de rede, pode ter dois enderecos IP. Alem destes, possui tambem outros
enderecos especiais como o endereco de loopback e outros dependendo das
suas funcoes [47].
21 Protocolo Internet
Endere
camento Privado
A utilizac
ao massiva e global do IPv4 levou ao esgotamento gradual do
espaco de enderecamento. De forma a poupar enderecos e possibilitar uma
melhor gest ao de enderecos disponveis, surgiram algumas tecnicas para mi-
nimizar o problema. Tecnicas como o Network Address Translation (NAT),
que permite a utilizac ao de enderecamento privado nas redes locais [9], e
um exemplo. Do leque de enderecos do IPv4 disponveis, tres blocos de
enderecos estao reservadas para uso em redes privadas[56]. Estas gamas de
enderecos IP n ao s
ao rote
aveis fora de redes privadas. Equipamentos com
endereco privado n ao podem comunicar diretamente com equipamentos em
redes publicas, sendo necessaria a utilizacao de NAT para que o consigam
fazer. A Tabela 3.2 resume os blocos de enderecamento privado em IPv4.
A utilizac
ao de enderecamento privado levanta alguns problemas. Uma
vez que os enderecos privados s ao ignorados pelos routers p ublicos, duas
redes privadas (em localizac oes distintas) nao conseguem comunicar dire-
tamente entre elas. Para que o consigam fazer e necessaria a utilizacao
de VPNs. Assim sendo, quando uma rede quiser comunicar com outra rede
remota, recorre-se a um encapsulamento de pacotes para que os mesmos pos-
sam circular na Internet, sendo estes desencapsulados na rede de destino.
Pode tambem existir a cifra de pacotes por forma a garantir confidenciali-
dade na comunicac ao.
3.1.2 Limitaco
es do IPv4
O IPv4 n ao sofreu mudancas significativas desde que o RFC 791[54] foi
publicado em 1981. Sendo um protocolo robusto, de facil implementacao,
interoperavel, foi respons
avel pela crescimento da Internet ate ao tamanho
que tem nos hoje em dia. No entanto o desenho inicial do IPv4 nao antecipou
varios problemas.
A limitac
ao mais significativa do protocolo IPv4 reside na exaustao do
enderecamento p ublico existente. O protocolo IPv4 so tem cerca de 4 mil
milhoes de enderecos disponveis[9]. O desenvolvimento de aplicacoes moveis
22 Protocolo Internet
nhem este ritmo elevado. Tal deve-se, em parte, `a forma como os enderecos
IPv4 sao atribudos, muitas vezes em blocos fragmentados. A necessidade
de gravar rotas para um grande n umero de enderecos num espaco de en-
derecamento limitado constitui um desafio na construcao das tabelas de
roteamento, alem de afetar o desempenho dos equipamentos.
Devido ` a funcionalidade de broadcast que os dispositivos IPv4 possuem,
a rede pode-se tornar congestionada e sobrecarregada ja que este tipo de
pacotes s
ao enviados para todos os enderecos na rede local.
Em IPv4, o campo Time to live (TTL)1 , que tem o valor recomendado
de 64 [55], faz parte do cabecalho dos pacotes IP. Se os dados nao chegarem
ao seu destino dentro desse valor estes expiram, sendo solicitado um novo
envio, provocando m ultiplos pedidos pelo mesmo datagrama e atrasando a
transmissao. Este comportamento pode causar problemas, principalmente
em transmiss ao de dados em tempo real como Voice over Internet Protocol
(VOIP) ou streming de vdeo[58] [9].
3.2 IP vers
ao 6 (IPv6)
IPv6, tambem conhecido por IP next generation (IPng), e a versao do pro-
tocolo IP que foi desenvolvida para suceder ao IPv4 [7]. Foi desenvolvido
pelo Internet Engineering Task Force (IETF) entre 1991 e 1997 e formal-
mente descrito no RFC 2460 [17]. A sua utilizacao oficial iniciou-se em 2004
quando o Internet Corporation for Assigned Names and Numbers (ICANN)
adicionou aos seus servidores Domain Name Service (DNS) enderecos IPv6
[9]. O IPv6 n ao foi desenvolvido com o objetivo de ser radicalmente diferente
do IPv4, mas antes como uma evolucao deste. A generalidade das funciona-
lidades do IPv4 foram mantidas, no entanto, algumas funcionalidades nao
eram muito utilizadas, pelo que os campos respetivos do cabecalho IP foram
removidos [7]. Os campos removidos foram Internet Header Length (IHL),
Identification, Flags, Fragment Offset, Header Checksum, Options e Pad-
ding.
O IPv4 n ao consegue fornecer os enderecos IP necessarios para suprimir
as necessidade do nosso mundo [9]. Tal como o IPv4, o IPv6 e um protocolo
que opera na camada de rede, baseado em comutacao de pacotes e que
fornece transmiss ao de datagramas ponto a ponto entre redes IP [7]. Redes
IPv6 tambem operam em melhor esforco.
O espaco de enderecamento em IPv6 e muito maior que o espaco utilizado
em IPv4. Passou de 32 para 128 bits, i.e passou de 232 = 4.294.967.296
enderecos possveis, para
2128 = 340.282.366.920.938.463.374.607.432.768.211.456
1
TTL e um mecanismo que limita o n
umero de retransmiss
oes de um pacote numa rede
IP. Explicita o n
umero m
aximo de saltos do pacote, sendo decrementado em 1 por cada
router que passa.
24 Protocolo Internet
3.2.1 Enderecamento
Type of
Version IHL Total Length Version Traffic Class Flow Label
Service
Fragment Next
Identification Flags Payload Length Hop Limit
Offset Header
Source Address
Source Address
Destination Address
Options Padding
Destination Address
advertisement. Um host pode gerar o seu proprio endereco IP, por exem-
plo, juntando o seu endereco MAC, convertido no formato Extended Unique
Identifier (EUI) 64-bit, aos 64 bits do prefixo da rede local que e anunciado
pelos routers. Esta funcionalidade a que se chama de stateless autoconfi-
guration vai permitir estabelecer a ligacao `a rede de com maior rapidez,
especialmente em redes de grandes dimensoes.
Em IPv4, o multicast era uma expansao `a especificacao base. Em IPv6,
o multicast faz parte da especificacao base do protocolo, pelo que todos
os equipamentos IPv6 tem suporte multicast. Estas alteracoes tornam a
utilizac
ao de multicast em IPv6 mais simples e facil de configurar, bem
como aumenta as suas funcionalidades.
O suporte para mobilidade foi uma das funcionalidades que foram in-
cludas no IPv6. O seu objetivo e permitir que um dispositivo se desloque
de uma rede para outra, mantendo ligacoes TCP ativas, mesmo mudando o
seu endereco IPv6. O protocolo Neighbor Discovery Protocol (ND) e a auto-
configuracao de endereco garantem conetividade para o dispositivo de forma
transparente, independentemente de onde o dispositivo esteja ligado e sem
a necessidade de nenhum dispositivo adicional. Para conseguir isto IPv6
introduz quatro novos conceitos que vao permitir o suporte `a mobilidade
[32]
Home Address - E um endereco unicast global para um no movel, sendo
utilizado como o endereco permanente para esse no. Este endereco
est
a dentro da gama de enderecos do seu home link. Os mecanismos
de routing normais entregam os pacotes destinados ao no movel no seu
home link .
um endereco unicast para um no movel enquanto
Care-of Address - E
este est
a numa rede estranha. O prefixo de rede do endereco e o prefixo
da rede onde este se encontra. Um no movel pode ter varios care-of
Addresses. O que estiver registado no seu home agent e o primario.
