Escolar Documentos
Profissional Documentos
Cultura Documentos
Realizado em
Segurança Informática
Por
Cristina Santos 15247
Maria Beatriz 18726
Pedro Fernandes 18733
Tiago Fonseca 18718
Realizado em
Segurança Informática
de
19 de novembro a 5 de dezembro
Por
Cristina Santos 15247
Maria Beatriz 18726
Pedro Fernandes 18733
Tiago Fonseca 18718
Índice
Índice ........................................................................................................................................ III
1 Introdução ........................................................................................................................... 1
2 Execução do trabalho.......................................................................................................... 3
2.1.4 Integração de uma estrutura RADIUS com proxy baseada em Realms ............. 14
3 Conclusão .............................................................................................................................. 23
IV
Índice de Figuras
Índice de Figuras
Figura 1 - Instalação do FreeRadius ........................................................................................... 3
V
Índice de Figuras
VI
1 Introdução
1 Introdução
O presente Relatório enquadra-se no método de avaliação da cadeira Segurança Informática, da
Licenciatura em Engenharia Informática da Escola Superior de Tecnologia e Gestão de Viseu.
1.1 Contextualização
No âmbito desta disciplina, realizaremos trabalhos práticos, sendo este sobre autenticação,
autorização e accounting.
No capítulo dois é feita uma descrição de como foram abordados os exercícios apresentados e
os resultados obtidos relativamente ao Radius e ao Cisco Packet Tracer.
No capítulo três é feita uma pequena conclusão onde são esclarecidos os resultados obtidos e
as dificuldades encontradas.
1
2 Execução do trabalho
2 Execução do trabalho
No presente capítulo iremos abordar o tema dos protocolos AAA, fazendo a distinção dos
três A’s diferentes e adquirindo conhecimento sobre o Radius.
Inicialmente será apresentada uma breve descrição do tema, de seguida as questões, e
respetivas respostas, presentes no enunciado da ficha 3, disponibilizada pelo docente.
2.1 Radius
Foi feita a instalação de uma máquina virtual ubuntu na versão 16.04 para proceder à
resolução do restante trabalho prático.
3
2 Execução do trabalho
Para proceder à configuração destes clientes foi necessário alterar as informações do ficheiro
/etc/freeradius/clients.conf. Neste ficheiro utilizou-se o exemplo já predefinido do client
10.10.10.10, manteve-se o mesmo nome e apenas se alterou o IP da máquina e a chave
partilhada entre o RADIUS e o NAS. A Figura 2 mostra o resultado final da edição do
ficheiro.
4
2 Execução do trabalho
Como se pode observar na Figura 3, o utilizador criado foi o “andre”. Definiu-se a password
como “test123” e alterou-se o IP address.
Esta alínea tinha como objetivo criar um utilizador que quando se autêntica no servidor é
rejeitado, por sugestão utilizou-se o exemplo “lameuser” e criou-se o utilizador. Foi designado
por “userRejeitado”.
Visto que foram feitas alterações nos programas de configuração, é necessário para o processo
antes de o iniciarmos. Para terminar o processo foi necessário executar o comando “kill -9 <nº
processo>” para identificar o número do processo poderia ser consultado o ficheiro
/var/run/freeradius/freeradius.pid, no entanto utilizou-se o comando “ps aux | grep -i
freeradius” que também apresenta o número como mostra o retângulo vermelho na figura
seguinte.
5
2 Execução do trabalho
Para além da utilização de uma máquina virtual ubuntu utilizou-se também o uma máquina
virtual com Windows server como servidor RADIUS.
Para a instalação do Network Policy Server, no Server Manager, abriu-se Add Roles e escolheu-
se o pacote “Network Policy and Access Services”, como mostra a Figura 7.
Nesta alínea, criou-se um novo utilizador. Para isso acedeu-se ao Network Policy Server, de
seguida Cliente Radius e novo cliente RADIUS.
6
2 Execução do trabalho
Na presente alínea irão ser definidas as políticas de acesso para cada NAS criado.
Para isso acedeu-se às políticas no RADIUS onde se definiu uma nova política de ligação e de
seguida nas condições de política definiu-se os parâmetros de controlo.
7
2 Execução do trabalho
De seguida, definiu-se o que fazer aos pedidos de cada cliente NAS, ou seja, se o pedido é
autenticado neste servidor ou se será encaminhado para outro RADIUS. Para isso, nas
propriedades selecionou-se “Authentication” e definiu-se que os pedidos serão processados
localmente, como mostra a Figura 10.
Para que se teste com utilizador Windows, criou-se um utilizador em Computer Management
→ Local users and groups e adiciona-se um utilizador, Figura 11.
