implementando segurança no nível de acesso utilizando
Contents
1. Cancel Figura 4 Configurac o Manual do Perfil de Rede 22 Neste ponto optou se pela configurac o manual de um perfil de rede Manually create a network pofile As configura es foram realizadas de acordo com a seguinte imagem G at Manually connect to a wireless network Enter information for the wireless network you want to add Network name MinhaRede Security type WPA Enterprise Encryption type l TKIP Security Key Hide characters E Start this connection automatically E Connect even if the network is not broadcasting Warning If you select this option your computer s privacy might be at risk Figura 5 Configura o do Modo de Seguran a do Windows 7 O nome da rede network name deve ser configurado exatamento como foi configurado no roteador MinhaRede Ap s a conifura o exibida clicou se em no botao Next IN Manually connect to a wireless network Successfully added MinhaRede gt Change connection settings Open the connection properties so that I can change the settings Close Figura 6 Alterac o os Par metros de Configurac o 23 Em seguida clicou se em Change connection settings para abrir as configura es avan adas MinhaRede Wireless Network Properties Connection Security Name MinhaRede SSID MinhaRede Network type Access point Network availability All users Conn2. Utiliza se o seguinte comando para instalar ao modulo MySQL para o freeRADIUS apt get install mysql server Ser o necess rias algumas altera es nos arquivos de configura o do freeradius para que seja poss vel consultar a nova base de dados No arquivo etc freeradius radiusd conf preciso que a seguinte linha esteja descomentada SINCLUDE sql conf Os arquivos de configura o do freeRADIUS utilizam o mesmo padr o para coment rio de diversas distribui es linux utilizando o caractere como marcador de coment rio Se a linha mencionada estiver precedida do caractere mencionado basta apagar o caractere Quando descomentada esta linha carrega o arquivo de configura o etc freeradius sgl conf que cont m informa es de como o freeradius deve acessar o servidor de banco de dados O arquivo sql conf contem uma unica se o identificada por sqglf onde todas as configura es est o dentro das chaves Este arquivo vem configurado por padr o para acesso a banco de dados MySQL Por esse movito n o h a necessidade de grandes altera es bastando apenas informar o endere o ip do servidor de banco de dados o nome de usu rio com a cesso a base de dados e a senha para acesso Seguem os campos que precisam ser editados com as configura es realizadas para os testes server localhost 32 login root password admin radius db radius A primeira linha indica o endere do s
3. Radius do tipo Access Request e envia ao Servidor de Autentica o Ao receber um pacote de Access Request o Servidor de Autentica o inicia uma negocia o com o suplicante para decidir o metodo EAP que ser utilizado para a troca de informa es de autentica o Decidido o metodo de autentica o o Servidor de Autentica o Requisita as informa es de autentica o ao Suplicante Se as credenciais contidas da resposta do suplicente forem encontradas na base de informa es do Servidor este responde com uma pacote de Access Accept caso contr rio responde com uma pacote de Access Reject Toda a comunica o entre o Servidor de Autentica o e Suplicante traduzida pelo Autenticador Ao receber um pacote Radius de Access Accept do Servidor o Autenticador libera o acesso rede para o suplicante HASSEL 2002 15 3 1 Formatos de Pacotes O formato geral dos pacotes RADIUS seguem o modelo conforme o seguinte diagrama Header TIPO IDENTIFICADOR TAMANHO AUTENTICADOR Payload PARES DE ATRIBUTO E VALOR Tabela 1 Formato do Pacote do Protocolo RADIUS O Header do pacote tem o total de 20 bytes sendo 1 byte para o TIPO 1 byte para o IDENTIFICADOR 2 bytes para o TAMANHO e 16 bytes para o AUTENTICADOR O campo CODIGO indica o tipo de pacote que pode ser um destes CODIGO TIPO 1 Access Request 2 Access Accept 3 Access Reject 4 Accounting Request 5 Accounting Respo
4. extra que torna a configura o por parte do usu rio mais amig vel ou at impercept vel Para acesso a uma rede com HotSpot o usu rio se conecta ao ponto de acesso que antes de permitir o ingresso do usu rio na rede sem fio solicita a entrada de informa es de autentica o mas comumente o nome usu rio e a senha A entrada dessas informa es s o realizas atrav s do navegador de internet por interm dio de uma p gina que pode ser customizada de acordo com estabelecimento em que o HotSpot ser instalado Hot is e Aeroportos disponibilizam redes sem fio com HotSpot para seus clientes cadastrando estes na base de autentica o Estes estabelecimentos podem ent o cobrar pelo servi o fornecido ou oferec los como cortesia a seus clientes mantendo o controle da quantidade de usu rios conectados a rede e garantindo assim a qualidade da mesma Pontos de acesse HotSpot n o foram abordados nesse trabalho mas deve se mencionar que a base de funcionamento de uma HotSpot baseada no Protocolo RADIUS Os processos de Autentica o Autoriza o e Bilhetagem s o executados pelo Servidor Radius no qual devem ser feitas as devidas configura es tal como descritas na se o PROCEDIMENTOS Embora este trabalho tenha sua nfase no protocolo RADIUS HotSpot s o uma fonte interessante para trabalhos posteriores 37 6 REFER NCIAS ABOBA B et allu RFC 3748 Extensible Authentication Protocol 2004 HASSEL Jo