Binding - E a associacao do home address de um no movel com o seu
care-of address juntamente com o tempo restante para essa associacao.
Home Agent - Um router no home link de um no movel em que o no
regista o seu care-of address atual. Quando o no movel nao esta na
rede local, o home agent interceta os pacotes destinados ao endereco
local do no, encapsula-os e envia-os para o care-of address do no que
est
a registado.
3.2.3 Transic
ao e Interoperabilidade IPv4/IPv6
A atribuic
ao dos u
ltimos enderecos IPv4 pela ICANN [36] vem realcar a
urgencia da implementacao do IPv6. No entanto, a adocao do IPv6 tem
sido pouco expressiva, apesar dos seus benefcios. Isto deve-se `a existencia
27 Protocolo Internet
de varias restric
oes na transic
ao para IPv6 que dificultam uma transicao
simples.
O IPv6 foi pensado para ser uma alternativa ao IPv4 e nao uma extensao
deste, n ao tendo sido delineado um plano de transicao coerente. Tal tornou a
transicao mais complexa. Equipamentos com enderecos IPv4 nao conseguem
comunicar com equipamentos com enderecos IPv6. Sistemas antigos podem
nunca ser capazes de funcionar em IPv6 [25].
Durante um eventual perodo de transicao numa organizacao, os nos
IPv6 necessitam de comunicar com nos IPv4, e eventuais redes IPv6 que
estejam isoladas v ao necessitar de utilizar a rede IPv4 para comunicar en-
tre elas. Existem v arias tecnologias de suporte a esta transicao IPv4/IPv6
[25]. Equipamentos poder ao ser configurados em dual stack, passando a
ter suporte completo para as duas versoes do IP[24][51]. Poder-se-a utili-
zar tunneling, estabelecendo-se t uneis ponto-a-ponto onde os pacotes IPv6
sao encapsulados em pacotes IPv4 e transportados por infraestruturas IPv4
[24][51]. Finalmente, pode-se recorrer a tecnologias de conversao (transla-
tion) que convertem uma vers ao do protocolo na outra, permitindo assim a
interoperabilidade[18].
Dual Stack
Dual stack e um mecanismo que fornece suporte total para as duas versoes
do protocolo aos routers e hosts de uma rede. Trata-se do mecanismo mais
simples, permitindo que aplicac oes IPv4 e IPv6 coexistam num ambiente de
dupla pilha IP [6].
Um host dual stack e tambem por vezes referido como host IPv6/IPv4.
Em comunicac oes com outro host IPv4 comporta-se como um host IPv4,
em comunicac oes com um host IPv6 comporta-se como um host IPv6. De-
pendendo de como est a implementado, pode ter tres modos de operacao.
IPv4-only, IPv6-only ou IPv4/IPv6 [31].
Um n o em dual stack tem pelo menos um endereco para cada protocolo,
utilizando DHCP ou configurac ao estatica para IPv4 ou DHCPv6, Stateless
address autoconfiguration (SLAAC), ou configuracao estatica em IPv6. O
servico DNS e utilizado independentemente do protocolo para efetuar a re-
solucao de nomes e enderecos IP devendo o mesmo ser capaz de resolver os
dois tipos registos DNS. Um registo do tipo A representa enderecos IPv4,
um registo do tipo AAAA IPv6. Dependendo de como o servico DNS e
contactado (IPv4, IPv6 ou ambos) este pode retornar um endereco IPv4,
um endereco IPv6 ou ambos. Mecanismos de selecao de endereco terao que
garantir que as ligacoes ser
ao estabelecidas em qualquer um dos casos ante-
riores. Os mecanismos de DNS, tanto do cliente como da aplicacao, possuem
opcoes de configurac
ao que definem qual a ordem dos enderecos a utilizar,
neste caso, qual vers ao do protocolo a utilizar. Um servidor DNS pode ope-
rar tanto numa rede IPv4 como IPv6 para resolver enderecos de ambas as
28 Protocolo Internet
vers oes.
Uma rede dual stack e uma infraestrutura em que os dois protocolos
s
ao roteados e encaminhados nos routers. Numa estrutura com dual stack
configurado pode-se iniciar a migracao de aplicacoes para IPv6, mudando o
tr
afego de IPv4 para IPv6 ao logo do tempo. Nenhuma tecnica de tunneling
ou de translation e utilizada, aumentando o desempenho, escalabilidade e
eficiencia. Outra vantagem e que ambas as versoes correm em modo na-
tivo. Todo o equipamento de rede tem de executar ambas as versoes do IP,
o que significa que todas tabelas (routing, ligacoes, etc) sao mantidas em
duplicado. Todas as configuracoes sao efetuadas tambem em duplicado [26].
Tunneling IPv6/IPv4
Em tunneling, o tr afego IPv6 e encapsulado em pacotes IPv4 para que estes
possam ser enviados atraves de uma rede IPv4, formando assim um t unel
IPv6. Este mecanismo permite que redes IPv6 isoladas comuniquem sem a
necessidade de efetuar migrar a estrutura IPv4 que as interliga [58, 31].
Um t unel IPv6 pode ser configurado manualmente. A utilizacao princi-
pal de um t unel deste tipo e a de fornecer ligacoes permanentes entre dois
routers de permetro, entre um sistema terminal e um router, ou entre redes
IPv6 remotas. Os equipamentos utilizados como endpoints tem que estar
configurados em dual stack. Como cada t unel e gerido de forma indepen-
dente, quantos mais n os existirem, mais tuneis serao necessarios. Tal podera
implicar um grande esforco de gestao. NAT nao e permitido neste tipo de
t
unel [31].
T
uneis IPv6 sobre IPv4 com Generic Routing Encapsulation (GRE) uti-
lizam o protocolo GRE para implementar tecnicas de encapsulacao ponto a
ponto. Podem ser implementados t uneis manuais entre dois pontos, com um
t
unel separado para cada sentido da informacao. Os equipamentos utilizados
como endpoints tem que estar configurados em dual stack [25].
T
uneis baseados em Intrasite Automatic Tunnel Addressing Protocol
(ISATAP) s ao configurados automaticamente e principalmente utilizados
entre hosts e routers. Com ISATAP, um t unel e criado entre um host e
um router. O t unel e estabelecido utilizando os enderecos IPv4 dos dois. O
estabelecimento do t unel e automatico, sendo estabelecido pelo host quando
necessario[25].
T
uneis autom aticos com enderecamento compatvel com IPv4 tambem
s
ao possveis. Estes t uneis utilizam enderecos IPv6 compatveis2 com IPv4.
O destino do t unel e determinado automaticamente pelo endereco IPv4. O
host ou router em cada ponta do t unel tem que suportar as duas versoes do
protocolo IP. Estes t uneis podem ser configurados entre border routers ou
entre um host e um border router. A utilizacao desta tecnica e uma forma
2
Estes enderecos, atualmente em desuso, sao enderecos IPv6 em que os 96 bits mais
significativos est
ao a zero e coloca-se um endereco IPv4 nos 32 bits menos significativos.
29 Protocolo Internet
simples de criar tuneis IPv6 sobre IPv4, mas nao e escalavel para redes de
grandes dimens oes [33].
