Embed Size (px)
Citation preview
1
Relatório
Acesso Seguro Baseado em VLAN Dinâmica
Projeto Eduroam-br
Education Roaming em Universidades Brasileiras
Janeiro de 2013
Equipe:
Profa. Débora C. Muchaluat Saade (UFF/IC) - coordenadora Prof. Célio Vinicius Neves de Albuquerque (UFF/IC) Prof. Luiz Cláudio Schara Magalhães (UFF/TET) Prof. Luís Henrique Maciel Kosmalski Costa (UFRJ) Prof. Miguel Elias Mitre Campista (UFRJ) Prof. Marcelo Luiz Drumond Lanza (UFRJ) Prof. Ronaldo Alves Ferreira (UFMS) Profa. Hana Karina Salles Rubinsztejn (UFMS) Edelberto Franco Silva (UFF/IC) Esdras Caleb Oliveira Silva (IC/UFF) Augusto Tundis Ferreira (UFRJ) Brivaldo Junior (UFMS) Juliano T. Bergamo (UFMS) Péricles C. M. Lopes (UFMS) Thiago Rodines (UNICAMP)
2
1. Introdução
A intenção da utilização da VLAN (Virtual Local Area Network) dinâmica é possibilitar que usuários com diferentes papéis dentro de uma instituição possam se associar à rede sem fio de forma segura respeitando as regras de privacidade e isolamento locais. Como ilustração, a Figura 1 mostra o isolamento entre as VLAN correspondentes a funcionários, alunos e visitantes em uma instituição. Esse isolamento permite que tanto os dados trafegados quanto o acesso a certos serviços sejam possíveis somente àqueles usuários de nível comum, ou seja, usuários com perfil de funcionário podem ter acesso a compartilhamentos comuns a eles na rede, diferentemente dos alunos e visitantes associados à rede que terão acesso somente aos recursos particulares às suas VLANs.
Figura 1 - Ilustração de VLAN distintas para três níveis de usuários [RNP 13].
O presente relatório apresenta os conceitos envolvidos na implantação da funcionalidade de VLAN dinâmica em roteadores sem fio integrados ao serviço eduroam, que utiliza autenticação baseada no padrão RADIUS (Remote Authentication Dial In User Service) [Radius 00]. Mais especificamente, foi utilizado um equipamento Cisco Aironet 1260 series [Cisco 13]. O intuito deste documento é, além de introduzir os principais conceitos envolvidos na tecnologia, demonstrar o passo a passo de configuração tanto para o servidor RADIUS quanto para o ponto de acesso Cisco em questão.
O restante do texto está organizado da seguinte forma. A Seção 2 apresenta os principais conceitos de VLAN. A Seção 3 exibe um guia de instalação e configuração de todos os serviços envolvidos na criação da VLAN dinâmica tanto pelo FreeRADIUS quanto pelo ponto de acesso Cisco. Já a Seção 4 conclui o relatório.
2. VLAN – Conceitos Básicos
O texto utilizado como base para a escrita desta seção se encontra disponível no endereço [GTA 02].
3
As redes locais (LANs - Local Area Networks), presentes em maior número nas empresas e universidades, são definidas como um sistema de comunicação de dados confinado a uma área geográfica limitada, possuindo altas taxas de transmissão, de acordo com a tecnologia utilizada. Entretanto, alternativamente, diz-se que uma LAN é "um único domínio broadcast", ou seja, onde todos os dispositivos que irão receber quadros de broadcast originários de qualquer dispositivo pertencente a este mesmo conjunto. Os domínios de broadcast são tipicamente delimitados por roteadores, já que estes não encaminham quadros deste tipo.
As VLANs IEEE 802.1Q surgem como uma solução alternativa ao uso de roteadores para conter o tráfego broadcast, já que inserem a possibilidade de segmentação das redes locais em diferentes domínios, aumentando tanto o desempenho, conservando a largura de banda, quanto a segurança de uma rede local, limitando o tráfego a domínios específicos.
Como comentado anteriormente, em uma rede eduroam de acesso sem fio, é desejado que usuários com papéis diferentes não compartilhem o mesmo domínio, sendo assim, a utilização do conceito de VLAN se aponta com grande interesse.
