You are on page 1of 43

Ricardo Queiroz

22/08/2016

Network+
Segurana
Autenticao e Controle de Acesso
Ricardo Queiroz
Ps-graduao em Redes de Computadores da FSA

Ricardo Queiroz

Introduo
At agora...
Estudamos padres de redes, tecnologias relacionadas e
como fazer dispositivos se comunicarem atravs de uma
infraestrutura de rede
No entanto, comunicao em rede muito mais que isso,
dessa forma, agora discutiremos um aspecto crtico:
Segurana
Estabelecer comunicao e acessas informaes locais ou
remotas j dominamos, agora precisamos saber quem est
na outra extremidade da conexo
Resumidamente, precisamos confirmar que a pessoa,
computador ou processo na outra extremidade devia estar
acessando um determinado recurso e se essa entidade
realmente quem diz ser!
2

Network+: Autenticao e Controle de Acesso

Network+

Ricardo Queiroz

Ricardo Queiroz

22/08/2016

Filtragem de Segurana (1)


Processo...
Como sabemos quem realmente est do outro lado da
conexo?
Simples, basta apenas que a entidade na outra extremidade
da conexo se identifique, correto?
Errado!
Isto no o bastante, pois pessoas e, principalmente,
hackers, mentem!
absolutamente ingnuo, assumir que uma pessoa ou
computador na outra extremidade da comunicao
quem ele reivindica ser!

A triste verdade : Hackers usam um arsenal poderoso de


ferramentas com o objetivo de convencer-nos que eles so
qualquer pessoa com a qual precisamos nos comunicar.
3

Network+: Autenticao e Controle de Acesso

Ricardo Queiroz

Filtragem de Segurana (2)


Processo...
Portanto, imperativo controlar quem ou o que pode entrar
na nossa rede, identificando computadores especficos e
individualmente quem tem o direito de acesso a nossos
recursos.
E agora, como faremos isso?
Pra comear, a primeira linha de defesa a Filtragem de
Segurana, a qual refere-se de maneira ampla aos
meios como as pessoas acessam nossos recursos de
forma segura
Esse processo duplo e engloba garantias que somente
entidades autorizadas acessem nossa rede e garanta
que os dados que enviamos como resposta esto
seguros, ou seja, no podem ser interceptados e
traduzidos pelos caras maus
4

Network+: Autenticao e Controle de Acesso

Network+

Ricardo Queiroz

Ricardo Queiroz

22/08/2016

Listas de Controle de Acesso ACL (1)


Detalhamento
O ponto principal aqui que, qualquer um conectado a
Internet est instantaneamente vulnervel a ao de
ameaas e, assim, ocorrncia de incidentes de segurana
Neste cenrio, entram os Firewalls
So basicamente ferramentas que trabalham para
prevenir acesso no autorizado a rede interna e
restringem o acesso a recursos externos

As ACLs tipicamente residiam em roteadores, onde so


resposveis por determinar quais pacotes tem permisso
para serem roteados para dentro e para fora da rede
corporativa, agora residem tambm nos firewalls
As decises sobre o trfego que permitido, baseiam-se nos
endereos IP de origem e destino e nos protocolos
transportados pelos pacotes IP
5

Network+: Autenticao e Controle de Acesso

Ricardo Queiroz

Listas de Controle de Acesso ACL (2)


Exemplo de Access Control List
Usurios da rede A, podem acessar a rede B.
Um usurio na rede B, quer acessar a rede A. Poderamos
entender isso como um ataque de IP Spoofing, onde algum
finge ter um endereo de rede no firewall para ganhar
acesso a rede A ou um usurio na rede B, finge estar
localizado na rede A

Network+: Autenticao e Controle de Acesso

Network+

Ricardo Queiroz

Ricardo Queiroz

22/08/2016

Listas de Controle de Acesso ACL (3)


Configurao
Podemos criar um grande array de ACLs, do mais simples, ao
mais complexo, dependendo exatamente do que
pretendemos, por exemplo
Colocar em locais separados as ACLs de trfego de
entrada e de trfego de sada para facilitar o
gerenciamentos das interfaces em roteadores/firewalls

Quando configurar ACLs entre a Internet e sua rede privada,


para mitigar problemas de segurana, uma boa ideia incluir
essas quatro condies

Deny any addresses from your internal networks.


Deny any local host addresses (127.0.0.0/8).
Deny any reserved private addresses.
Deny any addresses in the IP multicast address range
(224.0.0.0/4).
7

Network+: Autenticao e Controle de Acesso

Ricardo Queiroz

Listas de Controle de Acesso ACL (4)


Consideraes Importantes
Nenhum dos endereos anteriores deveria ser jamais
permitido ter acesso a sua rede interna
Devido a forma como o endereamento IP Pblico foi
organizado, com alguma pesquisa voc pode criar um filtro
que bloqueia um pais, estado ou at uma localidade
ACLs podem ser criadas para permitir ou negar acesso com
base no endereo IP de origem ou destino, mas se sua rede
roda outros protocolos alm do TCP/IP, possvel filtrar
trfego com base no MAC
Apenas tenha em mente que muito mais fcil lidar com
endereos IP que endereos MAC, pois trabalhar com ambos
requer habilidade para no criar falsos-negativos
8

Network+: Autenticao e Controle de Acesso

Network+

Ricardo Queiroz

Ricardo Queiroz

22/08/2016

Filtragem de Portas
Funcionamento
ACLs tambm podem ser usadas para filtrar nmeros de
porta assim como feito com endereos IP
Na verdade, a maioria dos firewalls permite somente trfego
pelas portas que foram especificadas pelo administrador
uma forma de Deny implcito, ou seja, tudo que no
especificamente permitido, negado por padro!

Quando partimos para o gerenciamento de portas essencial


saber os nmeros de porta do trfego que precisa ser
permitido atravs do firewall
Isso principalmente importante quando tratamos de
trfego criptografado, ou seja, devemos saber para quais
portas o trfego de SSL e IPSec est sendo encaminhado
9

Network+: Autenticao e Controle de Acesso

Ricardo Queiroz

Tunelamento (1)
preocupante imaginar uma imensa quantidade de
dados sensveis que trafega na Internet sem
absolutamente nenhuma segurana
A Internet precisa de segurana tanto quanto precisamos de
ar puro!
Existe uma gama de protocolos que oferecem regras e
condies para definir, criar e manter conexes seguras para
viabilizar o envio seguro de dados sensveis

Proponho uma Anlise...


Potencialmente, o que mais seguro, transmitir dados atravs
de uma rede Wireless ou de uma Rede Cabeada?

