Upload
reginaldo-hosana
View
7
Download
0
Embed Size (px)
DESCRIPTION
Planejamento de Redes VOIP
Citation preview
SOCIEDADE EDUCACIONAL DE SANTA CATARINA - SOCIESC
INSTITUTO SUPERIOR TUPY - IST
FABIANO MARCELINO SOUZA
AUTENTICAÇÃO DE USUÁRIOS NO ACTIVE DIRECTORY UTILIZANDO RADIUS ATRAVÉS
DO SERVIÇO DE AUTENTICAÇÃO DA INTERNET
Joinville
2007/2
FABIANO MARCELINO SOUZA
AUTENTICAÇÃO DE USUÁRIOS NO ACTIVE DIRECTORY UTILIZANDO RADIUS ATRAVÉS
DO SERVIÇO DE AUTENTICAÇÃO DA INTERNET
Este trabalho de conclusão de curso será apre-sentado ao Instituto Superior Tupy como requisitoparcial para a obtenção de grau de Bacharel deSistemas de Informação sob orientação do pro-fessor Eduardo da Silva.
Joinville
2007/2
SOUZA, FABIANO. AUTENTICAÇÃO DE USUÁRIOS NO ACTIVE DIRECTORY
UTILIZANDO RADIUS ATRAVÉS DO SERVIÇO DE AUTENTICAÇÃO DA IN-
TERNET
Joinville: SOCIESC, 2007/2.
FABIANO MARCELINO SOUZA
AUTENTICAÇÃO DE USUÁRIOS NO ACTIVE DIRECTORY UTILIZANDO RADIUS ATRAVÉS
DO SERVIÇO DE AUTENTICAÇÃO DA INTERNET
Esse trabalho foi julgado e aprovado emsua forma final pela banca examinadoraabaixo assinada.
Prof. Eduardo da Silva
Prof. MSc. Mehran Misaghi
Prof. Rodrigo Curvello
Aos meus pais João da Silva Souza e Te-
rezinha Marcelino Souza,
Meu irmão Cristiano Marcelino Souza e Mi-
nha namorada Eliza Natália da Rosa.
AGRADECIMENTO
À Deus que possibilitou não só esta obra,
bem como a realização da Faculdade de
Sistemas de Informação;
À minha mãe Terezinha que tanto me
deu força durante toda esta trajetória,
reanimando-me e dando força nos obstá-
culos a serem enfrentados;
Ao meu pai João pelo esforço realizado ao
meu lado para a realização do Curso;
À minha madrinha Ana Santa que me dire-
cionou a SOCIESC;
À minha namorada Eliza que tanto me in-
centivou para a realização deste trabalho;
Ao professor Eduardo pela sua dedicação
e paciência na orientação deste trabalho;
Ao amigo Edson Machado de Souza pela
força neste trabalho;
À Professora Cláudia Franceschette, que
tanto me incentivou a não desistir nunca;
A todos que não foram mencionados mas
que direta ou indiretamente ajudaram para
a finalização deste trabalho.
Se nós quisermos atingir resultados nunca antes atingidos, de-
vemos utilizar métodos nunca antes utilizados.
SIR FRANCIS BACON
RESUMO
Este trabalho de conclusão apresenta os conceitos devidos para estruturar um ambiente derede sem fio seguro por meio do protocolo RADIUS, integrando a autenticação com o ActiveDirectory, implementado através do Serviço de Autenticação da Internet. Tem como principalobjetivo fornecer acesso sem fio de uma forma segura através de redes corporativas. Dentre osconceitos apresentados estão uma introdução aos protocolos de acesso sem fio e autenticação,bem como as vantagens de cada protocolo. Também apresenta esclarecimentos sobre o ActiveDirectory, domínio, Serviço de Autenticação da Internet, RADIUS e redes sem fio. Além destes,explica ainda o funcionamento de todo o processo de autenticação de uma forma conceitual,demonstrando cada tecnologia apresentada. O trabalho contempla além da teoria, o caminhopara implementação, descrevendo também a função de cada ferramenta inclusa no processo,finalizando com os testes realizados para idealização deste trabalho.
Palavras-chave: RADIUS. Active Directory. IAS. Protocolo. Autenticação. Mobilidade.
ABSTRACT
This paper presents the concepts to structure a secure wireless environment through the RA-DIUS protocol, integrating authentication with Active Directory, implemented by Serviço de Au-tenticação da Internet - Internet Authentication Service (IAS). It objective is to integrate theaccess WiFi through a secure corporate network. Among the presented concepts there is an in-troduction to wireless access protocols and authentication and, the advantages of each protocol.Also presents information about the Active Directory, domain the Internet Authentication Service,RADIUS and WiFi. In addition still, explains the operation of the whole authentication proccessusing a conceptual way, demonstrating each technology presented. The paper includes besidesthe theory the way to implementing it also describing each tool’s inclused in the process, endingwith the tests for idealization of this work.
Keywords: RADIUS. Active Directory. IAS. Protocol. Authentication. Mobility.
LISTA DE ILUSTRAÇÕES
-Figura 1 Estrutura do pacote RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
-Figura 2 Acesso de um usuário remoto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
-Figura 3 Acesso ao servidor de proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
-Figura 4 Acesso via RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
-Figura 5 Autenticação RADIUS através da base de dados do AD . . . . . . . . . . . . . . . . . . . 23
-Figura 6 Conectividade de ativos de rede sem fio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
-Figura 7 Processo de autenticação sem fio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
-Figura 8 Distribuição de uma rede WiMax . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
-Figura 9 Autenticação sem fio sem RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
-Figura 10 Elementos Faltantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
-Figura 11 Autenticação em um Domínio com RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
-Figura 12 Componentes de um Domínio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
-Figura 13 Controlador de Domínio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
-Figura 14 Solicitação de Autenticação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
-Figura 15 Envio da Solicitação ao Controlador de Domínio . . . . . . . . . . . . . . . . . . . . . . . . . . 40
-Figura 16 Validação das Informações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
-Figura 17 Descrição do Domínio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
-Figura 18 Active Directory Users and Computers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
-Figura 19 Tela de Configuração do IAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
-Figura 20 Descrição do Servidor IAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
-Figura 21 Tela de configuração do log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
-Figura 22 Propriedades do arquivo de log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
-Figura 23 Propriedades do cliente RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
-Figura 24 Tipo de Diretiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
-Figura 25 Escolha dos usuários com permissão para acesso sem fio . . . . . . . . . . . . . . . . 50
-Figura 26 Escolha do dispositivo de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
-Figura 27 Comando para Geração do Certificado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
-Figura 28 Formato do certificado para exportação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
-Figura 29 Caminho para exportar o certificado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
-Figura 30 Informações do Certificado Digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
-Figura 31 Criptografia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
-Figura 32 Registro do Servidor IAS no Controlado de domínio . . . . . . . . . . . . . . . . . . . . . . . 55
-Figura 33 Configuração do cliente RADIUS no Windows XP . . . . . . . . . . . . . . . . . . . . . . . . . 56
-Figura 34 Configuração EAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
-Figura 35 Configuração do Ponto de acesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
-Figura 36 Dados para conexão no domínio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
-Figura 37 Preparação de rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
-Figura 38 Teste de Conectividade com o Servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
-Figura 39 Domínio com o Serviço de Autenticação da Internet . . . . . . . . . . . . . . . . . . . . . . . 60
LISTA DE TABELAS
Tabela 1 Tipos de pacotes RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Tabela 2 RFC’s que descrevem o RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
Tabela 3 Exemplos de protocolos sobre TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Tabela 4 Tecnologias para transmissão de dados sem fio . . . . . . . . . . . . . . . . . . . . . . . . . 30
Tabela 5 Configuração de IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Tabela 6 Portas RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Tabela 7 Descrição dos comandos para geração do certificado . . . . . . . . . . . . . . . . . . . 52
LISTA DE SIGLAS
AAA Autenticação, Autorização e Contabilização - Authentication, Authorization and
Accounting
AD Diretório Ativo - Active Directory
ATM Modo de Transferência Assíncrono - Asynchronous Transfer Mode
DC Controlador de Domínio - Domain Controllers
DER Codificação de Regras Distingüidas - Distinguished Encoding Rules
DHCP Protocolo de Configuração Dinâmica de Hosts - Dynamic Host Configuration Protocol
EAP Protocolo de Autenticação Extensível - Extensible Authentication Protocol
FTP Protocolo de Transferência de Arquivos - File Transfer Protocol
TCC Trabalho de Conclusão de Curso
IAS Serviço de Autenticação da Internet - Internet Authentication Service
IETF Internet Engineering Task Force
LDAP Protocolo de Leve Acesso a Diretórios - Lightweight Directory Access Protocol
NPS Servidor de Políticas de Rede - Network Policy Server
NTLM Administração de Rede NT - NT LAN Manager
OSI Interconexão de Sistemas Abertos - Open Systems Interconnection
PEAP Protocolo de Autenticação Extensível Protegido - Protected Extensible Authentication
Protocol
QOS Qualidade de Serviço - Quality of Service
RFC Request for Comments
SQL Linguagem de Consulta Estruturada - Structured Query Language
SSL Camada de Soquete Seguro - Secure Sockets Layer
SSO Autenticação Única - Single Sign On
TCP/IP Protocolo de Controle de Transmissão/Protocolo de Internet - Transmission Control
Protocol/Internet Protocol
TKIP Protocolo de Integridade de Chave Temporária - Temporal Key Integrity Protocol
TLS Camada de Transporte Seguro - Transport Layer Security
UO Unidades Organizacionais
VPN Rede Virtual Privada - Virtual Private Network
WEP Privacidade Equivalente a Redes com Fio - Wired Equivalent Privacy
WiFi Wireless Fidelity
WIMAX Interoperabilidade Mundial para Acesso por Microondas - World Interoperability for
Microware Access
WLAN Redes locais sem fio - Wireless Local Area Network
WPA Acesso Protegido Wi-Fi - Wi-Fi Protected Access
IEEE Institute of Electrical and Electronics Engineers
SSID Service Set Identifier
RADIUS Remote Authentication Dial In User Service
SUMÁRIO
1 INTRODUÇÃO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2 PROTOCOLOS DE REDE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
2.1 RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2.1.1 RADIUS em Redes sem Fio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2.1.2 Pacote de Dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
2.1.3 Processo de Autenticação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
2.2 CONCLUSÃO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
2.3 MODELO EM CAMADAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
2.4 PROTOCOLOS DE AUTENTICAÇÃO . . . . . . . . . . . . . . . . . . . . . . . . . 26
2.4.1 Tipos de Autenticação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
2.5 PROTOCOLOS DE ACESSO SEM FIO . . . . . . . . . . . . . . . . . . . . . . . . 27
2.5.1 Tecnologia de comunicação sem fio . . . . . . . . . . . . . . . . . . . . . . . . . 28
2.6 TIPOS DE TRANSMISSÃO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
2.6.1 Redes locais sem fio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
2.6.2 Redes metropolitanas sem fio . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
2.6.3 Bluetooth . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
3 TECNOLOGIAS UTILIZADAS PARA AUTENTICAÇÃO VIA RADIUS . . . . . . . . . 34
3.1 ACTIVE DIRECTORY . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
3.1.1 Domínio de Rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
3.1.2 Controlador de Domínio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
3.2 SERVIÇO DE AUTENTICAÇÃO DA INTERNET (IAS) . . . . . . . . . . . . . . . . 41
4 AUTENTICAÇÃO DE USUÁRIOS NO Diretório Ativo - Active Directory (AD) UTILI-
ZANDO RADIUS VIA IAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
4.1 CRIAÇÃO DE UM DOMÍNIO NO ACTIVE DIRECTORY . . . . . . . . . . . . . . . . 43
4.1.1 AMBIENTE DE TESTES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
4.2 INSTALAÇÃO DO SERVIÇO DE AUTENTICAÇÃO DA INTERNET PARA AUTENTICA-
ÇÃO VIA RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
4.3 CONFIGURAÇÃO DA FERRAMENTA MICROSOFT IAS . . . . . . . . . . . . . . . 46
4.3.1 Diretivas de Acesso Remoto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
4.3.2 Geração do Certificado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
4.4 REGISTRO NO ACTIVE DIRECTORY . . . . . . . . . . . . . . . . . . . . . . . . 55
4.5 CONFIGURAÇÃO DO CLIENTE SEM FIO . . . . . . . . . . . . . . . . . . . . . . 56
4.6 AJUSTES NO PONTO DE ACESSO . . . . . . . . . . . . . . . . . . . . . . . . . 57
4.7 CONEXÃO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
4.8 RESULTADOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
5 CONCLUSÃO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
REFERÊNCIAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
17
1 INTRODUÇÃO
Atualmente, as corporações necessitam cada vez mais de acessos facilitados aos dados de
seus sistemas, de forma rápida e segura, geralmente, proporcionado através da mobilidade das
redes sem fio, cada vez mais presentes em nosso dia a dia. Acessar aos dados da corporação
através de sua residência, de clientes, aeroportos ou dos mais variados locais, não é mais um
luxo, mas sim uma necessidade.