5. sem a necessidade de reestrutura o Se estes pontos adicionais estiverem devidamente habilitados qualquer usu rio que tiver acesso f sico ao ponto poder se conectar imediatamente a rede Isso permite que usu rios se desloquem entre departamentos sem a necessidade de alterac o na rede Manter todos os pontos habilitados permitem que outras pessoas mesmo n o autorizadas acessem a rede desde que tenham acesso f sico a um ponto de rede habilitado Uma alternativa para o problema do acesso indevido desabilitar os pontos que n o est o sendo utilizados e habilit los somente na chegada de um novo usu rio Resolve se dessa forma o problema dos pontos de acesso vulner veis mas em contra partida a e realoca o de usu rios exige que o administrador da rede reabilite o novo ponto e desabilite o ponto que n o mais ser utilizado Esse excesso de manobras tamb m exigem a constante atualiza o da documenta o da rede e de como os pontos est o interconectados O uso de um servidor RADIUS em conjunto com equipamentos que suportem esse protocolo pode resolver o problema de seguran a e de mobilidade simultaneamente A autenticac o em n vel de usu rio permite que todos os pontos estejam fisicamente habilitados mas s estejam ativos para usu rios devidamente registados Dessa forma os usu rios podem ser realocados entre departamentos sem a necessidade de reabilita o dos pontos de acesso e o acesso de pessoal n o autor
6. senha de forma semelhante ao que foi realizado no arquivo de configura o user conf A tabela utilizada para armazenar informa es de autentica o a tabela radcheck que tem o seguinte formato Field Type Null Key Default Extra id int 11 unsigned NO PRI NULL auto increment username varchar 64 NO MUL attribute varchar 64 NO op char 2 NO value varchar 253 NO 4 Figura 14 Extrutura da Tabela radcheck Para inserir uma entrada de autenticac o na tabela radcheck faz se o acesso ao MySQL assim como feito anteriormente e utiliza se o seguinte comando insert into radcheck username attribute op value values user2 User Password user2 Este commando inserir uma entrada na tabela correspontente a entrada realizada no arquivo user conf mas desta vez para o usu rio user2 com senha user2 35 Basta reiniciar o servidor freeRADIUS para que as configura es de acesso a base de autentiac o MySQL tenham efeito Recomenda se a utilizac o do modo Full Debug mencionado anteriormente O acesso pelo requisitante realizado da mesma forma inserindo as nome de usu rio e s
7. Configura o de Computador para Acesso a Rede Sem Fio Para testar as configurac es utilizou se um notebook com Windows 7 com placa de rede sem fio O Windows 7 oferece v rios modulos de seguran a para conex o sem fio A rede sem fio foi configurada utilizando as instru es do artigo Configure 802 1X Wireless Clients Running Windows XP with Group Policy do site da Microsoft Technet Abriu se o painel de configura o de redes sem fio conforme a figura QU am Networka Manage Wireless Networks s Search Manage Wiretess Networks Manage wireless networks that use Wireless Network Connection Windows tries to connect to these networks in the order listed below Add Remove Adapter properties Profiletypes Network and Sharing Center Networks you can view modify and reorder 1 wh radtest3 Profile name radtest3 Radio type Any supported Security type WPA Enterprise Mode Manually connect Figura 3 Gerenciador de Redes Sem Fio do Windows 7 Clicou se no bot o add para adicionar uma nova rede sem fio How do you want to add a network I Manually create a network profile This creates a new network profile or locates an existing network and saves a profile for the network on your computer You need to know the network name SSID and security key if applicable amp Create an ad hoc network MK This creates a temporary network for sharing files or an Internet connection
8. OR desse tipo de pacote precisa coincidir com o Access Request atendido 17 O payload desses pacotes cont m AVPs que descrevem os servicos autorizados 3 2 3 Access Reject Este tipo de pacote enviado pelo servidor quando a autentica o n o bem sucedida ou quando os servi os requisitados n o foram autorizados 3 2 4 Access Challenge Para garantir a autenticidade do usu rio poss vel enviar pacotes do tipo Access Challenge periodicamente por m alguns clientes n o suportam esse tipo de processo por isso tratam no como Access Reject 3 3 Shared Secret uma senha que deve ser configurada tanto no servidor como no cliente para aumentar a seguran a ou para habilitar acesso ao servidor para clientes especificos O Shared Secret utilizados em todos os processos onde h a necessidade de proteger os dados de poss veis intercepta es Como visto anteriormente tamb m utilizado para a autentica o dos dados de pacotes 18 3 4 Attribute Value Pairs AVP S o informa es referentes aos servi os que podem ser habilitados pelo servidor ou requeridos pelo cliente Os dados s o codificados seguindo o modelo TLV Type Length Value ou Tipo Tamanho e Valor com Tipo ocupando 1 byte Tamanho pelo menos 4 bytes e Valor tem tamanho vari vel As categorias de AVPs n o fazem parte do escopo deste trabalho porque s o utilizados em equipamentos mais especializados comos Servidores de Acesso de Prove