10

Network+: Autenticao e Controle de Acesso

Network+

Ricardo Queiroz

Ricardo Queiroz

22/08/2016

Tunelamento (2)
Conceitos Importantes
Tunelamento
Significa encapsular um protocolo dentro de outro
protocolo para garantir que a transmisso seja segura
Essa ideia de colocar a PDU de um protocolo dentro do payload de outro
protocolo para ser enviada, onde este ltimo criptografa o payload
Se olharmos o processo como um todo, temos a ntida ideia que criamos
um tnel seguro para a conexo

11

Network+: Autenticao e Controle de Acesso

Ricardo Queiroz

Protocolos de Tunelamento
Entendimento Importante
Por agora, precisamos prepara um alicerce para as prximas
disciplinas, para que no momento certo, tenhamos base para
desenvolver habilidades e competncias para implementar
mecanismos de segurana com eficcia
Protocolos que precisamos entender seu funcionamento
Virtual Private Network VPN
Secure Sockets Layer SSL
SSL com VPN
Layer 2 Tunneling Protocol L2TP
Internet Protocol Security IPSec
Internet Security Association and Key Management
Protocol - ISAKMP

12

Network+: Autenticao e Controle de Acesso

Network+

Ricardo Queiroz

Ricardo Queiroz

22/08/2016

Virtual Private Network (1)


Conceito
O conceito de VPN simples, apenas uma conexo que envolve
LANs remotas e a WAN da Internet, onde a diferena que os
dados trafegam seguros
A segurana pode ser a nvel de confidencialidade ou Integridade,
que nem sempre precisam andar juntas (Lembra a diferena?)
Tenha em mente sempre o seguinte...
Em algum ponto em uma LAN (hosts, roteadores ou firewalls)
existem protocolos para viabilizar a segurana
Para que haja uma conexo segura, as extremidades da
conexo devero negociar opes para que os protocolos de
segurana possam tratar os payload, envi-los e o receptor
reconhecer esses payloads e trata-los adequadamente
Quem negocia tais opes um protocolo de sinalizao,
como, por exemplo, o SSL ou TLS

Concentre-se nos termos acima em azul e tente visualizar o


processo e/ou os protocolos envolvidos!
13
Network+: Autenticao e Controle de Acesso

Ricardo Queiroz

Virtual Private Network (2)


Exemplo de VPN

Uma VPN permite minha conexo com recursos remotos


atravs de uma WAN, como se estivesse dentro da prpria LAN

14

Network+: Autenticao e Controle de Acesso

Network+

Ricardo Queiroz

Ricardo Queiroz

22/08/2016

Virtual Private Network (3)


Tipos de VPNs
Essa definio baseada no tipo de papel que elas executam
em ambientes corporativos
VPNs de Acesso Remoto
Permitem que usurios remotos acessem de forma
segura uma rede corporativa sempre que e quando quer
que seja necessrio

VPNs Site-to-Site
Ou Intranet VPN, permite a uma companhia se conectar
a seus outros sites remotos criado a ideia de um
backbone corporativo sobre um meio pblico, como a
Internet ao invs de gastar os caros links Frame Relay

Extranet VPNs
Permite aos fornecedores, parceiros e consumidores de
uma organizao conectarem-se a rede corporativa, de
15
forma limitada, para realizarem atividades B2B
Network+: Autenticao e Controle de Acesso

Ricardo Queiroz

SSL e SSL VPN (1)


Princpios...
Inicialmente e Web era usada para distribuir pginas estticas
Posteriormente a Web comeou a ser usada para transaes
financeiras e essas transaes criaram uma demanda por conexes
seguras
Em 1994, a Netscape Communications Corp. introduziu um pacote
de segurana chamado SSL (verso 2.0) para trabalhar com o seu
navegador e prover segurana para conexes
Ele baseado no protocolo de criptografia pblica RSA (Rivest,
Shamir e Adleman) e usado para prover sesses de conexo
segura sobre a Internet entre o navegador e o servidor Web
O SSL independe do protocolo da camada superior ou inferior, ou
seja, qualquer aplicao pode us-lo
O HTTPS na verdade o HTTP usando o SSL para viabilizar uma
conexo segura sobre o TCP (operando normalmente na porta 443)
16

Network+: Autenticao e Controle de Acesso

Network+

Ricardo Queiroz

Ricardo Queiroz

22/08/2016

SSL e SSL VPN (2)


Princpios
Pode ser visto como uma camada colocada entre a camada de
aplicao e a camada de transporte
Depois que a conexo segura estabelecida, a principal tarefa da
SSL manipular a compactao e a criptografia
O SSL constri uma conexo segura entre dois sockets, incluindo
Negociao de parmetros entre navegador e servidor Web
Autenticao mtua de servidor e navegador (opcional)
Comunicao confidencial
Integridade dos dados

Se analisarmos o processo do SSL em detalhes, veremos que o


mesmo uma soluo de sinalizao, ou seja, um protocolo que
viabiliza a comunicao entre protocolos de segurana que esto
localizados remotamente, para que estes ltimos possam negociar
mtodos, chaves de criptografia, compactao bem como outras
opes necessrias para o processo da sesso de conexo segura
17

Network+: Autenticao e Controle de Acesso

Ricardo Queiroz

SSL e SSL VPN (3)


Processo de Estabelecimento de Conexes Seguras

18

Network+: Autenticao e Controle de Acesso

Network+

Ricardo Queiroz

Ricardo Queiroz

22/08/2016

SSL e SSL VPN (4)


Funcionamento
Atualmente o protocolo SSL se encontra na verso 3 a qual
a mais amplamente utilizada
A SSL admite uma variedade de algoritmos e opes distintas
Essas opes (compactao e criptografia, por exemplo)
so negociadas em uma das fases iniciais do
estabelecimento de conexo

A SSL consiste de dois sub-processos


Um para o estabelecimento de conexes seguras
(handshake)
O outro para trafegar dados seguros, compactados e
ntegros pela conexo segura

O certificado do servidor enviado para o solicitante da


conexo para ser verificado por uma das chaves pblicas que
o solicitante possui referentes as CAs
Os browsers so pr-carregados com centenas de chaves
pblicas de CAs confiveis
19
Network+: Autenticao e Controle de Acesso

Ricardo Queiroz

SSL e SSL VPN (5)


Transferncia de Dados
Embora a SSL admita vrios algoritmos de criptografia, o
mais forte usa DES triplo com at seis chaves separadas para
a criptografia combinado com o SHA-1 para integridade
Essa combinao por ser relativamente lenta usado em
ambientes que requerem a mais alta segurana
Para aplicaes comuns de comrcio eletrnico, usado o
RC4 com uma chave de 128 bits para criptografia e o MD5
para autenticao e integridade
As verses que utilizam o RC4 enfrentam problemas
com a limitao do tamanho das chaves devido a
restries impostas pelo governo dos EUA

O RC4 possui algumas chaves fracas que podem ser


analisadas facilmente por criptoanlise
Os browsers que permite ao usurio escolher o conjunto de
cifras devem ser configurados para usar o 3DES com chaves
de 168 bits e o SHA-1 o tempo todo
20
Network+: Autenticao e Controle de Acesso

Network+

Ricardo Queiroz

10

Ricardo Queiroz

22/08/2016

SSL e SSL VPN (6)


Processo Detalhado do SSL

Unidades de 16KB

21

Network+: Autenticao e Controle de Acesso

Ricardo Queiroz

SSL e SSL VPN (7)


Evoluo do SSL
Em 1996, a Netscape submeteu o SSL IETF para padronizao,
resultando no TLS (Transport Layer Security, RFC 2246), assim
foram feitas melhorias em relao ao SSL
Melhorias quanto a implementao das funes de hashing do
MD5-SHA-1 (Isso preserva a ??? dos dados)
Mais flexibilidade quanto a escolha do algoritmos de hashing e
criptografia para navegadores e servidores Web
Suporte melhorado para o AES