Quase na época em que surgiram os notebooks, muitas pessoas sonhavam com o dia em
que entrariam em um escritório e magicamente seu notebook conectar-se-ia à Internet (TA-
NENBAUM, 2003). A autenticação é a porta de entrada ao sistema, desta forma, deve possuir
diversos mecanismos de segurança, evitando acessos indevidos, uma vez que pode ser inter-
ceptado.
Há diversas possibilidades de proteger o processo de autenticação, mas na maioria dos
casos a proteção acaba dificultando o acesso, bem como o gerenciamento. A forma mais co-
erente com a maioria das corporações hoje, é uma autenticação única, integrada, que dispo-
nibilize acesso a variados serviços e com a segurança necessária, evitando desta forma, a
interceptação ou o roubo de informações, invasões.
O protocolo RADIUS, vem de encontro com essa necessidade, por ser um mecanismo de
segurança na autenticação via redes sem fio. Por ser multi-plataforma e de fácil integração
com servidores de logon, como o Active Directory, Protocolo de Leve Acesso a Diretórios -
Lightweight Directory Access Protocol (LDAP), pode ser utilizado de forma a garantir a integri-
dade dos dados a serem autenticados. Com a integração, mantém-se a facilidade no acesso,
com a segurança necessária e ainda através do mesmo logon utilizado habitualmente. Uma
única autenticação e diversas aplicações disponíveis com segurança e criptografia, pois diver-
sos tipos de criptografia são suportados via RADIUS.
Este trabalho apresenta um estudo baseado na implementação de mecanismos de segu-
rança para autenticação em redes sem fio, através do Active Directory, utilizando o protocolo
RADIUS, implementado no Windows Server pelo IAS, nativo do sistema operacional. Através
da tecnologia RADIUS, pode-se utilizar a base do AD, para prover os mesmos serviços, as
mesmas aplicações, através do processo Autenticação Única - Single Sign On (SSO), ou seja
autenticação única, através de um usuário e senha.
O capítulo 2 apresenta uma abordagem conceitual sobre protocolos, apresentando seu
funcionamento e formato, através do modelo de referência Interconexão de Sistemas Abertos -
Open Systems Interconnection (OSI). Posteriormente, são apresentados os protocolos de au-
tenticação e de acesso sem fio, através das tecnologias utilizadas atualmente. Este capítulo
18
demonstra ainda as facilidades da autenticação em redes sem fio, esclarecendo os conheci-
mentos apresentados e finalizando este capítulo.
O capítulo 3 demonstra as tecnologias utilizadas neste estudo de caso. Descreve-se os con-
ceitos sobre o Active Directory, noções de árvore e domínio. Após, explica-se o funcionamento
do IAS, sua função e formas de utilização. Prosseguindo na descrição das tecnologias, é deta-
lhado o protocolo RADIUS, sua utilização nas redes sem fio, características e sua importância
no processo de autenticação. Finalmente é apresentada toda a tecnologia WiFi, sua utilização
atualmente, frequência, e seus benefícios se utilizado com ferramentas que proporcionem ainda
mais comodidade e segurança, concluindo desta forma, o capítulo.
O capítulo 4, explica como será realizado o estudo de caso, através da integração das ferra-
mentas, explicando e ilustrando o conceito do estudo realizado. Posteriormente, demonstra-se
um estudo de caso através dos testes realizados no ambiente igualmente descrito no capítulo,
onde foi integrado o mecanismo de segurança RADIUS no Windows através do IAS, integrado
com o AD.
19
2 PROTOCOLOS DE REDE
Neste capítulo, são descritas as vantagens obtidas com o uso da tecnologia sem fio e
do benefício para várias aplicações, implementadas a partir da Integração do AD com Re-
mote Authentication Dial In User Service (RADIUS), onde os usuários, de um ponto de acesso,
utilizem-se de um Servidor RADIUS para autenticar-se em uma base de dados do AD, onde boa
parte das aplicações utilizadas no dia a dia poderão ser integradas a uma conta única existente.
Como a maior parte da utilização das redes hoje em dia faz-se através das redes Ethernet,
pelo Protocolo de Controle de Transmissão/Protocolo de Internet - Transmission Control Proto-
col/Internet Protocol (TCP/IP), proporcionando, por exemplo, acesso à Internet, serviços como o
DNS, Protocolo de Transferência de Arquivos - File Transfer Protocol (FTP), o próprio IP, dentre
milhares de serviços existentes. Para o acesso sem fio, existem protocolos específicos, assim
como para autenticação que conforme o serviço, pode variar ou ainda pode-se optar por um
método de autenticação, como o RADIUS.
A mobilidade, baixo custo de infra-estrutura de rede e suporte para administração, vêm
motivando cada vez mais as empresas a adotarem esta tecnologia. No caso das operadoras,
um novo mercado para acesso com alta velocidade à Internet em áreas públicas, como hotéis e
aeroportos, está se multiplicando de forma acelerada, no Brasil e no exterior, já existem vários
aeroportos oferecendo esse serviço (CARDOSO, 2007).
O entendimento deste capítulo, é fundamental para a idealização deste trabalho, tendo em
vista que o mesmo aborda conceitos básicos e iniciais. Precisa-se compreender o conceito de
protocolos, os processos de autenticação para só então poder definir a implementação de forma
consistente.
Antes de iniciar a abordargem sobre os tipos de protocolos de autenticação e acesso sem
fio, é importante entender o conceito e para que serve o termo protocolo. Protocolo é um con-
junto de regras que controlam a troca de dados entre computadores ou programas, permitindo a
detecção e a correção de erros(STALLINGS, 2005). Ele proporciona a união de um conjunto com
informações ou dados que passam por um preparo, a fim de tornarem os aplicativos do sistema
plenamente utilizáveis.
Basicamente, um protocolo é um acordo entre as partes que se comunicam, estabelecendo
como se dará a comunicação. Como uma analogia, quando uma mulher é apresentada a um
homem, ela pode estender a mão para ele que, por sua vez, pode apertá-la ou beijá-la, depen-
dendo, por exemplo, do fato de ela ser uma advogada americana que esteja participando de
uma reunião de negócios ou uma princesa européia presente a um baile de gala (TANENBAUM,
2003).
20
2.1 RADIUS
Quando se trata de um controle de acesso, sempre pensa-se em facilidade de administra-
ção, armazenamento, mas principalmente uso, para qualquer tipo de usuário, inclusive móveis,
como consultores, vendedores externos, dentre outros. A facilidade de uso, que o AD propor-
ciona, pode ser estendida a usuários que em vias normais possuiriam dificuldade de acesso,
isto porque com um controle efetivo e centralizado, basta a criação do usuário com as devidas
permissões, que o acesso será disponibilizado.
Através da tecnologia RADIUS, pode-se utilizar a base do AD, para prover os mesmos
serviços, as mesmas aplicações, através do processo SSO, ou seja autenticação única, através
de um usuário e senha. Uma outra opção é configurar a tecnologia em ativos como switch ou
roteadores, passando o controle de acesso a rede a camada de enlace, o que torna a conexão
ainda mais segura.
Poderá ser utilizado em qualquer filial ou em empresas parceiras que possuam acesso a
sua rede e possuam pontos de acesso configurados na abrangência que você se encontra. As
redes móveis, estão cada vez mais presente em nosso dia a dia e vem crescendo cada vez
mais, devido a mobilidade que proporciona.
As redes de acesso móveis usam o espectro de rádio para conectar um sistema final portátil
por exemplo, um notebook ou uma PDA (agenda digital) com modem sem fio a uma estação
base. Essa por sua vez, está conectada a um roteador de borda de uma rede de dados.(KUROSE,
2003)
2.1.1 RADIUS em Redes sem Fio
Os pontos de acesso sem fio devem exigir autenticação e autorização do nó sem fio antes
que os dados possam ser enviados e recebidos da rede que está conectada ao ponto de acesso
sem fio. Para fornecer sua própria autenticação e autorização, cada ponto de acesso sem fio
deve exigir um banco de dados de conta de usuário com credenciais de autenticação de cada
usuário e um conjunto de regras pelas quais a autorização é concedida. Como isso é difícil de
gerenciar, alguns pontos de acesso sem fio são clientes RADIUS que usam o protocolo RADIUS
padrão da indústria para enviar mensagens sobre contabilização e solicitação de conexão para
um servidor RADIUS central. O servidor RADIUS tem acesso a um banco de dados de conta de
usuário e a um conjunto de regras para conceder autorização. O servidor RADIUS processa a
solicitação de conexão do ponto de acesso sem fio e aceita ou rejeita a solicitação de conexão
(MICROSOFT, 2005d).
21
O RADIUS foi idealizado para centralizar as atividades de Autenticação, Autorização e Con-
tabilização, visto que o crescente número de sistemas independentes inviabiliza a administração
descentralizada.(SILVA, 2003)
2.1.2 Pacote de Dados
O protocolo RADIUS utiliza pacotes UDP para transmissão entre cliente e servidor. O proto-
colo comunica-se na porta 1812. A primeira revisão para a comunicação RADIUS era na porta
1645, porém a mesma estava gerando conflito com determinados serviços.(HASSEL, 2002). O
pacote de dados é composto pelo cabeçalho e o contéudo, conforme a figura 1.
Figura 1: Estrutura do pacote RADIUSFonte: Autor
O cabeçalho do pacote contém os campos código, identificação, tamanho e autenticador.
O campo código é composto por 1 octeto longo e serve para distinguir o tipo de mensagem
RADIUS, transmitido em um pacote. Nos pacotes com código inválido, os campos são jogados
fora sem notificação.(HASSEL, 2002).