8
2 Execução do trabalho
Após a criação do utilizador, foi necessário reiniciar o NPS (Network Policy Server), o que vai
permitir que as alterações sejam implementadas. A Figura 12 mostra como reiniciá-lo.
9
2 Execução do trabalho
10
2 Execução do trabalho
Para o utilizador criado no Linux, o processo foi igual ao anterior. Em primeiro preencheram-
se os campos e depois os atributos, como mostra a Figura 16 e a Figura 17.
Depois disso, como mostra a Figura 18, o resultado do teste foi idêntico, mas com outro
utilizador.
11
2 Execução do trabalho
Após a conclusão dos atributos, testou-se a mensagem que seria recebida. A Figura 20 mostra
que não é devolvido nenhum atributo.
Para o presente teste, apenas foi colocada uma palavra-passe errada no preenchimento dos
atributos.
12
2 Execução do trabalho
Podemos concluir pela Figura 22, que tal como no utilizador inexistente, quando é utilizada
uma palavra-passe incorreta, nenhum atributo é devolvido.
2.1.3.2 Wireshark
O Wireshark é um programa que analisa o tráfego da rede e o organiza por protocolos, ou seja,
é possível monitorar a entrada e saída de dados do computador.
Posto isto, efetuou-se a instalação e a ativação deste programa no cliente Windows. Foi
necessário mudar a maquina virtual de Bridge para host only adapter. Verificou-se tanto para o
protocolo PAP como para o protocolo CHAP. Observando a Figura 23 e a Figura 24.
Figura 23 - PAP
13
2 Execução do trabalho
Figura 24 - CHAP
Após a observação das figuras anteriores, podemos concluir que em ambos os protocolos a
password enviada pelo JRadius ao RADIUS, intercetada pelo Wireshark, se encontra
encriptada.
Inicialmente, é necessário, no servido Windows, criar uma política de pedido de ligação que
direcione os utilizadores do Linux.
14
2 Execução do trabalho
Depois de criada a política, é necessário fazer o encaminhamento dos utilizadores que possuam
“@linux”. Para isso, acedeu-se à Authentication e colocou-se os utilizadores Linux, como
mostra a Figura 26.
Posteriormente, criou-se o servidor remoto Linux. Para isso acedeu-se ao Remote Radius Server
Group com as configurações da Figura 27.
15
2 Execução do trabalho
Para além do processo da figura anterior, foi também necessário alterar o ficheiro
freeradius/clientes.conf, pois, agora o cliente NAS é o servidor Windows.
16
2 Execução do trabalho
Um sistema real conhecido nosso que utiliza a propriedade RADIUS proxy é a rede "eduroam",
pois, não interessa o ponto de onde acedemos que somos sempre reencaminhados para o
servidor onde estes foram criados. O caminho que seguimos pode ser visto a partir da
autenticação, "user@caminho".
De forma simular uma rede com servidor RADIUS e DHCP, um servidor WEB e um router
Wireless, utilizou-se o Cisco Packet Tracer. Para além dos servidores e do router será
utilizado também um laptop que é ligado por uma rede wireless e também um computador
ligado a um switch. A Figura 31 mostra a topologia de rede descrita anteriormente.
17
2 Execução do trabalho
Para fazer a configuração do servidor RADIUS, começou-se por definir os IPs e depois fazer a
configuração do DHCP e do AAA. No AAA é onde ocorre a configuração do RADIUS, onde
se definiu as configurações de rede e também quais os utilizadores com permissão de
autenticação.
Posteriormente para configurar corretamente o servidor web, para além da configuração dos
IPs, alterou-se o estado do HTTP e HTTPS para ativos.
18
2 Execução do trabalho
A configuração do router WiFi teve também de ser feita de forma a suportar protocolo WPA2-
EP, para além de configuração de IP.
Foi também necessário escolher o protocolo Radius para ser praticável autenticar pelo Radius.
19
2 Execução do trabalho
20
2 Execução do trabalho
Depois disso, criou-se um utilizador nas definições de rede do router, que é o mesmo utilizador
que foi criado previamente na configuração do servidor RADIUS ().
Como se pode verificar pela Figura 39, o laptop comunica com todos os servidores e com o outro
computador através da rede wireless, bem como o computador comunica com os servidores.
Figura 39 - Comunicação
21
2 Execução do trabalho
22
3 Conclusão
3 Conclusão
O desenvolvimento da presente ficha, permitiu-nos perceber a importância e a necessidade da
autenticação de utilizadores em sistemas informáticos.
Num mundo em que, atualmente, a utilização de passwords prova, cada vez mais, ser menos
segura, a autenticação de dois fatores oferece segurança adicional que protege o próprio
utilizador.
23