Tuneis autom aticos 6to4 est
ao especificados no RFC 3056 [14]. Este tipo
de t
unel permite que redes IPv6 isoladas se liguem atraves de redes IPv4
e permite a ligacao a redes IPv6 remotas. Um cenario de implementacao
simples e a interligac
ao de v
arios sites IPv6, em que cada um deles possui
uma ligacao
a Internet em IPv4 [31].
Translation
O conceito de traduc ao de enderecos [46] nao e novo devido `a utilizacao ge-
neralizada de NAT nas redes IPv4. O conceito que reside por tras do NAT e
da tecnica de translation e semelhante. Translation permite a comunicacao
entre hosts IPv4 com hosts IPv6 sem recurso a dual stack. Este tipo de
comunicac ao n
ao e possvel quando se recorre `a utilizacao de tuneis [68].
Num perodo de transic ao em que existem varios servicos, tanto em redes
locais como na Internet, que ainda nao suportam IPv6, nao seria possvel, a
equipamentos numa rede IPv6 sem dual stack, comunicar com tais servicos.
Este facto justifica a import ancia desta tecnologia [31]. O recurso a meca-
nismos de traduc ao de enderecos acarretam alguma complexidade. Quando
um host IPv6 tenta comunicar com um host IPv4, devera resolver o nome
desse equipamento num endereco do tipo AAAA (IPv6), e nao num endereco
do tipo A (IPv4). Tal implica a utilizacao do DNS64 [68].
O Stateless IP/ICMP Translator (SIIT), definido pelo RFC 2765 [50],
e um mecanismo que procede ` a conversao dos cabecalhos dos pacotes en-
tre os formatos IPv4 e IPv6. Esta tecnica define uma nova classe de en-
derecos IPv6, de nome IPv4-translated addresses, identificada com o prefixo
::ffff:0:0:0/96 podendo ser escrita como ::ffff:0:a.b.c.d em que o endereco IPv4
a.b.c.d se refere a um n o IPv6. Este algoritmo pode ser usado para permitir
que um host IPv6 que n ao tenha um endereco IPv4 comunique com um host
IPv4-only. Esta tecnica tem as mesmas limitacoes do NAT.
O NAT 64, definido pelo RFC 6146 [10], e um mecanismo que permite
a comunicac ao entre um host IPv6 e um servidor IPv4. Consiste num ser-
vidor com pelo menos um endereco IPv4 e um segmento de rede IPv6 de 32
bits (que poder a ser por exemplo 2001:690:23c0:2000::/96). O cliente IPv6
junta o endereco IPv4 (ex. 193.136.58.99) com que quer comunicar com o
segmento de rede IPv6 e envia os pacotes para o endereco resultante (ex.
2001:690:23c0:2000:193.136.58.99). Uma instalacao NAT64 simples consiste
num gateway com dois interfaces, um ligado a uma rede IPv4 e outro a
uma rede IPv6. Tr afego da rede IPv6 e encaminhado para o gateway que
faz todas as convers oes necess arias para transferir os pacotes entre as duas
redes. A convers ao nao e simetrica pois o enderecamento em IPv6 e muito
maior que em IPv4, por isso o mapeamento um para um nao e possvel. O
gateway mantem o mapeamento IPv6-to-IPv4 que pode ser estabelecido ma-
30 Protocolo Internet
3.3 Conclus
ao
A vers ao 6 do IP foi desenvolvido para superar muita das limitacoes do IPv4,
introduzindo tambem funcionalidades novas que visam tornar a operacao
da rede, bem como o trabalho dos administradores de redes, melhor e mais
fi
avel. O IPv6 tem diferencas significativas relativamente ao IPv4. Uma
vez que o protocolo IPv6 nao e compatvel com IPv4, e necessaria a imple-
mentac ao de mecanismos de transicao para a implementacao do IPv6. Exis-
tem v arios mecanismos desenvolvidos especificamente para suportar esta
transic
ao e que permitem a coexistencia das duas versoes do IP.
Captulo 4
Rede ESTG/IPv6
31
32 Rede ESTG/IPv6
4.1 Situa
cao atual
A atual estrutura de rede da ESTG esta segmentada em VLANs. Existe uma
VLAN por laborat orio da escola, outra para o centro de investigacao, outra
para a rede de servicos. A rede de administracao conta com DMZs, uma
VLAN para administracao de equipamentos, e uma VLAN para servicos
destinados aos laborat orios. As permissoes de acesso de cada VLAN sao
diferenciadas de acordo com a necessidade e funcionalidade de cada uma
delas.
Os computadores da instituicao ao servicos dos estudantes obrigam a
uma autenticac ao via LDAP. No entanto o servidor LDAP nao e gerido pela
ESTG, o que dificulta a sua manutencao e a consulta de logs. Na rede
cablada n ao existe controlo de acesso `a rede, sendo possvel que qualquer
utilizador ligue os seu equipamento `a rede cablada sem que exista qualquer
controlo. S ao disponibilizados varios servicos `a comunidade (estudantes,
funcionarios, servicos, docentes), sendo os mais relevantes:
Servidor de ficheiros
Servico de impressao
Servico de reposic
ao de laboratorios
Disponibilizac
ao de servidores diversos para laboratorios
4.2 Requisitos
A an
alise do contexto atual levou a identificacao dos seguintes requisitos:
1. Autentica c
ao: Os utilizadores para terem acesso `a rede da ESTG
por cabo dever ao fornecer as suas credenciais, como ja o fazem na
rede sem fios. A autenticacao devera ser efetuado num ponto central,
possibilitando assim a utilizacao das mesmas credencias para todos os
servicos.
33 Rede ESTG/IPv6
.1 .254
.1
.254
DHCP Server Firewall - CheckPoint
.1
.11
.254
.1 .254
SP
.1 .254
.1 .254
193.136.56.99 .254
Firewall Privada Pfsense
2. Autoriza c
ao: Para que seja concedido acesso `a rede cablada a um
utilizador, o mesmo dever
a ter autorizacao para tal.
4. Configura c
ao IP: A configuracao de enderecamento IP (IPv6) devera
ocorrer de forma automatica. A configuracao de enderecamento devera
ser do tipo stateful de forma a permitir o controlo da atribuicao de
enderecos IP. Para os servicos internos da ESTG o enderecamento
dever
a ser est
atico.
Posto
Posto
Internet
Servios externos ESTGF
Posto
DHCP Server DNS Server Radius Server LDAP Server Log Server
6. DNS: A resoluc
ao de nomes IPV4 e IPv6 devera estar devidamente
configurada. Deverao ser introduzidas as alteracoes necessarias no
servidor DNS para que este suporte enderecos do tipo AAAA para a
rede interna.
4.3.1 802.1X
A implementac ao de 802.1X permite dotar a rede da ESTG de mecanismos
de autenticac
ao e autorizacao na rede cablada. Como descrito no captulo
2,um cenario de autenticac
ao com o 802.1X requer um suplicant, um authen-
ticator e um servidor de autenticacao. Na solucao proposta, o servidor de
2
O GIRA e uma plataforma centralizada desenvolvida pelos Servicos da Presidencia do
Instituto Politecnico do Porto que tem como funcionalidade principal a gest ao centralizada
dos utilizadores do Instituto Politecnico do Porto. Todas as contas de utilizador, bem como
as contas de email associadas, sao geridas pelo GIRA.
36 Rede ESTG/IPv6
autenticacao ter
a uma AD como backend para autenticacao. A Figura 4.3
apresenta o esquema funcional da implementacao 802.1X na rede da ESTG.