O protocolo RADIUS envia e recebe uma resposta, que possibilita a confirmação do pacote,
através de um código de resposta, o qual indica o status do mesmo. A tabela 1 demonstra as
possíveis mensagens emitidas pelo RADIUS:
Tabela 1: Tipos de pacotes RADIUSMensagem Descrição
Access-Request Pacotes enviados ao servidor RADIUS pra verificar e após validá-losAccess-Accept Pacotes ao usuário, sinalizando que o RADIUS está pronto pra utilizaçãoAccess-Reject Se nenhum dos atributos recebidos for aceitável
Access-Challenge O Cliente emite um Access-Request e o RADIUS um Access-Challenge
2.1.3 Processo de Autenticação
O processo de autenticação de um usuário através do protocolo RADIUS, tem a participa-
ção das seguintes entidades:
22
a. Usuário: Na figura 2, realiza-se o acesso a um determinado serviço disponível na rede
através de um servidor. Como exemplo, um colaborador de uma corporação utilizando o
seu Notebook, desejando entrar na rede de sua empresa através de um ponto de acesso
sem fio;
Figura 2: Acesso de um usuário remotoFonte: Autor
b. Servidor de Acesso à Rede/Cliente RADIUS: Responsável por acessar o servidor RA-
DIUS, solicitando a autenticação do usuário remoto, de acordo com a figura 3;
Figura 3: Acesso ao servidor de proxyFonte: Autor
23
c. Servidor RADIUS: Realiza a identificação validando os dados do solicitante, como ilustra
a figura 4. Para a validação, utiliza a base de dados do AD, onde se encontram as
informações sobre o usuário;
Figura 4: Acesso via RADIUSFonte: Autor
d. Base de Dados: Possui as informações necessárias para o RADIUS identificar o usuário.
Podendo essa base de dados ser um banco de dados, rodando na mesma máquina que
o RADIUS ou em outra máquina. A figura 5 ilustra a última etapa do processo.
Figura 5: Autenticação RADIUS através da base de dados do ADFonte: Autor
Para o perfeito funcionamento do protocolo RADIUS, os dados a respeito de cada usuário
da rede, devem estar cadastrados no sistema de autenticação. O RADIUS pode realizar a
autenticação de um usuário basicamente através de um usuário e senha, onde é informado o
24
usuário e a senha para serem validados. Podendo após esse passo, ser iniciado o challenge
incluindo mais uma etapa no processo e aumento a segurança da rede, caso seja necessário.
Um detalhe importante é que as mensagens RADIUS nunca são enviadas entre o cliente
do serviço de acesso e o servidor de acesso RADIUS(CONGDON, 2003)
O protocolo RADIUS é definido em várias RFC’s, os quais implementam, acrescentam, atu-
alizam serviços e funcionalidades, que facilitam a utilização em qualquer ambiente. Acompanhe
na tabela 2, as RFC’s referentes ao RADIUS:
Tabela 2: RFC’s que descrevem o RADIUSRFC Descrição2865 Protocolo RADIUS2866 RADIUS Accounting2548 Microsoft Vendor-specific RADIUS Attributes2607 Proxy Chaining and Policy Implementation in Roaming2618 RADIUS Authentication Client MIB2619 RADIUS Authentication Server MIB2620 RADIUS Accounting Client MIB2621 RADIUS Accounting Server MIB2809 Implementation of L2TP Compulsory Tunneling via RADIUS2867 RADIUS Accounting Modifications for Tunnel Protocol Support2868 RADIUS Attributes for Tunnel Protocol Support2869 RADIUS Extensions2882 Network Access Servers Requirements: Extended RADIUS Practices3162 RADIUS and IPv63575 IANA Considerations for RADIUS3576 Dynamic Authorization Extensions to RADIUS3579 RADIUS Support for EAP3580 IEEE 802.1X RADIUS Usage Guidelines4014 RADIUS Attributes Suboption for the DHCP Relay Agent Information Option
O grupo IEEE, possui um comitê do qual estuda diversos aspectos a fim de proporcionar
um modelo de utilização sem fio cada vez mais seguro, rápido e funcional. Quando lida-se
com acesso sem fio, diversas terminologias são utilizadas para definição de procedimentos,
situações e configurações. Todas são padrões para a plataforma IEEE 802.11, e em alguns
caso é válido para redes 802.16 Interoperabilidade Mundial para Acesso por Microondas - World
Interoperability for Microware Access (WIMAX) e Bluetooth.
2.2 CONCLUSÃO
Neste capítulo, foram apresentadas todas as ferramentas e tecnologias utilizadas para ide-
alização da autenticação RADIUS integrada ao AD. Demonstrou-se as funconalidades, facilida-
25
des, e características de cada tecnologia ou ferramenta, possibilitando nos próximos capítulos
uma explanação prática das ferramentas técnicas conceituadas neste capítulo.
Pode-se concluir que as ferramentas apresentadas, em conjunto com a tecnologia sem fio,
pode contribuir para evolução do acesso sem fio mais seguro, unificado com o controlador do
domínio e fácil de gerenciar.
2.3 MODELO EM CAMADAS
A comunicação entre protocolos pode ser representada utilizando o modelo de referência
OSI, definido em sete camadas. São elas: camada física; camada de enlace de dados; ca-
mada de rede; camada de transporte; camada de sessão; camada de apresentação e camada
de aplicação. O OSI é um modelo usado para entender como os protocolos de rede funcio-
nam(TORRES, 2007).
Modelo de referência serve praticamente para estudo e melhor entendimento do funciona-
mento de um protocolo de rede, tendo em vista a riqueza de detalhes, e a divisão em sete
camadas que atuam em cada nível. Por ser um modelo conceitual, cada camada possui uma
função específica, sendo possível um entedimento das partes do processo de comunicação
entre redes.
Na prática, o modelo que é amplamente utilizado é o TCP/IP, sendo um método mais funci-
onal e não tão detalhado, comparando-se com o OSI, que acabou tornando-se um modelo de
referência para estudos. A utilização do protocolo TCP/IP é praticamente uniforme e padrão.
As aplicações de rede hoje basicamente são projetadas para este padrão de comunicação.
Através dele, várias aplicações em rede, por meio de dispostivos móveis e de fácil locomoção
tornaram-se populares e em alguns casos até indispensáveis.
A tabela 3, apresenta alguns dos protocolos TCP/IP, que são executados em cada camada:
Tabela 3: Exemplos de protocolos sobre TCP/IPCamada ProtocoloAplicação HTTP, FTPTransporte UDP, TCP
Rede IP, ARPFísica/Enlace ETHERNET, WiFi, PPP, NETBIOS
Os protocolos permitem que seja observada ou compreendida a comunicação, sem se co-
nhecerem os detalhes de um hardware de interligação em redes de um fornecedor específico.
Eles representam para a comunicação computadorizada o que a linguagem de programação é
para a computação (COMER, 2001). Toda a comunicação em uma rede é realizada através de
26
camadas que interagem entre si provendo uma comunicação de forma padrão independente da
tecnologia utilizada.
A comunicação é idealizada através de camadas, que executam diversos protocolos, for-
mando a pilha de protocolos TCP/IP, executado pela maioria dos dispositivos que possuem
interface de rede, possibilitando a comunicação entre redes distintas.
Os protocolos divididos em camadas são projetados de modo que a camada n de destino
receba exatamente o mesmo objeto enviado pela camada n de origem (COMER, 2001).
2.4 PROTOCOLOS DE AUTENTICAÇÃO
A autenticação é um aspecto fundamental na segurança do sistema. Ela confirma a identi-
dade de qualquer usuário que esteja tentando fazer logon em um domínio ou acessar recursos
da rede (MICROSOFT, 2005c).
Os usuários que utilizam uma conta de domínio não vêem a autenticação de rede, uma
vez que se autenticam ao ligar a estação, efetuando assim um logon único. Por outro lado,
os usuários que utilizam uma conta de computador local devem fornecer credenciais, nome de
usuário e senha toda vez que acessarem um recurso de rede.
2.4.1 Tipos de Autenticação
Existem diversos tipos de autenticação, como kerberos, Camada de Soquete Seguro - Se-
cure Sockets Layer (SSL)/Camada de Transporte Seguro - Transport Layer Security (TLS), Ad-
ministração de Rede NT - NT LAN Manager (NTLM), LDAP, RADIUS, dentre muitos outros. Os
protocolos de autenticação, possuem características para cada situação ou forma de autentica-
ção, seja via redes sem fio, Windows ou Linux. Ao tentar autenticar um usuário, vários tipos de
autenticação padrão existentes no mercado podem ser usadas, dependendo de uma série de
fatores.(MICROSOFT, 2005c)
a. A autenticação kerberos: é utilizada através de uma senha ou em alguns casos com car-
tão inteligente. Verifica a identidade do usuário solicitante com o servidor que fornece a
autenticação solicitada. Essa verificação bidirecional é conhecida também como autenti-
cação mútua;
b. Autenticação SSL/TLS: implementada praticamente em servidores web seguros. Con-
trola quais codificações ou algoritmos criptografados são permitidos por padrão;
c. Autenticação : Este protocolo fornece uma inoperabilidade, presente em versões antigas
do Windows, como NT4 ou inferior;
27
d. Autenticação RADIUS: protocolo de Autenticação, Autorização e Contabilização - Authen-
tication, Authorization and Accounting (AAA) para aplicações que necessitam acesso à
rede de computadores e mobilidade através da rede IP.
Um protocolo de autenticação bastante utilizado, e que fará parte deste trabalho é o 802.1x
ou Protocolo de Autenticação Extensível - Extensible Authentication Protocol (EAP), criado pelo
comitê de padrões Institute of Electrical and Electronics Engineers (IEEE). Este protocolo for-
nece diferentes mecanismos para o transporte com segurança das credenciais dos usuários
até um servidor de autenticação. O acesso é permitido unicamente após autorização de um
servidor de autenticação, como o RADIUS, por exemplo.
A vantagem desta tecnologia, é a integração de diferentes protocolos para autenticação,
como será demonstrado, onde integraremos o AD e o servidor de autenticação remoto RADIUS.
2.5 PROTOCOLOS DE ACESSO SEM FIO
Os protocolos de autenticação sem fio proporcionam uma mobilidade muito grande, pois
utilizam as ondas de rádio, no lugar dos cabos. Com o avanço das tecnologias, as redes popu-
larmente conhecidas como WiFi, estão cada vez mais freqüentes.
A rede WiFi consiste em milhões de dispostivos pequenos e portáteis, prontamente dispo-
níveis sempre e onde quer que um usuário necessite de informações, conforme ilustra a figura
6. Computadores de mão, telefones inteligentes e dispositivos similares estão se tornando cada
vez mais disponíveis com opções de conectividade sem fio (RISCHPATER, 2001). Nota-se, que
os dispositivos demonstrados na figura 6, geralmente possuem alguma forma de acesso sem
fio, seja via rádio infravermelho ou qualquer outro meio, que os conecte na Internet ou ainda
uma rede local.
Vários são os dispositivos que vêm se tornando mais presentes e acessíveis as pessoas
dia a dia:
a. Celulares: Equipados com acesso à Internet, transferência entre dois aparelhos, dentre
outras funcionalidades;
b. Notebooks: Praticamente todo notebook fabricado hoje, possui acesso à rede sem fio, ou
qualquer outra tecnologia;
c. Sistema de Bilhetagem Automática: Transporte Coletivo onde as catracas são eletrônicas
controladas via rádio em várias cidades do País;
d. Sistemas de Rastreamento: Sistemas antifurto, ou para acompanhamento de frotas, veí-
culos, dentre outros.
28
e. Acesso à Internet: Tecnologia via Rádio, presente em várias cidades.
Figura 6: Conectividade de ativos de rede sem fioFonte: O Autor
Muitos outros equipamentos e situações podem ser descritos, pois já estão se transfor-
mando em hábitos, a exemplo dos celulares.
2.5.1 Tecnologia de comunicação sem fio
A tecnologia mais utilizada para autenticação via redes sem fio é o padrão IEEE 802.1x,
que define diferentes mecanismos no transporte seguro das credenciais dos usuários até um
servidor de autenticação. O acesso é permitido somente após autorização de um servidor de
autenticação.
