Baixe o app para aproveitar ainda mais
Prévia do material em texto
Sistemas de Controle de Acesso • Profª. Alex Casañas, M.Sc. • brulex@bol.com.br 1 2 @@brulexbrulex @@casanasdfcasanasdf @@sabadotecsabadotec 3 Prof. M.Sc. Alex Casañas +55(61) 984130351 (OI) SKYPE casanasdf Páginas oficiais: Redes Sociais e Parcerias Facebook: Brulex https://www.facebook.com/alex.casanas1 LinkedIn: Brulex http://br.linkedin.com/in/brulex Twitter: @brulex https://twitter.com/#!/brulex Compre com Segurança Aqui Parceria entre o Professor Alex com o site Submarino desde 1999 http://www.submarino.com.br/menu/1060/Livros/?franq=131531 4 /alex.casanas1in/brulex casanasdf brulex@bol.com.br Contatos 5 Unidade 02 • Objetivos a serem alcançados: • UNIDADE II Criptografia; Kerberos; IEEE 802.1x; Serviço de diretório. 6 Unidade 02 • Bibliografia: 1. KUROSE, James F. E ROSS, Keith W. Redes de Computadores e a Internet: uma abordagem topdown 3 ed. São Paulo Pearson 2. FARREL, Adrian A internet e seus protocolos: uma análise comparativa ? 1ª. Edição Rio de Janeiro, Elseiver 3. COMER, Douglas E. Redes de Computadores e Internet. 4. ed Bookman, Porto Alegre. 7 Unidade 02 • WEB+Bibliografia: http://blogbrasil.comstor.com/bid/398582/Oqueo protocolo8021X https://msdn.microsoft.com/pt br/library/dn452409(v=ws.11).aspx https://www.microsoft.com/brasil/technet/seguranca /colunas/sm0805.mspx 802.1X em Redes com Fio Consideradas Perigosas http://standards.ieee.org/getieee802/download/802. 1X2001.pdf Site do padrão IEEE 8 WEB+Bibliografia: 9 Unidade 02 10 • WEB+Bibliografia: • www.modulo.com.br, • www.checkpoint.com, • www.aker.com.br, • www.axur.com.br • www.techbiz.com.br • www.clubedohacker.com.br Unidade#2 Criptografia, Kerberos e X.509 11 MECANISMOS PARA SEGURANÇA DE REDE • Os mecanismos de segurança de rede são responsáveis pela identificação, análise e avaliação das ameaças e também de proteger as informações e os ativos de informação; • Proteção do fluxo de informações; • Proteção do armazenamento das informações. 12 MECANISMOS PARA SEGURANÇA DE REDE • Liberação de acesso somente a pessoas autorizadas; • Gerenciamento da Segurança da Informação; • Visão analítica do fluxo e do processamento das informações. 13 CONTROLE DE ACESSO • Controle de acesso tem a incumbência de identificar quem deseja ter acesso as informações ou ativos, validar a autorização e registras os eventos das transações e processamento no âmbito da auditoria. • Autenticação – Identifica quem deseja ter acesso aos ativos e as informações; – Uso de credencias de acesso; – Proteção das credencias de acesso; – Base de usuário. 14 CONTROLE DE ACESSO • Controle de acesso tem a incumbência de identificar quem deseja ter acesso as informações ou ativos, validar a autorização e registras os eventos das transações e processamento no âmbito da auditoria. • Autorização – Validação do que o usuário pode acessar; – Definição de perfis de acesso; – Política de alçadas. 15 CONTROLE DE ACESSO • Controle de acesso tem a incumbência de identificar quem deseja ter acesso as informações ou ativos, validar a autorização e registras os eventos das transações e processamento no âmbito da auditoria • Auditoria – Registro dos acesso, processamento das transações, erros e falhas de segurança; – Rastrearbilidade. • Gerenciamento de Identidade – Soma das opções acima; – Sistema de gestão de credenciais e perfis de acesso às informações e sistemas. 16 Alguns conceitos importantes sobre Identidade • Arquitetura AAA – Autenticação, Autorização e “Accounting” • O processo de autenticação é usado para verificar uma identidade alegada. • Um sistema de autenticação é tão forte quanto o método de verificação utilizado. Você DEVE ter no mínimo a altura “H” para entrar H 17 Alguns conceitos importantes sobre Identidade • Uma identidade só é útil como um “ponteiro”para uma política aplicável ao usuário, e para “accounting” dos serviços utilizados. • Autorização é o conceito de associar diferentes serviços aos usuários após a autenticação destes. • Se todos os usuários tiverem os mesmos direitos então não precisaremos de autorização. Você DEVE ter no mínimo a altura “H” para entrar H 18 Identidade em todas as camadas? • Camada Física— cadeados , crachá baseado em RFID • Camada