Você está na página 1de 8

Autenticação IEEE 802.

1x em redes cabeadas através de


EAP
Yury Hans Kelsen Soares de Andrade e Edilberto Silva1
1
Pós-Graduação, FACSENAC-DF, Brasília-DF

yuryhans@gmail.com

Abstract:. One of the biggest problems of controles de acesso das aplicações e


computer networking in enterprises is how ambiente computacional, além dos
to prevent unknown users host and connects problemas citados, qualquer computador
to the network and access network que é conectado a um ativo de rede
services. The emergence of protocols such consegue antes de qualquer autenticação
as IEEE 802.1x EAP and RADIUS receber um IP dinamicamente através de
authentication service, authentication still DHCP ou configurar um IP estático e tentar
implementing the link layer, level 2 of the várias ações maliciosas ou fraudulentas.
OSI model, enables any host or user to have Isso ocorre pelo desconhecimento
their credentials checked before they have por parte dos administradores de redes de
any access to available services the técnicas de autenticação na camada de
company's computer network. The tests enlace, nível dois do modelo OSI.
indicate that the implanting is inexpensive Na pesquisa [Ernst & Young´s 12th
and easy implementation because it can be annual global information security survey
used free software. 2009], as empresas tem detectado uma
aumento de ataques internos de 25% e
Resumo. Hum dos maiores problemas da aumento de fraudes perpetradas
rede de computadores nas empresas é como internamente de 13%.
evitar que host e usuários desconhecidos A implementação de políticas de
conecta na rede e acesse os serviços de segurança através de softwares e hardware
rede. O surgimento de protocolos como o é de muita importância, para que diminua
IEEE 802.1x e EAP e o serviço de ou estinga as vulnerabilidades de uma rede
autenticação RADIUS, que implementam de computadores.
autenticação ainda na camada de enlace, Em um ambiente de rede onde o
nível 2 do modelo OSI, possibilita que meio de acesso é compartilhado e aberto,
qualquer host ou usuário tenha suas como nas redes sem fio ou no caso das
credenciais verificadas antes de se tenha redes cabeadas que existam segmentos da
qualquer acesso aos serviços disponíveis na mesma que não possam ser verificados, a
rede de computadores da empresa. Os confiança nos hosts fica limitada. Para
testes realizados indicam que a implentação contornar esses aspectos falhos de
é de baixo custo e de fácil implentação, pois segurança existem diversos métodos
pode ser utilizados software livre. disponíveis para implementação de
segurança. Uma forma eficiente é prover um
mecanismo de segurança através de um
Palavras-chave: IEEE 802.1x. protocolo que ofereça opções de segurança
Autenticação. EAP.RADIUS confiáveis.
Sendo assim, criou-se o IEEE 802.1x
1. Introdução que é um protocolo de autenticação. A idéia
do IEEE 802.1x é simples: ninguém tem
Os ataques internos são direito de acessar a rede, quer seja via
historicamente apontado como responsáveis wireless ou via cabo. Só depois da etapa de
por cerca de 70% dos problemas de autenticação ao meio físico é que se tem
segurança de redes de computadores que acesso aos serviços de rede.
uma empresa sofre. Nesse artigo será proposto a
Há por exemplo: proliferação de implantação de controle do meio de acesso
vírus, roubos de informações, problemas nos