As mudanas na SSL foram relativamente pequenas, mas o


suficiente para a SSL 3.0 e a TLS no serem interoperveis
A verso TLS tambm conhecida com SSL 3.1 teve suas primeiras
implementaes em 1999, embora, ainda no esteja definida a
substituio do SSL pelo TLS, mesmo TLS sendo mais seguro
J a SSL VPN nada mais que uma VPN estabelecida usando o SSL
para criar a sesso de conexo segura, conservando os mesmos
moldes conceituais de uma VPN
22
Network+: Autenticao e Controle de Acesso

Network+

Ricardo Queiroz

11

Ricardo Queiroz

22/08/2016

L2TP
Descrio
O L2TP foi criado pelo IETF para oferecer suporte a protocolos
no-TCP/IP para que uma VPN pudesse ser criada sobre a Internet
O L2TP , na verdade, uma combinao do PPTP (Microsoft) com o
L2F (Layer 2 Forwarding da Cisco)
Uma caracterstica interessante do L2TP que ele pode trabalhar
direto com a camada de enlace e suporta vrios tipos de protocolos
diferentes, alm do TCP/IP, como o IPX e Appletalk
um recurso interessante quando necessria uma VPN entre
duas redes no-TCP/IP, mas que precisam se comunicar via
Internet
Em resumo
O L2TP permite que o trfego IP, IPX ou NetBEUI seja
encriptado e ento enviado sobre qualquer rede que suporte
entrega de datagramas ponto-a-ponto, assim como IP, X.25,
Frame Relay ou ATM
23

Network+: Autenticao e Controle de Acesso

Ricardo Queiroz

PPTP
Detalhamento
Desenvolvido em conjunto pela Microsoft, Lucent, 3COM e outras
companhias para prover acesso seguro a uma VPN, no
atualmente sancionado pelo IETF, mas isso no quer dizer que no
funcione
O PPTP um combinao de um protocolo inseguro, o PPP, e de
um protocolo de sesso segura, o Generic Routing Encapsulation
(GRE) Protocol
Como o PPTP usa dois diferentes protocolos, assim, abre duas
conexes (sesses)
A ttulo de informao, ele pouco adotado, pois sofre um pouco
para passar por roteadores, e ainda foi o primeiro protocolo
suportado pelos servios de RAS da Microsoft
O PPTP permite que o trfego IP, IPX ou NetBEUI seja encriptado e
ento encapsulado em um cabealho IP onde este ser enviado
atravs de uma rede (Coorporativa ou a Internet)
24

Network+: Autenticao e Controle de Acesso

Network+

Ricardo Queiroz

12

Ricardo Queiroz

22/08/2016

IPSec (1)
uma coleo de protocolos desenvolvidos pelo IETF para fornecer
segurana para qualquer aplicao que opere nas camadas acima
Os protocolos que o IPSec utiliza so o AH responsvel pela
autenticao e o ESP que server para autenticar e criptografar
O IPSec inicialmente no define nenhum algoritmos de cifragem ou
mtodo de autenticao, no entanto
So especificados uma estrutura e um mecanismo (modo de
funcionamento) que viabiliza o uso dos respectivos mtodos
O mecanismo de autenticao do IPSec o HMAC (KeyedHashing for Message Authentication, o qual utiliza funes da
hashing (MD5 ou SHA) em combinao com uma chave
secreta compartilhada entre as entidades

Security Association
O IPSec requer uma conexo lgica entre dois hosts usando
um protocolo de sinalizao chamado Security Association
O IPSec precisa que o protocolo sem conexo IP seja
modificado para um protocolo orientado a conexo antes da
segurana ser implementada efetivamente
25

Network+: Autenticao e Controle de Acesso

Ricardo Queiroz

IPSec (2)
Security Association
Uma conexo SA simplex entre fonte e destino, mas pode
ser estabelecida uma full-duplex atravs de duas simplex
Elementos necessrio para definio de uma conexo SA
Security Parameter Index (SPI) de 32 bits, o qual um
identificador de circuito virtual em protocolos
orientados a conexo (FR e ATM)
O tipo de protocolo usado para a segurana: AH e ESP
A origem do endereo IP

26

Network+: Autenticao e Controle de Acesso

Network+

Ricardo Queiroz

13

Ricardo Queiroz

22/08/2016

IPSec (3)
Modos de Operao
O IPSec opera em dois modos onde cada um define onde o
cabealho IPSec ser adicionado no pacote IP
Modo de Transporte e Modo de Tunelamento

27

Network+: Autenticao e Controle de Acesso

Ricardo Queiroz

IPSec (3)
Viso Detalhada do Modo Tnel e Transporte
As figuras abaixo mostram os modos tnel e transporte
considerando a estrutura dos pacotes

28

Network+: Autenticao e Controle de Acesso

Network+

Ricardo Queiroz

14

Ricardo Queiroz

22/08/2016

IPSec (4)
Observe a figura atentamente....

Porque o NAT convencional interrompe uma VPN?


Pesquise uma soluo para resolver o problema
que voc identificou como resposta da
questo anterior!
(http://www.ibm.com/support/knowledgecenter/pt/ssw_ibm_i_72/rzaja/rzajaudpencap.htm)

Network+: Autenticao e Controle de Acesso

29

Ricardo Queiroz

IPSec (5)
Observe a figura atentamente....

Porque o AH do IPSec no compatvel com redes


que esto rodando o NAT (Network Address
Translation)?

30

Network+: Autenticao e Controle de Acesso

Network+

Ricardo Queiroz

15

Ricardo Queiroz

22/08/2016

ISAKMP (1)
Conceitos
O ISAKMP define procedimentos e formatos de pacotes para
estabelecer, negociar, modificar e deletar Security
Associations (SAs)
SAs contm informaes necessrias para executar servios
seguros assim como autenticao de cabealho e
encapsulamento de payload
O ISAKMP tem a funcionalidade de prover um framework
para, de forma segura, transferir chaves e autenticar dados
no especificando nenhum mtodo de gerao de chaves,
algoritmo de criptografia ou mecanismo de autenticao
Funcionando integrado ao IPSec, o ISAKMP negocia a poltica
e fornece uma estrutura comum gerando as chaves de que
os parceiros IPSec compartilham
31

Network+: Autenticao e Controle de Acesso

Ricardo Queiroz

Criptografia (1)
Introduo
Algumas vezes, goste ou no, enviar dados sigilosos pela
Internet no pode ser evitado, portanto, sem uma tecnologia
para esconder ou codificar esses dados, a sua empresa est
sob grande ameaa
Como funciona a Criptografia?
Codificando os dados com o uso de uma cifra
(algoritmo), onde o mesmo usa uma frmula especial
chamada chave para mascarar os dados sensveis a
interceptao
Ambos, os parceiros da comunicao, precisam saber a
frmula usada para codificar os dados

32

Network+: Autenticao e Controle de Acesso

Network+

Ricardo Queiroz

16

Ricardo Queiroz

22/08/2016

Criptografia (2)
Histria
Em 1979, o NSA classificou as ferramentas de criptografia e
suas frmulas associadas, como munies e a NSA passou a
supervisionar sua regulamentao desde anto
Os perigos associados a possibilidade de naes hostis,
terroristas e criminosos possam usar comunicaes
criptografadas para arquitetar crimes e permanecerem
ocultos a razo primordial para tal classificao da NSA
Est a razo porque os americanos s permitem a
exportao legal de mtodos criptogrficos fracos
Por conseguinte, isso traz uma questo a tona: Como
podemos, exatamente, medir a fora de um algoritmo de
criptografia?
Uma forma de fazer isso medir a fora dos bits, a qual
baseia-se no tamanho das chaves