A tecnologia das redes sem fio permite a utilização de recursos computacionais distribuídos
sem a utilização de fios entre o dispositivo cliente e o servidor dos recursos. Atualmente, esta
tecnologia tem se mostrado um grande negócio para as empresas principalmente de comunica-
ção (I-WEB, 2003).
O acesso a tecnologias móveis no país vem crescendo muito rapidamente. Em todo o país,
estima-se que existem entre 800 a 3000 pontos dotados de antenas WiFi para acesso público à
Internet, os chamados hotsposts públicos(DEMARCHI, 2004).
A grande vantagem desta tecnologia é permitir a integração de diferentes protocolos de
autenticação. Na figura 7, é descrito o funcionamento do processo de autenticação sem fio. Os
maiores usuários de WiFi são os executivos, que sempre precisam se conectar à rede através
de notebooks e handhelds para a realização de seus negócios.
29
A popularização do acesso sem fio, proporciona inúmeros benefícios, além da mobilidade,
porém a segurança deve ser redobrada, uma vez que os dados podem ser interceptados a
qualquer momento. Desconsiderando os mecanismos de segurança necessários em uma rede
sem fio, o processo de autenticação para o estabelecimento da comunicação móvel é realizado,
conforme ilustra a figura 7:
Figura 7: Processo de autenticação sem fioFonte: O Autor
Para que um usuário tenha acesso autorizado aos recursos da rede, é necessário validar
as suas credenciais. Para este processo de autenticação existem três peças funcionais: Um
usuário, conectado através de um aplicativo cliente instalado em seu sistema, os ponto de
acessos, que funcionam como autenticadores e um servidor de autenticação, como o AD, por
exemplo.
O acesso é disponibilizado da seguinte maneira:
a. O usuário realiza a solicitação de acesso (autenticação), quando liga a máquina ou loga
na rede, para o autenticador, que nas redes sem fio são os pontos de acessos;
b. O ponto de acesso por sua vez, redireciona a solicitação para o servidor de autenticação;
c. O servidor de autenticação confirma a validade das credenciais solicitadas numa tabela
local em base de dados externa, AD por exemplo e devolve uma resposta ao autenticador,
através do ponto de acesso;
30
d. Caso a autenticação tenha sido bem sucedida, o ponto de acesso deixa o usuário esta-
belecer uma conexão no aparelho;
e. Caso o servidor de autenticação negue as informações, a solicitação é descartada. Por
exemplo: Quando se digita uma senha incorreta.
Desta maneira, tem-se um servidor que centraliza todas as informações de aplicações,
fazendo com que a autenticação seja somente com um único usuário e uma única senha. Para
gerenciar desta forma, basta optar no ponto de acesso, a configuração via RADIUS e colocar
o endereço do Servidor de Autenticação, que deve estar habilitado, tanto para RADIUS, quanto
para gerenciamento de acesso, como o AD, por exemplo, utilizado neste trabalho.
2.6 TIPOS DE TRANSMISSÃO
Diversas são as formas de transmissão de dados pela rede sem fio, mas sua utilização hoje
em dia, restringe-se em sua maioria no padrão WiFi, que é bastante difundido. As principais
tecnologias existentes são dispostas em diversas freqüências para transmissão, conforme a
tabela 4.
Tabela 4: Tecnologias para transmissão de dados sem fioTecnologia Freqüência Utilização
WiFi 2.400 Ghz Interligação de Redes Locais - LANWiMax 2,45 Ghz Utilização em redes WMAN
Ondas de Rádio 104 a 107 Hz Utilização em aplicações móveis como CelularesBluetooth 2,45 Ghz Comunicação entre dispostivos móveis
Atualmente, encontram-se no padrão 802.11g, que disponibiliza pontos de acesso em ae-
roportos, faculdades, dentre outros, atraindo a cada dia usuários que se enquadram nesta mo-
dalidade de acesso. Ainda assim outras formas de transmissão vêm ganhando forças, como o
Bluetooth, presentes em vários celulares e as antenas WiMax, presente em algumas cidades.
Todas as tecnologias citadas na tabela 4, são utilizadas hoje em dia, porém cada uma
possui sua utilização específica, não chegando a concorrerem entre si.
2.6.1 Redes locais sem fio
Para se ter acesso à Internet ou uma Rede Local WiFi, deve-se estar na abrangência de um
ponto de acesso, também conhecidos como hotspot, ou um local público que forneça acesso
sem fio, através da utilização de dispositivos móveis, como um computador portátil, ou qualquer
dispositivo com capacidades de comunicação sem fio. Desde sua homologação, a tecnologia
31
WiFi, passou por diversos padrões existentes até hoje. O padrão utilizado com mais freqüência
atualmente é o IEEE 802.11g, que foi precedido por outros padrões, conforme demonstrado a
seguir.
a. IEEE 802.11a: Opera em uma freqüência de 5 Ghz, suportando até 64 utilizadores por
Ponto de Acesso com velocidades de até 54 Mbps dentro dos padrões da IEEE. Sua
maior desvantagem é a inoperabilidade com padrões 802.11b e g, no que refere-se a
Access Points.
b. IEEE 802.11b: Alcança uma velocidade de 11 Mbps padronizada pelo IEEE, operando em
uma freqüência de 2.4 Ghz, suportando 32 pontos de acesso. Sua principal desvantagem
é a alta interferência tanto na transmissão como na recepção de sinais, uma vez, que
opera na mesma freqüência de Telefones Móveis e Microondas.
c. IEEE 802.11g: Funciona na frequência de 2,4 GHz e oferece uma velocidade de 54 Mbps.
Baseia-se praticamente na compatibilidade com os dispostivos 802.11b, possui os mes-
mos incovenientes, porém possui mais segurança através das implementações Privaci-
dade Equivalente a Redes com Fio - Wired Equivalent Privacy (WEP) e Acesso Protegido
Wi-Fi - Wi-Fi Protected Access (WPA), que não detalharemos neste trabalho.
Os padrões 802.11x não param por aí, existem vários padrões que em sua maioria visam
adicionar alguma correção, funcionalidade ou ainda corrigir vulnerabilidades, tão presentes nas
Redes WiFi, devido a sua exposição.
2.6.2 Redes metropolitanas sem fio
As redes WiMax, são parecidas com o WiFi, porém sua utilização é basicamente para
Redes Metropolitanas, ou seja, de grandes distâncias, chegam a alcançar até 50 Km e capa-
cidade de banda de até 70 Mbps, oscilando conforme os equipamentos utilizados e os obstá-
culos existentes, como montanhas edifícios dentre outros. A tecnologia WiMax é composta por
um grupo de padrões, definidos pelo IEEE. Estes padrões juntos formam esta tecnologia sem
fio.(BEPPLER, 2006)
O padrão IEEE 802.16-2004 pode servir como substituição da tecnologia DSL, amplamente
difundida no momento, ou para prover acesso básico de voz e banda larga em áreas remotas
onde há restrições de infra-estrutura de acesso, de acordo com a figura 8.
WiMax é o nome popular dado ao padrão IEEE 802.16 para redes metropolitanas sem
fio, também conhecido como IEEE WirelessMAN ou ainda Air Interface for Fixed Broadband
Wireless Access Systems. Esse padrão tem como proposta inicial disponibilizar o acesso banda
32
larga sem fio para 10 novas localizações cobrindo distâncias maiores, sem a necessidade de
investimento em uma infra-estrutura de alto custo (como ocorre com uma rede de acesso banda
larga cabeada) e sem as limitações de distância das tecnologias DSL. Entre as promessas
associadas ao 802.16 figura a solução para o problema da última milha, através da redução
do custo de implantação e do tempo necessário para se conectar residências e escritórios aos
troncos das linhas de comunicação(LIMA, 2004).
Figura 8: Distribuição de uma rede WiMaxFonte: O Autor
Trata-se de uma tecnologia de rede metropolitana sem fio, com suporte à cobertura na or-
dem de quilômetros e taxas de transmissão de até 74 Mbit/s, além de Qualidade de Serviço -
Quality of Service (QOS) e interfaces para redes IP, Modo de Transferência Assíncrono - Asyn-
chronous Transfer Mode (ATM), E1/T1 e Ethernet (DUARTE, 2005).
Devido ao longo alcance, as redes WIMAX, tem um grande espaço a ser ocupado para
garantir não só a popularização do acesso sem fio, como a inclusão digital de áreas até então
excluídas da vida digital.
A utilização da tecnologia de rede sem fio nas redes locais, vem de encontro com a neces-
sidade da obtenção de maior comodidade, mobilidade e resolve alguns problemas enfrentados
na indefinição da estrutura adotada nas redes.(BEPPLER, 2006)
33
2.6.3 Bluetooth
A tecnologia Bluetooth é, basicamente, um padrão para comunicação sem-fio de baixo
custo e de curto alcance. Através dele, é possível conectar facilmente vários tipos de dispositi-
vos de comunicação, tais como PCs, notebooks, palmtops, handhelds, impressoras, scanners,
telefones celulares (telemóveis) enfim, qualquer aparelho que possua um chip Bluetooth (ALE-
CRIM, 2006).
Dispositivos Bluetooth comunicam-se entre si e formam uma rede denominada "piconet",
na qual podem existir até oito dispositivos interligados, sendo um deles o mestre (master) e os
outros dispositivos escravos (slave); uma rede formada por diversos "masters"(com um número
máximo de 10) pode ser obtida para maximizar o número de conexões. A grande desvantagem
desta tecnologia é seu alcance que não chega a er muito longo, se comparado com outras
tecnologias.
34
3 TECNOLOGIAS UTILIZADAS PARA AUTENTICAÇÃO VIA RADIUS
Este trabalho propõe-se a demonstrar uma forma de autenticação, conforme ilustra a figura
9, onde o cliente sem fio, de uma forma segura, com sua senha, possa obter acesso aos seus
dados que estão na rede local.
Com um domínio configurado e funcionando para a rede Ethernet, o usuário da rede sem
fio acaba ficando sem possibilidade de acesso, uma vez que não há nenhuma implementação
de acesso para as redes sem fio.
Desta forma, a comunicação com a empresa, fica impossibilitada, ou ainda, possibilitada,
mas de forma ineficiente e indevida do ponto de vista de segurança, além de muitas vezes não
obter acesso ao domínio, através da WEP, por exemplo, como demonstra a figura 9.
Figura 9: Autenticação sem fio sem RADIUSFonte: Autor
Para amenizar esta dificuldade e facilitar a comunicação corporativa, propõe-se este traba-
lho que visa principalmente a segurança ao usuário, mantendo a comodidade de uma rede sem
fio. Para isso, conforme a figura 10, deve-se adicionar um ponto de acesso e um Servidor RA-
DIUS, pois estes são os elementos faltantes na figura 9 para que a autenticação seja possível
e segura.
Figura 10: Elementos FaltantesFonte: Autor
35
Através da implementação de um servidor RADIUS na rede, consegue-se uma autentica-
ção, autorização e contabilização, ou seja, sabe-se quem está tentando se autenticar, autoriza
ou nega-se e ainda existe a possibilidade de conferir os respectivos acessos, tempo de dura-
ção, ou mesmo eventuais comprovações que por ventura façam-se necessárias, referentes aos
acessos que foram realizados. Como uma ferramenta, o AD, gerencia usuários e computado-
res em um domínio e o protocolo RADIUS, disponibiliza recursos necessários e importantes
para segurança de uma rede, criou-se o IAS, uma ferramenta, no qual é a implementação da
Microsoft para um Servidor RADIUS.
