IPV – Instituto Politécnico de Viseu

ESTGV – Escola Superior de Tecnologia e Gestão de Viseu

Departamento de Informática

Licenciatura de Engenharia Informática

Trabalho Prático Nº3: Autenticação, Autorização e Accounting

Realizado em
Segurança Informática

Por
Cristina Santos 15247
Maria Beatriz 18726
Pedro Fernandes 18733
Tiago Fonseca 18718

Viseu, novembro 2021

 IPV – Instituto Politécnico de Viseu
ESTGV – Escola Superior de Tecnologia e Gestão de Viseu
Departamento de Informática

Licenciatura de Engenharia Informática

Trabalho Prático Nº3: Autenticação, Autorização e Accounting

Realizado em
Segurança Informática

de
19 de novembro a 5 de dezembro

Por
Cristina Santos 15247
Maria Beatriz 18726
Pedro Fernandes 18733
Tiago Fonseca 18718

Viseu, novembro 2021

 Índice

Índice
Índice ........................................................................................................................................ III

Índice de Figuras ....................................................................................................................... V

1 Introdução ........................................................................................................................... 1

1.1 Contextualização ........................................................................................................ 1

1.2 Estrutura do Relatório ................................................................................................. 1

2 Execução do trabalho.......................................................................................................... 3

2.1 Radius ......................................................................................................................... 3

2.1.1 Instalação e configuração do servidor Radius Linux (FreeRadius) ...................... 3

2.1.1.1 Instalação do servidor.................................................................................... 3

2.1.1.2 Configuração de clientes NAS ...................................................................... 4

2.1.1.3 Criação de um novo utilizador ...................................................................... 4

2.1.1.4 Criação de um novo utilizador que seja rejeitado ......................................... 5

2.1.1.5 Iniciação do processo .................................................................................... 5

2.1.2 Instalação e configuração do servidor Radius em Windows ................................ 6

2.1.2.1 Instalação do Network Policy Server ............................................................ 6

2.1.2.2 Configurar cliente NAS ................................................................................. 6

2.1.2.3 Definir política de pedido de ligação ............................................................ 7

2.1.2.4 Pedidos dos clientes NAS ............................................................................. 8

2.1.2.5 Criação de um utilizador ............................................................................... 8

2.1.2.6 Reiniciar o Network Policy Server................................................................ 9

2.1.3 Testes de autenticação de utilizadores utilizando JRadius ................................... 9

2.1.3.1 Autenticação para os RADIUS Windows e Linux ........................................ 9

2.1.3.1.1 Testar autenticação e atributos devolvidos ............................................... 9

2.1.3.1.2 Testar acesso com utilizadores inexistentes ............................................ 12

2.1.3.1.3 Testar acesso com palavra-passe incorreta ............................................. 12

III
 Índice

2.1.3.2 Wireshark .................................................................................................... 13

2.1.4 Integração de uma estrutura RADIUS com proxy baseada em Realms ............. 14

2.1.4.1 Configurar o servidor Windows para proxy para encaminhar pedidos ao

servidor Linux .............................................................................................................. 14

2.1.4.2 Criação do servidor remoto ......................................................................... 15

2.1.4.3 Retirar @linux do utilizador........................................................................ 16

2.1.4.4 Encaminhamento de um utilizador inexistente com @linux....................... 16

2.1.4.5 Questão Teórica........................................................................................... 17

2.2 Cisco Packet Tracer .................................................................................................. 17

2.2.1 Configurar o Servidor RADIUS e DHCP .......................................................... 18

2.2.2 Configuração do Servidor WEB ......................................................................... 18

2.2.3 Ligar o Router WiFi ao switch ........................................................................... 19

2.2.4 Configurar o portátil ........................................................................................... 20

2.2.5 Verificar o funcionamento do sistema proposto ................................................. 21

3 Conclusão .............................................................................................................................. 23

IV
 Índice de Figuras

Índice de Figuras
Figura 1 - Instalação do FreeRadius ........................................................................................... 3

Figura 2 - Configuração do cliente NAS .................................................................................... 4

Figura 3 - Criar novo utilizador .................................................................................................. 4

Figura 4 - Utilizador rejeitado .................................................................................................... 5

Figura 5 - Número do processo e terminar processo .................................................................. 5

Figura 1 - Instalação do FreeRadius ........................................................................................... 5

Figura 7 - Instalação do Network Policy and Access Service .................................................... 6

