Home 

 »  Processos  »  Regras de Negócio

802.1x e Port‐Security para POL

Adicionado por Filipe Utzig há 10 meses atrás | Updated by Alexander Maxim Diaczenko 9 meses ago. | Viewed once
Summary
Regras de negócios para segurança de redes via 802.1x e Port­Security em redes POL
Content

Introdução Introdução
Comportamento atual
Para o mercado de POL faz­se necessário o uso de algumas técnicas de segurança de redes já utilizadas em redes Ethernet convencionais, tais Regras de negócio
como 802.1x, Port Security, DHCP Snooping, Secure VoIP e outras. Esta documentação visa explicar as regras de negócio envolvidas na Utilização do 802.1x
configuração do 802.1x, em conjunto com o Port Security, em redes PON para o mercado de POL. Utilização do Port Security
MIBS, tabelas e configurações

Comportamento atual gponDot1xProfileTable

gponPortSecurityProfileTable
onuDot1xTable
Atualmente os equipamentos de GPON não suportam nenhum tipo autenticação e segurança de redes. Desta forma qualquer equipamento que
Habilitando/desabilitando o serviço
se conectar a uma porta obtém acesso a rede sem restrições.
Cenário teste de aplicação
Servidor Radius
Regras de negócio ¶ Instalação
Configuração
Para fazer a configuração do 802.1x na ONU deve­se enviar a configuração para OLT via SNMP, a OLT, por sua vez, se encarrega de enviar a clients.conf
configuração para ONU via OMCI, através de um protocolo proprietário Parks. Assim como outras funcionalidades exclusivas de POL, deve­se users
verificar se a ONU tem suporte a funcionalidade em questão. Para isto foi desenvolvida a MIB de capabilities da ONU (disponível em ONU­ Inicializando o serviço
CAPABILITIES­MIB), as capabilities que representam suporte a POL, 802.1X e Port­Security são, respectivamente, os bits 1, 2 e 3. OLT
ONU
SNMP
Utilização do 802.1x gponDot1xProfileTable
gponPortSecurityProfileTable
802.1x é o padrão definido pela IEEE para autenticação para acesso a portas de rede, onde um sistema tem que provar sua identidade antes de onuDot1xTable
poder se conectar a rede, o que permite que uma organização possa efetivamente controlar quem pode plugar sistemas em sua rede onuDot1xStatsTable
corporativa. O 802.1x implementa o controle de acesso de rede com base em porta. O controle de acesso de rede com base em porta utiliza as Windows 7
características físicas da infra­estrutura de uma rede local (LAN) alternada para autenticar dispositivos de computação que sejam conectados a Referências
uma porta da rede local e evitar o acesso àquela porta quando o processo de autenticação falhar.

Durante a interação de um controle de acesso de rede com base em porta, a porta da LAN adota um dos seguintes papéis: autenticador ou suplicante. No papel de autenticador, a
porta da LAN aplica a autenticação antes de permitir que o usuário acesse os serviços que podem ser acessados através daquela porta. No papel de suplicante, a porta da LAN solicita
acesso aos serviços que podem ser acessados através da porta do autenticador. Um servidor de autenticação, que tanto pode ser uma entidade separada do autenticador quanto estar
no mesmo local que ele, verifica as credenciais do suplicante em nome do autenticador. O servidor de autenticação responde ao autenticador, indicando se o suplicante está
autorizado a acessar os serviços do autenticador.

O controle de acesso de rede com base em porta do autenticador define dois caminhos de dados lógicos à rede local através de uma porta física da rede local. O primeiro caminho de
dados, a porta não controlada, permite a troca de dados entre o autenticador e um dispositivo de computação da rede local, independentemente do estado de autenticação daquele
dispositivo. Esse é o caminho que as mensagens EAPOL (EAP por rede local) seguirão. O segundo caminho de dados, a porta controlada, permite troca de dados entre um usuário
autenticado da rede local e o autenticador. Esse é o caminho que todo o tráfego da rede seguirá, após a autenticação do dispositivo de computação.

A implementação do 802.1x em redes com fio precisa ser avaliada e planejada com cuidado.