Desta forma, será configurado o IAS, de forma que o mesmo disponibilize acesso a clientes
sem fio interna ou externamente da rede local de forma física, permitindo o acesso de forma
virtual, caso um fornecedor ou mesmo consultor necessite acessar o domínio da empresa, de
acordo com a figura 11. Para facilitar o gerenciamento, o IAS será registrado no AD, de forma
que para liberar o acesso ao funcionário da rede sem fio, seja necessário somente um usuário
e senha, independentemente da localização do usuário, liberando as devidas permissões no
domínio, como ilustra a figura 11.
Figura 11: Autenticação em um Domínio com RADIUSFonte: Autor
Para esta integração, será necessário a configuração do Servidor RADIUS, neste caso o
Serviço de Autenticação da Internet, configurar as policies, criar um Certificado Digital com a
ferramenta SelfSSL, inclusa no IIS 6.0 resource kit da Microsoft, além da configuração do Ac-
cess Point para encaminhar solicitações para o Servidor RADIUS e ainda configurar os clientes
de forma que consigam se comunicar.
Esta autenticação segura também é possível em outras plataformas, como o Linux, por
exemplo, sendo possível neste caso integrar a base de dados do LDAP com o Servidor RADIUS
36
do Linux, através da ferramenta FreeRadius, por exemplo. O Windows Server 2008, está tes-
tando a configuração de um servidor RADIUS através de uma nova ferramenta, o Servidor de
Políticas de Rede - Network Policy Server (NPS).
3.1 ACTIVE DIRECTORY
O Active Directory é um serviço de diretórios muito utilizado atualmente. Um Serviço de
Diretório é um serviço de rede, o qual identifica todos os recursos disponíveis em uma rede,
mantendo informações sobre estes dispositivos (contas de usuários, grupos, computadores,
recursos, políticas de segurança etc.) em um banco de dados e torna estes recursos disponíveis
para usuários e aplicações (VIDAL, 2006).
Um diretório nada mais é do que um cadastro ou, melhor ainda, um banco de dados com
informações sobre usuários, senhas e outros elementos necessários ao funcionamento de um
sistema, quer seja um conjunto de aplicações no Mainframe, um grupo de servidores da rede
local, o sistema de e-mail ou outro sistema qualquer (VIDAL, 2006).
Qualquer tipo de informação para acesso a um sistema, que se refira a usuário, é denomi-
nado diretório. A maioria das autenticações ocorrem através de listas de serviços de diretórios,
tais como LDAP, AD, dentre outros.
O AD é organizado de uma forma hierárquica, com o uso de domínios. Caso uma rede
utilize o AD, poderá conter vários domínios. Um domínio é nada mais do que um limite admi-
nistrativo e de segurança, ou seja, o administrador do domínio possui permissões somente no
domínio, e não em outros domínios. As políticas de segurança também se aplicam somente ao
domínio, e não a outros domínios (SANTANA, 2003).
O AD possui várias ferramentas para administração de suas funcionalidades. Mesmo assim
é possível que outros desenvolvedores criem outras que possam ser mais maleáveis e que aten-
dam a seus requisitos, afinal, o AD foi projetado sobre o protocolo LDAP, assim teoricamente é
possível trabalhar seus dados (SOUZA, 2004)
Para administração, o AD possui diversas ferramentas corporativas, que englobam concei-
tos importantes hoje, tais como Domínios, Grupos de usuário e máquina, Unidades Organizacionais
(UO), Sites, Árvores de domínios, Florestas de árvores de domínio e Políticas de grupo.
3.1.1 Domínio de Rede
Todo controle e gerenciamento existentes hoje nas redes de computadores parte dos con-
troladores de domínio, uma vez que todos os recursos e funcionalidades partem dele, só se
consegue acessar ou utilizar algum serviço através de uma autenticação por meio de usuário e
senha cadastrados no AD.
37
Um domínio é apenas um grupo de servidores e estações de trabalho que concordam em
centralizar os nomes de conta de usuário e máquina em um banco de dados compartilhado. Isso
é muito útil - em uma rede de qualquer tamanho, pois permite que um usuário tenha apenas um
nome de conta e senha e os utilize em dezenas, centenas ou milhares de máquinas dentro do
domínio de uma organização (MINASI, 2003).
Por meio de um domínio, controla-se máquinas e contas de usuários, independentemente
do local físico do servidor, que possui o controlador do domínio instalado, conforme a figura
12. Por exemplo, usuários da filial de uma grande empresa, não necessitam necessariamente
de um controlador de domínio no local, este acesso pode ser autenticado pelo controlador de
domínio, situado na matriz, ou seja, através de um domínio todas as informações da máquina e
da autenticação são centralizadas, facilitando o gerenciamento e a administração.
As principais funcionalidades de um domínio, bem como, os benefícios que proporcionam
aos usuários e grandes corporações são inúmeros:
a. Mantém uma lista de usuários e senhas.
b. Fornecem um conjunto de servidores que funcionam como servidores de autenticação ou
servidores de logon, conhecidos como controladores de domínio.
c. Mantém um índice a ser consultado daquilo que está no domínio facilitando o encontro de
recursos.
d. Permitem a criação de usuários com diferentes níveis de poder, desde contas guest me-
nos poderosas até as contas regulares dos todo-poderosos administradores do domínio.
Da mesma forma, possibilitam também a criação de contas de subadministradores com
algum poder no domínio, mas não todos eles.
e. Permitem que subdivida o domínio em subdomínios, chamados unidades organizacionais
ou UOs. Assim, é possível atribuir quantidades de controle e poder atribuir variáveis
por meio dessas UOs a determinados indivíduos. Isso torna possível a criação do que
se poderia chamar de administradores departamentais, usuários com muito poder, mas
apenas sobre um pequeno grupo de máquinas ou usuários.
Na plataforma Microsoft, diante das inúmeras funções fornecidas pelo Active Directory, sua
utilização, é praticamente uniforme, facilitando o suporte e a documentação, ainda que em maior
parte disponibilizada de forma centralizada. Cada rede com determinado tipo de segurança
precisa manter uma lista de informações relacionadas com seus usuários - os nomes, senhas e
outras informações a respeito das pessoas autorizadas a usar o sistema. Em um sistema com
um servidor, essa lista fica em algum lugar no único servidor (MINASI, 2003).
38
A figura 12 ilustra um domínio, onde controla-se basicamente computadores, usuários e
grupos, através de senhas, registro dos computadores e notebooks no domínio. Pode-se utilizar
diversas ferramentas para administração do domínio.
Figura 12: Componentes de um DomínioFonte: O Autor
A vantagem de um domínio é que se escolhem alguns servidores para conter um banco
de dados de usuários e senhas e fornecem um serviço para o restante da rede em que por
meio de um sistema poderá confirmar o usuário, liberando acesso aos recursos disponíveis. Os
domínios do AD permitem que seja configurado um grande lote de arquivos baseados nos siste-
mas operacionais da Microsoft e servidores de impressão de forma a centralizar a autenticação
(MINASI, 2003).
3.1.2 Controlador de Domínio
Responsável por gerenciar e administrar as informações de computadores e usuários de
um domínio, é implementado através de aplicativos. Na plataforma Microsoft, é gerenciado pelo
Active Directory. Os controladores de domínio fornecem aos usuários e computadores da rede
o serviço de diretório do Active Directory, que armazena e replica dados do diretório e gerencia
interações do usuário com o domínio, incluindo processos de logon do usuário, autenticação e
pesquisas de diretório.
39
Cada domínio deve conter, pelo menos, um controlador de domínio (MICROSOFT, 2005b).
Através da criação do controlador de domínio, automaticamente cria-se o domínio, que é cha-
mado de raiz, conforme demonstra a figura 13. Um controlador de domínio fornece o serviço
de autenticação em que outros computadores poderão confiar para conectar usuários, possi-
bilitando que o usuário seja autenticado em qualquer máquina do domínio ainda que remota-
mente. Outro fator relevante de um controlador é a integridade e a consistência das informações
no caso de vários Controlador de Domínio - Domain Controllers (DC), qualquer alteração será
replicada de forma que a informação seja a mesma.
Figura 13: Controlador de DomínioFonte: O Autor
O acesso ao sistema e os recursos da rede pelo usuário, é realizado através da autenti-
cação, conforme ilustra a figura 14, que no AD funciona basicamente através de credenciais
inseridas em uma máquina cliente do domínio.
Além da administração de usuários, o controlador de domínio também gerencia os com-
putadores do domínio. Um computador somente poderá usar os DCs de um domínio para
autenticação se aquele computador "juntar-se"a um domínio a fim de tornar-se um "membro do
domínio"(MINASI, 2003).
Uma vez que a máquina esteja no domínio, independentemente do local físico, a mesma
poderá autenticar-se no domínio e ter acesso aos recursos da rede, conforme as permissões
que possuir.
O cadastro do usuário e senha, é realizado pelo administrador da rede, liberando assim o
acesso. Primeiramente, o usuário irá informar seu usuário e senha já cadastrada no AD em
qualquer máquina que esteja no domínio.
40
Figura 14: Solicitação de AutenticaçãoFonte: O Autor
Informando usuário e senha, como ilustra a figura 15 controlador irá receber uma solicitação
com as informações, para verificar se o usuário existe no domínio.
Figura 15: Envio da Solicitação ao Controlador de DomínioFonte: O Autor
O próximo passo, de acordo com a figura 16, será verificar no DC se o usuário realmente
existe, liberando assim o acesso, caso contrário, rejeitará o acesso, fazendo com que o usuário
tente autenticar-se novamente, reiniciando o processo.
Figura 16: Validação das InformaçõesFonte: O Autor
41
3.2 SERVIÇO DE AUTENTICAÇÃO DA INTERNET (IAS)
O IAS, nada mais é que a implementação da Microsoft de um servidor RADIUS, no qual
centraliza as autenticações proporcionando um alto nível de segurança e confiabilidade, preser-
vando a mobilidade necessária em uma rede sem fio.
Windows Server 2003 utiliza políticas de acesso remoto para determinar quem está e quem
não está com acesso ao servidor remoto permitido. Windows Server 2003 pode usar RADIUS
para fornecer políticas de acesso remoto centralizado para um grupo de servidores de acesso
remoto para permitir que o Windows Server 2003 gerencie as políticas de acesso remoto em
máquinas não Windows (DANSEGLIO, 2004).
Como um servidor RADIUS, o IAS cuida da autenticação, autorização e contabilização de
conexões centralizadas para vários tipos de acesso à rede, incluindo conexões sem fio, switch
de autenticação, acesso remoto através de conexões discadas e Rede Virtual Privada - Virtual
Private Network (VPN) e conexões roteador a roteador. Como um proxy RADIUS, o IAS encami-
nha mensagens de autenticação e sobre contabilização para outros servidores RADIUS. O IAS
oferece suporte aos padrões da Internet Engineering Task Force (IETF) para RADIUS descritos
nas RFCs 2865 e 2866 (MICROSOFT, 2005a).