Autenticação IEEE 802.1x em redes cabeadas através de EAP Pag.: 1


físico a rede de computadores utilizando um · Autenticador
servidor RADIUS com mecanismo de · Suplicante
autenticação chamado EAP tomando como · Servidor de autenticação
base o IEEE 802.1x que será descrito nesse
artigo. 2.2.1 ENTIDADE DE ACESSO À
PORTA
2. Autenticação IEEE 802.1x
A entidade de acesso à porta (PAE) é
conhecida como uma porta de rede local,
2.1 EAP (Extensible essa entidade oferece suporte ao protocolo
Authentication Protocol) IEEE 802.1x referente a uma porta da rede,
este tem como função de autenticador,
O EAP é um protocolo designado para suplicante ou ambos.
autenticação extensível, ou seja, suportado
para trabalhar com múltiplas formas de 2.2.2 AUTENTICADOR
autenticar, a definição do protocolo foi feita
na RFC 2284 [Blunk, L e Vollbrecht, J 1998], O autenticador é uma aplicação da
com atualizações no draft 2284bis [Blunk et rede através das portas dos switches ou
al. 2003]. O protocolo EAP foi projetado e access points, antes de quaisquer serviços,
desenvolvido pela IETF (Internet Engineering o autenticador verifica a autenticação, por
Task Force). Primeiramente o EAP foi exemplo, através do login e senha do
projetado para conexões PPP (Point-to-Point usuário, depois da confirmação e liberado o
Protocol), e depois transformado para redes serviço para aquele usuário e essa liberação
convencionais IEEE802 e redes sem fio é através de portas como no exemplo
(Fonte: Microsoft) abaixo.
O protocolo EAP é muito flexível
podendo trabalhar com vários métodos de
autenticação como: combinação
usuário/senha, Tokens, Certificados, Chaves
Públicas, Cartão Magnético e Smartcard.
O EAP possui algumas variantes, ou
seja, devido à aplicação do servidor de
autenticação, o mesmo utiliza ou não
determinados protocolos para os serviços
desejados, atualmente existem cinco
protocolos: EAP-MD5, EAP-TLS, EAP-CISCO
(ou LEAP), EAPTTLS e EAP-PEAP.

2.2 IEEE 802.1x

O IEEE 802.1x é um padrão da IEEE Figura 1: Autorização de Portas


(Institute of Electrical and Electronic
Engineers) aprovado em junho de 2001 e 2.2.3 SUPLICANTE
possibilita uma plataforma de autenticação
com base em portas (Based Network Access O suplicante é o serviço solicitado
Control Protocol). Projetado para redes através do usuário em uma rede, ele solicita
Ethernet, é aplicado ao nível 2 do modelo serviços do autenticador, para que, baseado
OSI e atende a dois requisitos de segurança: na informação do servidor de autenticação,
privacidade e autenticação. Este controle de confirme ao suplicante seu acesso ou não.
acesso à rede em portas é característica
física de uma rede LAN (wired), através de 2.2.4 SERVIDOR DE
um switch que suporte o padrão 802.1x. AUTENTICAÇÃO
Atualmente ele foi adaptado para redes sem
fio (wireless) designado pelo padrão 802.11. Os serviços de autenticação têm
O IEEE 802.1X define os seguintes como função de verificar as credenciais do
termos: suplicante para responder ao autenticador,
podendo estar ou não autorizado a essa
· Entidade de acesso à porta (PAE) autenticação, esses serviços é através de

Autenticação IEEE 802.1x em redes cabeadas através de EAP Pag.: 2


um servidor denominado RADIUS, possuindo O processo de autenticação, baseada
um banco de dados dos usuários e serviços na tecnologia RADIUS pode ser explicado em
correspondentes. seis etapas.