Os elementos presentes na Figura 4.3 incluem um Desktop Pc e um Lap-
top como exemplos de equipamentos tipo supplicant, podendo no entanto
existir outros equipamentos como impressoras, switchs ou routers que po-
dem tambem assumir este tipo. Nos equipamentos da ESTG, os sistemas
operativos em uso s ao o Windows 10, o Fedora 24 e o MacOS ElCapitan.
Foram efetuados testes de configuracao nestes sistemas operativos que de-
monstraram a sua total compatibilidade com o protocolo 802.1X.
O authenticator e o equipamento de rede responsavel pela autenticacao
de um supplicant. Na Figura 4.3 este elemento e representado por um switch
HP Procurve 2610. Existem em funcionamento na rede da ESTG varios
equipamentos de rede de diferentes marcas, tais como: HP, 3COM, Dell e
Cisco. Foram analisados os varios equipamentos e constatou-se que todos
suportam o referido protocolo.
O servidor de autenticacao a usar e o FreeRadius. Este e o servidor
Radius open source mais comum. Suporta os protocolos de autenticacao
mais comuns, podendo vir com uma interface de gestao web desenvolvida
em PHP. E a base de muitos produtos RADIUS comerciais como sistemas
integrados, appliances com suporte NAC, entre outros [21]. Como backend
de autenticacao para o FreeRadius, foi implementado um Active Directory
2012 R2.
Um Active Directory (AD) e composto por um conjunto de servicos e
processos que permitem efetuar a gestao de um domnio, ou rede, e os seus
servicos relacionados com a gestao de identidade e de diretorio em sistemas
[42, 43]. E desenvolvido pela Microsoft e includo nos sistemas operativos
Windows Server. Um servidor com o servico Active Directory Domain Servi-
ces (AD DS) ativo e denominado de controlador de domnio. E responsavel
pela autenticacao e autorizacao de utilizadores e computadores numa rede
com domnio Windows. O AD e responsavel pela gestao e implementacao
de polticas de seguranca, pela instalacao e atualizacao de software [44],
37 Rede ESTG/IPv6
4.3.2 IPv6
Para a implementac ao de IPv6 na rede da ESTG foram definidos como requi-
sitos a configurac
ao autom atica e central de enderecamento IP, a existencia
de mecanismos de resoluc ao de nomes IPv4 e IPv6, o roteamento e a filtra-
gem de tr afego. O cumprimento destes requisitos implica algumas alteracoes
de servicos existentes e a implementacao de novos servicos. O servico de DNS
necessita de ser reconfigurado de modo a incluir registos do tipo AAAA,
e necess aria a configuracao de servico DHCPv6, e necessario implementar
servicos de roteamento e filtragem de trafego, e por u ltimo, nao tendo a ver
com IPv6 mas com toda a soluc ao, e necessaria a configuracao de servico
38 Rede ESTG/IPv6
DNS
O servico de DNS e um sistema hierarquizado e descentralizado responsavel
pela resoluc
ao de nomes. O RFC 3596 [64] define as alteracoes necessarias ao
DNS para que este seja dotado de suporte para IPv6. As alteracoes incluem
a criac
ao de um tipo de registo para gravar enderecos IPv6, a definicao do
domnio para pesquisas IPv6 e de novas definicoes dos tipos de query que
retornam enderecos de Internet.
A ferramenta escolhida para efetuar a resolucao de nomes e o BIND,
uma vez que e o servidor DNS em producao na ESTG. Berkeley Internet
Name Domain (BIND) e um software open-source que implementa o pro-
tocolo DNS, sendo o software de DNS mais utilizado na Internet [30]. E
uma referencia na implementacao do DNS mas tambem um software para
ambientes de producao adequado para cenarios com grande utilizacao e que
necessitem de alta disponibilidade. A implementacao inicial do BIND foi
feita na Universidade de Berkeley na California em 1980. O BIND possui
muitas funcionalidades entre as quais suporte para Domain Name System Se-
curity Extensions (DNSSEC) e os protocolos Transaction SIGnature (TSIG)
e IPv6. Tem tambem suporte para DNS64 (ver Captulo 3.2.3). Foram defi-
nidos novos tipos de registos, os registos AAAA, que sao capazes de guardar
um registo IPv6 ou um domnio IP6. As querys existentes foram alteradas
de forma a suportarem tambem procuras de registos do tipo A e do tipo
AAAA.
No caso concreto da ESTG, o atual servico de DNS foi reconfigurado para
aceitar e responder a querys IPv6, bem como foram inseridos os registos do
tipo AAAA referentes aos servicos internos implementados em IPv6.
DHCPv6
Para a configuracao automatica de endereco IP e necessario recorrer ao
protocolo Dynamic Host Configuration Protocol version 6 (DHCPv6). O
DHCPv6 e um protocolo definido pelo RFC 3315 no ano de 2011 [19], utili-
zado em IPv6 para efetuar a configuracao dos hosts com enderecos e prefixos
IP, sendo o equivalente para IPv6 do DHCP para IPv4 [19].
O DHCPv6 pode ser utilizado tanto para a atribuicao de enderecos IP
para clientes que utilizem statefull configuration, como para a configuracao
de informacao, que n
ao endereco IP para clientes que utilizem stateless au-
toconfiguration, operando em UDP na porta 546 para clientes e 547 para os
servidores. Para um cliente obter um endereco IP, este utiliza um identifica-
dor u
nico chamado de DHCP Unique Identifier (DUID). Este identificador,
definido no RFC 3315 [19] e pelo RFC 6355 [48], pode conter informacao
de tres tipos: endereco fsico da placa de rede, endereco fsico e tempo ou
39 Rede ESTG/IPv6
identificador u
nico baseado no fabricante.
O servico de DHCPv6 foi implementado recorrendo novamente `a appli-
ance Pfsense, sendo utilizado o modo de configuracao stateful.
Roteamento e filtragem de tr
afego
presentes nas firewalls comerciais como Check Point, Cisco, Juniper, So-
nicwall, Netgear, Watchguard, entre outras. Inclui um interface web para
configurac
ao de todos os seus componentes, nao sendo necessaria qualquer
configurac
ao por linha de comandos. Entre as funcionalidades principais
incluem-se firewall, routing, NAT, balanceamento de carga, captive portal,
servidor de DHCP, DNS dinamico, qualidade de servico e VPN [2].
Alem destas funcionalidades base, existem muitas outras ferramentas que
podem ser instaladas atraves do gestor de pacotes e que permitem expan-
dir a sua funcionalidade. Entre estas ferramentas podem ser citadas como
exemplo o squid, o nmap, o snort, o bind, o open-vm-tools, o quagga OSPF,
entre outras.
Registo de atividade
O registo de atividade ou logging consiste em registar tudo o que se passou
numa rede de computadores. Uma boa gestao dos logs recolhidos permite
a identificac
ao de potenciais problemas antes que estes ocorram. Existem
muitas fontes de dados, sendo os principais os ficheiros de logs de servidores
e de aplicac
oes, do tr
afego de rede, informacoes do perfil de utilizadores nos
PCs e switchs de rede.
A principal funcao de um servidor de logs e a recolha de dados de varios
dispositivos e consolida-los num u nico local onde possam ser monitorizados,
pesquisados e analisados. O servidor de logs atua como um ponto central
das atividades de logs onde todos os logs da rede podem ser armazenados.