O IAS apresenta reais vantagens quando integrado com o Active Directory, ou seja com a
estrutura de autenticação central disponibilizada pelos serviços de diretoria do Windows. Para
implementação do IAS, são necessárias algumas etapas, as quais asseguram o funcionamento
de forma segura da comunicação do RADIUS com o IAS.
a. Ter conhecimento dos conceitos de RADIUS e IAS é fundamental para configuração de
toda a tecnologia, pois em diversos momentos é necessário para definir o tipo de confi-
guração a ser efetuada no caso.
b. Instalar o IAS nos servidores a serem usados como servidores IAS primários e de backup.
c. Adicionar os pontos de acesso sem fio como clientes RADIUS no servidor IAS primário,
necessário para disponibilizar o acesso. Existe a possibilidade de configurar os pontos de
acesso como Protocolo de Configuração Dinâmica de Hosts - Dynamic Host Configuration
Protocol (DHCP), o que possibilita ue qualquer notebook conecte-se na rede, de acordo
com as configurações existentes no AD.
d. Configurar os métodos de autenticação através do protocolo Protocolo de Autenticação
Extensível Protegido - Protected Extensible Authentication Protocol (PEAP), também cha-
mada de PEAP-EAP-MS-CHAP v2, na diretiva de acesso remoto.
42
e. Copiar a configuração do IAS do servidor IAS primário para o servidor IAS de backup,
quando for o caso de haver uma replicação para evitar paradas.
f. Registrar os servidores IAS primário e de backup nos domínios apropriados do AD.
Ainda existem configurações opcionais, que aumentam a segurança, tais como instalar
certificados nos clientes, para autenticação em conexões sem fio e Ethernet. Para os clientes
geralmente, instalar certificados acaba não sendo muito utilizado, pois em certos casos, os
certiicados teriam que ser instalados em cada cliente. O IAS executa autenticação, autorização
e cálculos estatísticos de conexão centralizados para muitos tipos de acesso a redes, incluindo
conexões sem fio e VPN.
O IAS também pode ser utilizado para aumentar a segurança e comfigurar uma VPN. Além
da VPN, outros serviços podem ser configurados através do IAS, tais como acesso sem fio,
acesso remoto à organização por conexão dial-up ou VPN, acesso tercerizado via conexão
discada ou sem fio, acesso à Internet, acesso autenticado a recursos de extranet para parceiros
comerciais.
Quando um servidor IAS é membro de um domínio do AD, ele usa o serviço de diretório
como banco de dados de contas de usuários e faz parte de uma solução de início de sessão
universal. O mesmo conjunto de credenciais é usado para controlar o acesso à rede (acesso a
uma rede via autenticação e autorização) e para fazer logon em um domínio do AD(MICROSOFT,
2005a).
43
4 AUTENTICAÇÃO DE USUÁRIOS NO AD UTILIZANDO RADIUS VIA IAS
Este capítulo tem como função implementar um mecanismo de segurança para autentica-
ção em redes sem fio, através do AD, utilizando o protocolo RADIUS, por meio da ferramenta
IAS, possibilitando uma administração centralizada no gerenciamento de acessos sem fio, por
meio de uma documentação concisa de fácil acesso e simples interpretação para implementa-
ção em qualquer ambiente.
Este tipo de configuração no servidor restringe-se a plataforma Windows, de forma que caso
necessite ou deseje utilizar a plataforma Linux, esta configuração será realizada na ferramenta
Freeradius, de forma diferente, podendo ser utilizada a parte conceitual deste trabalho para im-
plementação na plataforma. As principais ferramentas utilizadas para realização deste trabalho
são: o Sistema Operacional Windows Server 2003 R2, Active Directory, Serviço de Autentica-
ção da Internet, Internet Infomation Services Resources Kit 6.0 e Windows XP Professional nos
clientes.
4.1 CRIAÇÃO DE UM DOMÍNIO NO ACTIVE DIRECTORY
Como já visto anteriormente, antes de mais nada, precisa-se obter um dómínio plenamente
configurado e em funcionamento. Efetuou-se todas as configurações necessárias para imple-
mentação de um domínio, o qual não será detalhado neste trabalho. O Active Directory Users
and Computers é instalado automaticamente em todos os sistemas operacionais Microsoft Win-
dows 2003 R2 que tenham o serviço do Active Directory habilitado. Desta forma toda a rede
será gerenciada pelo Active Directory, onde foi criado o domínio, chamado de TCC, conforme a
figura 17, o qual será o Controlador do domínio.
Figura 17: Descrição do DomínioFonte: Sistema Operacional Windows 2003 Server R2
44
4.1.1 AMBIENTE DE TESTES
A configuração de IP para os clientes pode ser de forma dinâmica através do DHCP ou fixa,
recomendada, caso sejam poucos usuários ou ainda seja de vital importância a segurança dos
acessos.
Sendo assim, neste trabalho o cliente terá IP fixo definido pelo Servidor, como demonstra a
tabela 5, caso o cliente esteja com outro IP, o IAS negará o acesso. A configuração de IP deste
trabalho será da seguinte forma:
Tabela 5: Configuração de IPDescrição Nome EndereçoDomínio tcc.com.br 192.168.0.xServidor sociesc.tcc.com.br 192.168.0.126Estação souza.tcc.com.br 192.168.0.128
Para adicionar mais clientes sem fio é necessário configurar no IAS cada cliente, uma vez
que se está configurando os IPs dos clientes de forma manual, como ilustra a figura 18. Este
servidor será o responsável por armazenar a base de dados do Active Directory, será dele
que o IAS irá pesquisar e encaminhar as solicitações de usuário e senha, portanto qualquer
modifcação, criação de usuário, visualização das máquinas no domínio, será gerenciada através
do Active Directory Users and Computers.
Figura 18: Active Directory Users and ComputersFonte: Sistema Operacional Windows 2003 Server R2
45
Estando o domínio plenamente configurado, no AD basta gerenciar os usuários e conceder
permissão aqueles que precisarem de acesso remoto. Desta forma, o acesso será contemplado
tanto na rede Ethernet, quanto via WiFi. Existe a possibilidade de replicar o Servidor para uma
filial por exemplo, de forma que os usuários da filial consigam acessar a rede da matriz.
4.2 INSTALAÇÃO DO SERVIÇO DE AUTENTICAÇÃO DA INTERNET PARA AUTENTICAÇÃO
VIA RADIUS
O protocolo RADIUS, na plataforma Microsoft é implementado através da ferramenta Ser-
viço de Autenticação da Internet. Para instalá-lo, deve-se selecionar → Adicionar ou remover
programas→ Remover componentes do Windows. Então, deve ser selecionado o item Servi-
ços de Rede e após clicar no botão Detalhes. Finalmente, deve-se selecionar o item Serviço
de Autenticação da Internet. Após a instalação o ícone da ferramenta é criado em Painel de
Controle→ Ferramentas Administrativas.
Ao executar a ferramenta, tem-se a tela de configuração, apresentada na figura 19, onde
será selecionado as portas de configurações, as formas de acesso, os registros, e todos os
detalhes necessários ao bom funcionamento do servidor RADIUS/IAS.
Figura 19: Tela de Configuração do IASFonte: Sistema Operacional Windows 2003 Server R2
46
4.3 CONFIGURAÇÃO DA FERRAMENTA MICROSOFT IAS
Uma vez instalado corretamente o IAS, é necessário, configurá-lo de forma que ele pro-
cesse as solicitações de acesso sem fio, gerando os registros, ajustando as configurações,
emitindo o certificado. Com toda configuração devidamente regularizada, deve-se registrá-lo no
AD, para integração e centralização da administração, conforme já descrito.
O primeiro passo para iniciar a configuração do servidor IAS é definir as políticas que re-
gerão os acessos e conexões, como ilustra a figura 20. Deve-se clicar com o botão direito em
Serviço de Autenticação da Internet → propriedades. Na tela de configuração, define-se um
nome para o servidor IAS, também existe a possibilidade se habilitar as opções para demons-
trar as solicitações de autenticações rejeitadas e bem-sucedidas, além dos erros que já são
registrados atomaticamente no registro de eventos, segundo a figura 20.
Figura 20: Descrição do Servidor IASFonte: Sistema Operacional Windows 2003 Server R2
Nesta janela, ainda há a opção de configurar as portas de comunicação onde o RADIUS
receberá e enviára as solicitações, através da aba portas. Por padrão, as portas que já vem
previamente configuradas são as que correspondem ao RADIUS de acordo com as Request for
Comments (RFC) correspondentes, de acordo com a tabela 6.
Tabela 6: Portas RADIUSServiço Portas RFC
Autenticação 1812, 1645 2865Contabilização 1813, 1646 2866
47
Será demonstrado a configuração dos registros necessários para verificação de acesso,
geração de contabilização e solcitações rejeitadas, ilustradas na figura 21. Seleciona-se→ Log
de acesso remoto, o subitem → Arquivo local, onde devem ser selecionado os 3 itens, que
correspondem respectivamente a solitações de contabilização, autenticação e status.
Figura 21: Tela de configuração do logFonte: Sistema Operacional Windows 2003 Server R2
Na aba arquivo local, demonstrada na figura 22, deve-se definir o formato do arquivo, ca-
minho, bem como o período, onde um novo arquivo de log é gerado. Neste caso, como um
único cliente sem fio está sendo configurado, recomenda-se que o registro seja mensal, por
conter poucas informações. No caso do uso em massa, é altamente recomendável limitar pelo
tamanho, ou ainda gerar um arquivo diário, que é mais comum.
Figura 22: Propriedades do arquivo de logFonte: Sistema Operacional Windows 2003 Server R2
Há ainda a possibilidade de configurar os arquivos de log para serem gerados e armaze-
nados no banco de dados Linguagem de Consulta Estruturada - Structured Query Language
48
(SQL), sendo possivel importar em algum programa específico, para geração de relatórios, por
exemplo.
Em seguida é necessário adicionar o cliente RADIUS no servidor IAS. Na configuração do
servidor IAS, um cliente RADIUS é o ponto de acesso, o qual redireciona as mensagens para
estação e vice-versa. No caso da configuração RADIUS ser para uma VPN, o cliente RADIUS
neste caso, passa a ser um roteador, assim como se o acesso a ser utilizado for em uma rede
comum, o switch é quem será o respectivo cliente.
Na figura 23, deve-se selecionar com o botão direito→ Cliente RADIUS,→ Novo Cliente
RADIUS.
Figura 23: Propriedades do cliente RADIUSFonte: Sistema Operacional Windows 2003 Server R2
Nesta tela, os seguintes procedimentos devem ser realizados:
a. O nome do dispositvo para fácil identificação,
b. O endereço do Cliente RADIUS, que é o ponto de acesso, responsável por disponibilizar
o acesso sem fio.
c. Posteriormente, é necessário colocar o nome do fornecedor do cliente, ou seja o fabri-
cante do ponto do acesso,
49
d. Caso o ponto de acesso que esteja sendo utilizado não estiver na lista, o que é bastante
comum, seleciona-se a opção RADIUS Standard.
e. É preciso ainda uma senha, que também será configurada no ponto de acesso posterior-
mente.
4.3.1 Diretivas de Acesso Remoto
É necessário ajustar as diretivas para o acesso remoto, onde é definido:
a. O tipo de acesso,
b. Os usuários com permissão a utlizar os recursos sem fio, ou seja, quem estará com
permissão para autenticar-se na rede sem fio, através do protocolo RADIUS.
c. Nesta etapa, é definido o certificado, onde contém as principais informações do domínio,
do acesso e criptografia utilizada.
Nesta etapa, deve-se definir um nome para a diretiva, a título de identificação, nesta tela
também será escolhido o método de configuração, que pode ser através do assistente, o qual é
auto explicativo ou a opção mais avançada. Como, em ambas as opções, o conhecimento sobre
o protocolo RADIUS, e a própria ferramenta IAS é indispensável, qualquer uma das opções pode
ser escolhida. Para a configuração, colocou-se o nome "WiFi access".
Na figura 24, será escolhido o tipo de diretiva, neste caso sem fio, porém, outros tipos de
acesso são suportados pela ferramenta como VPN, rede discada para conexões tradicionais via
telefone, ou ainda Ethernet, com a possibilidade de utilizar um switch que suporte RADIUS.