9. UNIVERSIDADE TECNOL GICA FEDERAL DO PARAN DEPARTAMENTO ACAD MICO DE ELETR NICA ESPECIALIZA O SEMIPRESENCIAL EM CONFIGURA O E GERENCIAMENTO DE SERVIDORES E EQUIPAMENTOS DE REDES MARCELO VEIGA PEREIRA IMPLEMENTANDO SEGURAN A NO N VEL DE ACESSO UTILIZANDO SERVIDOR RADIUS MONOGRAFIA CURITIBA 2011 MARCELO VEIGA PEREIRA IMPLEMENTANDO SEGURAN A NO N VEL DE ACESSO UTILIZANDO SERVIDOR RADIUS Monografia apresentada como requisito para obten o do t tulo de Especialista Configura o e Gerenciamento de Servidores e Equipamentos de Redes pela Universidade Tecnol gica Federal do Paran UTFPR Orientador Prof Dr Augusto Foronda CURITIBA 2011 RESUMO PEREIRA Marcelo V mplementando Seguran a no N vel de Acesso Utilizando Servidor RADIUS 2011 Monografia Especializa o em Configura o e Gerenciamento de Servidores e Equipamentos de Redes Universidade Tecnol gica Federal do Paran UTFPR Curitiba 2011 Este trabalho tem como tema central apresentar as facilidades disponibilizadas pelo servi o de autentica o dispon veis em um Servidor RADIUS em conjunto com banco de dados MySQL Tendo como base a necessidade de seguran a dos pontos de acesso de rede sem fio a mobilidade dos usu rios e a facilidade de utilizar uma base de dados centralizada de autentica o Palavras chaves RADIUS Seguran a Redes Acesso SUM RIO HSTADE FIGURAS tazas alas cas droht aet teer e d irata ich
10. dor de Autentica o uma aplica o respons vel por responder as requisi es de acesso a rede autorizando ou n o o ingresso de suplicantes utilizando uma base de dados de credenciais 2 2 AAA Authentication Authorization and Accounting 2 2 1 Autentica o Authentication o processo de se identificar um usu rio ou equipamento partindo de uma declara o do requisitante e fazendo a checagem em um banco de informa es para constatar a veracidade da declara o OS metodos mais comuns de autentica o envolvem usu rio e senha outro n o t o comum e o uso de certificados digitais 2 2 2 Autoriza o Authorization o processo de definir as permiss es de acesso de um usu rio ou equipamento Depois do processo de autentica o preciso consultar uma segunda base de informa es que definem quais os recursos que este usu rio tem acesso Autoriza o de acesso envolvem politicas de seguran a que devem estar bem documentadas para impedir que usu rios acessem informa es ou recursos as quais n o deveriam ter acesso 12 2 2 3 Bilhetagem Accounting o processo de coletar informa es a respeito do uso dos recursos utilizados por um usu rio para posteriormente sejam emitidas faturas referentes ao tempo de uso Este recurso utilizado por ISPs nternet Service Providers ou Provedores de Servi os de Internet que fornecem servi os de transfer ncia de dados sob demanda para contabilizar
11. dores de Servi os de Internet O campo tamanho para os atributos comporta se da mesma forma que o mesmo campo para os pacotes ou seja representam o tamanho total do bloco TLV Esse campo precisa ser de no m nimo 4 bytes por que seu tamanho m nimo para acomodar um atributo sera composto por 1 byte para Tipo 2 bytes para Tamanho e 1 byte para Valor que o tamanho m nimo de codifica o de um atributo HASSEL 2002 3 5 Tipos de Atributos Os valores dos atributos podem ser codificados conforme a tabela abaixo Tipo do Atributo ED AA es Exemplo Integer 4 32 bits sem sinal 6 256 Enumerated 4 32 bits sem sinal 2 a String 1 253 Vari vel username IP Address 4 32 bits OxCOAEF324 Date 4 32 bits sem sinal OxCOAEF324 Binary 1 1 bit 0 1 Tabela 3 Codificac o de Atributos 19 Os tipos de atributos n o s o inseridos os pacotes do protocolo RADIUS Eles s o relacionados em um arquivo de dicion rio dictionary conf que carregado pelo servidor RADIUS e traduzidos de acordo com cada Attributo 4 PROCEDIMENTOS Para a execu o dos procedimentos de configura o utilizou se uma m quina virtual com a distribui o Linux Ubuntu como servidor Radius e de Banco de Dados MySQL Utilizou se de um roteador Cisco Linksys RT120N como cliente Radius configurado com WPA Enterprise O DHCP Dynamic Host Configuration Protocol foi habilidado permitindo que o Roteador fosse config
12. ect automatically when this network is in range Connect to a more preferred network if available E Connect even if the network is not broadcasting its name SSID Enable WLAN connection settings Configure Figura 7 Configura o dos Par metros de Conex o As caixas de sele o CheckBoxes foram desmarcadas para que o sistema n o tente se conectar automaticamente na rede sem fio Em seguida clicou se na aba Security MinhaRede Wireless Network Properties Connection Security l Security type WPA Enterprise Encryption type nae Choose a network authentication method Microsoft Protected EAP PEAP settings E Remember my credentials for this connection each time I m logged on Figura 8 Configura o dos Par metros de Seguran a 24 Clica se em Advanced Settings para configurar o modo de autenticac o do 802 1X Deve se marcar a caixa de sele o Specify authentication mode e selecionar User authentication no campo correspondente Essas configura es s o as mais comuns e garantem que a autentica o seja realizada em n vel de usu rio Clica se em no bot o OK para retornar a caixa de di logo anterior Advanced settings 802 1X settings V Specify authentication mode user authentication x Save credentials Delete credentials for all users Enable single