33

Network+: Autenticao e Controle de Acesso

Ricardo Queiroz

Criptografia (3)
Segurana dos Mtodos de Criptografia
At 1998, somente software que trabalhasse com cheves de
criptografia de 40 bits ou menos poderia ser exportado, mas
hoje permitido 64 bits
Qualquer exportao de software com chaves maiores deve
ser revista e autorizada pela EAR Export Administration
Regulations
No entanto, tais regras no so aplicadas a todos os pases,
pois alguns so tidos como confiveis, tais como pases do
oeste europeu, Canada, Austrlia e Japo
Uma exceo a tais regras impostas a exportao de
mtodos de criptografia aplicadas a entidades bancrias
americanas em qualquer pais, as quais podem usar chaves
maiores
34

Network+: Autenticao e Controle de Acesso

Network+

Ricardo Queiroz

17

Ricardo Queiroz

22/08/2016

Criptografia com Chave Simtrica (1)


Detalhamento
A mesma chave usada para cifrar e decifra a mensagem
A chave compartilhada

O algoritmo de decifragem recproco do algoritmo de


cifragem
Se o algoritmo de cifragem usa uma combinao de
operaes de adio e multiplicao o de decifragem
usa uma combinao de operaes de subtrao e
diviso
35

Network+: Autenticao e Controle de Acesso

Ricardo Queiroz

Criptografia com Chave Simtrica (2)


Detalhamento
Os algoritmo de chave simtrica so eficientes e as chaves
so usualmente menores que as chaves do algoritmos de
chave pblica
usada freqentemente na cifragem e decifragem de
mensagens longas
Desvantagens
A cada usurio participante deve estar associada uma
nica chave
A distribuio segura de chaves um problema difcil de
resolver

36

Network+: Autenticao e Controle de Acesso

Network+

Ricardo Queiroz

18

Ricardo Queiroz

22/08/2016

Exemplo de Cifra Simtrica Usando Bloco


Data Encryption Standard DES
Cifra de bloco bastante complexa
A DES foi desenvolvida pela IBM para o governo americano
para ser um padro oficial em 77 para aplicaes no
militares
Funcionamento
O texto limpo cifrado em blocos de 64-bits usando
uma chave de 56-bits
O texto passa atravs de 19 estgios complexos
diferentes para produzir um texto cifrado de 64-bits
O DES possui dois blocos de transposio, um bloco de
permutao e 16 blocos complexos de interao
Embora os 16 blocos de iterao sejam conceitualmente
os mesmos, cada um usa uma chave derivada da chave
original
37

Network+: Autenticao e Controle de Acesso

Ricardo Queiroz

Esquema Geral Viso das Iteraes


Blocos de Iterao
Embora os 16 blocos de
iterao sejam
conceitualmente os
mesmos, cada um usa uma
chave derivada da chave
original
Observe que o bloco inteiro
de cifra DES um bloco de
substituio de um texto
limpo de 64 bits, em um
texto cifrado de 64 bits

38

Network+: Autenticao e Controle de Acesso

Network+

Ricardo Queiroz

19

Ricardo Queiroz

22/08/2016

Triplo DES TDES ou 3DES


Cifra Tripla
Consideraes Iniciais
Alguns crticos do DES argumentam que a chave pequena
demais, ento o 3DES foi desenvolvido para aumentar a chave
Uma das franquezas que o DES utiliza o mesmo princpio da
cifra de Csar embora mais complexo devido as 16 iteraes
No entanto, o novo bloco de cifra deveria manter
compatibilidade com o tamanho original

Como? (slide seguinte)


O 3DES foi um padro utilizado para cifragem do payload de
frames PPP

Funcionamento
Existem 3 blocos DES e trs chaves de 56 bits
Cada bloco DES opera com uma chave e na encriptao existe
um bloco encripta+desencripta+encripta e na desencriptao
os blocos so desencripta+encripta+desencripta

39

Network+: Autenticao e Controle de Acesso

Ricardo Queiroz

Esquema do 3DES

40

Network+: Autenticao e Controle de Acesso

Network+

Ricardo Queiroz

20

Ricardo Queiroz

22/08/2016

3DES e DES
Compatibilidade 3DES e DES
Questo Importante
Observe que o 3DES emprega uma chave em cada um dos
seus trs blocos, dessa forma

Precisaramos de 168 bits de chaves (3 x 56 bits)


Para o 3DES ser compatvel* com o DES ele deve operar
como o DES, substituindo-o em qualquer situao se que
seja necessrio nenhuma reconfigurao no sistema alvo
E como fica a compatibilidade retroativa* com o DES que
emprega somente uma chave de 56 bit
Resposta

Em vez de 168 bits temos um conjunto de chaves com


apenas 112 bits (menos overhead, inclusive)
Usamos a mesma chave Key1 no primeiro e ltimo blocos e
Key2 no bloco intermedirio
Para tornar o 3DES compatvel com o DES, Key1 = Key2 41
Network+: Autenticao e Controle de Acesso

Ricardo Queiroz

Outras Cifras Simtricas


Resumo das Cifras Simtricas
Blowfish: 1 a 448 bits lento
DES: 56 bits fraco para os dias de hoje
IDEA: 128 bits bom, mas patenteado
RC4: 1 a 2048 bits bom, mas algumas chaves so fracas
RC5: 128 a 256 bits bom, mas patenteado
Rijdael (AES): 128 a 256 bits melhor escolha
Serpent: 128 a 256 bits muito forte
DES Triplo: 112 bits segunda melhor escolha
Twofish: 128 a 256 bits muito forte, amplamente utilizado

43

Network+: Autenticao e Controle de Acesso

Network+

Ricardo Queiroz

21

Ricardo Queiroz

22/08/2016

Criptografia com Chave Pblica


Detalhamento
O problema de distribuio de chaves sempre foi o elo mais
fraco da maioria dos sistemas de criptografia, pois todos os
usurios devem ter a mesma chave usada para ambos os
processos
Na criptografia com chave pblica, h duas chaves: uma
privada e uma pblica
A chave privada mantida pelo proprietrioB e a chave
pblica distribuda publicamente sem qualquer restrio
Requisitos
D(E(P))=P
praticamente impossvel deduzir D a partir de E
No pode ser decifrado um ataque de texto escolhido
44

Network+: Autenticao e Controle de Acesso

Ricardo Queiroz

Viso da Criptografia de Chave Pblica

45

Network+: Autenticao e Controle de Acesso

Network+

Ricardo Queiroz

22

Ricardo Queiroz

22/08/2016

Algoritmos de Chave Pblica


Consideraes
Abordagem radicalmente diferente (usa o Diffie-Hellman, 76)
A chave pblica utilizada para a cifragem deve ser diferente da
chave privada utilizada para a decifragem

