IEEE 802.1X

IEEE 802.1X

Introdução • O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a redes Ethernet. Esse controle de acesso à rede baseado em porta utiliza as características físicas da infra-estrutura de rede local comutada para autenticar dispositivos conectados a uma porta do comutador. A capacidade de enviar e receber quadros usando uma porta do comutador Ethernet será negada se o processo de autenticação falhar. Embora esse padrão seja projetado para redes Ethernet com fio, ele foi adaptado para ser usado em redes locais sem fio IEEE 802.11.

O IEEE 802.1X define os seguintes termos: • Entidade de acesso à porta • Autenticador • Suplicante • Servidor de autenticação

Entidade de acesso à porta • Uma entidade de acesso à porta (PAE), também conhecida como uma porta de rede local, é uma entidade lógica que oferece suporte ao protocolo IEEE 802.1X associado a uma porta. Uma porta de rede local pode adotar a função de autenticador, suplicante ou ambos.

Autenticador • Um autenticador é uma porta de rede local que aplica a autenticação antes de permitir acesso a serviços que são acessados por meio da porta. No caso das conexões sem fio, o autenticador é a porta de rede local lógica em um ponto de acesso (AP) sem fio por meio do qual os clientes sem fio, operando no modo de infra-estrutura, ganham acesso à rede com fio.

Suplicante • O suplicante é uma porta de rede local que solicita acesso a serviços acessados por meio do autenticador. No caso das conexões sem fio, o suplicante é a porta de rede local lógica em um adaptador de rede sem fio que solicita acesso à rede com fio. Ele faz isso associando-se a um autenticador e se autenticando. • Quando utilizados para conexões sem fio ou conexões Ethernet com fio, o suplicante e o autenticador são conectados por um segmento de rede local ponto a ponto lógico ou físico.

Servidor de autenticação • Para verificar as credenciais do suplicante, o autenticador usa um servidor de autenticação. O servidor de autenticação verifica as credenciais do suplicante em nome do autenticador e responde ao autenticador, indicando se o suplicante está ou não autorizado a acessar os serviços do autenticador. O servidor de autenticação pode ser:

Um componente do AP. • O AP deve ser configurado com os conjuntos de credenciais de usuário correspondentes aos clientes que estão tentando se conectar. Isso geralmente não é implementado para APs sem fio. • Uma entidade separada. • O AP encaminha as credenciais da tentativa de conexão a um servidor de autenticação diferente. Geralmente, um AP sem fio usa o protocolo RADIUS para enviar os parâmetros de tentativa de conexão a um servidor RADIUS.

Portas controladas e não controladas • O controle de acesso baseado em porta do autenticador define os seguintes tipos de portas lógicas, que acessam a rede local com fio por meio de uma única porta de rede local física: • Porta Controlada • Porta Não Controlada

Porta controlada • A porta controlada permite que os dados sejam enviados entre um cliente sem fio e a rede com fio, mas apenas se o cliente sem fio estiver autenticado. Antes da autenticação, o comutador está aberto e nenhum quadro é encaminhado entre o cliente sem fio e a rede com fio. Depois de o cliente sem fio ser autenticado com êxito usando o IEEE 802.1X, o comutador é fechado e os quadros são encaminhados entre o cliente sem fio e os nós na rede com fio.

Porta não controlada • A porta não controlada permite uma troca não controlada de dados entre o autenticador (o AP sem fio) e outros dispositivos de rede na rede com fio, independentemente do estado de autorização dos clientes sem fio. Um bom exemplo é a troca de mensagens RADIUS entre um AP sem fio e um servidor RADIUS na rede com fio, que fornece a autenticação e a autorização de conexões sem fio. Os quadros enviados pelo cliente sem fio nunca são encaminhados pelo AP sem fio por meio da porta não controlada.

Funcionamento • Em um comutador Ethernet autenticado, o cliente Ethernet com fio pode enviar quadros Ethernet à rede com fio assim que a autenticação é concluída. O comutador identifica o tráfego de determinado cliente Ethernet com fio usando a porta física à qual o cliente Ethernet está conectado. Geralmente, somente um único cliente Ethernet é conectado a uma porta física no comutador Ethernet.

Como vários clientes sem fio disputam acesso e enviam dados usando o mesmo canal, é necessária uma extensão para o protocolo IEEE 802.1X básico a fim de permitir que um AP sem fio identifique o tráfego seguro de um cliente sem fio específico. Isso é feito por meio da determinação mútua de uma chave de sessão por cliente de difusão ponto a ponto realizada pelo cliente e o AP sem fio.