de Enlace — Arquitetura IEEE 802.1x • Camada de Rede — “gateways”, “extended authentication” (xauth), firewalls, método “lock and key” em roteadores • Camada de Sessão —SSL, TLS • Camada de Aplicação — Windows networking, Kerberos Física Enlace Rede Sessão Aplicação Gateways, XAuth, Firewalls, Lock and Key Cadeados, Crachá RFID 802.1x SSL, TLS Windows Networking (SMB), Kerberos 19 Pausa para Reflexão : Por que ter Segurança já no nível 2? Quando falamos em Segurança de Redes normalmente fazemos uma associação imediata com a Internet, o que, por sua vez, nos remete a “IP” e, conseqüentemente, à camada 3 do modelo OSI. APLICAÇÃO APRESENTAÇÃO SESSÃO TRANSPORTE REDE ENLACE FÍSICO Devemos lembrar, no entanto, que uma corrente é tão forte quanto o seu elo mais fraco. Pensando justamente no modelo OSI, fica fácil perceber que se conseguirmos comprometer a Segurança no nível 2, os outros níveis naturalmente serão afetados. ! 7 6 5 4 3 2 1 20 CONTROLE DE ACESSO GERENCIAMENTO DE IDENTIDADE • Gerenciamento de identidades é o conjunto de processos e uma infraestrutura de suporte para a criação, manutenção e uso de identidades digitais; • Sistema de gestão de credenciais e perfis de acesso às informações e sistemas. 21 CONTROLE DE ACESSO GERENCIAMENTO DE IDENTIDADE • Soma das AAA; • Gerenciamento do ciclo de vida de identidades; • Gerenciamento de acesso. 22 CONTROLE DE ACESSO GERENCIAMENTO DE IDENTIDADE • Serviços de diretório; • Autenticação única – Single SignOn. 23 Triplo AAA • Em segurança da informação, o termo protocolos AAA (Authentication, Authorization and Accounting) é uma referência aos protocolos relacionados com os procedimentos de autenticação, autorização e auditoria. • A autenticação verifica a identidade digital do usuário de um sistema, a autorização garante que um usuário autenticado somente tenha acesso aos recursos autorizados e, por fim, a auditoria referese a coleta de informações sobre o uso dos recursos de um sistema pelos seus usuários. CONTROLE DE ACESSO CRIPTOGRAFICO • Proteger a confidencialidade da informação; • Chave de criptografia – Simétrica; – Assimétrica. 25 CONTROLE DE ACESSO CRIPTOGRAFIA • Proteger a confidencialidade da informação; • Algoritmos – DES – 3DES – AES – RC4 • HASH – MD5 – SHA1 26 CONTROLE DE ACESSO ICP/PKI • Assinaturas digitais – São documentos eletrônicos que comprovam a identidade do usuário nas comunicações online; – As assinaturas digitais podem ter inúmeras aplicações, desde assinar documentos digitalmente até comprovar a autenticidade e a idoneidade de um site no momento de fazer compras virtuais. 27 CONTROLE DE ACESSO ICP/PKI • Assinaturas digitais –Podese também determinar que sejam abertos arquivos criptografados, apenas por uma lista de pessoas pré determinadas e que possuem permissão para abrilos. 28 CONTROLE DE ACESSO ICP ou PKI • Certificação digital – Um tipo de tecnologia de identificação que permite que transações eletrônicas dos mais diversos tipos sejam feitas, considerando sua integridade, sua autenticidade e sua confidencialidade,de forma a evitar que adulterações, interceptações ou outros tipos de fraude ocorram. 29 CONTROLE DE ACESSO ICP ou PKI Certificado digital – Um certificado digital é um arquivo de computador que contém um conjunto de informações referentes a entidade para o qual o certificado foi emitido mais a chave pública referente a chave privada que acreditase ser de posse unicamente da entidade especificada no certificado. – É importante sabe que certificados digitais têm finalidades específicas: • Autenticação; • Assinatura digital; • Criptografia. 30 Parte#2 Criptografia – Controle de acesso 31 Criptografia e segurança de redes Chapter 14 Quarta Edição de William Stallings Slides de Lawrie Brown 32 Capítulo 14 – Aplicações de autenticação Nós não podemos fazer uma aliança com príncipes vizinhos até que saibamos de suas intenções. —A Arte da Guerra, Sun Tzu. 33 Aplicações de Autenticação • Desenvolvida para suportar níveis de aplicação, autenticação e assinaturas digitais. • Considerará Kerberos um serviço de autenticação de uma chave privada. • x.509 um serviço de autenticação de diretório de uma chave pública. 