Vantagens
Remove a necessidade de uma chave simtrica compartilhada
entre duas entidades (pessoas ou processos)
A chave simtrica compartilhada entre duas partes e no pode ser
utilizada quando uma delas quiser se comunicar com uma terceira parte
Quando usamos a criptografia assimtrica, cada entidade cria um par de
chaves e a chave pblica pode ser utilizada para se comunicar com
qualquer outra parte

A quantidade de chaves necessrias reduzida


tremendamente

Desvantagens
Algoritmos complexos
O Tamanho das chaves relativamente extenso e processo
mais lento
A associao entre uma entidade e sua chave pblica deve ser
46
certificada atravs de uma entidade certificadora
Network+: Autenticao e Controle de Acesso

Ricardo Queiroz

Segurana de Correio Eletrnico


Introduo a Pretty Good Privacy (PGP)
Criado por Phil Zimmermann por volta de 1991
um pacote completo para segurana de mensagens de
correio eletrnico que fornece privacidade, autenticao,
assinatura digital e compactao
Suportado por praticamente todas as plataformas e com
cdigo fonte disponvel na Internet
As Primeiras Verses
Codificavam dados usando a cifra de bloco IDEA
(International Data Encryption Algorithm), a qual
emprega chaves de 128 bits
O IDEA foi criado na poca em que o DES era decadente
e o AES ainda no tinha surgido
O gerenciamento de chaves utiliza o RSA e a integridade
de dados utiliza o MD5
49

Network+: Autenticao e Controle de Acesso

Network+

Ricardo Queiroz

23

Ricardo Queiroz

22/08/2016

PGP e TCP/IP
Posio do PGP na Pilha TCP/IP

50

Network+: Autenticao e Controle de Acesso

Ricardo Queiroz

PGP
Detalhamento
Por colocar o PGP na Internet, Zimmenmann foi perseguido
por uma investigao do governo americano por, segundo os
EUA, violar as leis de exportao de munies
Devido a publicao do cdigo e para fugirem da perseguio
por utilizar algoritmos patenteados, surgiram vrias verses
do PGP e isso fez surgir vrias incompatibilidades entre elas
O PGP acabou por se tornar um padro com funcionalidades
que diferem de fabricante para fabricante
Algumas se integram com aplicaes de correio
eletrnico outras compactam os dados a serem
chamados e estes so anexados no e-mail a ser enviado

51

Network+: Autenticao e Controle de Acesso

Network+

Ricardo Queiroz

24

Ricardo Queiroz

22/08/2016

Algoritmos Utilizados pelo PGP

52

Network+: Autenticao e Controle de Acesso

Ricardo Queiroz

Cenrio no qual uma Mensagem Autenticada e


Criptografada
Chave de sesso IDEA gerada por
Alice onde a gerao considera o
texto digitado e a velocidade de
digitao
gerado um hash da mensagem
com MD5 em seguida a mesma
assinada com uma chave privada
(RSA, KA-)

A chave pblica RSA de Bob (KB+)


usada para criptografar a chave
de sesso criada por Alice

53

Network+: Autenticao e Controle de Acesso

Network+

Ricardo Queiroz

25

Ricardo Queiroz

22/08/2016

PGP
Detalhamento
O PGP aceita trs tamanhos de chaves RSA e cabe ao
usurio selecionar o mais apropriado (384 bits a 2048 bits)
A mensagem formada por trs partes, contendo a chave
IDEA, a assinatura e a mensagem
A parte referente a chave contm no s a chave, mas
tambm um identificador de chave, pois o usurio pode ter
vrias chaves pblicas
O cabealho informa hora, identificador de chave pblica,
identificao dos algoritmos utilizados
O PGP dedicou ateno especial ao gerenciamento de chaves
de forma que cada usurio possua duas estruturas de dados
com pares de chaves pblicas e privadas
Os usurios podem alterar suas chaves sempre que
considerarem as mesmas comprometidas
54
Network+: Autenticao e Controle de Acesso

Ricardo Queiroz

Acesso Remoto (1)


Soluo e Componentes...
uma ferramenta de telecomunicaes que usada por
empresas para permitir que empregados se conectem a rede
interna e acessem seus recursos
Para usar os recursos de acesso remoto necessrio um
servidor que aceite chamadas de entrada atravs de um
software de acesso remoto instalado no cliente
Remote Access Server RAS
No um protocolo, mas uma soluo que uma
combinao de HW e SW para conexo remota
Algumas companhias oferecem SOs com um software
de RAS que recebe chamadas para conexo via modems
autenticando usurios atravs de um BD com o RADIUS
A soluo de RAS em s no segura, mas pode incluir
protocolos seguros para tunelamento e autenticao
55

Network+: Autenticao e Controle de Acesso

Network+

Ricardo Queiroz

26

Ricardo Queiroz

22/08/2016

Acesso Remoto (2)


Soluo e Componentes...
Remote Desktop Protocol RDP
Permite que usurios se conectem a computadores que rodem
o Microsoft RDP, mas o cliente deve ser o software certo para
o processo funcionar
A maioria dos SOs Windows vem com cliente RDP, assim
como outros SOs, Linux, Solaris e Mac OS X
O cliente RDP da Microsoft comumente denominado Remote
Desktop Connection (RDC) ou Terminal Service Client (TSC)

Processo
Aps estabelecer conexo, o usurio usa a janela prconfigurada do terminal (similar a uma janela padro do
Windows)
A partir dai, o usurio pode acessar aplicativos e arquivos
desde que os direitos de acesso permitam
O RDP 7.1 oferece criptografia de 128 bits com o RC4 com
56
suporte ao TLS 1.0
Network+: Autenticao e Controle de Acesso

Ricardo Queiroz

Acesso Remoto (3)


Soluo e Componentes...
Point-To-Point Protocol PPP
um protocolo de camada 2 que fornece autenticao,
criptografia e servios de compresso para clientes
remotos
ISPs usam em grande escala o PPP para autenticar
clientes dial-up atravs de Modems, xDSL ou Modems a
Cabo
Muitos servidores de rede que fornecer RAS podem
tambm usar PPP como protocolo de autenticao

57

Network+: Autenticao e Controle de Acesso

Network+

Ricardo Queiroz

27

Ricardo Queiroz

22/08/2016

Acesso Remoto (4)


Soluo e Componentes...
Point-To-Point Protocol over Ethernet PPPoE
uma extenso do PPP cujo objetivo encapsular frames PPP
dentro de frames Ethernet
O uso do PPPoE veio com a necessidade de lidar com o
massivo incremento das conexes de Internet de alta
velocidade
ISPs comearam a oferecer acesso de alta velocidade usando
ADSL ou Modems a Cabo, onde a infraestrutura ainda era a
antiga planta de telefonia com cabos par tranado que j
rodavam PPP para conectar usurios com modems padro
Oferece autenticao e criptografia no PPP e um servidor de
autenticao, o RADIUS
O PPP trabalha em dois estgios: descoberta (onde o MAC de
cada extremidade atribudo e o ID da sesso criado) e
sesso (onde a comunicao ocorre)
58

Network+: Autenticao e Controle de Acesso

Ricardo Queiroz

Acesso Remoto (5)


Soluo e Componentes
Independent Computing Architecture ICA
um protocolo projetado pela Citrix para fornecer
comunicao entre servidores e clientes
A aplicao mais comum que usa o ICA o WinFrame
Computadores clientes usando Linux, Unix ou Mac OS
podem acessar aplicaes Windows atravs do
WinFrame