Figura 24: Tipo de DiretivaFonte: Sistema Operacional Windows 2003 Server R2
50
É necessário definir quem deverá obter o acesso sem fio, escolhendo no domínio, as pes-
soas ou os grupos que terão o respectivo acesso. O recomendado é que seja escolhido no
AD:
a. Os usuários do domínio,
b. E os computadores do domínio,
Desta forma, o acesso é liberado a qualquer usuário que esteja no domínio. Em caso bem
específicos, recomenda-se que se escolha somente o usuário, ou no caso de algumas pessoas,
criar um grupo. Desta vez , será selecionado todos os usuários e computadores do domínio, a
opção mais comum na maioria dos casos, conforme a figura 25. Após realizar a configuração
descrita na figura 24, deve-se clicar em Avançar→ Adicionar→ Avançado→ Localizar agora.
Então, como ilustra a figura 25, selecionam-se as opções → Computadores do domínio e →Usuários do domínio, após clique em→ Ok→ Ok novamente→ Avançar.
Figura 25: Escolha dos usuários com permissão para acesso sem fioFonte: Sistema Operacional Windows 2003 Server R2
O próximo passo, é a escolha do tipo de mecanismo para a segurança da autenticação,
para proteger as Redes locais sem fio - Wireless Local Area Network (WLAN), que neste caso
será o PEAP. LANs sem fio com PEAP e senhas, usa senhas e o protocolo PEAP para clientes
sem fio de autenticação. Principalmente para organizações de pequeno e médio porte. No
51
entanto, o uso do PEAP não está limitado a pequenas organizações. Grandes organizações e
organizações empresariais também podem usar autenticação de senha e PEAP para proteger
suas WLANs (MICROSOFT, 2004).
Na figura 26, será escolhido, como método de autenticação, o item Protected EAP (PEAP)
→ configurar. Assim, será configurado e ajustado o certificado de segurança, necessários para
assegurar a segurança do acesso.
Figura 26: Escolha do dispositivo de segurançaFonte: Sistema Operacional Windows 2003 Server R2
4.3.2 Geração do Certificado
Para configurar o dispositivo de segurança PEAP, é necessário a criação de um certificado.
Caso não tenha um certificado gerado, ao clicar no botão para configurar o PEAP, conforme a
figura 26. O IAS emitirá uma mensagem de erro, o qual indica a inexistência de um certificado
no Servidor. Para a geração do certificado, existem diversas ferramentas e formas de criar o
mesmo. Para este estudo de caso, foi utilizado a ferramenta Selfssl, que faz parte do pacote do
Internet Information Services 6.0 Resource Kit Tools da Microsoft.
No momento da instalação do Internet Information Services 6.0 Resource Kit Tools, é neces-
sário selecionar somente o aplicativo SelfSSL, pois é o único aplicativo do pacote que será utili-
zado. Para geração do certificado, são necessários os seguintes passos no aplicativo SelfSSL:
a. Inicialmente é necessário abrir o prompt de comando
b. Após é necessário acessar a pasta de instalação que foi selecionado quando foi instalado
o Internet Information Services 6.0 Resource Kit Tools, que por padrão, é no c: program
files IIS Resources SelfSSL
52
c. Estando dentro da pasta no prompt de comando, é necessário executar o comando da
figura 27:
1 s e l f s s l /N:CN=sociesc . t cc . com. br /K:1024 /V:1825 /S:1 /P:443
Figura 27: Comando para Geração do Certificado
A tabela 7 explica a função de cada parte do comando da figura 28, para geração do certi-
ficado.
Tabela 7: Descrição dos comandos para geração do certificadoComando Descrição
/N:CN Nome do Servidor e o Domínio/K: Bits alocados para a chave de encriptação RSA/V: Validade do certificado, 1825 dias são 5 anos/S: É o número do IIS, padrão/P: Porta TCP utilizada, neste caso 443, SSL
As descrições /S: e /P: são irrelevantes para autenticação, mas necessárias para geração
do certificado pela ferramenta SelfSSL.
Após este procedimento, é necessário acessar a console do seu servidor através do co-
mando MMC. Com a console aberta, selecione a opção Arquivo→ Adicionar ou remover Snap-
in. Na tela que segue, basta clicar no botão adicionar, em seguida é necessário selecionar a
opção certificados e clicar em adicionar. Então é mostrada uma caixa, onde deve ser selecio-
nado o que o snap-in irá gerenciar, neste caso, a opção conta de computador. Por fim, basta
selecionar computador local e clicar em Concluir.
Em seguida, é necessário exportar o certificado para adicionar ao IAS posteriormente. Na
console, deve ser expandida a opção certificados, selecionar a pasta pessoal → a subpasta
certificados→ botão direito no certificado gerado "‘sociesc.tcc.com.br"’→ todas as tarefas→exportar.
Na janela que segue, basta clicar em avançar para iniciar o processo de exportação do
certificado, posteriormente, há a opção de escolher se deseja exportar a chave particular ou
não. Neste estudo, seleciona-se a segunda opção, "‘Não"’, não exportar a chave particular.
É necessário escolher o formato do arquivo a ser exportado, sendo que o recomendado é a
primeira opção X.509 binário codificado por Codificação de Regras Distingüidas - Distinguished
Encoding Rules (DER)(*.cer), como ilustra a figura 28. Isto porque a tecnologia DER possui uma
boa compatibilidade com o sistema operacional Windows e suporta ainda o Windows Mobile
device.
53
Figura 28: Formato do certificado para exportaçãoFonte: Sistema Operacional Windows 2003 Server R2
Enfim, o próximo passo, de acordo com a figura 29, é o local onde se deseja salvar o
certificado, recomenda-se salvar na raiz, porém o local pode ser escolhido pelo administrador,
sem maiores problemas.
Figura 29: Caminho para exportar o certificadoFonte: Sistema Operacional Windows 2003 Server R2
É necessário adicionar o certificado na configuração do IAS, pois foi por este motivo que o
certificado foi gerado. Na figura 30, será configurado nas diretivas de acesso remoto, o certifi-
cado para o protocolo PEAP. Após ter selecionado o método da autenticação PEAP, conforme
54
a figura 26 e clicando no botão configurar, aparecerá a figura 30 onde, estarão descritas as
principais configurações do certificado emitido, tais como:
a. Nome do certificado;
b. Data de validade;
c. Emissor.
Após verificar as informações, basta concluir a configuração clicando em ok para prosseguir
com a configuração.
Figura 30: Informações do Certificado DigitalFonte: Sistema Operacional Windows 2003 Server R2
Nas diretivas, ainda é necessário realizar alguns ajustes de configuração. Na tela principal
do IAS, deve-se selecionar o quarto item diretivas de acesso remoto, após clicar com o botão
direito sobre o item WiFi access previamente criado, conforme descrito e selecionar a opção
propriedades.
Na tela que surgirá, será necessário clicar no botão Editar Perfil, além de deixar a op-
ção conceder permissão de acesso remoto habilitada. Posteriormente, na caixa Editar o perfil
de discagem, a aba restriçoes de discagem possui diversas opções que regulam e limitam o
acesso, caso deseje. Não será colocado nenhuma restrição de discagem nesta simulação.
Na aba Criptografia, importante para a segurança do processo, conforme a figura 31, é es-
sencial selecionar uma criptografia forte. Neste trabalho será selecionada a Criptografia máxima
de 128 bits.
55
Na aba Autenticação, basta clicar no botão Métodos EAP e selecionar a opção EAP pro-
tegido (PEAP), que utilizará todas as informações do certificado digital, desprezando qualquer
configuração manual para o método de autenticação.
Figura 31: CriptografiaFonte: Sistema Operacional Windows 2003 Server R2
Concluindo esta etapa a configuração do servidor RADIUS IAS está concluída.
4.4 REGISTRO NO ACTIVE DIRECTORY
É primordial para o funcionamento do gerenciamento via AD que o Servidor IAS, seja regis-
trado no controlador de domínio, como ilustra a figura 32, onde está instalado o Active Directory.
Para isso, basta executar o IAS, clicar com o botão direito em Serviço de autenticação da Inter-
net e selecionar a opção Registrar servidor no Active Directory.
Figura 32: Registro do Servidor IAS no Controlado de domínioFonte: Sistema Operacional Windows 2003 Server R2
56
Desta forma, o servidor IAS já está em funcionamento em conjunto com o AD, agora basta
configurar o Ponto de acesso e o cliente sem fio.
4.5 CONFIGURAÇÃO DO CLIENTE SEM FIO
Agora que o servidor está ativo e em funcionamento, pode-se configurar o acesso a rede
sem fio no cliente, de forma que solicite acesso a um AP que também será configurado para
encaminhar as solicitações ao servidor RADIUS/IAS.
Nas propriedades de Conexão de rede sem fio do cliente, figura 33, seleciona-se a aba
Redes sem fio, após basta clicar sobre o botão Propriedades. Na tela que segue, no campo
Autenticação de rede, é necessário selecionar WPA e em criptografia de dados, deve-se colocar
Protocolo de Integridade de Chave Temporária - Temporal Key Integrity Protocol (TKIP).
Figura 33: Configuração do cliente RADIUS no Windows XPFonte: Sistema Operacional Windows XP Professional
Na mesma tela, na aba Autenticação, é configurado as configurações para autenticação via
o protocolo PEAP que foi configurado no servidor. Para isso, será clicado no botão Proprieda-
des. Na caixa de diálogo Propriedades EAP protegidas que surgirá, deve-se selecionar a opção
Validar certificado do servidor e no método de autenticação o item a ser selecionado é o Senha
segura (EAP-MSCHAP v2), conforme ilustra a figura 34.
57
Figura 34: Configuração EAPFonte: Sistema Operacional Windows XP Professional
4.6 AJUSTES NO PONTO DE ACESSO
Para realização deste trabalho utlizou-se o Roteador Wireless da marca D-link, modelo DI-
524. Ele será o responsável em enviar e receber solicitações de autenticação. Após entrar
na interface do Ponto de acesso, basta selecionar a opção Wireless para entrar na tela de
configuração da forma de acesso do mesmo.
É necessário configurar o acesso para autenticar via RADIUS, o Service Set Identifier
(SSID) escolhido é Trabalho de Conclusão de Curso (TCC), lembrando que qualquer nome
pode ser inserido, uma vez que serve somente para identificação da rede. O canal pode ser o
padrão que está no ponto de acesso, geralmente 7, no item Ssecurity, é necessário selecionar
WPA, no campo Encryption, a opção TKIP deve ser selecionada.
No item RADIUS Server IP, da figura 35, basta informar o IP do servidor IAS, neste caso
192.168.0.126, a porta a ser inserida é a 1812, que corresponde ao protocolo RADIUS, con-
forme visto no capítulo 3 e por fim no campo RADIUS Shared Key, deve-se colocar uma senha,
neste caso a mesma que foi inserida quando adiciona-se um cliente RADIUS no IAS. Após
basta aplicar e aguardar que o ponto de acesso reinicie.
58
Figura 35: Configuração do Ponto de acessoFonte: Interface web do Dlink DI-524
4.7 CONEXÃO
Com todas as configurações realizadas corretamente, é preciso conectar, com o usuário/-
senha da rede, conforme a figura 36.
Figura 36: Dados para conexão no domínioFonte: Sistema Operacional Windows XP Professional
Ao clicar no botão conectar, tem-se uma caixa de diálogo, onde solicitará usuário, senha e o
domínio de logon, conforme a figura 37, após, basta informar os campos e aguardar a conexão.
