View
115
Download
6
Category
Preview:
Citation preview
IEEE 802.1X
1
Introdução
• O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a redes Ethernet. Esse controle de acesso à rede baseado em porta utiliza as características físicas da infra-estrutura de rede local comutada para autenticar dispositivos conectados a uma porta do comutador. A capacidade de enviar e receber quadros usando uma porta do comutador Ethernet será negada se o processo de autenticação falhar. Embora esse padrão seja projetado para redes Ethernet com fio, ele foi adaptado para ser usado em redes locais sem fio IEEE 802.11.
2
• O IEEE 802.1X define os seguintes termos: – Entidade de acesso à porta – Autenticador – Suplicante – Servidor de autenticação
3
Entidade de acesso à porta
• Uma entidade de acesso à porta (PAE), também conhecida como uma porta de rede local, é uma entidade lógica que oferece suporte ao protocolo IEEE 802.1X associado a uma porta. Uma porta de rede local pode adotar a função de autenticador, suplicante ou ambos.
4
Autenticador
• Um autenticador é uma porta de rede local que aplica a autenticação antes de permitir acesso a serviços que são acessados por meio da porta. No caso das conexões sem fio, o autenticador é a porta de rede local lógica em um ponto de acesso (AP) sem fio por meio do qual os clientes sem fio, operando no modo de infra-estrutura, ganham acesso à rede com fio.
5
Suplicante • O suplicante é uma porta de rede local que solicita
acesso a serviços acessados por meio do autenticador. No caso das conexões sem fio, o suplicante é a porta de rede local lógica em um adaptador de rede sem fio que solicita acesso à rede com fio. Ele faz isso associando-se a um autenticador e se autenticando.
• Quando utilizados para conexões sem fio ou conexões Ethernet com fio, o suplicante e o autenticador são conectados por um segmento de rede local ponto a ponto lógico ou físico.
6
Servidor de autenticação
• Para verificar as credenciais do suplicante, o autenticador usa um servidor de autenticação. O servidor de autenticação verifica as credenciais do suplicante em nome do autenticador e responde ao autenticador, indicando se o suplicante está ou não autorizado a acessar os serviços do autenticador. O servidor de autenticação pode ser:
7
• Um componente do AP. – O AP deve ser configurado com os conjuntos de
credenciais de usuário correspondentes aos clientes que estão tentando se conectar. Isso geralmente não é implementado para APs sem fio.
• Uma entidade separada. – O AP encaminha as credenciais da tentativa de
conexão a um servidor de autenticação diferente. Geralmente, um AP sem fio usa o protocolo RADIUS para enviar os parâmetros de tentativa de conexão a um servidor RADIUS.
8
Portas controladas e não controladas
• O controle de acesso baseado em porta do autenticador define os seguintes tipos de portas lógicas, que acessam a rede local com fio por meio de uma única porta de rede local física: – Porta Controlada– Porta Não Controlada
9
Porta controlada
• A porta controlada permite que os dados sejam enviados entre um cliente sem fio e a rede com fio, mas apenas se o cliente sem fio estiver autenticado. Antes da autenticação, o comutador está aberto e nenhum quadro é encaminhado entre o cliente sem fio e a rede com fio. Depois de o cliente sem fio ser autenticado com êxito usando o IEEE 802.1X, o comutador é fechado e os quadros são encaminhados entre o cliente sem fio e os nós na rede com fio.
10
Porta não controlada • A porta não controlada permite uma troca não
controlada de dados entre o autenticador (o AP sem fio) e outros dispositivos de rede na rede com fio, independentemente do estado de autorização dos clientes sem fio. Um bom exemplo é a troca de mensagens RADIUS entre um AP sem fio e um servidor RADIUS na rede com fio, que fornece a autenticação e a autorização de conexões sem fio. Os quadros enviados pelo cliente sem fio nunca são encaminhados pelo AP sem fio por meio da porta não controlada.