13. enha quando solicitado pelo sistema poss vel visualizar os logs de autentica o fazendo se o acesso no MySQL e utilizando os comandos use radius select from radpostauth 5 CONCLUSAO Com base nas configura es realizadas em laborat rios e nas dificuldades encontradas para configurar o acesso nos computadores A princ pio as leva se algum tempo para realizar as instala es e configura es mas com a pr tica poss vel facilmente configurar um servidor em menos de uma hora para uma pequena rede Embora a configura o dos terminais dos usu rios seja um pouco complicada exigindo pequeno manual de instru es para que os pr prios usu rios configurem seus equipamentos para acesso a rede A utiliza o do protocolo RADIUS garantir um maior controle do acesso rede sem fio e fortificar a pol tica de seguran a Os acessos ou ingressos rede podem ser registrados em arquivos de log ou em um banco de dados dependendo da configura o Dessa forma o administrador da rede pode controlar o uso da rede sem fio ou coletar estat sticas de acessos simult neos para prover um maior n mero de ponto de acessos para atender a maiores demandas O controle estat stico de acesso pode assim garantir a qualidade de trafego na rede sem fio 36 Ainda assim existem solu es mais transparentes aos usu rios como os pontos de acesso chamado HotSpot que funcionam como um adendo a autentica o r dios ou uma camada
14. ervidor de banco dados onde estar a base de dados A segunda e terceira linhas indicam o nome do usu rio e a senha que dever o ser utilizados pelo freeRADIUS para acessar o banco de dados A quarta linha indica qual o banco de dados dever ser acessado H outras configura es como acessos a tabelas espec ficas mas manteremos as configura es padr es para maior simplicidade Ainda preciso indicar ao servidor RADIUS que a tipo de processamento este dever utilizar o banco de dados MySQL Esta configura o feita no arquivo etc init d freeradius sites enabled default descomentando a entrada sg na se o authorize Esta se o indica au servidor freeRADIUS que as requisi es de acesso tamb m poder o ser autenticadas utilizando se da base de dados no MySQL O mesmo deve ser feito no arquivo etc init d freeradius inner tunnel para que o freeRADIUS execute o mesmo processo no tunnel TLS criado pelo protocolo PEAP Outras se es podem ser habilidadas para configura es mais completas como por exemplo accounting que popula tabelas com informa es para bilhetagem e session utilizada para impedir que o mesmo usu rio realize conex es simultaneas na rede ou seja que um usu rio compartilhe sua senha com outro e ambos tenham acesso a rede simultaneamente Ainda preciso criar a base de dados no MySQL e popula la com informa es de autentica o A instala o do modulo freeradius mysql pr
15. ificate porque n o est o sendo utilizandos certificados digitais O metodo de autentica o deve ser Secured password EAP MSCHAP v2 Este um metodo de autentica o EAP deselvolvido pela Microsoft que suportado pelo freeRADIUS Ainda preciso confirurar esse m todo clicando no bot o Configure e desmarcando a caixa de sele o confome a figura abaixo EAP MSCHAPv2 Properties When connecting F Automatically use my Windows logon name and password and domain if any Figura 11 Configurac o do MSCHAPv2 26 Finalizadas as configura es basta clicar em OK para todas as caixas de di logo abertas ou Concluir quando for o caso Isso conclui a configura o do Windows 7 para autentica o no servidor freeRADIUS atrav s do roteador O sistema exibir uma caixa de di logo solicitando nome de usu rios e senha Windows Security Network Authentication Please enter user credentials j User name Password Figura 12 Solicita o dos Dados para Autentica o Ainda n o ser poss vel acessar a rede sem fio porque o servidor freeRadius n o configurado Qualquer tentativa de acesso resultar em falha 4 3 Instala ao e Configura o B sica do Servidor freeRADIUS Para o computador servidor utilizou se o uma m quna virtual do VirtualBox com a distribui o Linux Ubuntu 8 10 Optou se pela instala o do servidor freeRADIUS por ser g
16. izado impossibilitado pela exig ncia de informa es de autentica o 1 5 PROCEDIMENTOS METODOL GICOS Pesquisa bibliogr fica Ser o levantados e documentados dados t cnicos sobre a especifica o do protocolo RADIUS baseando na RFC 2865 10 Nessa etapa tamb m ser o documentados os softwares servidores RADIUS dispon veis e suas caracter sticas bem como a escolha de um destes para a realiza o dos testes Laborat rio de implementa o Nessa etapa ser montada uma rede de testes de autentica o utilizando se um roteador sem fio com suporte ao protocolo RADIUS como o LinkSys WHRT120N e um computador onde estar o instalados os servidores RADIUS LDAP e MySQL Apresenta o das informa es de configura o Ser o documentados os arquivos comandos e passos utilizados para a configura o do Servidor e do Roteador sem fio com a op o de autentica o em banco de dados MySQL 2 REFERENCIAIL TE RICO 2 1 IEEE 802 1X O padr o IEEE 802 1X define um mecanismo de autentica o para equipamentos ou terminais ingressantes em uma rede Constituido por tr s compotentes suplicante autenticador e um servidor de autentica o Suplicante o equipamento ou terminal de usu rio que pretende se adicionar a rede 11 Autenticador o equipamento de rede switch ou ponto de acesso sem fio por exemplo que intermedi rio entre o suplicante e o servidor de autentica o O Servi
