´ UNIVERSIDADE FEDERAL DE GOIAS – UFG ˜ CAMPUS CATALAO – CAC ˆ ˜ DEPARTAMENTO DE CIENCIA DA COMPUTAC¸AO – DCC Bacharelado em Ciˆencia da Computa¸ca˜o Projeto Final de Curso Implementa¸c˜ao de 802.1X e RADIUS Integrado ao Active Directory e Network Access Protection no CAC/UFG Autor: Rafael de Sales y Ulhˆoa Orientador: Dr. Roberto Mendes Finzi Neto Co-orientador: Luiz Fernando Elias Martinez Catala˜o - 2010 Rafael de Sales y Ulhˆoa Implementa¸c˜ao de 802.1X e RADIUS Integrado ao Active Directory e Network Access Protection no CAC/UFG Monografia apresentada ao Curso de Bacharelado em Ciˆencia da Computa¸ca˜o da Universidade Federal de Goia´s Campus Catal˜ao como requisito parcial para obten¸ca˜o do t´ıtulo de Bacharel em Ciˆencia da Computa¸ca˜o A´rea de Concentra¸c˜ao: Redes Orientador: Dr. Roberto Mendes Finzi Neto Co-orientador: Luiz Fernando Elias Martinez Catala˜o - 2010 S. Ulhˆoa, Rafael Implementa¸c˜ao de 802.1X e RADIUS Integrado ao Active Directory e Network Access Protection no CAC/UFG/ Dr. Roberto Mendes Finzi Neto/ Luiz Fernando Elias Martinez- Catal˜ao - 2010 Nu´mero de paginas: 45 Projeto Final de Curso (Bacharelado) Universidade Federal de Goia´s, Campus Catala˜o, Curso de Bacharelado em Ciˆencia da Computa¸c˜ao, 2010. Palavras-Chave: 1. Seguran¸ca. 2. Network Access Control. 3. 802.1X Rafael de Sales y Ulhˆoa Implementa¸c˜ao de 802.1X e RADIUS Integrado ao Active Directory e Network Access Protection no CAC/UFG Monografia apresentada e aprovada em de Pela Banca Examinadora constitu´ıda pelos professores. Dr. Roberto Mendes Finzi Neto – Presidente da Banca Professor 1 Professor 2 RESUMO Ulhoˆa, R. S. Implementa¸c˜ao de 802.1X e RADIUS Integrado ao Active Di- rectory e Network Access Protection no CAC/UFG. Curso de Ciˆencia da Com- puta¸ca˜o, Campus Catala˜o, UFG, Catal˜ao, Brasil, 2010, 45p. O uso de pol´ıticas de acesso e seguran¸ca numa rede torna poss´ıvel aos administradores regulamentar o uso da infraestrutura e minimizar brechas de seguran¸cas em dispostivos de usua´rios. Tais pol´ıticas podem ser implementadas dentro de um rede fazendo uso de padro˜es e tecnologias como o IEEE 802.1X, RADIUS e Network Access Protection que visam tamb´em contabilizar das a¸co˜es dos clientes al´em de isolar dispostivos vulnera´veis em subredes. Este documento apresenta um estudo, projeto e processo de implementac¸˜ao das tecnologias citadas para a rede do campus Catal˜ao da Universidade Federal de Goi´as. Palavras-Chaves: Seguran¸ca, Network Access Control, 802.1X Conteu´do 1 Considera¸c˜oes Iniciais 1 2 Estado da Arte 2 2.1 Redes de Computadores . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 2.2 Seguranc¸a . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 2.2.1 Servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 2.2.2 Infraestrutura de Rede . . . . . . . . . . . . . . . . . . . . . . . . . 4 2.2.3 Cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 2.3 Criptografia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2.3.1 Message-Digest Algorithm 5 . . . . . . . . . . . . . . . . . . . . . . 6 2.3.2 Certificados Digitais . . . . . . . . . . . . . . . . . . . . . . . . . . 6 2.3.3 Transport Layer Security . . . . . . . . . . . . . . . . . . . . . . . . 6 2.3.4 Protocolos para o Acesso Sem Fio . . . . . . . . . . . . . . . . . . . 6 2.4 Autenticac¸˜ao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 2.4.1 Challenge-Handshake Authentication Protocol . . . . . . . . . . . . 7 2.4.2 Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 2.4.3 EAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 2.5 Network Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 2.5.1 IEEE 802.1X . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 2.6 Servidores de Autentica¸ca˜o . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 2.6.1 Protocolo RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 2.6.2 Network Access Protection . . . . . . . . . . . . . . . . . . . . . . . 