Todas as portas de rede corporativa precisam ter autenticação 802.1x habilitadas para obter segurança, com a exceção de lugares onde a segurança física é
estritamente mantida (como datacenters). Manter em um mesmo segmento de rede portas autenticadas e portas sem autenticação é deixar aberto a porta para a entrada de
um atacante. Isso significa que provavelmente todo o seu equipamento de rede terá que suportar e estar configurado com autenticação.

Você terá que lidar com o problema de ter na rede equipamentos que não suportam autenticação 802.1x, equipamentos como impressoras de rede, sistemas
Windows antigos (NT 4.0, etc.) e outros não suportam autenticação via 802.1x.

Fig 1: Exemplo de rede utilizando 802.1x

Utilização do Port Security

O Port Security é uma tecnologia que aumenta a robustez da rede utilizando a infraestrutura já existente no ambiente sem a necessidade da compra de qualquer dispositivo adicional.
Ele permite um controle mais rígido dos dispositivos que se conectam a sua rede, devido ao fato de somente permitir endereços físicos (endereços MAC) devidamente cadastrados no
switch, que neste caso, realiza o papel de autenticador, sobrepondo todo o processo de autenticação via EAP utilizado no 802.1x.

Apesar de ser uma tecnologia menos sofisticada e segura que o 802.1x, o Port Security quando utilizado em conjunto com este permite resolver os dois problemas de
compatibilidade elencados acima pelo 802.1x. Habilitando e configurando o Port Security, podemos permitir a conexão de equipamentos legados (como impressoras de rede) à rede.
Fig 2: Exemplo de rede mista utilizando Port Security para autenticar a impressora e 802.1x no restante das portas

MIBS, tabelas e configurações

As MIBs utilizadas para fazer a configuração do 802.1x e Port­Security na ONU são a PARKS­DOT1X­MIB e PARKS­GPON­EXT­MIB.

gponDot1xProfileTable
A tabela gponDot1xProfileTable, definida na MIB PARKS­DOT1X­MIB, contém as informações necessárias para configurar o servidor de autenticação (RADIUS) para o 802.1x, e os
campos da tabela estão explicados abaixo:

gponDot1xProfileTable
Campo OID Tipo Descrição

Indice da tabela, é o valor que deve ser setado no campo
dot1xProfileIndex .1.3.6.1.4.1.3893.1.26.1.1.1.1 Key
"onuDot1xProfileIndex" da tabela "onuDot1xTable".

.1.3.6.1.4.1.3893.1.26.1.1.1.2. Nome do perfil, utilizado para identificação na CLI e
dot1xProfileName String
<index> NMS.

.1.3.6.1.4.1.3893.1.26.1.1.1.3.
dot1xAuthServerAddress
<index>
Endereço do servidor de autenticação RADIUS, deve ser
String um endereço IPv4, IPv6 ou DNS Host válido. Este campo
é obrigatório para que o 802.1x seja configurado.

.1.3.6.1.4.1.3893.1.26.1.1.1.4.
dot1xAuthServerKey String Chave de autenticação com o servidor RADIUS.
<index>

.1.3.6.1.4.1.3893.1.26.1.1.1.5. Timeout para o servidor RADIUS, o valor 0 assume a
dot1xAuthServerTimeout Integer
<index> configuração default.

.1.3.6.1.4.1.3893.1.26.1.1.1.6.
dot1xAuthServerProxy
<index>
Caso necessário, define o proxy para atingir o servidor
String RADIUS, deve ser um endereço IPv4, IPv6 ou DNS Host
válido.

.1.3.6.1.4.1.3893.1.26.1.1.1.7.
dot1xProfileRowStatus Integer Utilizadao para criar/deletar uma entrada na tabela.
<index>

Podem ser criados vários perfis de configuração na OLT, no entando apenas 1 pode ser aplicado na ONU, esta funcionalidade pode ser útil em caso de redes segmentadas, com
diferentes politicas de autenticação.

gponPortSecurityProfileTable
A tabela gponPortSecurityProfileTable, definida na MIB PARKS­DOT1X­MIB, contém as informações necessárias para configurar o Port Security, e os campos da tabela estão
explicados abaixo:

gponPortSecurityProfileTable
Campo OID Tipo Descrição

portSecurityProfileIndex
Indice da tabela, é o valor que deve ser
setado no campo
.1.3.6.1.4.1.3893.1.26.2.1.1.1 Key
"onuPortSecurityProfileIndex" da tabela
"onuDot1xTable".