17. l atrav s de organiza es como The International Council of E Commerce Consultants EC Council O objetivo de toda essa seguran a proteger informa es de pessoas que n o tem autoriza o a obt las Dificultando seu acesso a elas fortificando barreiras com firewalls e DMZs Al m dos cuidados com a seguran a contra invas es tamb m preciso o cuidado com o acesso a instala es f sicas A organiza o e projeto as instala es f sicas tamb m s o importante para a seguran a da informa o porque uma vez tendo acesso a essas instala es n o preciso j n o mais preciso atravessar outras barreiras como firewall Por isso preciso que a instala es sejam estruturadas seguindo normas EIA TIA n o s para seguran a f sica do pessoal envolvido tanto quanto para a seguran a ao acesso as instala es Pode se citar como exemplo o acesso do t cnico da operadora de servi os de longa dist ncia ao ponto de demarca o preciso que os demais equipamentos n o estejam acess veis para garantir a seguran a Uma das formas de controlar esse acesso atrav s de um servidor autentica o RADIUS Remote Authentication Dail In User Service e equipamento compat vel Este trabalho limita se a implementa o de servidor RADIUS para controle de acesso em redes sem fio Incluindo configura es para autentica o em banco de dados MySQL N o ser o abordados cen rios com redes remotas como autentica
18. ltera o os Par metros de Configura o Figura 7 Configura o dos Par metros de Conex o Figura 8 Configura o dos Par metros de Seguran a Figura 9 Configurac o do Modo de Autenticac o do 802 1X Figura 10 Configura o Avan ada do Modo PEAP Figura 11 Configura o do MSCHAPv2 Figura 12 Solicita o dos Dados para Autentica o Figura 13 Extrutura do Banco de Dados radius Figura 14 Extrutura da Tabela radcheck LISTA DE TABELAS Tabela 1 Formato do Pacote do Protocolo RADIUS Tabela 2 Tipos de Pacotes do Protocolo RADIUS Tabela 3 Codificac o de Atributos 1 INTRODU O 1 1 TEMA Com a populariza o dos computadores e o acesso f cil a informa es gra as a internet os profissionais de inform tica precisaram desenvolver novos m todos para dar seguran a aos dados que trafegam por seus sistemas Com a facilidade de acesso a informa o surgiram os primeiros Hackers que utilizavam seus conhecimentos para pregar pe as atrav s da grande rede ou s vezes roubar informa es importantes Esse ponto negativo levou a necessidade da forma o de profissionais especializados ao combate desse tipo de ataque Desse ponto em diante o termo Seguran a da Informa o tornou se popular Havia a necessidade de profissionais que tivessem o mesmo conhecimento que seus advers rios os Hackers Dando origem aos chamados Hackers ticos que inclusive tem certifica es espec ficas para ta
19. nathan RADIUS O Reilly 1 ed 2002 RIGNEY C et allu RFC 2865 Hemote Authentication Dial In User Service RADIUS 2000 RIGNEY C et allu RFC 2866 RADIUS Accounting 2000 WALT Dirk van der FreeRADIUS Beginner s Guide Packet Publishing 1 ed 2011 http www vivaolinux com br artigo Freeradius servidor radius eficiente e completo Freeradius servidor radius eficiente e completo acesso em 12 11 2011 http technet microsoft com en us library cc7715579628W S 109629 aspx Configure 802 1X Wireless Clients Running Windows XP with Group Policy acesso em 15 11 2011 38
20. nse 11 Access Challenge 12 Status Server experimental 13 Status Client experimental 255 Reserved Tabela 2 Tipos de Pacotes do Protocolo RADIUS O campo IDENTIFICADOR utilizado para associar corretamente as respostas as requisi es enviadas O campo TAMANHO cont m o tamanho de todo o pacote incluindo os campos CODIGO e IDENTIFICADOR assim como o payload 16 O campo AUTENTICADOR utilizado para garantir a integridade do payload Existem dois tipos de autenticadores Request Authenticator e Hesponse Authenticator O Request Auhenticator utilizado em pacotes dos tipos Authentication Request e Accounting Request Este autenticador gerado aleat riamente O Hesponse Auhenticator utilizado em pacotes dos tipos Access Accept Access Heject e Access Challenge Este autenticador gerado atrav s de uma func o hash MD5 TIPO IDENTIFICDOR TAMANHO AUTENTICADOR AVPs SECRET Onde o sinal de um operador de concatena o e SECRET o segredo compartilhado Shared Secret entre o cliente e o servidor RADIUS RIGNEY 2000 3 2 Tipos de PACOTES 3 2 1 Access Request S o utilizados pelo cliente RADIUS ou dispositivo autenticador para requisitar autentica o e servi os ao servidor Access Request tem ao menos dois atributos no seu payload o nome do usu rio e seu password 3 2 2 Access Accept S o enviados pelo servidor quando um Access Request atendido com sucesso O campo IDENTIFICAD