20 2.6.3 Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 2.7 Virtual LAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 2.8 Resumo do Cap´ıtulo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 3 Ambiente de Implementa¸c˜ao 24 3.1 Estrutura F´ısica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 3.1.1 Equipamentos de Rede . . . . . . . . . . . . . . . . . . . . . . . . . 26 3.1.2 Sistemas Operacionais . . . . . . . . . . . . . . . . . . . . . . . . . 27 i 3.2 Servi¸cos de Rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 3.3 Problemas de Seguran¸ca . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 3.4 Resumo do Cap´ıtulo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 4 Implementa¸c˜ao 31 4.1 Projeto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 4.2 Implementa¸c˜ao dos Servidores . . . . . . . . . . . . . . . . . . . . . . . . . 32 4.3 Configurac¸˜ao dos Servidores . . . . . . . . . . . . . . . . . . . . . . . . . . 33 4.4 Autenticadores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 4.5 Suplicantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 4.6 Resumo do Cap´ıtulo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 5 Testes 38 5.1 Teste de Carga . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 5.2 M´etricas de Avalia¸c˜ao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 5.3 Recursos dos Servidores . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 5.4 Resultados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 6 Conclus˜oes Finais 41 6.1 Trabalhos Futuros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 Bibliografias 43 ii Lista de Figuras 2.1 Modelo cliente/servidor simplificado com um switch representando a infra- estrutura. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 2.2 Infraestrutura comprometida dentro de um modelo cliente/servidor. . . . . 4 2.3 Dispositivo cliente comprometida dentro de um modelo cliente/servidor. . . 5 2.4 Estrutura das mensagens do protocolo EAP. . . . . . . . . . . . . . . . . . 8 2.5 Modelo ba´sico de uma rede demonstrando a a´rea de atua¸ca˜o direta e as trˆes entidades definidas pelo padr˜ao 802.1X. . . . . . . . . . . . . . . . . . 12 2.6 Modelo de rede IEEE 802.1X destacando a localiza¸ca˜o das PAEs. . . . . . 12 2.7 Estrutura de pacotes do protocolo EAPOL. . . . . . . . . . . . . . . . . . 13 2.8 Comunica¸c˜ao numa modelo b´asico cliente/servidor segundo o padra˜o IEEE 802.1X. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 2.9 Modelo b´asico de uma rede demonstrando a ´area de atua¸ca˜o direta do padra˜o 802.1X e o protocolo RADIUS. . . . . . . . . . . . . . . . . . . . . 16 2.10 A estrutura de um pacote do protocolo RADIUS . . . . . . . . . . . . . . . 17 2.11 Comunica¸ca˜o entre um NAS e um servidor RADIUS segundo o padra˜o IEEE 802.1X. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 3.1 Desenho da localizac¸˜ao dos edif´ıcios. . . . . . . . . . . . . . . . . . . . . . 25 3.2 Conexo˜es dos racks centrais com o nu´cleo de rede numa topologia em estrela. 26 3.3 Estrutura simplificada de autentica¸ca˜o para servi¸cos utilizando uma base centralizada de concess˜ao de permiss˜oes. . . . . . . . . . . . . . . . . . . . 29 4.1 Locais de atuac¸˜ao das t´ecnologias utilizadas pelo projeto. . . . . . . . . . . 31 4.2 Defini¸ca˜o dos m´etodos de criptografia que o servidor devera´ reconhecer. . . 33 4.3 Etapas para configurar os atributos RADIUS para aloca¸ca˜o de VLANs. . . 34 4.4 Localiza¸ca˜o da op¸ca˜o para abrir o gerenciador de redes. . . . . . . . . . . . 35 4.5 Janelas de edi¸ca˜o de conexo˜es de rede para prover autentica¸ca˜o IEEE 802.1X. 36 4.6 Janela contendo as op¸co˜es de configura¸ca˜o do processo de autenticac¸˜ao em dispositivos com Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 iii 5.1 Gra´fico apresentando a varia¸c˜ao de processamento durante a execuc¸˜ao dos testes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 iv Lista de Tabelas 2.1 Lista de t´ecnicas de criptografia do protocolo EAP . . . . . . . . . . . . . 9 2.2 Lista de atributos RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . 19 2.3 Lista de atributos RADIUS utilizados para implementar VLANs . . . . . . 22 3.1 Lista dos servic¸os de rede do CAC/UFG . . . . . . . . . . . . . . . . . . . 27 v