Somente os clientes sem fio autenticados têm uma chave de sessão por cliente de difusão ponto a ponto determinada corretamente. Sem uma chave de sessão de difusão ponto a ponto válida, ligada a uma autenticação bem-sucedida, os quadros enviados por um cliente sem fio não autenticado são descartados silenciosamente pelo AP sem fio.

Protocolo de autenticação extensível • Para fornecer um mecanismo de autenticação padrão para o IEEE 802.1X, o IEEE optou pelo protocolo de autenticação extensível (EAP). EAP é uma tecnologia de autenticação baseada no protocolo ponto a ponto (PPP) que foi adaptada para uso em segmentos de rede local ponto a ponto.

O EAP-TLS, com certificados de usuário e computador baseados no Registro, é o método de autenticação para a conectividade sem fio baseada no Windows devido aos seguintes motivos: • O EAP-TLS não requer nenhuma dependência na senha da conta de usuário. • A autenticação EAP-TLS ocorre automaticamente, sem intervenção do usuário. • O EAP-TLS usa certificados, que fornecem um esquema de autenticação de alta segurança.

Como as mensagens EAP originalmente eram definidas para serem enviadas como a carga de quadros PPP, o padrão IEEE 802.1X define o EAP através de rede local (EAPOL), que é um método de encapsular mensagens EAP para poderem ser enviadas através de segmentos Ethernet ou rede local sem fio.

Para a autenticação de conexões sem fio, o Windows usa o protocolo de nível de transporte EAP (EAP-TLS), que é definido na RFC 2716 e usado em ambientes de segurança baseados em certificado. A troca de mensagens EAP-TLS fornece autenticação mútua, negociação de conjuntos de codificação de integridade protegida e determinação mútua de material de chave de assinatura e criptografia entre o cliente sem fio e o servidor de autenticação (o servidor RADIUS). Após a autenticação e a autorização, o servidor RADIUS envia as chaves de criptografia e assinatura ao AP sem fio usando a mensagem de aceitação e acesso RADIUS.

LDAP

O que é um Diretório? • O que é um diretório? • É um banco de dados especializado com informações descritivas baseadas em atributos e organizadas em forma de árvore. • Característica de um diretório: • Resposta rápida a grande quantidade de consultas. • Tipos de diretórios: • De aplicações: diretório do MS Exchange, etc. • De sistemas operacionais de rede: NIS (Sun), AD (Microsoft) • De propósito específico: DNS • De propósito geral: LDAP

O que é o LDAP? • Lightweight Directory Access Protocol • Protocolo Leve de Acesso a Diretórios. • Trabalha na camada de aplicação da pilha de protocolos TCP/IP, como por exemplo o SMTP, HTTP, FTP, TELNET e tantos outros. • RFCs 2251 – 2830 e 3377 • Cliente-Servidor. • Orientado a mensagens.

História do LDAP X.500 A CCITT (atual ITU) cria a versão Standard X.500 , ISO 9594 Data Communications Network Directory 1988 DAS: Directory Assistance Service (RFC 1202) DIXIE: Protocol Specification (RFC1249) LDAP: X.500 Lightweight Access Protocol (RFC 1487) LDAP (RFC 1777) LDAP v2 LDAP v3 (RFC 3377) 1998

Origem do LDAP – Diretórios X.500 • Características Principais do X.500 • Conexão de Serviços de Diretórios locais a fim de formar um diretório global distribuído. • Parte do diretório fica global e sua informação é disponibilizada através de um Agente do Sistema de Diretórios • Trabalha com funções de gerenciamento, isto é, adição, modificação e deleção de entradas.

Origem do LDAP – Cliente do X.500 • O LDAP foi desenvolvido para ser um cliente para o X.500, o serviço de Diretório OSI. O X.500 define o Protocolo de Acesso a Diretório (DAP) para os clientes usarem quando estiverem em contato com servidores de Diretório.

Origem do LDAP - DAP • O DAP era um protocolo difícil de trabalhar e implementar, e protocolos mais fáceis foram desenvolvidos com a maior parte de sua funcionalidade, mas com muito menos complexidade.

Origem do LDAP – Pilha de Protocolos • O LDAP roda diretamente sobre o TCP e fornece a maioria das funcionalidades do DAP, a um custo muito menor.