21. o de cliente em Provedor de Servi os de Internet ou redes com autentica o entre Filiais e seus Escrit rios Centrais A autentica o entre redes remotas pode ser realizada atrav s de VPN Virtual Private Network ou outra t cnica de tunelamento sobre a qual protocolo RADIUS pode funcionar de modo transparente 1 2 PROBLEMA E PREMISSAS H pouca documenta o dispon vel sobre a configura o de servidores RADIUS As documenta es existentes s o extremamente t cnicas e voltadas principalmente para os detalhes do protocolo 1 3 OBJETIVOS 1 3 1 Objetivo Geral Apresentar uma solu o pr tica e simples para o problema de seguran a em n vel de acesso em redes sem fio que n o dificulte a mobilidade de seus usu rios 1 3 2 Objetivos Espec ficos Elencar os aspectos t cnicos do protocolo RADIUS que permitam uma posterior implementa o deste o Apresentar a configura o necess ria para o correto funcionamento da autentica o via RADIUS para uma rede sem fio Documentar a configura o de integra o de um servidor RADIUS com o banco de dados MySQL o Apresentar os benef cios do uso de um servidor RADIUS na seguran a e mobilidade dos usu rios de uma rede local 1 4 JUSTIFICATIVA Em um projeto de rede estruturada h a necessidade de prever o aumento da quantidade de n mero de usu rios Instala se mais pontos do que o n mero de usu rios para que seja poss vel atender novos usu rios
22. o instalar em poucos minutos 28 Depois de conclu da a instala o preciso configurar o freeRADIUS para que possamos utiliz lo S o dois os arquivos necess rios para a configurac o mais b sica do freeRADIUS clients conf e users conf Foram adicionadas as seguintes linhas no arquivo clients conf client 192 168 1 1 secret testingl23 shortname Roteador1 Estas linhas adicionam permiss o para o cliente configurado com o ip indicado autenticar na base do freeRADIUS Obseve os parametros entre as chaves Y O parametro secref a configura o so shared secret Como exibido anteriormente o roteador foi configurado com o mesmo segredo O parametro shortname apenas um texo para identificar mais facilmente o roteador podento ser preenchido com qualquer texto necess ria a configura o do arquivo users conf para inserir um usu rio para autentica o Foi inserida a seguinte no in cio do deste arquivo userl User Password userl Esta linha adiciona o usu rio user1 a base de autentic o e o atribui a senha user1 Este usu rio foi adicionado a base de texto que a forma mais simples de se adcionar um usu rio para autentica o no freeRADIUS Observe que n o s o adicionados outros par metros a configura o como AVPs Isso porque esta sendo configurado um ponto de acesso em um roteador 29 dom stico Este tipo de roteador n o exige configur es adici
23. o uso do servi o por seus usu rios possibilitando cobran a HASSEL 2002 Bilhetagem n o se aplica a redes locais porque os servi os dispon veis geralmente s o para uso comum ou para pessoal autorizado mas normalmente n o est o sujeitos a cobran a 2 3 Mobilidade Roaming Mobilidade a facilidade que um usu rio pode ter de mudar de localidade sem perder o acesso aos recursos da rede Um usu rio poderia se deslocar entre filiais de uma empresa e utilizar as mesmas informa es de autentica o em qualquer uma delas Para isso seria preciso de uma base de autentica o centralizada que poderia funcionar sobre uma VPN No caso de ISPs com parceria com empresas de outras de diferentes localidades seus servi os poderiam se expandir por v rias cidades Pode se estender o termo a redes locais com usu rios sendo realocados entre departamentos 2 4 Remote Authentication Dial In User Service RADIUS um protocolo da camada de aplica o do modelo OSI que prov servi os centralizados de Autentica o Autoriza o e Bilhetagem de acordo com a definido 13 pela RFC 2866 O servidor RADIUS utiliza o protocolo UDP da camada de transporte para a troca de mensagens com as aplica es clientes atrav s da porta 1812 para Autentica o e 1813 para Autoriza o 2 5 Extensible Authentication Protocol EAP EAP RFC 3748 pode ser descrito como um protocolo com suporte a m ltiplos m todos de autentica o Sendo
24. odd e 6 LISTA DE TABELAS xti aor a Et QI EM AD E veo med TSE pas 7 DINTRODNC o c HH 7 1 1 TEMA revisar e reescrever ssssssssssssssesessseeeee nennen nennt nnne 7 1 2 PROBLEMA E PREMISSAS iiv a CX DERBI DURO RERO PO DA MENS 8 TS OBJETOS suoi op R DDD gi 9 T 3 ODIO VO Geral c erat ero ete Ecl 9 1 3 2 Objetivos ESpecifiCOS icai eterni rui cado dada e e tn ruat atacada dan dd end 9 FAJUSTIFIGATNA item de LER UR URED LENDER RE DELEDC LUN UAE A ANS EXE LAS DU LEX LEN EELS 9 1 5 PROCEDIMENTOS METODOL GICOS 10 2 REFERENCIAIL TE RICO eeeeennennntteneee nennen tenete tette ttes 11 2A IEEE S02 DAS ot A R A NINE CEU ER M RU UM 11 2 2 AAA Authentication Authorization and Accounting esses 12 2 2 1 Autentica o Authentication ssssssssssseeeeeennn 12 2 2 2 Autoriza o Authorization iecit eo iei Mureti ie ER Rove aS E CURE EIU 12 2 2 3 Bilhetagem Accounting essen 13 2 3 Mobilidade CHOGImIBO uid d unde id bd eed n eiu ined eue xdi xeu 13 2 4 Remote Authentication Dial In User Service RADIUS 13 2 5 Extensible Authentication Protocol EAP ssssssseeeneee 14 SO PROTOCOLO RADIUS scusa M EMEN RU A RP MEM ERE DER PREMO ENS UEM Rg 15 3 1 Formatos de Pacotes sanar iet Ito edet itque ed aa A 16 2 2 Tipos UG PAGOTES unii e UE Op Meo be medie 17 3 2 1 AOCOSSSHOQUOSI uio nte sper pee