11
Funcionamento• Em um comutador Ethernet autenticado, o
cliente Ethernet com fio pode enviar quadros Ethernet à rede com fio assim que a autenticação é concluída. O comutador identifica o tráfego de determinado cliente Ethernet com fio usando a porta física à qual o cliente Ethernet está conectado. Geralmente, somente um único cliente Ethernet é conectado a uma porta física no comutador Ethernet.
12
• Como vários clientes sem fio disputam acesso e enviam dados usando o mesmo canal, é necessária uma extensão para o protocolo IEEE 802.1X básico a fim de permitir que um AP sem fio identifique o tráfego seguro de um cliente sem fio específico. Isso é feito por meio da determinação mútua de uma chave de sessão por cliente de difusão ponto a ponto realizada pelo cliente e o AP sem fio.
13
• Somente os clientes sem fio autenticados têm uma chave de sessão por cliente de difusão ponto a ponto determinada corretamente. Sem uma chave de sessão de difusão ponto a ponto válida, ligada a uma autenticação bem-sucedida, os quadros enviados por um cliente sem fio não autenticado são descartados silenciosamente pelo AP sem fio.
14
Protocolo de autenticação extensível
• Para fornecer um mecanismo de autenticação padrão para o IEEE 802.1X, o IEEE optou pelo protocolo de autenticação extensível (EAP). EAP é uma tecnologia de autenticação baseada no protocolo ponto a ponto (PPP) que foi adaptada para uso em segmentos de rede local ponto a ponto.
15
• O EAP-TLS, com certificados de usuário e computador baseados no Registro, é o método de autenticação para a conectividade sem fio baseada no Windows devido aos seguintes motivos: – O EAP-TLS não requer nenhuma dependência na senha da
conta de usuário. – A autenticação EAP-TLS ocorre automaticamente, sem
intervenção do usuário. – O EAP-TLS usa certificados, que fornecem um esquema de
autenticação de alta segurança.
16
• Como as mensagens EAP originalmente eram definidas para serem enviadas como a carga de quadros PPP, o padrão IEEE 802.1X define o EAP através de rede local (EAPOL), que é um método de encapsular mensagens EAP para poderem ser enviadas através de segmentos Ethernet ou rede local sem fio.
17
• Para a autenticação de conexões sem fio, o Windows usa o protocolo de nível de transporte EAP (EAP-TLS), que é definido na RFC 2716 e usado em ambientes de segurança baseados em certificado. A troca de mensagens EAP-TLS fornece autenticação mútua, negociação de conjuntos de codificação de integridade protegida e determinação mútua de material de chave de assinatura e criptografia entre o cliente sem fio e o servidor de autenticação (o servidor RADIUS). Após a autenticação e a autorização, o servidor RADIUS envia as chaves de criptografia e assinatura ao AP sem fio usando a mensagem de aceitação e acesso RADIUS.
18
LDAP
O que é um Diretório? • O que é um diretório?– É um banco de dados especializado com informações
descritivas baseadas em atributos e organizadas em forma de árvore.
• Característica de um diretório:– Resposta rápida a grande quantidade de consultas.
• Tipos de diretórios:– De aplicações: diretório do MS Exchange, etc.– De sistemas operacionais de rede: NIS (Sun), AD
(Microsoft)– De propósito específico: DNS– De propósito geral: LDAP
20
O que é o LDAP?
• Lightweight Directory Access Protocol– Protocolo Leve de Acesso a Diretórios. – Trabalha na camada de aplicação da pilha de
protocolos TCP/IP, como por exemplo o SMTP, HTTP, FTP, TELNET e tantos outros.
– RFCs 2251 – 2830 e 3377– Cliente-Servidor.– Orientado a mensagens.
21
História do LDAP
22
X.500 A CCITT (atual ITU) cria a versão Standard X.500 , ISO 9594
Data Communications Network Directory DAS: Directory Assistance Service (RFC 1202)
DIXIE: Protocol Specification (RFC1249)
LDAP: X.500 Lightweight Access Protocol (RFC 1487)LDAP (RFC 1777)
LDAP v2
LDAP v3 (RFC 3377)
1988
1998
Origem do LDAP – Diretórios X.500
• Características Principais do X.500– Conexão de Serviços de Diretórios locais a fim de
formar um diretório global distribuído.