Origem do LDAP – Versões • Versões LDAP • 1993 primeira versão • 1996 LDAP v2 • Autenticação forte com Kerberos v4. • 1997 LDAP v3 (atual) • Esta última foi desenvolvida para solucionar uma série de limitações existentes na anterior, incluindo aspectos de segurança, passando a suportar protocolos de autenticação forte como o Simple Authentication Security Layer (SASL) e o Transport Layer Security (TLS)

Por que usar o LDAP? • Integração entre sistemas Operacionais • Interligação ( Windows , Linux, Unix , MacOS) • Integração entre Serviços • Serviços de e-mail, FTP , Web etc. • Desempenho nas consultas: Desenvolvido com ênfase na leitura, ou seja, os dados serão lidos rapidamente por um número maior de consultas simultâneas. • Difundido no mercado • Não requer hardware pesado para operações

Por que usar o LDAP?

Diretório LDAP • Representação gráfica de parte de um diretório LDAP:

O que é LDIF? • LDAP Data Interchange Format • Formato de intercâmbio de informações para o LDAP • Definido na RFC 2849 - The LDAP Data Interchange Format • Esse formato de dados descreve o diretório e suas entradas em formato texto • Formato básico: dn: <indentificador_único> <atributo>: <valor> <atributo>:: <valor codif. em base-64> <atributo>: < <URL> ...

LDIFExemplo Simples com 2 entradas version: 1 dn: cn=Barbara Jensen, ou=Product Development, dc=airius, dc=com objectclass: top objectclass: person objectclass: organizationalPerson cn: Barbara Jensen cn: Barbara J Jensen cn: Babs Jensen sn: Jensen uid: bjensen telephonenumber: +1 408 555 1212 description: A big sailing fan. dn: cn=Bjorn Jensen, ou=Accounting, dc=airius, dc=com objectclass: top objectclass: person objectclass: organizationalPerson cn: Bjorn Jensen sn: Jensen telephonenumber: +1 408 555 1212

LDIFExemplo com uma entrada codificada em base-64 version: 1 dn: cn=Gern Jensen, ou=Product Testing, dc=airius, dc=com objectclass: top objectclass: person objectclass: organizationalPerson cn: Gern Jensen cn: Gern O Jensen sn: Jensen uid: gernj telephonenumber: +1 408 555 1212 description:: V2hhdCBhIGNhcmVmdWwgcmVhZGVyIHlvdSBhcmUhICBUaGlzIHZhbHVlIGlzIGJhc2UtNjQtZW5jb2RlZCBiZWNhdXNlIGl0IGhhcyBhIGNvbnRyb2wgY2hhcmFjdGVyIGluIGl0IChhIENSKS4NICBCeSB0aGUgd2F5LCB5b3Ugc2hvdWxkIHJlYWxseSBnZXQgb3V0IG1vcmUu

LDIFExemplo com uma entrada referenciando um arquivo externo version: 1 dn: cn=Horatio Jensen, ou=Product Testing, dc=airius, dc=com objectclass: top objectclass: person objectclass: organizationalPerson cn: Horatio Jensen cn: Horatio N Jensen sn: Jensen uid: hjensen telephonenumber: +1 408 555 1212 jpegphoto:< file:///usr/local/directory/photos/hjensen.jpg

LDIF • Representação gráfica de um arquivo LDIF:

Operação do protocolo LDAP • Recebimento de uma única entrada: • Caso o LDAP Server ache apenas um valor para a operação de Search realizada, esse valor é retornado. • Na requisição, o cliente envia um ID único (msgid). Esse ID é usado nas respostas para identificar as mensagens.

Operação do protocolo LDAP • Recebimento de várias entradas: • Caso o LDAP Server ache diversos valores para a operação de Search realizada, eles são retornados em mensagens separadas. • Cada entrada retornada tem um nome único chamado de distinguished name (DN).

Operação do protocolo LDAP • Requisição de várias operações: • Como o LDAP é orientado a mensagem, é possível realizar diversas operações ao mesmo tempo. • Isto torna o protocolo mais flexível e eficiente, pois não há a necessidade de esperar uma resposta do server antes de realizar outra operação, como no HTTP.

Operação do protocolo LDAP • Tipos de operações do LDAP, divididas em 3 classes: • Operações de pergunta: • Search • Compare • Operações de atualização: • Add • Delete • Modify • Modify DN (Rename) • Operações de autenticação e controle: • Bind (Cliente se autentica com o Servidor) • Unbind (Cliente termina sessão com o Servidor) • Abandon (Cliente não está mais interessado nas respostas da requisição anteriormente enviada)

Operação do protocolo LDAP • Troca completa de mensagens entre Cliente e Servidor:

Operação do protocolo LDAP • A combinação de simples operações podem realizar tarefas complexas, exemplo:

A Segurança no LDAP • Protegendo informações de acessos indevidos: • Autenticação. • LDAP, só autenticação simples (texto aberto) • LDAPv2, autenticação simples e pode utilizar Kerberos v4 e v5 • LDAPv3, utiliza framework SASL (Simple Authentication and Security Layer) – múltiplos mecanismos de autenticação • Transmissão de dados segura (criptografia). • Modelos de controle de acesso.