Secure Shell SSH


um protocolo de rede que foi projetado como uma
alternativa segura para o Telnet
Ele cria um canal seguro entre os dispositivos e prover
confidencialidade e integridade
Usa criptografia Pblica para autenticar o computador
remoto e permitir, se necessrio, a autenticao do
usurio
Network+: Autenticao e Controle de Acesso

Network+

59

Ricardo Queiroz

28

Ricardo Queiroz

22/08/2016

Contas de Usurio e Senhas (1)


Gerenciando Contas de Usurio e Segurana de Senhas
Origem de todos os Problemas
H uma quantidade considervel de esquemas de
autenticao disponveis no mercado e embora seja
importante saber como todos esses esquemas trabalham, mas
nenhum dele ter efetividade caso os usurios no saibam
gerenciar suas contas
Caso algum mal intencionado consiga descobrir um login de
usurio e sua respectiva senha, nem vamos citar o Root,
nenhum protocolo de autenticao sofisticado ir lhe salvar

Com isso em mente, vamos discutir as melhores prticas


para gerenciar contas de usurios e em seguida
discorreremos sobre os mtodos de autenticao

60

Network+: Autenticao e Controle de Acesso

Ricardo Queiroz

Contas de Usurio e Senhas (2)


Gerenciando Contas de Usurio
O primeiro passo para gerenciar o acesso a rede atravs
das contas de usurio e dos direitos que voc associa aos
recursos de rede
Administradores precisam definir polticas para gesto de
contas de usurio, como horrios de logon, poltica de
atualizao de senhas, nmero de conexes simultneas, etc

Recomendaes de Polticas para Gesto de Contas...


Polticas de Comunicao Estreita com o RH quanto a
Admisso e desligamento de Colaboradores
Habilitar contas com os direitos corretos
Desabilitar Contas
Quanto um usurio deixa a organizao existem quatro
alternativas, deixar a conta em vigor, deletar a conta ou
desabilitar a conta ou simplesmente alterar direitos
Network+: Autenticao e Controle de Acesso

Network+

61

Ricardo Queiroz

29

Ricardo Queiroz

22/08/2016

Contas de Usurio e Senhas (3)


Recomendaes de Polticas para Gesto de Contas...
Porque desabilitar contas ou alterar direitos so as melhores
alternativas?
Evita o desperdcio de IDs do SO (UID, Linux e SID, Windows)
associados as contas
Desabilitar e renomear contas uma excelente estratgia,
pois colaboradores podem estar apenas se ausentando por um
longo perodo, algum colaborador temporrio pode estar
sendo contratado

Configurarvuma conta Guest ou Anonymous


O objetivo oferecer acesso extremamente limitado para um
grupo de usurios onde todos usam as mesmas credenciar
para se logarem
Esses logins so frequentemente usados para acessar FTP ou
servios pblicos para clientes (Quiosques, p.e.)
Alguns servidores tem uma conta tipo Internet User Access,
para usurios acessarem o servidor Web atravs da rede
Network+: Autenticao e Controle de Acesso

62

Ricardo Queiroz

Contas de Usurio e Senhas (4)


Recomendaes de Polticas para Gesto de Contas...
Limitando o Nmero de Conexes
Existem casos onde ser permitido para um usurio
logar em mais de uma workstation ao mesmo tempo,
mas alguma restrio de localizao deveria ser feita

Renomeando a Conta de Gerencia do Sistema


Renomear a conta de Administrados ou Root uma
excelente poltica para dificultar a vida de Hackers que
tentam descobrir as credencias das mesmas
Tente evitar nomes que sugerem poder ou habilidades

Gerenciando Senhas...
Devemos garantir que todas as senhas sigam as
mesmas recomendaes de segurana para evitar que
sejam facilmente advinhadas
Configuraes no SO tambm devem ser feitas para
dificultar a descoberta de senhas e detectar tentativas
Network+: Autenticao e Controle de Acesso

Network+

63

Ricardo Queiroz

30

Ricardo Queiroz

22/08/2016

Contas de Usurio e Senhas (5)


Recomendaes de Polticas para Gesto de Contas...
Gerenciando Senhas
Recomendaes
Evitar senhas associadas a algo pessoal ou familiar
Tamanho mnimo de senhas
No deve ser mais que 15 caracteres e depende do SO

Requerer o uso de combinaes de letras, nmeros,


maisculas, caracteres especiais (smbolos)
Oferecer um indicados da fora da senha
Bloqueio automtico aps um determinado nmero de
tentativas ou tentativa de acesso de local no autorizado
Perodo de validade da senha e Histrico

64

Network+: Autenticao e Controle de Acesso

Ricardo Queiroz

Mtodos de Autenticao de Usurios (1)


Autenticao Centralizada
Single Sing-On
Hoje empresas modernas e em sistemas usados na
nuvem, os usurios podem ser sobrecarregados pelo
nmero de pontos na rede onde os mesmos podem ser
desafiados a se identificarem
A maioria dos usurios deveriam poder fazer um nico
logon no domnio e ter acesso a todos os recursos da
rede que seus direitos permitirem
No entanto, existem companhias que requerem
autenticao para acessar o BD, Site, Drives Seguros,
Pastas, e assim por diante
O Mecanismo de Single Sign-on lida com esse problema
Quando um usurio se registra no sistema o SO cria um
token onde o mesmo possui uma lista de recursos que o
usurio tem direito

65

Network+: Autenticao e Controle de Acesso

Network+

Ricardo Queiroz

31

Ricardo Queiroz

22/08/2016

Mtodos de Autenticao de Usurios (2)


Outras Solues de Autenticao
Autenticao Multifatorial
um tipo de autenticao cujo objetivo prover nveis
de segurana adicionais ao processo de autenticao,
por meio da verificao por um ou mais mtodos para
permitir acesso a recursos de rede
Trs Mtodos Mais Comuns
Algo conhecido: Senha
Caractersticas pessoais: Retinas, Impresso Digital,
Reconhecimento Facial
Algo que se possui: Smart Card
Two-factos quando dois mtodos so usados,
enquanto que multifactor quando mais de dois
mtodos so usados
Exemplo, smart card + PIN
66

Network+: Autenticao e Controle de Acesso

Ricardo Queiroz

Mtodos de Autenticao de Usurios (3)


Certificao atravs de Chave Pblica
No necessrio chave simtrica compartilhada e secreta
A chave pblica de qualquer entidade est disponvel a todos
Problema
Uma entidade precisa disponibilizar a qualquer um sua chave
pblica
Como garantir a autenticidade da chave pblica de algum?