Figura 8 - Cliente NAS em Windows......................................................................................... 7

Figura 9 - Política de acesso ....................................................................................................... 7

Figura 10 - Pedidos de clientes NAS .......................................................................................... 8

Figura 11 - Adicionar novo utilizador ........................................................................................ 8

Figura 12 - Reiniciar NPS .......................................................................................................... 9

Figura 13 - Preencher campos, Windows ................................................................................. 10

Figura 14 - Atributos do utilizador Windows ........................................................................... 10

Figura 15 - Mensagem recebida, Windows .............................................................................. 10

Figura 16 - Preenchimento dos campos, Linux ........................................................................ 11

Figura 17 - Atributos do utilizador Linux ................................................................................ 11

Figura 18 - Mensagem recebida, Linux .................................................................................... 11

Figura 19 - Atributos de um utilizador inexistente ................................................................... 12

Figura 20 - Mensagem do utilizador inexistente ...................................................................... 12

Figura 21 - Atributos com password incorreta ......................................................................... 12

Figura 22 - Mensagem de utilizador com password errada ...................................................... 13

Figura 23 - PAP ........................................................................................................................ 13

Figura 24 - CHAP ..................................................................................................................... 14

V
 Índice de Figuras

Figura 28 - Alteração do cliente NAS ...................................................................................... 16

Figura 29 - Retirar @Linux ...................................................................................................... 16

Figura 30 - Mensagem com utilizador @linux ......................................................................... 17

Figura 31 - Topologia de rede no Packet Tracer ...................................................................... 17

Figura 32 - Configuração RADIUS .......................................................................................... 18

Figura 33 - Configuração DHCP .............................................................................................. 18

Figura 34 - Configuração do Servidor WEB ............................................................................ 19

Figura 35 - Ligação wireless router .......................................................................................... 19

Figura 36 – Configuração Wireless Security ............................................................................ 20

Figura 37 - Ligação wireless .................................................................................................... 20

Figura 38 - Utilizador do laptop ............................................................................................... 21

Figura 39 - Comunicação ......................................................................................................... 21

VI
 1 Introdução

1 Introdução
O presente Relatório enquadra-se no método de avaliação da cadeira Segurança Informática, da
Licenciatura em Engenharia Informática da Escola Superior de Tecnologia e Gestão de Viseu.

1.1 Contextualização

No âmbito desta disciplina, realizaremos trabalhos práticos, sendo este sobre autenticação,
autorização e accounting.

Autenticação, Autorização e Accounting são protocolos nomenclados por protocolos AAA. A

autenticação verifica a identidade digital do utilizador, a autorização garante que o utilizador
autenticado apenas tenha acesso aos recursos autorizados e accounting relaciona-se com a
recolha de informação sobre o uso de recursos pelo utilizador.

1.2 Estrutura do Relatório

Este Relatório desenvolve-se em dois capítulos, que se descrevem sucintamente de seguida.

No capítulo dois é feita uma descrição de como foram abordados os exercícios apresentados e
os resultados obtidos relativamente ao Radius e ao Cisco Packet Tracer.

No capítulo três é feita uma pequena conclusão onde são esclarecidos os resultados obtidos e
as dificuldades encontradas.

1
2 Execução do trabalho

2 Execução do trabalho
No presente capítulo iremos abordar o tema dos protocolos AAA, fazendo a distinção dos
três A’s diferentes e adquirindo conhecimento sobre o Radius.
Inicialmente será apresentada uma breve descrição do tema, de seguida as questões, e
respetivas respostas, presentes no enunciado da ficha 3, disponibilizada pelo docente.

2.1 Radius

Radius (Remote Authentication Dial In User Service) é um protocolo que visa a

autenticação, autorização e gestão de utilizadores que se conectam a um serviço de rede,
normalmente utilizado para tornar mais seguro o acesso à internet ou a redes internas. Este
protocolo baseia-se num sistema Cliente/Servidor. Este servidor tem três funções básicas
que são autenticar os utilizadores ou dispositivos antes de eles acederem à rede, autorizar
outros utilizadores a usar determinados serviços e informar sobre o uso de outras serviços.
Resumindo o protocolo Radius é um serviço baseado em UDP de perguntas e respostas.

2.1.1 Instalação e configuração do servidor Radius Linux (FreeRadius)

Foi feita a instalação de uma máquina virtual ubuntu na versão 16.04 para proceder à
resolução do restante trabalho prático.