Diversos são os benefícios da oferta de VLANs:
Controle do tráfego broadcast: As VLANs apresentam um desempenho superior às tradicionais redes locais, principalmente devido ao controle do tráfego broadcast. Tempestades de quadros broadcast (broadcast storms) podem ser causadas por mal funcionamento de placas de interface de rede, conexões de cabos mal feitas e aplicações ou protocolos que geram este tipo de tráfego, entre outros. Em redes onde o tráfego broadcast é responsável por grande parte do tráfego total, as VLANs reduzem o número de pacotes para endereços desnecessários, aumentando a capacidade de toda a rede. De outro ponto de vista, em uma rede local segmentada, os domínios de broadcast são menores. Isto porque cada segmento possui um menor número de dispositivos conectados, comparado ao existente na rede sem segmentação. Com isso, trafegam menos quadros broadcast tanto em cada segmento, quanto em toda rede.
Segmentação lógica da rede: Cada VLAN pode ser associada a
um departamento ou grupo de trabalho, mesmo que seus membros estejam fisicamente distantes. Isto proporciona uma segmentação lógica da rede.
Redução de custos e facilidade de gerenciamento: Grande parte do custo de uma rede se deve ao fato da inclusão e da movimentação de usuários da mesma. Cada vez que um usuário se movimenta é necessário um novo cabeamento, um novo endereçamento para estação de trabalho e uma nova configuração de repetidores e roteadores. Em uma VLAN, a adição e movimentação de usuários podem ser feitas remotamente pelo administrador da rede (da sua própria estação), sem a necessidade de modificações físicas, proporcionando uma alta flexibilidade.
4
Independência da topologia física: VLANs proporcionam
independência da topologia física da rede, permitindo que grupos de trabalho, fisicamente diversos, possam ser conectados logicamente a um único domínio broadcast.
Maior segurança: As redes locais virtuais limitam o tráfego a domínios específicos proporcionando mais segurança a estes. O tráfego em uma VLAN não pode ser "escutado" por membros de outra rede virtual, já que estas não se comunicam sem que haja um dispositivo de rede desempenhando a função de roteador entre elas. Desta forma, o acesso a servidores que não estejam na mesma VLAN é restrito, criando assim "domínios de segurança no acesso a recursos".
As redes locais virtuais lidam com três tipos básicos de quadros:
Quadros sem rótulo (Untagged frames)
Quadros com rótulo de prioridade (Priority-tagged frames)
Quadros com rótulo VLAN (VLAN-tagged frames)
Um quadro sem rótulo ou com rótulo de prioridade não carrega nenhuma identificação de qual VLAN veio. Tais quadros são classificados como vindos de uma VLAN particular baseado em parâmetros associados a porta receptora, ou, em soluções proprietárias, baseado no conteúdo do quadro (endereço MAC, identificador de protocolo da camada 3, etc.).
Um quadro com rótulo VLAN carrega uma identificação explícita da sua VLAN de origem (VID), ou seja, ele possui em seu cabeçalho um rótulo contendo um campo VID não-nulo. Tal quadro é classificado como originário de uma VLAN particular baseado no valor deste identificador. A presença de um VID não-nulo no cabeçalho do quadro significa que algum outro dispositivo, ou o gerador do quadro ou uma ponte (ou comutador) com suporte a VLAN, mapeou este quadro em uma VLAN e inseriu o identificador apropriado.
Para uma dada VLAN, todos os quadros transmitidos devem ser rotulados obrigatoriamente da mesma forma neste segmento. Eles têm de ser ou todos sem rótulo, ou todos com rótulo VLAN, possuindo o mesmo VID.
Em outras palavras, um dispositivo pode transmitir quadros sem rótulo para algumas VLANs e quadros rotulados (VID) para outras em um dado enlace, mas não pode transmitir os dois formatos para mesma VLAN.
No funcionamento da VLAN dinâmica temos a alocação dos usuários de forma automatizada em uma certa VLAN conforme atributo armazenado nas propriedades do usuário no servidor de autenticação. Ou seja, são delegadas VLANs fixas no equipamento em questão, e a partir da autenticação de um usuário por meio de algum método EAP 802.1X, pacotes de retorno do servidor de autenticação AAA carregam consigo tanto respostas como acesso aceito ou negado, por exemplo, quanto o VID ao qual o usuário deverá ser associado. E desta forma o usuário é alocado àquela VLAN dinamicamente por meio de seu perfil associado.