Autoridade Certificadora
Organizao que associa uma chave pblica a uma entidade e
tem o poder de emitir um certificado
Uma CA possui uma chave pblica bem conhecida e que no
pode ser forjada
A CA gera uma sntese do certificado e cifra a sntese com sua
chave privada
Qualquer outra entidade, para fins de verificao, faz um
download da sntese cifrada e aplica a chave pblica da CA a
mesma para verificar a autenticidade do certificado
67

Network+: Autenticao e Controle de Acesso

Network+

Ricardo Queiroz

32

Ricardo Queiroz

22/08/2016

Mtodos de Autenticao de Usurios (4)


X.509 (RFC 2459)
Embora o uso da autoridade certificadora resolva o problema
da chave pblica fraudulenta, ela cria uma dificuldade no
manuseio dos certificados
Cada certificado pode ter um formato diferente
Teramos dificuldade em criar um programa para baixar
certificados por falta de padronizao dos mesmos
Um certificado pode apresentar chaves pblicas em
formatos diferentes e em posies diferentes em cada
certificado

O protocolo X.509 foi a soluo implementada pelo ITU para


padronizar os certificados
O X.509 padroniza a estrutura dos certificados atravs
de uma sintaxe conhecida como ASN-1 (Abstract Syntax
Notation 1)
68

Network+: Autenticao e Controle de Acesso

Ricardo Queiroz

Certificado
Data de Nmero serial (nico para o emissor)
Informao sobre o dono do certificado, incluindo o algoritmo e o
valor da prpria chave (no mostrada)
Informao sobre o
emissor do certificado

Data de validade
Assinatura digital do
emissor

69

Network+: Autenticao e Controle de Acesso

Network+

Ricardo Queiroz

33

Ricardo Queiroz

22/08/2016

Mtodos de Autenticao de Usurios (5)


Infraestrutura de Chave Pblica (Public Key Infrastructure)
um sistema associa usurios a chaves pblicas e verifica a
identidade dos mesmos usando uma entidade certificadora
Pense em uma CA com um cartrio online uma organizao que
responsvel por validar IDs de usurios e tratar identificadores
nicos para certifica a identidade do usurio
A PKI permite que pessoas se comuniquem com confidencialidade
e confirmando quem verdadeiramente est em ambas as
extremidades
usada para estabelecer confidencialidade e garantir a integridade
das mensagens sem o conhecimento prvio sobre o parceiro de
conversao
tambm usada para verificar a assinatura digital do proprietrio
de uma chave privada
Implementa uma sistema onde no necessrio confiar as
consultas e nem depender de um nico servidor de chaves pblicas
70

Network+: Autenticao e Controle de Acesso

Ricardo Queiroz

Infraestrutura de Chave Pblica (1)


Processo de Autenticao de Certificados

71

Network+: Autenticao e Controle de Acesso

Network+

Ricardo Queiroz

34

Ricardo Queiroz

22/08/2016

Infraestrutura de Chave Pblica (2)


PKI em Funcionamento

72

Network+: Autenticao e Controle de Acesso

Ricardo Queiroz

Mtodos de Autenticao de Usurios (6)


Kerberos
um protocolo de autenticao e ao mesmo tempo um
KDC
Originalmente desenvolvido pelo MIT e est na verso 5
Estrutura dos Servidores Kerberos
Servidor de Autenticao AS
o KDC no Kerberos
Confirma a identidade e a senha dos usurios
Emite uma chave de sesso e um ticket de acesso para o TGS

Servidor TGS (Ticket-Granting Server)


Servidor de Concesso de Tickets
Aps sua autenticao no AS (uma nica vez) o TGS pode ser acessado
diversas vezes (4 ltimas etapas) para solicitaes de chaves de sesso
(KAB) para acesso a servidores Reais Diferentes

Servidor Real
Servidor Real (Bob) que fornece servios a algum usurio (Alice)
73

Network+: Autenticao e Controle de Acesso

Network+

Ricardo Queiroz

35

Ricardo Queiroz

22/08/2016

Servidores Kerberos

74

Network+: Autenticao e Controle de Acesso

Ricardo Queiroz

AAA (Authentication, Authorization and Accounting)


Autenticao, Autorizao e Contabilidade (AAA)
Quando falamos de segurana, AAA refere-se Autentication,
Authorization e Accounting, AAAA uma verso mais robusta
que adiciona Auditing (Auditoria)
AAAA no so protocolos, ao invs disso, eles so modelos
conceituais e sistematizados para gerenciamento da
segurana de rede atravs de um ponto central
As duas implementaes mais comuns de AAA so o RADIUS
e o TACACS+

76

Network+: Autenticao e Controle de Acesso

Network+

Ricardo Queiroz

36

Ricardo Queiroz

22/08/2016

AAA (Authentication, Authorization and Accounting)


Detalhamento
um conceito de segurana que se refere a Autenticao,
autorizao e contabilidade
Autenticao
Verificao da identidade do usurio como nome e
senha e credenciais como certificados digitais

Autorizao
Envolve a garantia de acesso aos recursos e servios da rede
Antes da autorizao aos recursos a autenticao deve ocorrer

Contabilidade
o rastreamento da utilizao dos recursos de rede pelos
usurios
Usado para guardar uma trilha de quem usou, qual recurso,
quando e onde
77

Network+: Autenticao e Controle de Acesso

Ricardo Queiroz

AAA: Gerenciando o Acesso Rede (1)


O que o RADIUS?
um protocolo amplamente implantado baseado em um
modelo C/S, que permite a autenticao, autorizao e
estatsticas centralizadas de acesso a rede
Propsito
Originalmente desenvolvido para solues de discagem,
o RADIUS evoluiu para tornar-se padro para o
gerenciamento do acesso a redes VPN, dial-up e sem fio
A partir daqui possvel integrar gerenciamento da
diretiva de acesso rede aos servios de identidade do
SO e implementar o suporte abrangente para o
processamento de regras RADIUS, atravs de vrios
tipos de acesso

78

Network+: Autenticao e Controle de Acesso

Network+

Ricardo Queiroz

37

Ricardo Queiroz

22/08/2016

AAA: Gerenciando o Acesso Rede (2)


RADIUS
O que um Servidor RADIUS
um servidor que recebe e processa solicitaes de
conexo ou mensagens de estatsticas enviadas por
clientes ou proxies RADIUS

O que um Cliente RADIUS?


Um cliente poder ser um PROXY RADIUS ou um
servidor de acesso, como um servidor dial-up, um
servidor VPN ou um ponto de acesso sem fio
O cliente RADIUS recebe solicitaes de autorizao de
acesso rede do cliente de acesso remoto e repassa-as
para o servidor RADIUS para que sejam verificadas

O que um PROXY RADIUS?


Recebe uma solicitao de autorizao de um cliente
RADIUS e determina o servidor RADIUS adequado a
receber a solicitao
Network+: Autenticao e Controle de Acesso

79

Ricardo Queiroz

AAA: Gerenciando o Acesso Rede (3)


Cenrios de Utilizao do RADIUS
possvel configurar o RADIUS para dar suporte a vrios
cenrios comerciais
Acesso corporativo dial-up
O IAS pode ser configurado para gerenciar acesso de
funcionrios remotos com conexes dial-up
autenticadas

Acesso extranet para parceiros comerciais


O IAS pode ser configurado para conceder a seus
parceiros comerciais acesso limitado a recursos
especficos da rede

Acesso Internet
O IAS pode ser configurado para gerenciar clientes de
um ISP de modo que o servidor conceda acesso com
base no plano de servios do cliente
80

Network+: Autenticao e Controle de Acesso

Network+

Ricardo Queiroz

38

Ricardo Queiroz

22/08/2016

AAA: Gerenciando o Acesso Rede (4)


TACACS+ (Terminal Access Controller Access-Control Plus)
um mtodo de AAA e uma alternativa ao RADIUS
capaz de executar autenticao em nome de mltiplos Aps
Wireless, Servidores RAS ou at mesmo de Switches que so
compatveis com o 802.1X
TACACS e TACACS+ no so compatveis operacionalmente
As maiores diferenas entre o RADIUS e TACACS+ so
RADIUS combina autenticao e autorizaes em um
mesmo perfil de usurio, no entanto o TACACS+ separa
as duas funcionalidades
TACACS+ utiliza o protocolo TCP e o RADIUS usa o UDP
Embora ambos sejam comumente usados hoje, por
conta dessas duas caractersticas o TACACS+
considerado mais seguro e estvel que o RADIUS
81

Network+: Autenticao e Controle de Acesso

Ricardo Queiroz

TACACS+: Login e Logout

82

Network+: Autenticao e Controle de Acesso

Network+

Ricardo Queiroz

39

Ricardo Queiroz

22/08/2016

Como Funciona a Autenticao Centralizada?