2.1.1.1 Instalação do servidor

A instalação no ubunto do Radius FreeRadius é feita através do comando “apt-get install

freeradius”, como mostra a Figura 1.

Figura 1 - Instalação do FreeRadius

3
2 Execução do trabalho

2.1.1.2 Configuração de clientes NAS

Para proceder à configuração destes clientes foi necessário alterar as informações do ficheiro
/etc/freeradius/clients.conf. Neste ficheiro utilizou-se o exemplo já predefinido do client
10.10.10.10, manteve-se o mesmo nome e apenas se alterou o IP da máquina e a chave
partilhada entre o RADIUS e o NAS. A Figura 2 mostra o resultado final da edição do
ficheiro.

Figura 2 - Configuração do cliente NAS

2.1.1.3 Criação de um novo utilizador

Para proceder à criação de um utilizador, utilizou-se o exemplo “steve” que se encontrava no

ficheiro users. O objetivo é fazer a alteração do nome e ativar as permissões de autenticação.

Figura 3 - Criar novo utilizador

4
 2 Execução do trabalho

Como se pode observar na Figura 3, o utilizador criado foi o “andre”. Definiu-se a password
como “test123” e alterou-se o IP address.

2.1.1.4 Criação de um novo utilizador que seja rejeitado

Esta alínea tinha como objetivo criar um utilizador que quando se autêntica no servidor é
rejeitado, por sugestão utilizou-se o exemplo “lameuser” e criou-se o utilizador. Foi designado
por “userRejeitado”.

Figura 4 - Utilizador rejeitado

2.1.1.5 Iniciação do processo

Visto que foram feitas alterações nos programas de configuração, é necessário para o processo
antes de o iniciarmos. Para terminar o processo foi necessário executar o comando “kill -9 <nº
processo>” para identificar o número do processo poderia ser consultado o ficheiro
/var/run/freeradius/freeradius.pid, no entanto utilizou-se o comando “ps aux | grep -i
freeradius” que também apresenta o número como mostra o retângulo vermelho na figura
seguinte.

Figura 5 - Número do processo e terminar processo

Depois da Figura 5, procedeu-se à iniciação do freeradius através do comando “freeradius -x”.

Figura 6 - Iniciar Freeradius

5
2 Execução do trabalho

2.1.2 Instalação e configuração do servidor Radius em Windows

Para além da utilização de uma máquina virtual ubuntu utilizou-se também o uma máquina
virtual com Windows server como servidor RADIUS.

2.1.2.1 Instalação do Network Policy Server

Para a instalação do Network Policy Server, no Server Manager, abriu-se Add Roles e escolheu-
se o pacote “Network Policy and Access Services”, como mostra a Figura 7.

Figura 7 - Instalação do Network Policy and Access Service

2.1.2.2 Configurar cliente NAS

Nesta alínea, criou-se um novo utilizador. Para isso acedeu-se ao Network Policy Server, de
seguida Cliente Radius e novo cliente RADIUS.

Na Figura 8, observa-se o nome dado ao cliente, o IP da máquina e também a password dada

ao cliente NAS.

6
 2 Execução do trabalho

Figura 8 - Cliente NAS em Windows

2.1.2.3 Definir política de pedido de ligação

Na presente alínea irão ser definidas as políticas de acesso para cada NAS criado.
Para isso acedeu-se às políticas no RADIUS onde se definiu uma nova política de ligação e de
seguida nas condições de política definiu-se os parâmetros de controlo.

Figura 9 - Política de acesso

7
2 Execução do trabalho

2.1.2.4 Pedidos dos clientes NAS

De seguida, definiu-se o que fazer aos pedidos de cada cliente NAS, ou seja, se o pedido é
autenticado neste servidor ou se será encaminhado para outro RADIUS. Para isso, nas
propriedades selecionou-se “Authentication” e definiu-se que os pedidos serão processados
localmente, como mostra a Figura 10.

Figura 10 - Pedidos de clientes NAS

2.1.2.5 Criação de um utilizador

Para que se teste com utilizador Windows, criou-se um utilizador em Computer Management
→ Local users and groups e adiciona-se um utilizador, Figura 11.

Figura 11 - Adicionar novo utilizador

8
 2 Execução do trabalho

2.1.2.6 Reiniciar o Network Policy Server

Após a criação do utilizador, foi necessário reiniciar o NPS (Network Policy Server), o que vai
permitir que as alterações sejam implementadas. A Figura 12 mostra como reiniciá-lo.