a) O servidor de Acesso Remoto tenta


negociar a conexão com o Cliente, sempre
utilizando o protocolo mais seguro. Caso não
seja este o protocolo utilizado pelo Cliente, o
servidor vai passando sempre para o
próximo menos seguro. Desta forma, o
servidor tenta negociar a conexão do
protocolo mais seguro para o menos mais
seguro, até encontrar o protocolo que o
Cliente esta utilizando.
b) Depois de feita a autenticação do
Figura 2: Processo de Autenticação protocolo utilizado pelo Cliente, o servidor
envia ao protocolo RADIUS a solicitação
2.3 RADIUS enviada pelo cliente.
c) Agora o servidor RADIUS poderá
É um protocolo que foi criado em verificar, pelo número de IP do Cliente, se é
1992 pela Livingston que é parte da Lucent um cliente RADIUS configurado. Caso o
Technologies implementado em servidores cliente RADIUS identifique-o como um
para Autenticar, Autorizar e Contabilizar cliente RADIUS válido, ele faz uma
(Authentication, Authorization e Accounting checagem da assinatura digital do pacote.
– AAA). Para isso ele utiliza um recurso chamado
O RADIUS é composto das seguintes Shared Secret (Segredo Compartilhado) que
fases: é uma string de texto e funciona como uma
senha especial de reconhecimento utilizada
a) Fase de Autenticação: entre o servidor e o cliente.
quando um servidor recebe uma chamada d) Caso a autenticação do cliente
através de uma identificação do usuário, o falhe, o servidor descartará o pacote. Como
servidor verifica se as informações do esse pacote foi descartado, o servidor não
cliente conferem com os requisitos do está recebendo nada válido do cliente, desta
usuário. Essa verificação será efetuada no forma a conexão é quebrada.
banco de dados do servidor, se for validada e) Caso a autenticação da assinatura
passará para próxima etapa de autorização, digital seja efetuada com sucesso, as
caso contrário o servidor RADIUS envia a informações serão repassadas ao
negação do acesso. controlador de domínio que, por sua vez, é
b) Fase de Autorização: nesta responsável pela validação das informações
fase podem-se destacar os direitos, de login do cliente.
privilégios e restrições que clientes e f) Depois de efetuar as validações
usuários irão possuir, de acordo com a necessárias para entrar na rede, o servidor
tabela criada no banco de dados. Esta etapa programa as políticas de acesso e segurança
é importante porque é normal que haja referentes a esse usuário. Por outro lado, se
usuários com privilégios diferentes e assim as informações de login não forem
devem ser tratados de maneira distinta. validadas, o acesso do usuário a rede é
c)Fase de Contabilização: Esta é a negado.
fase que a partir que o usuário ou o cliente
já esteja autenticado, todo e qualquer tipo
de acontecimentos referentes aos seus
usuários é registrado para que possam ser
analisados e processados futuramente em
uma base de dados. Isso numa corporação
que fornece acesso aos seus funcionários à
rede local, esta função é importante para
fins de auditoria e verificação dos tempos de
utilização.

Autenticação IEEE 802.1x em redes cabeadas através de EAP Pag.: 3


3.2 SERVIDOR FREERADIUS

O FreeRadius é um projeto iniciado


em 2004 através de uma comunidade de
programadores para servidores em
plataforma Linux que utiliza o protocolo
RADIUS do padrão autenticação, autorização
e contabilização. O servidor trabalha com o
modelo cliente/servidor, onde o Network
Access Server (NAS) é o cliente que precisa
autenticar usuários para o acesso. A
comunicação feita entre o RADIUS e o NAS
ocorre através do protocolo UDP na porta
1812 (autenticação-RADIUS) e na porta 1813
Figura 03: Rede RADIUS
(contabilização-radacct) e definido pela
RFC2865.
3. Ambiente de avaliação 3.2.1 INSTALAÇÃO
Para implementar um ambiente IEEE
802.1x em rede cabeadas, você precisa de Efetuar o download do pacote
switches que tenham suporte a 802.1x, um freeRadius no site:
servidor RADIUS e clientes 802.1x instalados http://freeRadius.org/download.html. A
nos micros. Micros que não tenham clientes versão utilizada é a freeRadius-2.1.10.tar.gz.
802.1x simplesmente não conseguem
trafegar absolutamente nada na rede, # tar zxvf freeRadius-2.1.10.tar.gz
sequer conseguem obter endereço pelo # cd freeRadius-2.1.10.tar.gz
DHCP
Nesse ambiente de avaliação será # ./configure –disable-shared
utilizado para o procedimento de # make
autenticação um access point em vez de # make install
switch devido a custo do equipamento, mas
as funcionalidades e a utilização dos O freeRadius instalado, os arquivos
protocolos envolvidos se aplica a qualquer de configuração foram criados em
ativo de rede que tenha suporte ao IEEE /usr/local/etc/raddb.
802.1x A configuração do freeRadius foi
aplicada às necessidades da avaliação
3.1 AMBIENTE DE TESTE habilitando os protocolos de autenticação
EAP-TLS que cria túneis de comunicação
a) Servidor Autenticador: criptografados e o EAP-PEAP autenticação
- Notebook Marca HP Pavilion via rede sem fio ao suplicante.
Ze2000 Configuração do arquivo eap.conf :
- CPU AMD Sempron Móbile
eap {
3000+ 1.8 Ghz
default_eap_type = peap
- Memória RAM 1024 Mb timer_expire = 60
- Hard Disk (HD) 80 Gb ignore_unknown_eap_types = no
- Sistema Operacional: Debian cisco_accounting_username_bug = no
Etch 4.0 R5, Kernel 2.6.26-2-686 md5 {
}
b) Access Point (AP) gtc {
- AP Marca D-Link auth_type = PAP
- Modelo DWL-900AP+ }
tls {
private_key_password = whatever
c) Suplicante private_key_file = $
- Notebook Marca Lenovo G460 {raddbdir}/certs/cert-srv.pem
- CPU Inter i3 2.13 Ghz certificate_file = $
- Memória RAM 4096 Mb {raddbdir}/certs/cert-srv.pem
- Hard Disk (HD) 1 Tb