O servidor de logs e de grande importancia para a seguranca de uma rede
pois sem ele os logs ficariam dispersos em varios dispositivos dificultando a
sua analise e arquivo.
O registo de atividade foi implementado utilizando o software opensource
Rsyslog. Rsyslog e uma ferramenta open-source utilizada em sistemas Unix
que permite o encaminhamento de mensagens de log numa rede IP. Rsyslog
utiliza o protocolo syslog, definido no RFC 3164 [38], adicionando algu-
mas funcionalidades extra como: timestamp, nome do host e do servico de
origem, filtros baseados em conte udo, configuracao do formato de output,
possibilidade de escrita para motores de bases de dados, usa o TCP como
modo de transporte, operacao multi-threaded, Secure Sockets Layer (SSL),
TLS, Reliable Event Logging Protocol (RELP) [57].
4.4 Conclus
ao
A rede da ESTG operava, inicialmente, apenas em IPV4 e sem autenticacao
para acessos `
a rede por cabo. Esta proposta de solucao permite dotar a
rede da ESTG de autenticacao para todos os acessos, independentemente do
meio utilizado (cabo, sem fios), e de suporte ao funcionamento simultaneo
IPv4 e IPv6. A autenticacao assentou na utilizacao do protocolo 802.1X.
41 Rede ESTG/IPv6
Avalia
c
ao do trabalho
Apos a especificac
ao da proposta de solucao constante do Captulo 4, construiu-
se um primeiro ambiente laboratorial (ver Figura 5.1) para testar os com-
ponentes anteriormente identificados. O ambiente de testes tambem permi-
tiu afinar as configuracoes a aplicar nos varios equipamentos. O ambiente
de testes montado e composto por tres PCs, um switch HP Proliant, e
tres maquinas virtuais alojadas num servidor de virtualizacao Vmware. As
maquinas virtuais foram configuradas com 2 GB de memoria RAM, 16GB
de disco rgido e um processador virtual. O sistema operativo utilizado foi
o Centos 6 em instalac ao mnima.
Numa das m aquinas virtuais foi instalado o FreeRadius com o objetivo
se ser o servidor de autenticac
ao para acessos 802.1X. Noutra maquina vir-
tual, foi instalado o BIND, compilado manualmente com a opcao configure
enable-filter-aaaa. Esta confifuracao permite a utilizacao da opcao filter-
aaaa-on-v4 yes do BIND que limita a resposta a pedidos com origem em
enderecos IPv4 a registos tipo A. Foi ainda utilizada uma terceira maquina
virtual, onde foi instalado o samba (versao 4) para servir como backend
de autenticacao para o FreeRadius. Este servico foi testado para servir de
ponto unico de autenticac
ao da instituicao, tendo sido posteriormente pre-
terido por um servidor com Active Directory.
Os PCs utilizados foram tres HPs dc5800 Dual Core a 3 GHZ com 4
GB de RAM. No primeiro PC foi instalada a appliance Pfsense, para servir
as funcoes de roteamento, filtragem de trafego e DHCPv6. No segundo PC
foi instalado o sistema operativo Centos. Adicionalmente foram instalados
varios servicos para testar a conetividade IPv6 dentro da rede local, tais
como HTTP e SSH. Neste segundo PC, foi tambem instalado o Rsyslog
para se testar o funcionamento dos logs. No terceiro PC, foi instalado o
sistema operativo Centos e o software Tayga, que e uma implementacao de
NAT64.
43
44 Avaliacao do trabalho
NAT64
DNS64
Cliente
RADIUS
Servios
Cliente
Pfsense
NAT64 - Tayga
5.1 Solu
c
ao Final
A Figura 5.2 apresenta a estrutura final da rede da ESTG, apos a imple-
mentac
ao da presente proposta de solucao. Pode-se ver os varios servicos que
foram implementados, ou alterados, para suportarem o seu funcionamento
em IPv6, com autenticacao 802.1X.
Posto
Posto
Internet
Servios externos ESTGF
Posto
DHCP Server DNS Server Radius Server Active Directory Log Server
(novo) (reconfigurado) (novo) (novo) (novo)
46 Avaliacao do trabalho
Servidor de Autentica
cao
Como servidor de autenticacao foi implementado o FreeRadius, na sua versao
3.0.4, numa m aquina virtual com 2 GB de memoria RAM, 16 GB de disco
rgido, 1 core, a correr o sistema operativo CentOS Linux versao 7.2.1511
(Core). Como backend de autenticacao, foi implementado um Active Di-
rectory Windows 2012 R2 integrada com o servidor LDAP dos Servicos da
Presidencia. Este LDAP dos Servicos da Presidencia e o ponto central para
a gestao de contas de todos os utilizadores do IPP.
O servidor FreeRadius foi ainda configurado para suportar o PEAP como
modo de autenticac ao de clientes. Para tal foi necessario ativar o modulo
LDAP, configurado com os dados da AD, configurar os certificados, para
que este comunique por SSL, e ativar os modulos EAP e MSCHAP.
Para que o FreeRadius aceite pedidos de autenticacao de clientes foi ne-
cessario alterar o ficheiro de configuracao clients.conf (Listagem D.6). Para
cada cliente e necessario configurar o seu nome, endereco IP e uma password
que ser a utilizada no processo de autenticacao entre authenticator e servidor
de autenticac ao.
Authenticator
A implementac ao de 802.1X em rede cablada implica que os authenticators
sejam switches Ethernet. Este devem ainda efetuar a atribuicao dinamica de
VLANs. Deve existir uma guest-vlan e uma VLAN especfica para a gestao
dos equipamentos ativos de rede, seguindo as praticas em uso na ESTG.
As VLANs utilizadas no prototipo sao indicadas na Tabela 4.1. Alguns dos
switchs utilizados n
ao suportam enderecamento IPv6, pelo que a VLAN de
gest
ao foi mantida em IPv4. O servico de reposicao de imagens utilizado
(Fog) tambem n ao possui suporte para IPv6. Tal levou a que a guest-vlan,
que tem um conjunto de acessos muito restritos, tivesse de ser mantida
unicamente em IPv4.
Supplicant
O supplicant, como referido anteriormente, e a parte do software 802.1X
que executa no cliente. De uma forma generica, e para a generalidade dos
dispositivos e aplicacoes, a configuracao de um dispositivo para que este
possa utilizar 802.1X resume-se aos seguintes passos: em primeiro lugar e
necessario ativar a autenticac
ao 802.1X no dispositivo, de seguida escolher o
metodo de autenticacao e por fim introduzir as credenciais do utilizador. Se
as credenciais introduzidas estiverem corretas e se o utilizador estiver auto-
rizado a aceder `a rede, o dispositivo e colocado na VLAN correta e recebera
as respetivas configuracoes de rede necessarias para a comunicacao. No ser-
vidor RADIUS ser a registada uma mensagem a reportar a autenticacao com
sucesso deste cliente. As configuracoes manuais 802.1X para os sistemas
operativos Windows, Fedora e MacOS e apresentada no Apendice C.