Figura 12 - Reiniciar NPS

2.1.3 Testes de autenticação de utilizadores utilizando JRadius

O objetivo da autenticação é identificar o utilizador e verificar se ele tem acesso a um

determinado sistema de computação.

Depois de todas as configurações efetuadas anteriormente, serão testadas as autenticações

confirmando se esta tudo correto.

2.1.3.1 Autenticação para os RADIUS Windows e Linux

2.1.3.1.1 Testar autenticação e atributos devolvidos

Iniciou-se os testes com o utilizador criado no Windows. Em primeiro, associou-se o IP da

máquina onde se encontra o servidor RADIUS e de seguida colocou-se a chave partilhada entre
o RADIUS e o NAS. Depois de preenchidos todos os campos, a Figura 13 mostra o resultado.

9
2 Execução do trabalho

Figura 13 - Preencher campos, Windows

Na mesma janela, em Attributes, procedeu-se à seleção dos atributos do utilizador criado no

Windows, Figura 14.

Figura 14 - Atributos do utilizador Windows

Depois de concluídos os passos anteriores, testou-se a autenticação e atributos devolvidos e

obteve-se o resultado presente na Figura 15.

Figura 15 - Mensagem recebida, Windows

10
 2 Execução do trabalho

Para o utilizador criado no Linux, o processo foi igual ao anterior. Em primeiro preencheram-
se os campos e depois os atributos, como mostra a Figura 16 e a Figura 17.

Figura 16 - Preenchimento dos campos, Linux

Figura 17 - Atributos do utilizador Linux

Depois disso, como mostra a Figura 18, o resultado do teste foi idêntico, mas com outro
utilizador.

Figura 18 - Mensagem recebida, Linux

11
2 Execução do trabalho

2.1.3.1.2 Testar acesso com utilizadores inexistentes

Na definição dos atributos, definiu-se dados de um utilizador inexistente.

Figura 19 - Atributos de um utilizador inexistente

Após a conclusão dos atributos, testou-se a mensagem que seria recebida. A Figura 20 mostra
que não é devolvido nenhum atributo.

Figura 20 - Mensagem do utilizador inexistente

2.1.3.1.3 Testar acesso com palavra-passe incorreta

Para o presente teste, apenas foi colocada uma palavra-passe errada no preenchimento dos
atributos.

Figura 21 - Atributos com password incorreta

12
 2 Execução do trabalho

Podemos concluir pela Figura 22, que tal como no utilizador inexistente, quando é utilizada
uma palavra-passe incorreta, nenhum atributo é devolvido.

Figura 22 - Mensagem de utilizador com password errada

2.1.3.2 Wireshark

O Wireshark é um programa que analisa o tráfego da rede e o organiza por protocolos, ou seja,
é possível monitorar a entrada e saída de dados do computador.

Posto isto, efetuou-se a instalação e a ativação deste programa no cliente Windows. Foi
necessário mudar a maquina virtual de Bridge para host only adapter. Verificou-se tanto para o
protocolo PAP como para o protocolo CHAP. Observando a Figura 23 e a Figura 24.

Figura 23 - PAP

13
2 Execução do trabalho

Figura 24 - CHAP

Após a observação das figuras anteriores, podemos concluir que em ambos os protocolos a
password enviada pelo JRadius ao RADIUS, intercetada pelo Wireshark, se encontra
encriptada.

2.1.4 Integração de uma estrutura RADIUS com proxy baseada em Realms

2.1.4.1 Configurar o servidor Windows para proxy para encaminhar

pedidos ao servidor Linux

Inicialmente, é necessário, no servido Windows, criar uma política de pedido de ligação que
direcione os utilizadores do Linux.

Figura 25 - Criar política

14
 2 Execução do trabalho

Depois de criada a política, é necessário fazer o encaminhamento dos utilizadores que possuam
“@linux”. Para isso, acedeu-se à Authentication e colocou-se os utilizadores Linux, como
mostra a Figura 26.

Figura 26 - Encaminhar utilizadores

2.1.4.2 Criação do servidor remoto

Posteriormente, criou-se o servidor remoto Linux. Para isso acedeu-se ao Remote Radius Server
Group com as configurações da Figura 27.