– Parte do diretório fica global e sua informação é disponibilizada através de um Agente do Sistema de Diretórios
– Trabalha com funções de gerenciamento, isto é, adição, modificação e deleção de entradas.
23
Origem do LDAP – Cliente do X.500• O LDAP foi desenvolvido para ser um cliente
para o X.500, o serviço de Diretório OSI. O X.500 define o Protocolo de Acesso a Diretório (DAP) para os clientes usarem quando estiverem em contato com servidores de Diretório.
24
Origem do LDAP - DAP
• O DAP era um protocolo difícil de trabalhar e implementar, e protocolos mais fáceis foram desenvolvidos com a maior parte de sua funcionalidade, mas com muito menos complexidade.
25
Origem do LDAP – Pilha de Protocolos
• O LDAP roda diretamente sobre o TCP e fornece a maioria das funcionalidades do DAP, a um custo muito menor.
26
Origem do LDAP – Versões
• Versões LDAP– 1993 primeira versão – 1996 LDAP v2 • Autenticação forte com Kerberos v4.
– 1997 LDAP v3 (atual)• Esta última foi desenvolvida para solucionar uma série de
limitações existentes na anterior, incluindo aspectos de segurança, passando a suportar protocolos de autenticação forte como o Simple Authentication Security Layer (SASL) e o Transport Layer Security (TLS)
27
Por que usar o LDAP?
• Integração entre sistemas Operacionais• Interligação ( Windows , Linux, Unix , MacOS)
• Integração entre Serviços • Serviços de e-mail, FTP , Web etc.
• Desempenho nas consultas: Desenvolvido com ênfase na leitura, ou seja, os dados serão lidos rapidamente por um número maior de consultas simultâneas.
• Difundido no mercado• Não requer hardware pesado para operações
28
Por que usar o LDAP?
29
Diretório LDAP
• Representação gráfica de parte de um diretório LDAP:
30
O que é LDIF?
• LDAP Data Interchange Format– Formato de intercâmbio de informações para o
LDAP– Definido na RFC 2849 - The LDAP Data Interchange
Format– Esse formato de dados descreve o diretório e suas
entradas em formato texto– Formato básico:
31
dn: <indentificador_único><atributo>: <valor><atributo>:: <valor codif. em base-64><atributo>: < <URL>...
LDIFExemplo Simples com 2 entradas
32
version: 1dn: cn=Barbara Jensen, ou=Product Development, dc=airius, dc=comobjectclass: topobjectclass: personobjectclass: organizationalPersoncn: Barbara Jensencn: Barbara J Jensencn: Babs Jensensn: Jensenuid: bjensentelephonenumber: +1 408 555 1212description: A big sailing fan.
dn: cn=Bjorn Jensen, ou=Accounting, dc=airius, dc=comobjectclass: topobjectclass: personobjectclass: organizationalPersoncn: Bjorn Jensensn: Jensentelephonenumber: +1 408 555 1212
LDIFExemplo com uma entrada codificada em
base-64
33
version: 1dn: cn=Gern Jensen, ou=Product Testing, dc=airius, dc=comobjectclass: topobjectclass: personobjectclass: organizationalPersoncn: Gern Jensencn: Gern O Jensensn: Jensenuid: gernjtelephonenumber: +1 408 555 1212description:: V2hhdCBhIGNhcmVmdWwgcmVhZGVyIHlvdSBhcmUhICBUaGlzIHZhbHVlIGlzIGJhc2UtNjQtZW5jb2RlZCBiZWNhdXNlIGl0IGhhcyBhIGNvbnRyb2wgY2hhcmFjdGVyIGluIGl0IChhIENSKS4NICBCeSB0aGUgd2F5LCB5b3Ugc2hvdWxkIHJlYWxseSBnZXQgb3V0IG1vcmUu
LDIFExemplo com uma entrada referenciando
um arquivo externo
34
version: 1dn: cn=Horatio Jensen, ou=Product Testing, dc=airius, dc=comobjectclass: topobjectclass: personobjectclass: organizationalPersoncn: Horatio Jensen
cn: Horatio N Jensensn: Jensenuid: hjensentelephonenumber: +1 408 555 1212jpegphoto:< file:///usr/local/directory/photos/hjensen.jpg
LDIF
• Representação gráfica de um arquivo LDIF:
35
Operação do protocolo LDAP
• Recebimento de uma única entrada:– Caso o LDAP Server ache apenas um valor para a operação
de Search realizada, esse valor é retornado.– Na requisição, o cliente envia um ID único (msgid). Esse ID
é usado nas respostas para identificar as mensagens.