5
3. Instalação e configuração do suporte a VLAN dinâmica
Esta seção apresenta um guia passo-a-passo da configuração de VLAN para o serviço do FreeRADIUS, serão apresentados os atributos necessários a serem associados a cada usuário para a alocação dinâmica a uma VLAN e também todos os requisitos para o suporte a esses atributos em uma base LDAP.
3.1. VLAN dinâmica no FreeRADIUS
O FreeRADIUS suporta a utilização de VLANs por usuário de forma dinâmica. Em um ambiente mais complexo, podemos ter, por exemplo, alunos que terão acesso a uma VLAN específica (por exemplo, 50) e professores com acesso a outra VLAN (por exemplo, 51). Esta divisão só faz sentido se a rede possuir roteadores e switches com suporte a VLANs e esta topologia estiver configurada corretamente na rede (trunk). Nesta fase de configurações foram utilizados os equipamentos:
Ponto de Acesso Cisco 1262n (1260 series) com suporte a VLAN dinâmica.
Servidor FreeRADIUS 2.1.10.
VLAN visitante.
Para aquele usuário eduroam que está em roaming, ou seja, se conectando em uma instituição parceira e não em sua instituição local, uma VLAN específica para visitantes é utilizada.
Nesta VLAN serão associados todos os usuários que se autenticarem com sucesso mas não tenham em seu pacote de “Access-Accept” o atributo referente ao “ID” de uma VLAN.
Veremos mais a frente que esta VLAN é criada como a VLAN padrão, para que esta funcionalidade de associação automática funcione.
Vamos criar três níveis distintos de perfis de usuários na rede, respectivamente Aluno, Professor e Visitante:
Usuário: aluno
VLAN: 50
Rede: 192.168.0.0/24
Usuário: prof
VLAN: 51
Rede: 10.1.1.0/24
Usuário: visitante
VLAN: 52
Rede: 10.2.1.0/24
6
Primeiro temos que configurar o FreeRADIUS para realizar o tunelamento
das respostas para o equipamento que está autenticando. Vamos editar o arquivo /etc/freeradius/eap.conf:
# vim /etc/freeradius/eap.conf
...
eap {
...
ttls {
...
use_tunneled_reply = yes
...
}
peap {
...
use_tunneled_reply = yes
...
}
...
}
Listagem 1 - Liberando tunelamento do FreeRADIUS
3.1.1. VLAN dinâmica por arquivo de texto puro
Com o passo anterior realizado, é necessário alterar as configurações dos usuários. Vamos realizar um teste inicial cadastrando diretamente no arquivo de configurações “users” criando a entrada dos dois usuários:
# vim /etc/freeradius/users
...
# VLAN 50 – Para Alunos
"aluno" Cleartext-Password := "aluno"
Tunnel-Type = VLAN,
Tunnel-Medium-Type = IEEE-802,
Tunnel-Private-Group-Id = 50,
# VLAN 51 – Para Professores
"prof" Cleartext-Password := "prof"
Tunnel-Type = VLAN,
Tunnel-Medium-Type = IEEE-802,
Tunnel-Private-Group-Id = 51,
...
7
Reinicie o serviço do FreeRADIUS:
# /etc/init.d/freeradius restart
Feito isso, tente autenticar-se com o usuário prof. No log do FreeRRADIUS, você deve ver algo como:
[peap] Got tunneled reply code 2
Tunnel-Type:0 = VLAN
Tunnel-Medium-Type:0 = IEEE-802
Tunnel-Private-Group-Id:0 = "51"
MS-MPPE-Encryption-Policy = 0x00000002
MS-MPPE-Encryption-Types = 0x00000004
MS-MPPE-Send-Key = 0x07a78f7d501f53639e89112378b70160
MS-MPPE-Recv-Key = 0x456e90275ff130f442f6aa649d579ea0
EAP-Message = 0x03090004
Message-Authenticator = 0x00000000000000000000000000000000
User-Name = "prof"
[peap] Got tunneled reply RADIUS code 2
Tunnel-Type:0 = VLAN
Tunnel-Medium-Type:0 = IEEE-802
Tunnel-Private-Group-Id:0 = "51"
MS-MPPE-Encryption-Policy = 0x00000002
MS-MPPE-Encryption-Types = 0x00000004
MS-MPPE-Send-Key = 0x07a78f7d501f53639e89112378b70160
MS-MPPE-Recv-Key = 0x456e90275ff130f442f6aa649d579ea0
EAP-Message = 0x03090004
Message-Authenticator = 0x00000000000000000000000000000000
User-Name = "prof"
[peap] Tunneled authentication was successful.