Figura 27 - Servidor remoto

15
2 Execução do trabalho

Para além do processo da figura anterior, foi também necessário alterar o ficheiro
freeradius/clientes.conf, pois, agora o cliente NAS é o servidor Windows.

Figura 28 - Alteração do cliente NAS

2.1.4.3 Retirar @linux do utilizador

Para retirar o “@linux” foi necessário ir às propriedades do pedido de ligação, selecionou-se as

definições e de seguida Attributes. Aí configurou-se o necessário de modo a retirar o que era
pedido (Figura 29).

Figura 29 - Retirar @Linux

2.1.4.4 Encaminhamento de um utilizador inexistente com @linux

Para testar o encaminhamento utilizámos um utilizador inexistente com @linux no nome.

Na Figura 30 podemos verificar que o pedido chegou, mas foi rejeitado, porque o nome de
utilizador não existe.

16
 2 Execução do trabalho

Figura 30 - Mensagem com utilizador @linux

2.1.4.5 Questão Teórica

Um sistema real conhecido nosso que utiliza a propriedade RADIUS proxy é a rede "eduroam",
pois, não interessa o ponto de onde acedemos que somos sempre reencaminhados para o
servidor onde estes foram criados. O caminho que seguimos pode ser visto a partir da
autenticação, "user@caminho".

2.2 Cisco Packet Tracer

De forma simular uma rede com servidor RADIUS e DHCP, um servidor WEB e um router
Wireless, utilizou-se o Cisco Packet Tracer. Para além dos servidores e do router será
utilizado também um laptop que é ligado por uma rede wireless e também um computador
ligado a um switch. A Figura 31 mostra a topologia de rede descrita anteriormente.

Figura 31 - Topologia de rede no Packet Tracer

17
2 Execução do trabalho

2.2.1 Configurar o Servidor RADIUS e DHCP

Para fazer a configuração do servidor RADIUS, começou-se por definir os IPs e depois fazer a
configuração do DHCP e do AAA. No AAA é onde ocorre a configuração do RADIUS, onde
se definiu as configurações de rede e também quais os utilizadores com permissão de
autenticação.

A Figura 32 e Figura 33 mostram ambas as configurações efetuadas.

Figura 32 - Configuração RADIUS

Figura 33 - Configuração DHCP

2.2.2 Configuração do Servidor WEB

Posteriormente para configurar corretamente o servidor web, para além da configuração dos
IPs, alterou-se o estado do HTTP e HTTPS para ativos.

18
 2 Execução do trabalho

Figura 34 - Configuração do Servidor WEB

2.2.3 Ligar o Router WiFi ao switch

A configuração do router WiFi teve também de ser feita de forma a suportar protocolo WPA2-
EP, para além de configuração de IP.

Foi também necessário escolher o protocolo Radius para ser praticável autenticar pelo Radius.

As figuras seguintes mostram os passos essenciais para a execução desta alíena.

Figura 35 - Ligação wireless router

19
2 Execução do trabalho

Figura 36 – Configuração Wireless Security

2.2.4 Configurar o portátil

Na presente configuração, para aceder à rede sem fios usando as credenciais de

um utilizador configurado no servidor RADIUS, em primeiro ligou-se o portátil
ao router wireless através do WiFi, para isso foi necessário adicionar uma placa
de rede wireless, como mostra a Figura 37.

Figura 37 - Ligação wireless

20
 2 Execução do trabalho

Depois disso, criou-se um utilizador nas definições de rede do router, que é o mesmo utilizador
que foi criado previamente na configuração do servidor RADIUS ().

Figura 38 - Utilizador do laptop

2.2.5 Verificar o funcionamento do sistema proposto

Como se pode verificar pela Figura 39, o laptop comunica com todos os servidores e com o outro
computador através da rede wireless, bem como o computador comunica com os servidores.

Figura 39 - Comunicação

21
2 Execução do trabalho

22
 3 Conclusão

3 Conclusão
O desenvolvimento da presente ficha, permitiu-nos perceber a importância e a necessidade da
autenticação de utilizadores em sistemas informáticos.

Num mundo em que, atualmente, a utilização de passwords prova, cada vez mais, ser menos
segura, a autenticação de dois fatores oferece segurança adicional que protege o próprio
utilizador.

É muito importante que as empresas consigam ver a autenticação como um investimento

sobretudo numa altura em que aumenta significativamente o risco de ciberataques nas pessoas
e nas organizações.

23