59
Figura 37: Preparação de redeFonte: Sistema Operacional Windows XP Professional
4.8 RESULTADOS
Uma vez conectado, os recursos necessários estarão disponíveis, bem como as aplicações
que dependem do funcionamento da rede, com os devidos controles de acesso necessários a
uma rede WiFi. Na figura 38, tem-se um teste de conectividade com o servidor, onde qualquer
cliente sem fio habilitado no ambiente de testes poderá comunicar-se de uma forma segura.
Figura 38: Teste de Conectividade com o ServidorFonte: Sistema Operacional Windows XP Professional
Realizado toda a implementação descrita neste capítulo, pode-se realizar a autenticação de
usuários do Active Directory de forma segura, como demonstra a figura 39, com gerenciamento
facilitado e obter o ambiente proposto no início deste capítulo.
Com as implementações descritas, é possível verificar que um ambiente de acesso sem fio
necessita de proteção e integração ao domínio, a exemplo de um cliente Ethernet. Por meio do
Serviço de Autenticação da Internet, o acesso e o ingresso em um domínio, torna-se facilitado
ao usuário para utilização no dia a dia. Através do controle de acesso realizado via IAS, o
domínio torna-se mais seguro e confiável.
Até mesmo acesso externo ao domínio é possível, pois o IAS pode liberar o acesso ao
domínio integrando-se ao AD, bastando ao usuário informar seu usuário e senha.
60
Figura 39: Domínio com o Serviço de Autenticação da InternetFonte: Autor
Vários são os benefícios proporcionados com a utilização de clientes WiFi em instituições
e corporações.
a. Centralização: Todo o controle de usuários e permissões é realizado pelo Controlador de
Domínio, inclusive de dispositivos WiFi;
b. Segurança: A utilização do Protocolo RADIUS, funciona como um grande mecanismo de
segurança;
c. Custo: O Serviço de Autenticação da Internet, faz parte do Windows Server 2003, desta
forma, pode ser implementado sem nenhum custo adicional;
d. Mobilidade: Através de um bom dimensionamento dos pontos de acesso existentes, é
possível fornecer uma grande abrangência com segurança por meio de acessos sem fio.
Estender a utilização do domínio a usuários de redes sem fio, com segurança, controle e
praticidade, é o foco principal deste trabalho. Pode ser aplicado em hotéis, hospitais, universi-
dades, corporações, dentre outros.
61
5 CONCLUSÃO
Este trabalho apresentou inicialmente o conceito de Protocolos de rede, detalhando o mo-
delo em camadas, a fim de um entendimento necessário para implementação e compreensão,
possibilitando uma administração posterior tranqüila, e centralizada. Seguindo nesta linha, fo-
ram apresentados os termos, conceitos, bem como os diversos tipos de protocolos de auten-
ticação,os protocolos de acesso sem fio, detalhando o acesso via WiFi, tipos de transmissão,
uma noção sobre as redes locais sem fio, metropolitanas e até mesmo, o Bluetooth.
Ainda no capítulo 2, foram demonstradas as vantagens da autenticação das redes sem fio,
como mobilidade, baixo custo de infra-estrutura de rede, rapidez na instalação, fatores estes
que vêm motivando empresas a adotarem esta tecnologia. Na parte conceitual foi evidenciada
e ressaltada de uma forma auto-explicativa, uma vez que a mesma se faz muito necessária
para o entendimento deste trabalho. Sendo assim, os capítulos 2 e 3 abordam as tecnologias
utilizadas, conceituando-as de forma a esclarecer a função de cada tecnologia no processo, uma
vez que várias ferramentas serão utilizadas, porém com finalidades diferentes no processo. Por
este motivo, explicou-se de forma detalhada os conceitos de domínio de rede, controlador de
Domínio, no que diz respeito ao Active Directory. No mesmo capítulo, se explica a função do
Serviço de autenticação da Internet, que é a implementação Microsoft de um Servidor Radius,
que foi descrito e conceituado igualmente na seqüência, abordando inclusive, os conceitos do
protocolo em redes sem fio, e o funcionamento do processo de autenticação, focando desta
forma, para o trabalho. Finalizando este capítulo, descreveu-se sobre a tecnologia Wireless
Fidelity (WiFi), pois este será o meio de comunicação e acesso utilizado.
Com os conceitos devidamente definidos, esclarecidos foram analisadas, implementadas e
testadas as ferramentas que permitem a autenticação de usuários no Active Directory, utilizando
Radius através do Serviço de Autenticação da Internet.
No capítulo 4, toda a parte prática da implementação foi descrita e esclarecida de forma,
que seja possível a implementação por um administrador de rede devidamente qualificado. A
parte conceitual definida no capítulos 2 e 3 foi fundamental para que fosse implementado este
trabalho, que engloba várias tecnologias que se integram.
Geralmente, os acessos sem fio não são devidamente controlados, sendo completamente
alheia ao domínio, tendo dificuldade para o acesso a rede, necessitando de senhas específicas
para liberar o acesso, dificultando desta forma, o dia a dia destes clientes sem fio. Desta forma, a
utilização de um Servidor Radius, implementado através do Serviço de autenticação da Internet,
vem de encontro aos administradores e gestores que possuem o gerenciamento de máquinas
e usuários através do Active Directory, na plataforma Windows Server, uma vez, que se pode
62
gerenciar este cliente através do AD, bem como aumentar significativamente a segurança do
meio de acesso sem fio, que é passível de interceptação.
Para o futuro, existe a proposta de realizar este mesmo trabalho, porém em uma plataforma
livre, através da integração do servidor LDAP, com a Ferramenta Freeradius, por exemplo, pois
nem todos os ambientes são administrados e gerenciados através da plataforma Microsoft.
Existe ainda, a possibilidade de implementar a autenticação Radius com todas as máquinas do
domínio, independentemente do tipo de acesso, WiFi, Ethernet, discada, através de uma VPN,
dentre outros.
Outra proposta seria adicionar serviços integrados ao AD, como o squid, para o controle de
acesso a Internet e o postfix, para os e-mails, além de outras ferramentas, possibilitando assim,
um gerenciamento centralizado e sob controle de diversas aplicações, inclusive em clientes de
acesso sem fio, permitindo uma total integração dos mesmos através do protocolo Radius.
Outro ponto interessante a ser abordado, é a configuração do protocolo Radius na pla-
taforma Windows Server 2008, que passará a ser gerenciado pela ferramenta NPS, Network
Policy Server.
63
REFERÊNCIAS
ALECRIM, E. Tecnologia Bluetooth. 2006. InfoWester. Disponível em: http://www.infowester.com/bluetooth.php. Acesso em: 08 ago. 2007.
BEPPLER, A. F. Princípios e Fundamentos das Redes Sem-Fio utilizando WI-MAX. 2006. SOCIESC. Disponível em: http://ist.sociesc.com.br/cursos/bsi/TrabalhoDeDiplomacao/TD-AmarildoFranciscoBeppler-2006-1.pdf. Acesso em: 08set. 2007.
CARDOSO, R. Wireless LAN´s são seguras? 2007. Sibra. Disponível em: www.sibra.com.br/ArtigoWireless.pdf. Acesso em: 09 out. 2007.
COMER, D. E. Redes de Computadores e Internet. Porto Alegre: Bookman, 2001.
CONGDON, P. A. IEEE 802.1X Remote Authentication Dial In User Service (RADIUS)Usage Guidelines. United States of América: IETF - RFC 3580, 2003.
DANSEGLIO, M. Securing Windows Server 2003. United States of America: O’Reilly, 2004.
DEMARCHI, C. Rede em Ebulição. 2004. Época. Disponível em: http://epoca.globo.com/especiais/2004/tecnatal/internet.htm. Acesso em: 07 set. 2007.
DUARTE, O. C. M. B. e. a. IEEE 802.16 - WiMAX. 2005. UFRJ. Disponível em:http://www.gta.ufrj.br/grad/05_1/wimax/html/. Acesso em: 06 set. 2007.
HASSEL, J. Radius Securing Public Access to Private Resources. United States of América:O’Reilly, 2002.
I-WEB. Wireless. 2003. I-Web. Disponível em: http://www.iweb.com.br/iweb/pdfs/20031008-wireless-01.pdf. Acesso em: 07 set. 2007.
KUROSE, J. F. Redes de Computadores e a Internet - Uma Nova Abordagem. São Paulo:Pearson, 2003.
LIMA, L. d. S. WiMAX: Padrão IEEE 802.16 para Banda Larga Sem Fio. 2004. PUC.Disponível em: http://www-di.inf.puc-rio.br/~endler/paperlinks/TechReports/MCC29-06.pdf. Acesso em: 05 set. 2007.
MICROSOFT, C. Usando PEAP na empresa. 2004. Centro de orientações de segurançaMicrosoft. Disponível em: http://www.microsoft.com/brasil/security/guidance/lans/peap_a.mspx. Acesso em: 11 nov. 2007.
MICROSOFT, C. Apresentando o IAS. 2005. Microsoft TechNet. Disponível em:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/pt-br/library/ServerHelp/0cd57a07-285d-4777-9120-5a021f6b2b11.mspx?mfr=true.Acesso em: 16 out. 2007.
MICROSOFT, C. Instalando um controlador de domínio. 2005. Microsoft Technet. Disponívelem: https://thesource.ofallevil.com/technet/prodtechnol/windowsserver2003/pt-br/library/ServerHelp/8b6b5d4d-1fe5-47ae-8773-7d47b2c47ac1.mspx?mfr=true. Acesso em: 16 out. 2007.
64
MICROSOFT, C. Introdução à autenticação. 2005. Microsoft. Disponível em: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/pt-br/library/ServerHelp/a52dce1c-5613-44ec-a132-5bd37000f2e4.mspx?mfr=true. Acesso em: 16mar. 2007.
MICROSOFT, C. Novos Recursos do IAS. 2005. Microsoft Technet. Disponí-vel em: http://technet2.microsoft.com/WindowsServer/pt-BR/Library/58429446-79c2-4fe5-ab08-e2777d7b54bc1046.mspx. Acesso em: 10 set. 2007.
MINASI, M. Dominando o Windows Server 2003: A Bíblia. São Paulo: Pearson, 2003.
RISCHPATER, R. Desenvolvimento para Redes Wireless. São Paulo: Makron Books, 2001.
SANTANA, F. Active Directory. 2003. Juliobattisti. Disponível em: http://www.juliobattisti.com.br/fabiano/artigos/activedirectory.asp. Acesso em: 01 nov.2007.
SILVA, L. A. F. d. Radius em Redes sem Fio. UFRJ, Rio de Janeiro, 2003.
SOUZA, E. M. d. Implementação de um Serviço de Diretórios utilizando o protocoloLDAP. 2004. SOCIESC. Disponível em: http://ist.sociesc.com.br/cursos/bsi/TrabalhoDeDiplomacao/TD-EdsonMachadodeSousa-2004-2.pdf. Acesso em: 20 dez.2007.
STALLINGS, W. Redes e Sistemas de Comunicação de Dados. Rio de Janeiro: Campus,2005.
TANENBAUM, A. S. Redes de Computadores. Rio de Janeiro: Elsevier, 2003.
TORRES, G. O modelo de referência OSI para protocolos de rede. 2007. Clube doHardware. Disponível em: http://www.clubedohardware.com.br/artigos/1349/. Acessoem: 01 jun. 2007.
VIDAL, J. Entendendo Active Directory. 2006. Imasters. Disponível em: http://www.imasters.com.br/artigo/4735/servidores_windows/entendendo_active_directory. Acesso em: 10 set. 2007.