Autenticação IEEE 802.1x em redes cabeadas através de EAP Pag.: 4


CA_file = $ cliente só consegue conectar no AP se
{raddbdir}/certs/demoCA/cacert.pem possuir o mesmo SSID. No terceiro item
dh_file = ${raddbdir}/certs/dh Channel é o canal escolhido para
random_file = $ comunicação, na configuração
{raddbdir}/certs/random
}
Authentication é utilizado o WPA este
peap { protocolo é utilizado para fazer a segurança
default_eap_type = mschapv2 dos dados trafegados, abaixo é feita a
} chamada do Servidor onde IP é o IP do
mschapv2 { servidor RADIUS, Port é a porta do servidor
} RADIUS, o Shared Secret deve conter a
} mesma configuração no servidor RADIUS,
pois no Shared Secret inicia-se a
Configurar o clients.conf para comunicação entre AP e Servidor RADIUS.
permitir a troca de dados entre o AP e o
Servidor RADIUS, direcionando o AP para
poder autenticar, no IP 127.0.0.1 é apenas
um teste localmente das configurações do
RADIUS. O secret é um modo de segurança
através do qual se inicia a comunicação e
necessita ser configurado tanto no AP como
no Servidor RADIUS. O shortname é apenas
um apelido fornecido para facilitar a
localização do cliente nos logs.

client 127.0.0.1 {
secret = testing123
shortname = localhost
nastype = other # localhost isn't usually
a NAS...

client 192.168.0.50 {
secret = testing123
shortname = private-network-1 Figura 04: Access Point
}
Na figura 05 observa-se a
Configurar o user, que é responsável configuração do servidor de autenticação,
aos usuários que terão permissão de aqui o 802.1x é habilitado com Enabled. Em
autenticidade na rede, como no exemplo Encryption Key foi escolhido 128 bits para
abaixo o usuário “softline” e a senha encriptografia da chave. As outras
“softline2010”. configurações abaixo seguem da mesma
forma como citado na figura 04.
"softline" User-Password ==
"softline2010"

Com o Servidor RADIUS configurado é


necessário o teste para ter certeza de que
estar tudo certo.
# RADIUSd –X

3.3 ACESS POINT

Na figura 04 observa-se a
configuração do AP DWL900AP+, onde se
verifica no primeiro campo AP Name é
configurado o nome do AP, no segundo
campo o SSID é uma peça fundamental
nesta configuração pois tanto no AP quanto
no suplicante deverá conter a mesma
identificação, pois em rede sem fio um

Autenticação IEEE 802.1x em redes cabeadas através de EAP Pag.: 5


Figura 05: Access Point 802.1x

3.4 SUPLICANTE

Nas propriedades da rede sem fio do


suplicante, aba Associação como mostra na
figura 06 observa-se a configuração do SSID
que deve ser o mesmo que está na
configuração do AP, A Autenticação de Rede
é utilizado o WPA para uma melhor
segurança, em Criptografia de Dados é
usado o TKIP para identificar erros de
chamadas.