36
Operação do protocolo LDAP• Recebimento de várias entradas:– Caso o LDAP Server ache diversos valores para a operação
de Search realizada, eles são retornados em mensagens separadas.
– Cada entrada retornada tem um nome único chamado de distinguished name (DN).
37
Operação do protocolo LDAP
• Requisição de várias operações:– Como o LDAP é orientado a mensagem, é possível realizar
diversas operações ao mesmo tempo.– Isto torna o protocolo mais flexível e eficiente, pois não há
a necessidade de esperar uma resposta do server antes de realizar outra operação, como no HTTP.
38
Operação do protocolo LDAP
• Tipos de operações do LDAP, divididas em 3 classes:– Operações de pergunta:
• Search• Compare
– Operações de atualização:• Add• Delete• Modify• Modify DN (Rename)
– Operações de autenticação e controle:• Bind (Cliente se autentica com o Servidor)• Unbind (Cliente termina sessão com o Servidor)• Abandon (Cliente não está mais interessado nas respostas da
requisição anteriormente enviada)39
Operação do protocolo LDAP
• Troca completa de mensagens entre Cliente e Servidor:
40
Operação do protocolo LDAP
• A combinação de simples operações podem realizar tarefas complexas, exemplo:
41
A Segurança no LDAP
• Protegendo informações de acessos indevidos:– Autenticação.
• LDAP, só autenticação simples (texto aberto)• LDAPv2, autenticação simples e pode utilizar Kerberos v4 e
v5• LDAPv3, utiliza framework SASL (Simple Authentication and
Security Layer) – múltiplos mecanismos de autenticação
– Transmissão de dados segura (criptografia).– Modelos de controle de acesso.
42
Métodos de Autenticação
• LDAPv3: métodos de autenticação definidos na RFC 2829 (Authentication Methods for LDAP).
• Nessa RFC, os servidores foram quebrados em 3 grupos:– Servidores LDAP públicos Somente-leitura (permitem login
anônimo, sem senha).– Servidores com autenticação usando senhas (usa
mecanismo SASL DIGEST-MD5).– Servidores com autenticação e criptografia de dados (usa
StartTLS para camada de transporte segura e certificados com chaves públicas para autenticação de ambos os lados).
43
Método de Criptografia
• Transport Layer Security (TLS)• TLS proporciona:
– Autenticidade, Integridade e Criptografia de dados
• Clientes que usam TLS na comunicação:– Suas mensagens não serão decifradas caso sejam capturadas. – Suas mensagens não serão alteradas (homem do meio)– Podem autenticar o servidor (usando certificados com chaves
públicas)– Podem verificar a autenticidade de servidores nos quais ele já
está conectado (usando certificados com chaves públicas)
44
Método de Criptografia
• LDAP usando SASL com SSL/TLS
45
Método de Criptografia
46
Modelo de Controle de Acesso
• Define os direitos de acesso as informações do diretório para cada usuário ou grupo:– Ex:
• Somente leitura de nomes para usuário Administrator;• Alteração de descrição para todos os usuários;• Leitura de informações básicas do diretório para usuário
Anônimo;
• Não foi padronizado pela IETF (ainda estão definindo um padrão).– Cada fabricante tem um padrão distinto muito trabalho
de migração caso seja necessário mudar de fabricante.