25. onais para fornecer acessos a outros servi os A mudan a nos arquivos de configura o n o entrar o em vigor at que o servidor seja reiniciado Para isso pode se usar o comando etc init d freeradius restart Por m como estamos trabalhando em um ambiente de testes interessante observar o comportamento do servidor Para isso utilizaremos os seguintes comando etc init d freeradius stop freeradius X A primeira encerra o servidor freeRadius A segunda linha inicializa o servidor freeRadius em modo Full Debug Neste modo de opera o o servidor exibe o processamento das requisi es de autentia o diretamente no console Agora possivel realizar a autentica o atrav s do servidor freeRadius Para isso basta inserir os dados de autentica o na caixa de dialogo exibida pelo sistema solicitando informa es de autentica o poss vel acompanhar o progresso da autentica o observando a sa da de Debug do freeRADIUS Sending Access Accept of id 10 to 192 168 1 1 port 32805 S MPPE Recv Key Oxbebe26001d809f 56fd8f 4ca749e15006884c76cbafdac8dac9241be1c980244e82 S MPPE Send Key 0xb4dd5753d0b0e15094328058 1029203075c33a7e78a333e105ad270ad 68d8ca EAP Message 0x030a0004 essage Authenticator 0x00000000000000000000000000000000 User Name userl Finished request 8 30 Exemplo de saida de Debug do servidor freeRADIUS em modo Full Debug A A sa da exibe informa es de proce
26. ov um script SQL para a cria o o banco de dados e suas tabelas conforme as pre configura es no arquivo sql conf 33 Esse script encontra se na pasta etc freeradius sqls mysgl no arquivo schema sql Para que seja poss vel importar as informa es do script para o MySQL preciso primeito criar o banco de dados O acesso ao MySQL feito utilizando se o seguinte comando mysql u root p Onde root o nome do usu rio Ser solicitada a senha de root que foi configurada durante a instala o do mysal Uma vez realizado o acesso ao MySQL dever ser executado o sequinte comando para a cria o do banco de dados RADIUS CREATE DATABAS radius Ser exibita uma mensagem dsemelhante a Query OK 1 row affected 0 00 sec for obtido sucesso Com o comando quit pode se se desconectar do MySQL para proceder com a configura o Utiliza se seguinte comando para importar criar as tabelas no banco mysql u root p radius lt etc freeradius sql mysql schema sql Este commando executa o script schema sql no prompt do mysql criando assim todas as tabelas necess rias para uso do freeRADIUS O scritpt criara ass tabelas de acordo com a figura 34 radacct radcheck radgroupcheck radgroupreply radpostauth radreply radusergroup Figura 13 Extrutura do Banco de Dados radius Para os testes de autentica o precisaremos criar entradas com nomes de usu rios e
27. ratuito e ser bem documentado em livros A instala o bastante simples Baste ter a lista de reposit rios do Ubuntu atualizada e executar os comandos 27 apt cache search freeradius Este commando utilizado para percorrer a lista de pacotes dispon veis que cont m o texto free radius Se os reposit rios estiverem configurados corretamente e o computador tiver acesso a internet ser exibida uma lista dos pacotes dispon veis como no exemplo abaixo freeradius a high performance and highly configurable RADIUS server freeradius common FreeRADIUS common files freeradius dbg debug symbols for the FreeRADIUS packages freeradius utils FreeRADIUS client utilities libfreeradius dev FreeRADIUS shared library development files libfreeradius2 FreeRADIUS shared library freeradius dialupadmin set of PHP scripts for administering a FreeRADIUS server freeradius iodbc iODBC module for FreeRADIUS server freeradius krb5 kerberos module for FreeRADIUS server freeradius ldap LDAP module for FreeRADIUS server freeradius mysql MySQL module for FreeRADIUS server freeradius postgresqgl PostgreSQL module for FreeRADIUS server Observa se que h muitos pacotes dispon veis para extender as configurac es do freeRADIUS A princ pio sera instalado o pacote o primeiro pacote da lista acime freeradius Para isso utiliza se o comando apt get install freeradius O commando baixar o pacote correspondente e
28. sign on for this network s to be displayed during single e virtual LANs for machine Figura 9 Configura o do Modo de Autentica o do 802 1X Security type deve ser aterada para o mesmo tipo de seguran a configurada pr viamente no roteador WPA Enterprise O tipo de encrypta o para TKIP e o metodo de autentica o Microsoft Protected EAP PEAP j mencion ado na se o REFERENCIAL TE RICO Clica e em Settings para configura es de seguran a adicionais 25 Protected EAP Properties When connecting E Validate server certificate Connect to these servers Trusted Root Certification Authorities AddTrust External CA Root E Class 3 Public Primary Certification Authority Entrust net Secure Server Certification Authority Equifax Secure Certificate Authority GeoTrust Global CA _ GTE CyberTrust Global Root E http www valicert com gu m E Do not prompt user to authorize new servers or trusted certification authorities Select Authentication Method Secured password EAP MSCHAP v2 x Configure V Enable Fast Reconnect Enforce Network Access Protection E Disconnect if server does not present cryptobinding TLV F Enable Identity Privacy Figura 10 Configura o Avan ada do Modo PEAP Desabilita se a Caixa de sele o Validate server cert