Métodos de Autenticação • LDAPv3: métodos de autenticação definidos na RFC 2829 (Authentication Methods for LDAP). • Nessa RFC, os servidores foram quebrados em 3 grupos: • Servidores LDAP públicos Somente-leitura (permitem login anônimo, sem senha). • Servidores com autenticação usando senhas (usa mecanismo SASL DIGEST-MD5). • Servidores com autenticação e criptografia de dados (usa StartTLS para camada de transporte segura e certificados com chaves públicas para autenticação de ambos os lados).

Método de Criptografia • Transport Layer Security (TLS) • TLS proporciona: • Autenticidade, Integridade e Criptografia de dados • Clientes que usam TLS na comunicação: • Suas mensagens não serão decifradas caso sejam capturadas. • Suas mensagens não serão alteradas (homem do meio) • Podem autenticar o servidor (usando certificados com chaves públicas) • Podem verificar a autenticidade de servidores nos quais ele já está conectado (usando certificados com chaves públicas)

Método de Criptografia • LDAP usando SASL com SSL/TLS

Método de Criptografia

Modelo de Controle de Acesso • Define os direitos de acesso as informações do diretório para cada usuário ou grupo: • Ex: • Somente leitura de nomes para usuário Administrator; • Alteração de descrição para todos os usuários; • Leitura de informações básicas do diretório para usuário Anônimo; • Não foi padronizado pela IETF (ainda estão definindo um padrão). • Cada fabricante tem um padrão distinto  muito trabalho de migração caso seja necessário mudar de fabricante.

Tipos de Otimizações • Replicação do serviço de diretórios  Conceito de prover mecanismos de tolerância a falhas afim que manter o acesso as informações dos usuário sempre integra. • Diretórios distribuídos  Conceito que visa reduzir os pontos de falhas , alem de prover menor consumo de banda e tempo quando uma consulta é realizada. O principal benefício é a possibilidade de redução de custos com hardware

Replicação de Diretório • Problema: Muitos computadores acessando um servidor  ponto de falha.

Replicação de Diretório • Solução: Usar o conceito de Diretórios Replicados para usar uma redundância quando for necessário.

IEEE 802.1X

IEEE 802.1X

Presentation Transcript

IEEE 802.1x (Port Based Network Access Control)

802.1X Misuses

IEEE 802 Response to FDIS comments on IEEE 802.1AE and IEEE 802.1X

– Chapter 5 (B) – Using IEEE 802.1x

IEEE 802.1x與IEEE 802.11i的介紹

An Initial Security Analysis of the IEEE 802.1x Standard

An Initial Security Analysis of the IEEE 802.1x Standard

SURFnet en IEEE 802.1X

802.1X Authentication

802.1x

EAP i PEAP kod IEEE 802.1X

IEEE 802.1X

802.1X

IEEE 802.1x

Secure Handover for IEEE 802.1x Wireless Networks

802.1X Configuration

IEEE 802.1X and RADIUS Security

IEEE 802.1X For Wireless LANs

– Chapter 5 (B) – Using IEEE 802.1x

802.1X

An Initial Security Analysis of the IEEE 802.1x Standard

IEEE 802.1X

IEEE 802.1X

Presentation Transcript

IEEE 802.1x (Port Based Network Access Control)

802.1X Misuses

IEEE 802 Response to FDIS comments on IEEE 802.1AE and IEEE 802.1X

– Chapter 5 (B) – Using IEEE 802.1x

IEEE 802.1x與IEEE 802.11i的 介紹

An Initial Security Analysis of the IEEE 802.1x Standard

An Initial Security Analysis of the IEEE 802.1x Standard

SURFnet en IEEE 802.1X

802.1X Authentication

802.1x

EAP i PEAP kod IEEE 802.1X

IEEE 802.1X

802.1X

IEEE 802.1x

Secure Handover for IEEE 802.1x Wireless Networks

802.1X Configuration

IEEE 802.1X and RADIUS Security

IEEE 802.1X For Wireless LANs

– Chapter 5 (B) – Using IEEE 802.1x

802.1X

An Initial Security Analysis of the IEEE 802.1x Standard

IEEE 802.1x與IEEE 802.11i的介紹