Autenticação

MsC. Eng. Beldo Mario

Objectivos
 A autenticação de utilizador destinasse a
identificar as pessoas que pretendem ter acesso
a um determinado sistema como, por exemplo,
um computador ou uma aplicação, através das
respectivas credenciais de autenticação.
 Pode, entam dizer-se que a autenticação
pretende controlar quem e o utilizador, a
autorização determina o que pode fazer com o
recurso e a contabilização regista o que foi
feito
Componentes lógicos de um sistema
de AAA
Autenticação

 O processo de autenticação envolve um cliente que solicita

acesso a rede ou aplicação, as credenciais de autenticação
submetidas e, eventualmente, informação de contexto,
isto e, informação complementar que permite uma decisão
mais selectiva, relativamente a decisão de acesso.
 Cliente, principal, suplicante, ou mesmo utilizador, são
designações para entidades (utilizador, aplicação, serviço)
que solicitam acesso a um recurso, cujos atributos são
armazenados no PIP. Para o caso de um utilizador, o PIP
contem atributos como Username, a password, o endereço
de correio electrónico ou os grupos de utilizadores a que
pertence e as horas a que lhe e permitido acesso a rede ou
aplicação. Todos estes atributos são acessaveis pilo PDP.
Tipo de credencias que são
submetidas pelo cliente ao PDP
 chaves partilhadas (shered-key)
 OTP (one-time password),
 Certificado digital
 Credencias biométricas,

◦ Reconhecimento facial; íris; impressão digital

 Informação de contexto
◦ Postura do dispositivo
◦ OS do cliente
◦ Data de actualização do antivírus
Autorização

 Uma vez identificado o utilizador, a autorização determina

o que ele pode fazer, isto e quais os recursos do sistema
que pode utilizar.
 A granularidade desta decisão depende, necessariamente,
da implementação do componente responsável pela
tomada de decisão (PDP) e do ponto onde ѐ aplicada a
politica de acesso (PEP), não bastando que a informação
esteja simplesmente armazenada no PIP.
 De um modo geral, o processo de autorização e suportado
por um processo de provisioning. Em que, a informação
sobre os direitos do utilizador, armazena num repositório
(PIP), e transmitida ao PEP após uma decisão do PDP.
Contabilização

 A contabilização consiste num registo da actividade

do utilizador - identificação, hora de acesso, PEP
usado para acesso, hora a que terminou o acesso.
 Durante muito tempo, contabilização era sinonimo
da funcionalidade de accounting do RADIUS e apenas
utilizada pelos fornecedores de acesso a internet,
com o objectivo de facturar os seus clientes. Hoje
em dia, por questões de segurança e de protecção
de direitos de autor, a contabilização assume
particular importância, na medida em que a
legislação e cada vez mais exigente na manutenção
de registos de utilização das redes.
Protocolos de AAA
CLIENTE-PEP

 Estes operam no perímetro externo da rede. O protocolo

utilizado depende do modo como o utilizador solicita o
acesso a rede e um sistema de autenticação devera autenticar
utilizadores que usam diferentes tecnologia de acesso.
◦ PPP e PPPoE - num simples acesso telefónico (dial-up), e estabelecida uma
ligação ponto-a-ponto entre o cliente e o PEP que, neste caso, e um
Network Access Server (NAS) do operador. Esta ligação utiliza o point-to-
point protocal (ppp) que, após estabelecimento da ligação, inclui uma fase
de autenticação (opcional). A validação das credenciais de autenticação
entre o cliente e o PEP é então feita com base em PAP ou CHAP.
◦ Hoje em dia, designadamente nos serviços de banda larga residencial, os
operadores utilizam point-to-point protocol over Ethernet (PPPoE),
adaptação do PPP para redes com meio partilhado.

◦ VPN Ipsec e SSL/TLS - Um utilizador pode igualmente, solicitar acesso

seguro a rede da sua organização, a partir de uma rede remota. O PEP
correspondera assim, ao concentrador de VPN, localizado na rede de
destino, que termina a ligação segura e autentica o utilizador. Neste caso
poderão ser usados VPN Ipsec e SSL
PEP-PDP