Autenticao e Autorizao Centralizada (Single Sing-On)
Processo
O usurio se conecta a um servidor de acesso rede (um
computador configurado com o servio de Roteamento e
Acesso Remoto) usando uma conexo VPN, dial-up ou sem fio
O servidor de acesso rede encaminha as solicitaes de
autenticao para um servidor RADIUS. (Neste caso o servidor
de acesso funciona como um cliente RADIUS)
Se a verificao de assinatura digital for bem sucedida, o servidor
IAS consultar o AD
O servidor RADIUS acessa as informaes da conta de usurio
no AD e verifica as credenciais de autenticao de acesso
remoto.
Se as credenciais forem autenticadas, o servidor IAS avaliar
as diretivas de acesso remotos configuradas e as propriedades
da conta do usurio para decidir se autoriza a solicitao
84

Network+: Autenticao e Controle de Acesso

Ricardo Queiroz

AAA: Mecanismos Avanados


Mecanismos de defesa avanados para autenticao e
autorizao
Framework 802.1X
O 802.1X um padro de controle de acesso baseado em
porta, ou seja, fornece uma arquitetura que permite ou
bloqueia o trfego atravs de uma porta e, assim, o acesso a
recursos
Componentes do 802.1X
Suplicante (host ou estao)
Um com software que requisita autenticao e acesso a recursos da
rede

Autenticador (switch ou AP)


Um dispositivo que bloqueia ou permite trfego atravs de suas
portas
O autenticador mantm duas portas virtuais, uma no controlada que
permite autenticao EAP (reside no PPP) e uma controlada que
bloqueia o trfego de um suplicante no autenticado

Servidor de autenticao (servidor RADIUS)


Valida as credenciais do suplicante e notifica o autenticador que as
credenciais do suplicante foram autorizadas
Network+: Autenticao e Controle de Acesso

Network+

85

Ricardo Queiroz

40

Ricardo Queiroz

22/08/2016

Exemplo de Acesso a Rede na Plataforma


Windows

RAS

RADIUS

86

Network+: Autenticao e Controle de Acesso

Ricardo Queiroz

Gerenciando o Acesso Rede usando o IAS (1)


O que o Internet Application Service?
um componente do Windows Server que um servidor
RADIUS em conformidade com os padres da indstria
O IAS executa a autenticao, autorizao, auditoria e
estatsticas centralizadas de conexes VPN, dial-up e sem fio
Atravs do IAS possvel gerenciar centralmente as
permisses de acesso remoto e as propriedades da conexo

87

Network+: Autenticao e Controle de Acesso

Network+

Ricardo Queiroz

41

Ricardo Queiroz

22/08/2016

Gerenciando o Acesso Rede usando o IAS (2)


IAS
Por que usar o IAS?
Usando o IAS, possvel gerenciar centralmente o acesso remoto e
sem fio rede
Cada a empresa tenha mais de um servidor de acesso remoto ou sem
fio, possvel configurar um nico servidor com o IAS como um
servidor RADIUS e os servidores de acesso remoto como clientes
RADIUS
Quando o IAS membro de um domnio AD, o IAS utiliza o servio de
diretrio como seu BD de contas de usurio e faz parte de uma
soluo completa para controle de acesso rede
O mesmo conjunto de credenciais usado para controlar o acesso
rede e para fazer logon em um domnio do AD

Importante
Depois de configurar o servidor de Roteamento e Acesso Remoto para
usar a autenticao RADIUS, as diretivas de acesso remoto
armazenadas no servidor de acesso remoto no sero mais usadas e
sim as diretivas armazenadas no servidor RADIUS
88

Network+: Autenticao e Controle de Acesso

Ricardo Queiroz

Componentes de uma infraestrutura de


Acesso Rede (1)
Componentes...

Servidor de Acesso Rede


O servio Roteamento e Acesso Remoto da Microsoft oferece
suporte ao acesso de dispositivos que estejam fora da LAN
Configurando esse servio para funcionar com um Servidor de
Acesso Remoto, usurios remotos podem se conectar a LAN
interna como se estivessem fisicamente conectados a mesma
Oferece conectividade para clientes VPN, Dial-up e Wireless
O RAS uma combinao de Hw e Sw onde usurios se
conectam via Modem para serem autenticados por um IAS
O RAS em s no seguro, mas existem opes que incluem
PPTP (tunelamento), MS-CHAP ou EAP (autenticao)

Cliente de Acesso
So clientes remotos que buscam acesso rede local usando
conexes VPN, Dial-up (discada) e wireless
Aps estabelecida a conexo o cliente pode usar recursos da
rede como se estivesse fisicamente conectado a mesma
Network+: Autenticao e Controle de Acesso

Network+

89

Ricardo Queiroz

42

Ricardo Queiroz

22/08/2016

Componentes de uma Infraestrutura de


Acesso Rede (2)
Componentes

Servios de Autenticao
A medida em que o acesso a rede fica mais difundido,
necessrio aumentar o nvel de segurana da rede para
proteg-la contra o acesso e uso no autorizados
Isso pode ser feito atravs de um servio que fornea
autenticao de alta segurana para validar identidades, bem
como criptografia para proteger os dados
Caso existam vrios servidores de acesso, voc pode
centralizar a autenticao usando o Remote Authentication
Dial-In User Service (RADIUS) para autenticar e autorizar
usurios remotos

Active Directory
O Active Directory contm as contas de usurio, senhas e
propriedades dial-up necessrias para autenticar as
credenciais do usurio e avaliar as restries de conexo e
autorizao
O AD controla o acesso atravs de diretivas de segurana
Network+: Autenticao e Controle de Acesso

90

Ricardo Queiroz

Mtodos de Autenticao Disponveis


Mtodos de Autenticao Remota (Wire e Wireless)
Challenge Handshake Authentication Protocol CHAP
Password Authentication Protocol PAP
Shiva Password Authentication Protocol SPAP
Microsoft Challenge Handshake Authentication Protocol
MS-CHAP
Microsoft Challenge Handshake Authentication Protocol
version 2 MS-CHAP v2
Extensible Authentication Protocol Transport Layer
Security (EAP TLS)
Protected Extensible Authentication Protocol PEAP
MD-5 Challenge

92

Network+: Autenticao e Controle de Acesso

Network+

Ricardo Queiroz

43

You might also like