Listagem 5.3: Script para autenticacao 802.1X em Fedora
1 #!/ b i n / bash
2 s e d i s , \ ( IEEE 8021X IDENTITY=\) . , \ 1 $USERNAME , / e t c /
s y s c o n f i g / networks c r i p t s / i f c f g P r o f i l e 1
3 n m c l i c o n n e c t i o n down i d Wired c o n n e c t i o n 1
4 n m c l i c o n n e c t i o n up i d P r o f i l e 1
5 s e r v i c e NetworkManager r e s t a r t
Endere
camento IP
O enderecamento IP foi efetuado de acordo com o esquema de enderecamento
apresentado na Tabela 5.1, onde estao definidas as redes IPv6 das VLANs e
laborat
orios existentes na ESTG. Este esquema de enderecamento foi defi-
nido de forma a permitir a manutencao da divisao em VLANs ja existente.
Pode ver-se, na primeira linha, uma gama de enderecos reservada `a inter-
49 Avaliacao do trabalho
Roteamento
Resolu
cao de nomes
O servidor de DNS da ESTG foi reconfigurado para responder a querys IPv6,
bom como foram inseridos os registos do tipo AAAA referentes aos servicos
internos implementados em IPv6. Foi configurado o IP 2001:690:23c0:2002::2/64
no interface de rede do servidor DNS e as as opcoes listen-on-v6e query-
source-v6 port 53no ficheiro named.conf. Foi criada uma zona com registos
AAAA referentes aos servicos internos da ESTG, como podemos ver na
Listagem 5.4.
Filtragem de tr
afego
A Pfsense, vers ao 2.3.2 - community edition, foi o software de firewall se-
lecionado. Esta e a principal funcionalidade da Pfsense embora esta seja
utilizada para outras funcoes. As permissoes de acesso foram definidas `a
semelhanca das polticas de acesso implementadas e em funcionamento para
IPv4, tal como j a foi referido no captulo 4 e se pode ver na Tabela 4.2.
A criacao de regras de firewall e feita utilizando o interface grafico de
f
acil utilizac
ao. Para simplificar a criacao de regras existe a possibilidade de
criac
ao de aliases, que permitem a criacao de conjuntos de portas, enderecos
IP ou URLs de forma a serem utilizados nas regras de firewall. Tal evita
a criac
ao de uma regra individual para cada porta ou endereco IP, por
exemplo. Pode-se ver na Figura 5.6 a lista de aliases criados, neste caso
conjuntos de portas. Na Figura 5.7 sao mostrados as regras de firewall
criadas para a rede interna.
Em todas as regras de firewall foi ativada a opcao de logging para que
seja possvel efetuar o registo de toda a atividade de rede, sendo possvel
desta forma a consulta dos acessos e tentativas de acesso efetuados na rede.
Registo de atividade
O registo de atividade e efetuado utilizando o servico Rsyslog. Para tal
foi utilizada uma m
aquina virtual com Centos 7.2. A maquina virtual tem
53 Avaliacao do trabalho
Servidor de Autentica
cao
No servidor de autenticac ao foram efetuados varios testes. Em primeiro
lugar foi testada a autenticac
ao Windows Challenge/Response (NTLM) em
conjunto com o servidor RADIUS para aferir se os acessos `a AD estavam
corretamente configurados. Na Listagem 5.5 pode-se ver um exemplo de um
teste de autenticac
ao efetuado com sucesso.
Authenticator
Existem alguns comandos que permitem a visualizacao das opcoes de confi-
gurac
ao e do estado da autenticacao de um authenticator. No caso da HP,
os comandos show authentication, show accounting e show radius permi-
tem visualizar os dados da autenticacao, da contabilizacao (nao utilizada
neste projeto) e do servidor RADIUS. Podemos visualizar na Listagem 5.7
o output destes comandos no switch utilizado para o prototipo.
Supplicant
Apos a configurac
ao da autenticacao 802.1X no supplicant, esta pode ser
testada. Caso as credenciais introduzidas estejam corretas e se o utilizador
estiver autorizado a aceder `
a rede, no servidor RADIUS sera registada a
autenticac
ao com sucesso. Pode-se ver um exemplo de tal mensagem na
Listagem 5.8. Nesta mensagem e registado o nome do utilizador, o nome
e a porta do switch em que este se ligou, bem como o endereco MAC do
equipamento utilizado.
Endere
camento IP
Apos a autenticac
ao com sucesso, cada um cliente obtem um endereco IPv6.
A atribuic
ao de enderecos IPv6 e registada conforme se pode ver na Figura
5.9. Em particular, pode-se ver o DUID que identifica o cliente. Os ultimos
48 bits do DUID contem o endereco MAC da placa de rede do cliente. Tal
permite identificar o utilizador efetuando cruzamento de logs com os logs do
servidor RADIUS.
Resolu
cao de nomes
Foram efetuados testes de resolucao de equipamentos com endereco IPv6,
tanto servidores internos como externos. A Listagem 5.9 apresenta o re-
sultado de alguns dos testes de resolucao de nomes de servicos internos da
ESTG (moodle) e de servicos externos (Facebook).
Filtragem de tr
afego
Em todas as regras de firewall foi ativada a opcao de logging para que seja
possvel efetuar o registo de toda a atividade de rede, tal como se pode ver
57 Avaliacao do trabalho
Registo de atividade
O servidor de logs e o local onde todos os registos vistos anteriormente
sao armazenados e conservados durante um ano. A Listagem 5.10 apre-
senta um excerto deste registo de atividade. As linhas 1 e 2 desta listagem
retratam um processo de autenticacao 802.1X com sucesso, do utilizador
8010016, ligado ` a porta tres do switch Switch teste e com o endereco MAC
c8:1f:66:b6:db:c2. As linhas 3 e 4 registam o processo de DHCPv6 e a atri-
buicao do endereco IPv6 2001:690:23c0:2013:ed78:a5da:fbd:af35 ao cliente
com o DUID 00:01:00:01:1e:fe:d8:41:c8:1f:66:b6:db:c2. Pode-se constatar
que os u ltimos 48 bits do DUID correspondem ao endereco MAC do equi-
pamento em uso pelo utilizador 8010016. A linha 5 corresponde ao registo
de um acesso a uma p agina web (porta 80). Por u ltimo, a linha 6 retrata
uma tentativa de acesso a um servico na porta 8080. Esta tentativa foi blo-
queada porque n ao existe uma regra explicita de permissao na configuracao
da firewall. A informac ao registada nestes logs permite a identificacao dos
utilizador repons aveis por quaisquer acesso (ou tentativa) `a Internet.
0 0 : 0 1 : 0 0 : 0 1 : 1 e : f e : d8 : 4 1 : c8 : 1 f : 6 6 : b6 : db : c2 i a i d = 46669670
v a l i d f o r 7200 s e c o n d s
5 Nov 5 1 6 : 3 2 : 5 1 1 7 2 . 2 0 . 6 . 2 5 3 f i l t e r l o g :
1 5 4 , 1 6 7 7 7 2 1 6 , , 1 4 7 7 3 2 8 3 0 8 , em1 vlan650 , match , pass , in , 6 , 0 x00 , 0
x00000 , 6 4 ,UDP, 1 7 , 5 3 , 2 0 0 1 : 6 9 0 : 2 3 c0 : 2 0 1 3 : ed78 : a5da : fbd : a f 3 5
, 2 0 0 1 : 6 9 0 : 2 3 c0 : 2 0 0 2 : : 3 , 5 5 2 9 1 , 5 3 , 5 3
6 Nov 5 1 6 : 3 2 : 5 4 1 7 2 . 2 0 . 6 . 2 5 3 f i l t e r l o g : 7 , 1 6 7 7 7 2 1 6 , , 1 0 0 0 0 0 0 1 0 5 ,
em1 vlan650 , match , b l o c k , in , 6 , 0 x00 , 0 x00000 , 6 4 ,TCP
, 6 , 3 2 , 2 0 0 1 : 6 9 0 : 2 3 c0 : 2 0 1 3 : ed78 : a5da : fbd : a f 3 5 , 2 0 0 1 : 8 a0 : 2 1 0 4 : f f
: 2 1 3 : 1 3 : 1 4 6 : 1 3 8 , 4 9 4 7 6 , 8 0 8 0 , 0 , S , 5 9 7 0 7 8 7 9 , , 8 1 9 2 , , mss ; nop ; w s c a l e
; nop ; nop ; sackOK
Captulo 6
Conclus
ao
59
60 Conclusao
6.1 Resultados
A soluc
ao encontrada pode ser dividida em duas partes. Uma parte que
consiste na implementacao de autenticacao, autorizacao e criacao de uma
guest-vlan na rede cablada . A outra parte que consiste na configuracao
dos servicos associados ao IPv6, de que sao exemplo a configuracao de IP, o
roteamento, o servico de DNS e filtragem de trafego e o registo de atividade
na rede.