 Operam no interior da rede e permitem suporta a decisão sobre o pedido de acesso

do utilizador. Devem ser referidos três protocolos: RADIUS, TACACS+ e Diameter.
 RADIUS - O Remote Authentication Dial In User Service, é a norma de facto, na
comunicação entre o PEP e o PDP. Neste caso o PDP corresponde ao servidor
RADIUS que comunica com o PEP (switch, Access point, concentrador de VPN),
utilizando o protocolo RADIUS. É um protocolo com uma forte base de utilização e
suporte, flexível, e que tem sido adaptado para responder a requisitos mais
recentes.
 TACACS+ - E um protocolo proprietário, desenvolvido pela Cisco para comunicação
entre PEP e PDP. Apesar de funcionalidades importantes e do suporte que recebe
nos equipamentos de outros construtores, não tem a aceitação do RADIUS.
 DIAMETER - Assim como o diâmetro da circunferência e o dobro do raio, também o
Diameter e uma proposta com o objectivo de ser o dobro do RADIUS. O diameter e
um protocolo do IETF designado como sucessor do RADIUS, orientado para serviços
avançados de AAA. Em redes de operadores e suporte de rede moveis. No entanto,
a falta de suporte nos PEP e a referida evolução do RADUS, tem constituído um
obstáculo a divulgação do Diameter.
Cliente-PDP
 Para alem dos protocolos de AAA abordados, que operam entre componentes
adjacentes, há também um protocolo que permite a comunicação directa entre o
cliente e o PDP trata-se do Extensible Authentication protocolo (EAP). Num
cenário de comunicação cliente-PDP, O PEP funciona apenas como dispositivo de
passagem, não necessitando de conhecer o mecanismo de autenticação em uso,
o que significa a sua concepção.
 O EAP foi criado para funcionar como uma extensão ao PPP e permitir uma
escolha mais flexível do mecanismo (ou método EAP) de autenticação do
usuário. Esta característica permitiu uma disponibilidade de diversos métodos
EAP, como o EAP-MD5, o EAP-otp, EAP_SIM, o EAP-TTLS, o PEAP da Microsoft e o
EAP-fest da Cisco.
 O interesse pelo EAP e a respectiva disponibilização de produtos com suporte
EAP, recebeu um forte impulso com a utilização de redes sem fios IEEE 8202.11.
de facto são conhecidas as fragilidades do protocolo WEP que constituía a
solução de segurança mais forte, quando os primeiros produtos IEEE 802.11
surgiram no mercado. Perante a necessidade de encontrar rapidamente uma
solução normalizada, o IEEE802.1x enquadrou o EAP e RADIUS para utilização
em rede sem fios. Esta solução evoluiu rapidamente para WPA (que substitui o
WEP pelo TKIP) ate estabilizar na revisão da norma designada por IEEE 802.11i
(frequentemente designada por WPAv2). A disponibilização de activos de rede
com suporte de EAP/802.1x permitiu adoptar a mesma solução para as redes
cabeadas.
PDP-PIP

 Os protocolos PDP-PIP permitem ao PDP consultar m repositório de

informações sobre o cliente (atributos), com o objectivo de permitir o
acesso. Actualmente, dois protocolos deste grupo assumem particular
importância: O Lightweight Directory Access Protocol (LDAP) e o RADIUS.
 O LDAP permite ao PDP, interrogar um repositório de dados sobre o
cliente, armazenado num directório X.500 (muitas vezes referido como
directório LDAP). O LDAP permite construir soluções de elevado
desempenho, robustas e fiáveis.
 O directório pode, igualmente, ser acedido por RADIUS. Se for utilizada a
funcionalidade de proxy do RADIUS, pode ser construído um repositório
de credenciais de autenticação, geograficamente distribuído.

Neste grupo de protocolos o PDP-PIP, pode, ainda, inclui-se o Active

Directory (AD) da Microsoft, também baseado em LDAP com extensões
próprias, soluções suportadas por base de dados relacionais, o Network
Information System (NIS) e o Kerberos.
Trabalhos
Abordagem detalhada dos protocolos LDAP e
RADIUS.
O objectivo principal destes detalhes e ilustrar a composição dum
sistema de autenticação que reúna os seguintes requisitos base:
 Um utilizador usa sempre as mesmas credenciais em todos os

cenários de acesso, independente da plataforma cliente. O sistema,

pode ser utilizado para autenticar clientes com diversos sistemas
operativos ou aplicações que suportem LDAP ou RADIUS;
 Redundância: a indisponibilidade de um sistema não deve impedir

o controlo de acesso;
 Escalabilidade: o sistema pode ser ampliado com equipamentos

adicionais para responder a requisitos de desempenho;

 O sistema deve suportar os cenários de dispersão geográfica de

organização. Por exemplo, um utilizador, que habitualmente

trabalha na sede duma empresa pode autenticar-se na rede duma
filial com as mesmas credenciais de autenticação;
 As credencias de autenticação nunca são transmitidas e/ou

armazenadas no repositório sem serem cifradas.

Repositórios de credenciais de
autenticação
 LDAP
◦ Modelo cliente-servidor LDAP
◦ Elementos do directório
◦ Construção do directório (LDIF)
◦ Uma DIT para autenticação e autorização
◦ Definir a estrutura do directório
◦ Implementação do directório
◦ Configuração básica do servidor opemLDAP
◦ Carregamento de dados
Protocolo de acesso ao repositório
 LDAP
◦ Cliente linux
◦ Cliente apple macOS
◦ Cliente microsoft Windows
RADIUS
 O protocolo
 Operação
 Pares atributo-valor (AVP)
 REALM
 Proxy RADIUS e Roamng
 FreeRADIUS
Exemplo de utilização do servidor de
autenticação
Redundância e escalabilidade
 Replicar o directório
 Repartir o directório
 Redundância RADIUS
 Expansão da solução
 Outras alternativas

◦ Kerberos
◦ Microsoft active directory
◦ Shibboleth System