Figura 07: Rede sem Fio - Autenticação

Seguindo clicar-se em propriedade


para definir como será o método de
autenticação. Como mostra na figura 08.

Figura 06: Rede sem Fio - Associação

Nas propriedades da rede sem fio do


suplicante, aba Autenticação como mostra
figura 07 observa-se a configuração do EAP
que é utilizado para fazer a autenticação.

Figura 08: Rede sem Fio – Autenticação EAP

Selecionar o método de autenticação,


onde é escolhido a Senha Segura (EAP-
MSCHAP v2). Após a escolha deste método,
terá de ser configurado como vai ser feita a
autenticação do suplicado, isto será feito em
configurar.
Após clicar em configurar terá de ser
escolhida a forma de autenticação, neste
caso não será marcado a opção para que o
usuário possa digitar login e senha figura 09.

Autenticação IEEE 802.1x em redes cabeadas através de EAP Pag.: 6


host não autorizados consigam conectadar
na rede.
A utização de software livre na
implentação do RADIUS e demais serviço de
rede, garante uma implentação de
segurança de baixo custo, o que é de grande
importancia, pois pode ser implentado tanto
em um ambiente de uma grande empresa
quando a de uma empresa pequena.

Figura 09: Rede sem Fio – Autenticação EAP


5. Referências
Conexão será detectada, porém só
será realizada após o usuário digitar seu
login e sua senha como mostra na figura 10. [1]. TANENBAUM, Andrew S. Redes
Na figura 10, é a solicitação do de computadores. 4.ed. Rio de
usuário/senha, se o usuário estiver de Janeiro: Campus, 2003.
acordo para se autenticar o servidor RADIUS [2]. Microsoft,Brasil. Understanding
mandara uma mensagem ao AP e o 802.1x 802.1x authentication. Disponivel em <
liberar a rede ao suplicante http://www.microsoft.com/resources/docume
ntation/windows/xp/all/proddocs/en-
ous/understanding_8021x.mspx?mfr=true>.
Acesso em : 03/12/2010.
[3]. BRASIL,Symantec. Por Trás do
Firewall – A Ameaça Interna. Disponível
em:
<http://www.symantec.com/region/br/enterp
risesecurity/content/framework/BR_2122.ht
ml>. Acesso em: 03/12/2010.
[4]. Ernst & Young´s 12th annual
global information security survey.
USA : Ernst & Youngs 2009.
[5]. FeeRadius.org,USA. FreeRADIUS
Version 2 Documentation. Disponível
em : < http://freeradius.org/doc/>. Acesso
em: 03/12/2010.

[6]. Microsoft,Brasil. IEEE 802.1X


Wired Authentication. Disponível em :
<http://technet.microsoft.com/en-
Figura 10: Autenticação us/magazine/2008.02.cableguy.aspx?
ppud=4>. Acesso em: 04/12/2010.
[7]. Microsoft,Brasil. Microsoft
4. Conclusão 802.1X Authentication Client. Disponível
em: < http://technet.microsoft.com/en-
O protocolo IEEE 802.1x é us/library/bb878130.asp>. Acesso em:
robusto,escalável e flexível, mas, por isto, 04/12/2010.
sua implementação não é trivial, requer [8]. Microsoft,Brasil.
ajustes de configuração que precisam ser Extensible Authentication
determinados em um ambiente de Protocol Overview. Disponível em: <
homologação antes de colocar em produção, http://technet.microsoft.com/en-
pois são muitos opções e o que funciona em us/network/cc917480.aspx>. Acesso em:
uma rede pode não funcionar em outra. 04/12/2010.
A implemtação do protocolo como [9]. MOREIRA, Nilton Stringasci.
mais uma opção de autenticação, aumenta Segurança mínima – uma visão
o nivel de segurança de uma rede de Corporativa da segurança de
computadores, evitando que usuarios ou

Autenticação IEEE 802.1x em redes cabeadas através de EAP Pag.: 7


Informações. Rio de Janeiro: Axcel Books,
2001.

Autenticação IEEE 802.1x em redes cabeadas através de EAP Pag.: 8