29. ssamento dos pacotes que chegam ao servidor e tamb m indorme es das decis es tomadas de acordo com as configura es e base de autentica o 4 3 Configura o do Servidor freeRADIUS para Autentica o Utilizando Base de Dados do MySQL Utilizar a base de dados em texto bastante f cil mas n o uma alternativa vi vel para redes com um n mero muito grande de usu rios Uma alternativa para esse problema a utiliza o de uma base de autentica o gerenci vel utilizando MySQL Com uma base de autentica o hospedada em um banco de dados poss vel criar p ginas na intranet para cadastros de novos usu rios n o havendo a necessidade de abrir os arquivos de configura o toda a vez que for necess rio incluir ou excluir um usu rio A configura o do freeRADIUS para autentica o em base de dados MySQL est conclu da mas ainda preciso fazer a instala o e configura o do MySQL para que as configura es tenham efeito Para instalar o MySQL utilizamos o comando apt get install mysql server Ser iniciado o assisente de instala o do mygl importante informar a senha de administrador do banco de dados Esta senha ser utilizada posteriormente para confiura o de acesso ao banco de dados Para facilitar o processo de configurac o recomenda se a instalac o do modulo freeradius mysal que instalar a uma cole o de arquivos uteis e pre configurados para o acesso a base de dados 31
30. tpesdteento rponxprxxpeexpo taro Eod prex Visita bud peedpas 17 3 2 2 ACCOSSACCODLD uiis proa eic EP PCR E Dno ATO PT en gde 17 3 2 3 Access Heject eeeiui te tibetyeci sd de teet pest etat asi o Del gana ebat yasteB ipt rRebenyus 18 3 2 4 Access Challenge eeccssesesesseeeeeeennenen nennen 18 o9 Shared Secr tin iori odi d ete dedi t rt el O ia ce uite 18 3 4 Attribute Value Pairs AVP esessessssssiseeseseessee eene enne 19 3 5 Tipos de AITIDUTOS ira raia E hebt nde quid i aede leui docct do cud us cuta aet cad 19 A PROGEDIMENTOS 5 itasddtetsteecbode ee toin coke d codo aa bota er Ed ad Dodd sc 20 4 1 Configura o do Roteador sssssssssssssseeeeeeeeenennnneennnn 20 4 2 Configura o de Computador para Acesso a Rede Sem Fio 22 4 3 Instala ao e Configura o B sica do Servidor freeRADIUS 27 4 3 Configura o do Servidor freeRADIUS para Autentica o Utilizando Base de Dados dO NNSOL MRNURNRNT PR ORT ONTONF TP PR Eta aca sa 31 5 CONCLUS O ne toa a a a 36 6 REFERENCIAS se RS RO SS EE RE i ERR rU AS 38 LISTA DE FIGURAS Figura 1 Configurac o do Nome da Rede Sem Fio Figura 2 Configura o do Modo de Seguran a da Rede Sem Fio Figura 3 Gerenciador de Redes Sem Fio do Windows 7 Figura 4 Configurac o Manual do Perfil de Rede Figura 5 Configura o do Modo de Seguran a do Windows 7 Figura 6 A
31. um protocolo utilizado na camada de Enlace EAP n o requer endere amento IP para seu funcionamento e pode ser utilizado redes de comuta o de circuitos redes via cabo e redes sem fio ABOBA 2004 De acordo com o padr o IEEE 802 1X este protocolo tamb m pode ser encapsulado por outros protocolos de camadas superiores como o protocolo TCP e UDP ABOBA 2004 2 6 Transport Layer Security TLS e Secure Sockets Layer SSL S o protocolos de criptografia utilizados para trasnportar informa es de forma segura criando um t nel entre cliente e servidor 2 7 PEAP EAP MSCHAPv2 Aumenta a seguranca do protocolo EAP por utilizar Transport Layer Security TLS para encrypta o dos dados Com PEAP os frames EAP s o transportados por um tunel criptografado por TES 14 3 O PROTOCOLO RADIUS Como descrito anteriormente o protocolo RADIUS prov servicos de Autenticac o Autorizac o e Bilhetagem fazendo uso de uma base de dados centralizada O processos previstos para um servidor RADIUS s o seguem o padr o IEEE 802 1X citado anteriormente O equipamento autenticador ao detectar um suplicante envia frames de requisi o de identidade EAP a este solicitando sua identifica o Em resposta o suplicante envia um pacote de resposta de identidade EAP contendo contento uma identifica o do suplicante como o nome de usu rio Ao receber os frames de resposta EAP do suplicante o Autenticador os encapsula em um pacote
32. urado automaticamente quando ingressado na rede e para que distribuir IP para os demais computadores que venham a se conectar na rede sem fio Com exce o das configura es exibidas nas imagens abaixo n o foram feitas configura es adicionais al m das configura es de fabrica 4 1 Configura o do Roteador A rede interna padr o do roteador 192 168 1 0 24 como pode ser visto nas figura mesma rede em que ser configurado o servidor Radius 20 Setup Wireless Security Access Restrictions Applicelions amp Gaming Basic Wireless Settings ess Securit eless MAC Filter Configuration View 9 Manual Wi Fi Protected Setup Network Mode Mixed m Network Name SSID MinhaRede Channel Width 20MHz only X Wide Channel Auto Standard Channel 6 2437GHz vw SSID Broadcast 9 Enabled Disabled Figura 1 Configura o do Nome da Rede Sem Fio Atribuiu se o Nome da Rede SSID como MinhaRede como pode ser visto na figura Setup Wireless Security Access Restrictions nao Gaming Wireless Security lireless MAC Filter Security Mode WPA Enterprise v RADIUS Server 192 168 Ni 101 RADIUS Port 1812 Shared Secret testing123 Key Renewal 3600 Seconds Figura 2 Configura o do Modo de Seguran a da Rede Sem Fio Configurac o de um roteador sem fio para autenticac o em um servidor RADIUS Utilizou se como segredo compartilhado shared secret o texto testing 123 21 4 2
Download Pdf Manuals
Related Search