47
• Replicação do serviço de diretórios Conceito de prover mecanismos de tolerância a falhas afim que manter o acesso as informações dos usuário sempre integra.
• Diretórios distribuídos Conceito que visa reduzir os pontos de falhas , alem de prover menor consumo de banda e tempo quando uma consulta é realizada. O principal benefício é a possibilidade de redução de custos com hardware
48
Tipos de OtimizaçõesTipos de Otimizações
Replicação de Diretório• Problema: Muitos computadores acessando
um servidor ponto de falha.
49
Replicação de Diretório• Solução: Usar o conceito de Diretórios
Replicados para usar uma redundância quando for necessário.
50
Replicação de Diretório• Quando temos uma falha no serviço o outro
servidor entra em operação de forma automática.
51
Diretórios Distribuídos• Problema: Muitos Computadores acessando o
local que reside a informação. ( Tempo elevado e utilização do hardware para consulta)
52
Diretórios Distribuídos• Solução: Utilização de vários computadores na
formação na arvore de Diretórios.
53
Exemplo Prático – Windows • Conceitos e Nomenclaturas:– Forest Root Principal Servidor da Floresta.– Global Catalog Arquivo que reúne todas as
informações sobre os Componentes do Domínio computadores, usuários , impressoras e seus atributos.
– Member Server : Servidor membro, roda aplicações (Banco de Dados, Controle de Versões, Servidor de Arquivos etc)
– Domain Controler Controlador do Domínio, controla os objetos do domínio.
54
Exemplo Prático – Windows - Cenário
55
Exemplo Prático – Windows - Cenário
• Nesta parte do Exemplo temos o Forest Root , onde fica armazenado o Global Catalog(Arquivo de Diretórios) principal da Floresta. 56
Exemplo Prático – Windows - Cenário
57www.microsoft.com
58
Active Directory – Considerações
• Interface LDAP para Windows Atualmente ADFS
• Cada Domain Controler tem o Active Directory Instalado para controlar os objetos do seu Domínio.
• As informações são replicadas de tempos em tempos
para manter a consistência dos dados. Informações Urgentes são replicadas no momento da alteração.
59
Ferramentas Linux
• php LDAP admin– Módulo Web para administração do servidor
LDAP– Visualização hierárquica da árvore LDAP– Intuitivo, fácil e LIVRE!– Funciona também em outros SOs– Suporte internacional (8 línguas)– Mais informações: http://phpldapadmin
.sourceforge.net/
60
phpLDAPadmin - Criação
61
phpLDAPadmin - Edição
62
phpLDAPadmin - Buscas
63
Conclusão• Protocolo leve – não necessita de muitos recursos
computacionais;
• Padrão aberto – é possível a construção de produtos para várias plataformas (OpenLDAP);
• Expansível – podem ser adicionadas novas funcionalidades para atender às necessidades dos serviços de diretório e de segurança (framework SASL);
• Porém não é a solução para todos os problemas, pois não substitui tão eficientemente serviços como Servidores FTP, Servidores WEB ou Sistemas de Arquivos, por exemplo.
64
Bibliografia • http://www.microsoft.com/technet/columns/cableguy/
cg0302.as• http://www.microsoft.com/windows2000/technologies/
communications/wifi/default.asp• Timothy A. Howes Ph.D., Mark C. Smith, Gordon S. Good,
Understanding and Deploying LDAP Directory Services, 2nd Edition, 2003, Ed. Addison Wesley
• http://www.ldap.org.br/• http://penta2.ufrgs.br/~mfiorese/tutorial_quipu/x500.htm• http://www.openldap.com• http://www.rnp.br/newsgen/0203/
processamento_dinamico.html#ng-2-2• http://phpldapadmin.sourceforge.net/• http://www.microsoft.com
65
Recommended