[peap] SUCCESS
Se os dados da VLAN apareceram como neste log é porque foram enviados corretamente para o equipamento que requisitou a autenticação. Se este equipamento suportar VLANs dinâmicas, o usuário “prof” será atribuído a VLAN 51. O teste é análogo para o usuário “aluno”.
3.1.2. VLAN dinâmica na base LDAP
Com o funcionamento adequado do esquema de VLANs dinâmicas configurado diretamente no arquivo users, agora vamos migrar esta
8
configuração para os usuários que estão na base do OpenLDAP. Primeiro é necessário copiar o esquema do FreeRadius para dentro do OpenLDAP:
# cp /usr/share/doc/freeradius/examples/openldap.schema /etc/ldap/schema/
A seguir temos um exemplo completo do ldif do usuário aluno:
# vim aluno.ldif
dn: uid=aluno,dc=uff,dc=br
sn: da Silva
cn: Aluno Comum
uid: aluno
objectClass: person
objectClass: inetOrgPerson
objectClass: sambaSamAccount
objectClass: radiusprofile
radiusTunnelType: VLAN
radiusTunnelMediumType: IEEE-802
radiusTunnelPrivateGroupId: 51
userPassword: {SSHA}gWRX6IuyiGw+0xvPN3JhaGEcvuLJqmlB
sambaNTPassword: 1E39A9A22F2D08A0B69C4A5ACA7E5332
sambaSID: 1
Notem que existe um objeto novo: radiusprofile e as configurações de VLAN já estão corretamente ajustadas. Não esqueça de remover a entrada do “aluno” que está inserida diretamente dentro do arquivo users do FreeRadius.
A senha deste usuário aluno é senha1. Vamos adicioná-lo na base do OpenLDAP:
# ldapadd -x –W -D “cn=aluno,dc=uff,dc=br” -f aluno.ldif
se o usuário foi adicionado com sucesso a seguinte mensagem vai aparecer:
adding new entry “uid=aluno,dc=uff,dc=br”
Depois de realizar estas modificações, reinicialize o OpenLDAP:
# /etc/init.d/slapd restart
9
3.2. Cisco Aironet 1260 series
Os pontos de acesso Cisco da família 1200 possuem a capacidade de utilização de VLAN dinâmicas. No contexto do projeto eduroam-br, foram adquiridos pontos de acesso standalone Cisco Aironet 1262n, que provêem suporte aos padrões IEEE 802.11a/b/g/n, utilizando as frequências de 2.4GHz e 5GHz.
NOTA: é necessário adquirir todos os componentes do equipamento
separadamente, ou seja, cabo console, antenas (3 x 2.4GHz e 3 x 5GHz),
fonte AC/DC ou utilizar PoE por injetor da família Cisco.
É possível encontrar maiores informações sobre esse equipamento em [CiscoAironet 13] e acessar o tutorial de configuração de VLAN para os equipamentos 1200 series em [CiscoVLAN 13].
Supondo que seu equipamento forneceu endereço IP ao host ao qual você está conectado, é necessário apenas acessar a interface web de configuração para facilitar todo o processo. É possível, obviamente, continuar a configuração por meio do cabo console, através do Cisco IOS versão 12.4(25d)JA.
Primeiramente autentique no equipamento utilizando o usuário “admin” ou “cisco” com a senha “Cisco”. Feito isso, configure o endereço IP pelo qual seu ponto de acesso responderá na rede local. Entre na aba Express Setup como ilustrado na Figura 2.
Figura 2 – Configuração do AP Cisco.
10
Neste ponto deverá ser marcado, mais abaixo na mesma tela, as opções a seguir tanto para o Radio 802.11n na frequência de 2.4GHz quanto de 5GHz (caso queira a utilizar), como na Figura 3.