Sub­indice da tabela, utilizado para cadastro
portSecurityEntryIndex .1.3.6.1.4.1.3893.1.26.2.1.1.2 Key de múltiplos MACs em uma mesma porta do
equipamento.

.1.3.6.1.4.1.3893.1.26.2.1.1.3. Nome do perfil, utilizado para identificação
portSecurityProfileName String
<index>.<entry> na CLI e NMS.

.1.3.6.1.4.1.3893.1.26.2.1.1.4. Endereço MAC do equipamento a ser
portSecurityAllowedMacAddress MacAddress
<index>.<entry> autorizado o acesso.

.1.3.6.1.4.1.3893.1.26.2.1.1.5. Bitmap das portas nas quais o endereço esta
portSecurityPortBitmap Integer
<index>.<entry> autorizado.

.1.3.6.1.4.1.3893.1.26.2.1.1.6. Utilizadao para criar/deletar uma entrada na
portSecurityRowStatus Integer
<index>.<entry> tabela.

Podem ser criadas várias entradas em um único perfil, desta maneira pode­se adicionar um MAC Address, ou lista de MAC Address, para cada porta do equipamento.

OBS: a CLI e o NMS devem replicar o nome do perfil (portSecurityProfileName) em cada entrada adicionada no perfil do Port Security, indexado pelo sub­indice
(portSecurityEntryIndex)

onuDot1xTable
A tabela onuDot1xTable, definida na MIB PARKS­GPON­EXT­MIB, contém as informações necessárias para aplicar os perfis de 802.1x e Port Security nas ONUs com suporte a POL, e
os campos da tabela estão explicados abaixo:
 onuDot1xTable
Campo OID Tipo Descrição

Indice da tabela, é o mesmo valor do campo
onuDot1xSlotNo .1.3.6.1.4.1.3893.1.23.6.1.1.1 Key
"onuCfgSlotNo" da tabela "onuCfgTale".

Indice da tabela, é o mesmo valor do campo
onuDot1xPortNo .1.3.6.1.4.1.3893.1.23.6.1.1.2 Key
"onuCfgPortNo" da tabela "onuCfgTale".

Indice da tabela, é o mesmo valor do campo
onuLogicalPortNo .1.3.6.1.4.1.3893.1.23.6.1.1.3 Key
"onuCfgLogicalPortNo" da tabela "onuCfgTale".

.1.3.6.1.4.1.3893.1.23.6.1.1.4.
onuDot1xProfileIndex
<slot>.<port>.<logicalport>
Valor que aponta para o indice da tabela
Integer "gponDot1xProfileTable" contendo as informações de
configuração do 802.1x.

.1.3.6.1.4.1.3893.1.23.6.1.1.5. Bitmap das portas nas quais o 802.1x será
onuDot1xPortBitmap Integer
<slot>.<port>.<logicalport> habilitado.

.1.3.6.1.4.1.3893.1.23.6.1.1.6.
onuPortSecurityProfileIndex
<slot>.<port>.<logicalport>
Valor que aponta para o indice da tabela
Integer "gponPortSecurityProfileTable" contendo as
informações de configuração do Port Security.

Habilitando/desabilitando o serviço
Por padrão, nenhum método de autenticação esta habilitado nos equipamento. Para habilitar a funcionalidade o usuário deve criar um perfil de 802.1x e então, através do NMS, deve
poder aplicar esta configuração de uma única vez em toda a rede (em todas as portas de todas as ONUs presentes em todas as OLTs da rede). Como este é um processo que
típicamente só sera feito uma única vez durante a configuração da rede, o tempo de resposta para aplicar esta configuração não é relevante e não requer alto desempenho, podendo
demorar até alguns minutos se for necessário. Uma vez após habilitada a solução de segurança da rede, esta deve ser automaticamente aplicada em cada nova ONU que for
adicionada a rede.

Configurações personalizadas, que diferenciem da configuração global padrão, podem ser aplicadas individualmente em cada ONU, caso o usuário assim desejar. Para isto ele deve
(via NMS ou CLI) criar a regra/perfil desejado e então aplicar esta regra/perfil na ONU desejada.