802.1X
IPv6
A implementac ao de IPv6 na rede da ESTG implicou algumas alteracoes de
servicos existentes e a implementacao de novos. O servico de DNS foi recon-
figurado para aceitar e responder a querys IPv6, bem como foram inseridos
os registos do tipo AAAA referentes aos servicos internos implementados
em IPv6. Foi implementado o servico de DHCPv6 recorrendo `a appliance
Pfsense, sendo utilizado o modo de configuracao stateful, obedecendo ao
plano de enderecamento definido para a ESTG. Os servicos de roteamento
e filtragem de trafego foram implementados recorrendo tambem `a appliance
Pfsense seguindo as mesmas polticas de acesso implementadas e em funci-
onamento para IPv4.
Por u
ltimo foram tambem implementados mecanismos de registo de ati-
vidade ou logging que tem como funcao a recolha de dados de varios dispo-
sitivos e sua consolidacao num u
nico local onde possam ser monitorizados,
pesquisados e analisados.
[5] Bernard Aboba, Henrik Levkowetz, Dan Simon, and Pasi Eronen.
Extensible authentication protocol (eap) key management framework.
2008.
[6] Ishtiaq Ahmed. IPv6 - Coexistence and Integration with Next Genera-
tion Networks. pages 114.
[7] Ana Ali. Comparison study between IPV4 & IPV6. International Jour-
nal of Computer Science Issues,, 9(3):314317, 2012.
[10] Marcelo Bagnulo, Philip Matthews, and Iljitsch van Beijnum. Stateful
nat64: Network address and protocol translation from ipv6 clients to
ipv4 servers. 2011.
63
64 Conclusao
[11] Marcelo Bagnulo, Philip Matthews, Andrew Sullivan, and Iljitsch van
Beijnum. Dns64: Dns extensions for network address translation from
ipv6 clients to ipv4 servers. 2011.
[14] Brian Carpenter and Keith Moore. Connection of ipv6 domains via
ipv4 clouds. Technical report, 2001.
[16] Paul Congdon, Bernard Aboba, Andrew Smith, G Zorn, and J Roese.
Ieee 802.1 x remote authentication dial in user service (radius) usage
guidelines. Technical report, 2003.
[17] Steve Deering and Robert Hinden. Rfc 2460: Internet protocol, 1998.
[18] Jinesh Doshi, Rachid Chaoua, Saurabh Kumar, and Sahana Mallya. A
Comparative Study of IPv4 / IPv6 Co-existence Technologies. pages
113, 2012.
[19] Ralph Droms, Jim Bound, Bernie Volz, Ted Lemon, C Perkins, and
Mike Carney. Dynamic host configuration protocol for ipv6 (dhcpv6).
Technical report, 2003.
[20] Herny Elisa Erwin. The IEEE 802.1x Port-Based Network Access Con-
trol and Its Implementation. Technical Report Security 401, 2002.
[22] Vince Fuller, Tony Li, Jessica Yu, and Kannan Varadhan. Classless
inter-domain routing (cidr): an address assignment and aggregation
strategy. Technical report, 1993.
[24] RE Gilligan and Erik Nordmark. Transition mechanisms for IPv6 hosts
and routers. 1996.
65 Conclusao
[25] Jivika Govil, Jivesh Govil, Navkeerat Kaur, and Harkeerat Kaur. An
examination of IPv4 and IPv6 networks: constraints and various transi-
tion mechanisms. Conference Proceedings - IEEE SOUTHEASTCON,
pages 178185, 2008.
[31] Cisco Ios and Learning Services. The ABCs of IP Version 6. page 76,
2008.
[32] David Johnson, Charles Perkins, and Jari Arkko. Mobility support in
ipv6. Technical report, 2004.
[34] John Kohl and Clifford Neuman. The kerberos network authentication
service (v5). Technical report, 1993.
[35] John T Kohl. The use of Encryption in {Kerberos} for Network Authen-
tication. \ifnum\shortbib=1{CRYPTO}\else{Advances in Cryptology
{CRYPTO}}\fi89, 435:3543, 1990.
[36] Stephen Lawson. Update: Icann assigns its last ipv4 addresses. Com-
puterworld, 3, 2011.
[39] Johan Loos and Rodney Caudle. Implementing IEEE 802.1x for Wired
Networks. SANS Reading Room, pages 143, 2014.
[46] Cristian Perez Monte, Mara Ines Robles, Gustavo Mercado, Carlos
Taffernaberry, Marcela Orbiscay, Sebastian Tobar, and Raul Moralejo
y Santiago Perez. Implementation and Evaluation of Protocols Transla-
ting Methods for IPv4 to IPv6 Transition. Journal of Computer Science
& Technology (JCS&T), 12(2):6470, 2012.
[51] Erik Nordmark and Robert Gilligan. Basic transition mechanisms for
ipv6 hosts and routers. Technical report, 2005.
[52] Edgar Parenti, Eric Knipp, Neal Chen, Bart Saylor, and Sam Browne.
Configuring IPv6 with Cisco IOS. Syngress Publishing, 2002.
[55] Jon Postel and Joyce K Reynolds. Rfc 1700 assigned numbers. Network
Working Group, 1994.
[58] Mohd Khairil Sailan, Rosilah Hassan, and Ahmed Patel. A compara-
tive review of IPv4 and IPv6 for research test bed. Proceedings of the
2009 International Conference on Electrical Engineering and Informa-
tics, ICEEI 2009, 2(August):427433, 2009.
[61] Dan Simon, Bernard Aboba, and Ryan Hurst. The eap-tls authentica-
tion protocol. Technical report, 2008.
[62] Dorothy Stanley, Jesse Walker, and Bernard Aboba. Extensible authen-
tication protocol (eap) method requirements for wireless lans. Technical
report, 2005.
[69] Steve Willens, Allan C Rubens, Carl Rigney, and William Allen Simp-
son. Remote authentication dial in user service (radius). 2000.
68 Referencias
[70] Haidong Xia and Jose Brustoloni. Detecting and blocking unauthorized
access in Wi-Fi networks. . . . , Services, and Protocols; Performance
of Computer . . . , pages 795806, 2004.
Anexos
69
Ap
endice A
Configura
c
ao do tayga
71
72 Anexos
Ap
endice B
Configura
c
ao do
Authenticator
Configurac
ao dos switchs utilizados (HP Procurve).