Figura 3 – Configuração do AP Cisco - cont.
Vamos ao passo responsável pela criação das VLANs as quais queremos associar nossos usuários.
Na opção Services->VLAN, crie as VLANs que serão utilizadas. Lembrando que uma das VLANs deve ser marcada como nativa. Essa VLAN é equivale à VLAN untagged (não idenfiticadas) na porta do switch, No switch, as outras VLANs, que serão distribuídas, são identificadas e têm a porta configurada como trunk. Isso se justifica porque a VLAN definida como nativa não identifica seu ID nos quadros por definição e servirá para os usuários visitantes. Coloque também o nome (VLAN Name) de acordo com o nome da VLAN cadastrada na sua base de dados (Por ex: em nosso LDAP existem usuários cadastrados na VLAN com identificação 50 e 51), como na Figura 4.
11
Figura 4 – Configuração de VLAN.
Vá na aba Network Interfaces e na rádio de frequência 2.4GHz/5.0GHz, aba Settings e marque a opção Enable para ativar as interfaces, como na Figura 5.
Figura 5 – Configuração da interface.
12
Vá em Security->Encryption Manager e marque a opção cipher para AES CCMP, como na Figura 6. É neste momento que indicamos que utilizaremos métodos EAP (802.1X). Após feito isso, confirme com Apply-all.
Figura 6 – Configuração de VLAN.
Vamos agora configurar o SSID que utilizaremos em nossa rede. O equipamento em questão permite múltiplos SSIDs, mas em nosso exemplo estamos criando apenas um SSID de teste, que para diferenciar de nossa rede eduroam institucional oficial a chamaremos de eduroam-Cisco.
Sendo assim, vá até a aba Security->SSID Manager, adicione o ssid do eduroam e marque abaixo a opção With EAP nos métodos de autenticação aceitos, como na Figura 7.
13
Figura 7 – Configuração do SSID.
Mais abaixo, na opção de Key Management, utilize a opção Mandatory, Enable WPA e marque a opção WPAv2, como na Figura 8.
Figura 8 – Configuração do WPA2.
Na opção Guest/Mode SSID settings, marque a opção Set Single BSSID,
como na Figura 9.
14
Figura 9 – Configuração do SSID - cont.
Finalizando, devemos cadastrar o servidor RADIUS que configuramos. Neste exemplo, o IP do servidor de testes é representado pelo IP 200.20.0.37, não esqueça de trocar para o seu IP.
Vá até a opção Security->Server Manager e cadastre o servidor radius da instituição. Abaixo marque a priority 1 no EAP Authentication para o seu servidor, assim como para o Accounting, caso utilize esta funcionalidade, como na Figura 10.
Figura 10 – Configuração do servidor RADIUS.
4. Conclusões
Este documento apresentou os conceitos envolvidos na função de VLAN dinâmica integrado ao serviço RADIUS a ser incorporado ao projeto eduroam-br como forma de adicionar maior segurança e privacidade aos diversos papéis
15
de usuários dessa rede. Foi também apresentado, além de um guia introdutório de VLANs, um passo-a-passo de configuração tanto do servidor FreeRADIUS e da adição de um usuário de testes na base LDAP com os atributos necessários para VLAN, como para a configuração do ponto de acesso Cisco Aironet 1260n.
Note que para a configuração de VLANs dinâmicas, o ponto de acesso deve dar suporte a esta funcionalidade.
5. Bibliografia
[CiscoAironet 13] Cisco Aironet 1260 Series Access Point Data Sheet. http://www.cisco.com/en/US/prod/collateral/wireless/ps5678/ps10980/data_sheet_c78-593663.html
[CiscoVLAN 13] http://www.cisco.com/en/US/docs/wireless/access_point/1200/vxworks/configuration/guide/bkscgch4.html
[GTA 02] Conceitos de VLAN, Igor Monteiro Moraes, 2002. Disponível em: http://www.gta.ufrj.br/grad/02_2/vlans
[Radius 00] Remote Authentication Dial In User Service (RADIUS), IETF RFC 2865, junho de 2000.
[RNP 13] Rede Nacional de Ensino e Pesquisa, eduroam, 2013. Disponível em: http://portal.rnp.br/web/servicos/como-funciona1