Cenário teste de aplicação

Para testar e demonstrar a aplicação foi montado um cenário de teste, representado pela topologia abaixo:

Fig 4: Cenário exemplo utilizando 802.1x e PortSecurity

Servidor Radius
Qualquer servidor Radius deve ser compatível com a solução, no cenário descrito será utilizado o FreeRadius.

Instalação
No Debian:

# apt‐get install freeradius

Configuração
A configuração básica do serviço requer apenas que alteremos os arquivos clients.conf e users, no diretório /etc/freeradius.

clients.conf

O arquivo clients.conf contém informações sobre os clientes do servidor Radius (neste caso, as ONU). O Freeradius não permite consultas sem autenticação, então devemos definir
uma senha de autenticação ao servidor e podemos criar uma regra geral para toda a sub­rede desta forma:

client palacio {
    ipaddr = 10.1.100.0 
    netmask = 24
    secret = planalto 
}

users
O arquivo users contém a base de dados de usuários do servidor Radius, abaixo uma configuração simples com usuários e senhas:

Aristeu          User‐Password := "senhasegura" 
Bethanea         User‐Password := "123mudar" 
Josias           User‐Password := "ok_mudei" 
Marileusa        User‐Password := "cachorro" 
Pericles         User‐Password := "123456" 
 Zuleica          User‐Password := "dell"

Inicializando o serviço
Para iniciar o serviço do FreeRadius no Debian:

# service freeradius start

OLT
Deve ser criado um fluxo PBMP e IPHost para a ONU destino, de maneira que seja possível a ONU atingir o servidor Radius.

Expandir configuracao...
ONU
A ONU não requer nenhuma configuração especial, deve apenas estar operando em modo Bridge.

Expandir configuracao...
SNMP
gponDot1xProfileTable

Fig 5: Configuração da tabela gponDot1xProfileTable

gponPortSecurityProfileTable

Fig 6: Configuração da tabela gponPortSecurityProfileTable
onuDot1xTable

Fig 7: Configuração da tabela onuDot1xTable

onuDot1xStatsTable
Estado da após os usuários Pericles e Aristeu realizarem login:

Fig 8: Estado da tabela onuDot1xStatsTable

Windows 7
Para habilitar e configurar o 802.1x no Windows 7 abra o gerenciador de serviços e habilite a Configuração Automática com Fio

services.msc
Fig 9: Iniciar Configuração Automática com Fio no gerenciador de serviços do Windows

Com o serviço habilitado, deve aparacer uma nova aba Autenticação nas propriedades da interface de rede local, nela devem ser marcados os itens Ativar autenticação IEEE 802.1X e
o método Microsoft: EAP protegido (PEAP) deve ser escolhido como método de autenticação de rede.

Fig 10: Habilitar 802.1x na interface de rede local

Após clique em Configurações e uma nova janela abrirá, na nova janela há um campo Selecionar Método de Autenticação que já deve estar com a opção Senha Segura (EAP­MSCHAP
v2) selecionada, clique então em Configurar... e desmarque a opção Usa automaticamente meu nome e senha de logon do Windows (e o domínio, se houver) para que possamos
entrar com usuários e senha personalizados para os testes, caso contrário o Windows tentará automaticamente fazer autenticação usando o usuário e senha do próprio Windows.
Fig 11: Usar usuário e senha informados na hora da conexão.

O passo seguinte, conforme figura 12, clicar em Configurações Adicionais... para escolher especificar o modo de autenticação do 802.1x.

Fig 12: Usar usuário e senha informados na hora da conexão.

Na janela de Configurações avançadas, figura 13, marque a opção Especificar o modo de autenticação e escolha a opção Autenticação de usuário, com isso a autenticação do 8021x
será efetuada como um usuário e senha escolhidos ao tentar se conectar na rede.
Fig 13: Usar usuário e senha informados na hora da conexão.

Assim, ao tentar conectar na rede com 802.1x o Windows informará que necessita de mais informações para autenticar­se na rede, basta clicar no balão e entrar com as informações
do usuário desejado.

Fig 14: Pericles autenticando­se na rede do Palacio do Planalto.

Referências
https://technet.microsoft.com/pt­br/library/cc759077%28v=ws.10%29.aspx
http://blogs.technet.com/b/fcima/archive/2006/10/30/o­que­voc­precisa­saber­antes­de­implementar­802­1x­em­redes­com­fio.aspx