73
74 Anexos
Configura
c
ao dos Clientes
C.1 Windows 10
1. Clique em Iniciar e escreva services.
2. Aceda a services.msc.
3. Ir
a abrir uma janela como a que pode ver na figura C.1.
75
76 Anexos
8. Selecionar a opc
ao de autenticacao EAP-MSCHAP v2 e clicar em con-
figurar (figura C.4)
78 Anexos
9. Retirar a selec
ao da opcao Automatic use my windows logon name...(figura
C.5).
79 Anexos
14. Dever
a aparecer uma janela a pedir o seu nome de utilizador e pas-
sword (figura C.7). Introduza as suas credenciais e clique em OK.
81 Anexos
15. Dever
a estar ligado `
a rede.
C.2 Fedora 24
1. Aceder ao Network Manager
3. Clicar em propriedades.
5. Ativar a autenticac
ao 802.1X.
82 Anexos
8. Aplicar as configuracoes.
C.3 MacOs
1. Quando se liga `
a rede vai aparecer uma janela a pedir as suas creden-
ciais como se pode ver na figura C.10
3. Caso seja a primeira vez que acede `a rede vai aparecer uma janela,
como a que se pode visualizar na figura C.12, com informacoes sobre
o certificado. Clique em continuar.
Configurac
ao do servidor de
autentica
c
ao
85
86 Anexos
34 s y s l o g f a c i l i t y = daemon
35 s t r i p p e d n a m e s = no
36 auth = y e s
37 auth badpass = yes
38 auth goodpass = yes
39 msg goodpass = U t i l i z a d o r OK:
40 msg badpass = NOK:
41 m s g d en i e d = You a r e a l r e a d y l o g g e d i n a c c e s s d e n i e d
42 }
43 c h e c k r a d = $ { s b i n d i r }/ c h e c k r a d
44 security {
45 user = radiusd
46 group = r a d i u s d
47 a l l o w c o r e d u m p s = no
48 m a x a t t r i b u t e s = 200
49 reject delay = 1
50 s t a t u s s e r v e r = yes
51 }
52
53 proxy requests = yes
54 $INCLUDE proxy . c o n f
55 $INCLUDE c l i e n t s . c o n f
56
57 thread pool {
58 start servers = 5
59 m a x s e r v e r s = 32
60 min spare servers = 3
61 m a x s p a r e s e r v e r s = 10
62 max requests per server = 0
63 a u t o l i m i t a c c t = no
64 }
65
66 modules {
67 $INCLUDE modse n a b l e d /
68 }
69 policy {
70 $INCLUDE p o l i c y . d/
71 }
72 $INCLUDE s i t e s e n a b l e d /
11 c o n t r o l :LMPassword :=
sambaLMPassword
12 }
13 user {
14 b a s e d n = $ { . . b a s e d n }
15 f i l t e r = ( u i d=%{%{S t r i p p e d UserName}:%{User
Name} } )
16 }
17 group {
18 b a s e d n = $ { . . b a s e d n }
19 f i l t e r = ( o b j e c t C l a s s=posixGroup )
20 m e m b e r s h i p a t t r i b u t e = memberOf
21 }
22 profile {
23 }
24 client {
25 b a s e d n = $ { . . b a s e d n }
26 f i l t e r = ( o b j e c t C l a s s=f r C l i e n t )
27 attribute {
28 identifier =
radiusClientIdentifier
29 secret =
radiusClientSecret
30 }
31 }
32 accounting {
33 r e f e r e n c e = %{ t o l o w e r : type .%{ AcctS t a t u s Type
}}
34 type {
35 start {
36 update {
37 d e s c r i p t i o n := O n l i n e
a t %S
38 }
39 }
40 i n t e r i m update {
41 update {
42 d e s c r i p t i o n := L a s t
s e e n a t %S
43 }
44 }
45 stop {
46 update {
47 d e s c r i p t i o n := O f f l i n e
a t %S
48 }
49 }
50 }
51 }
52 post auth {
53 update {
54 d e s c r i p t i o n := A u t h e n t i c a t e d a t %S
55 }
56 }
88 Anexos
57 options {
58 c h a s e r e f e r r a l s = yes
59 rebind = yes
60 rebind = yes
61 t i m e o u t = 10
62 timelimit = 3
63 net timeout = 1
64 i d l e = 60
65 probes = 3
66 interval = 3
67 l d a p d e b u g = 0 x0028
68 }
69 tls {
70 require cert = allow
71 }
72 pool {
73 start = 5
74 min = 4
75 max = $ { t h r e a d [ p o o l ] . m a x s e r v e r s }
76 spare = 3
77 uses = 0
78 lifetime = 0
79 i d l e t i m e o u t = 60
80 }
81 }
10 m a x c o n n e c t i o n s = 16
11 lifetime = 0
12 i d l e t i m e o u t = 30
13 }
14 }
15 listen {
16 ipaddr =
17 port = 0
18 type = a c c t
19 limit {
20 }
21 }
22 listen {
23 type = auth
24 ipv6addr = : : # any . : : 1 == l o c a l h o s t
25 port = 0
26 limit {
27 m a x c o n n e c t i o n s = 16
28 lifetime = 0
29 i d l e t i m e o u t = 30
30 }
31 }
32 listen {
33 ipv6addr = : :
34 port = 0
35 type = a c c t
36 limit {
37 }
38 }
39 authorize {
40 filter username
41 preprocess
42 chap
43 mschap
44 digest
45 ntdomain
46 eap {
47 ok = r e t u r n
48 }
49 files
50 s q l
51 l d a p
52 expiration
53 logintime
54 pap
55 }
56 authenticate {
57 AuthType PAP {
58 pap
59 }
60 AuthType CHAP {
61 chap
62 }
63 AuthType MSCHAP {
90 Anexos
64 mschap
65 }
66 digest
67 AuthType LDAP {
68 ldap
69 }
70 eap
71 }
72 preacct {
73 preprocess
74 acct unique
75 ntdomain
76 files
77 }
78 accounting {
79 detail
80 unix
81 s q l
82 exec
83 a t t r f i l t e r . accounting response
84 }
85 session {
86 }
87 post auth {
88 s q l
89 exec
90 remove reply message if eap
91 PostAuthType REJECT {
92 s q l
93 attr filter . access reject
94 eap
95 remove reply message if eap
96 }
97 }
98 preproxy {
99 }
100 post proxy {
101 eap
102 }
103 }
12 update c o n t r o l {
13 ProxyToRealm := LOCAL
14 }
15 eap {
16 ok = r e t u r n
17 }
18 files
19 s q l
20 l d a p
21 expiration
22 logintime
23 pap
24 }
25 authenticate {
26 AuthType PAP {
27 pap
28 }
29 AuthType CHAP {
30 chap
31 }
32 AuthType MSCHAP {
33 mschap
34 }
35 AuthType LDAP {
36 ldap
37 }
38 eap
39 }
40 session {
41 radutmp
42 }
43 post auth {
44 s q l
45 PostAuthType REJECT {
46 s q l
47 attr filter . access reject
48 }
49 }
50 preproxy {
51 }
52 post proxy {
53 eap
54 }
55 } # i n n e r t u n n e l s e r v e r b l o c k
Captive Portal
93
94 Anexos
Ap
endice F
Configura
c
ao da pfsense
F.1 DHCP
95
96 Anexos
Plano de Endere
camento
IPv6
97
98 Anexos