34 Kerberos • Sistema de servidor de chave confiável do MIT • Provê centralizada autenticação de terceiros de chave privada – Permite aos usuários acessarem serviços distribuidos na rede. – Sem necessidade de confiar em todas as estações de trabalho. – Mais propriamente todos confiam em um servidor de autenticação – duas versões em uso: 4 e 5. 35 Exigências do kerberos • Sua primeira informação de exigência identificadas são: • Segurança; • Confiança; • Transparência; • Expansível; • Implementado usando um protocolo de autenticação baseado em Needham e Schroeder. 36 Resumo da versão 4 de kerberos • Esquema básico de autenticação de terceiros; • Tem um servidor de autenticação (AS); • Usuários inicialmente negociam com AS para se identificar • S.A. provê uma credencial de autenticação não corruptível (ticket concedendo ticket TGT); • tem um servidor de concessão de ticket (TGS); • Usuários sub sequentemente requisitam acesso para outros serviços do TGS com base em usuários TGT. 37 Diálogo de kerberos v4 1. Obtém ticket concedendo ticket do AS • Uma vez por sessão; 2. Obtém serviço concedendo ticket do TGT • Para cada serviço distinto requirido; 3. Troca de cliente/servidor para obter serviço • Em todo pedido de serviço. 38 Resumo de Kerberos 4 39 Domínios de kerberos • O ambiente de kerberos consiste de: – Um servidor kerberos; – Um numero de clientes, todos registrados com servidor; – Servidores de aplicação, compartilhando chaves com servido. • Isso é expressado um domínio – Tipicamente um domínio administrativo sozinho; • Se tiver múltiplos campos, os servidores kerberos deles devem compartilhar chaves e confiar. 40 Domínios deKerberos 41 Kerberos Versão 5 • Desenvolvido em meados de 1990; • Especificado na RFC 1510; • Provê melhoria sobre a versão 4 – Limitações ambientais • criptografia, protocolo de rede, ordem de byte, tempo de vida do ticket, encaminhamento de autenticação, autenticação entre domínios; – Deficiências técnicas • Criptografia dupla, modo não padrão de usuário, chave de sessão, ataques de senha. 42 Serviço de autenticação X.509 • Parte das normas do diretório do serviço de autenticação CCITT x.509; – servidores distribuídos mantendo banco de dados sobre informações de usuários; • Define uma estrutura para autenticação de serviços; – diretório pode armazenar certificados de chave pública; – contém a chave publica de um usuário assinado por certificação de autoridade. 43 Serviço de autenticação X.509 • Também define protocolo de autenticação; • Usa chave publica criptografada e assinatura digital; – sem uso de algoritmo padrão, mas recomendado o RSA. • Certificações x.509 são amplamente usadas; • X.509 é baseado no uso criptografia de chave publica e assinaturas digitais. 44 Serviço de autenticação X.509 • O formato do certificado x.509 é amplamente usado, como por exemplo S/MIME, segurança de IP e SSL/TLS e SET. 45 Certificados x.509 • Emitido por uma autoridade certificadora (CA), contendo: – versão (1, 2 ou 3); – certificado de identificação de numero serial (único na CA); – algoritmo identificador de assinatura; – nome do emissor; – periodo de validade; • Notação CA <<A>> denota certificado para A sinalizado por CA. 46 Certificados x.509 • Emitido por uma autoridade certificadora (CA), contendo: – nome do titular; – informações sobre a chave publica do titular; – identificador exclusivo do emissor; – identificado exclusivo do titular; – Extenções; – Assinatura; • Notação CA <<A>> denota certificado para A sinalizado por CA. 47 Certificados X.509 48 Obtendo um certificado • Qualquer usuário com acesso para CA pode pegar qualquer certificado dele; • Somente a CA pode modificar um certificado; • Por causa de não poderem ser falsificados, certificados podem ser colocados em um diretório público. 49 Hierarquia da CA • Se ambos usuários compartilham uma CA comum eles supostamente sabem sua chave publica; • De outra maneira CA deve formar uma hierarquia; • Cada CA tem certificados para cliente (avançar) e origem (recuar). 50 Hierarquia da CA • Cada cliente confia certificados de origem; • Habilita verificação de qualquer certificado de uma CA por usuários de todas outras CAs em hierarquia. 51 Uso da hierarquia da CA 52 Revogação de certificados • Certificados tem período de validade 1. chave privada do usuário está comprometida; 2. o uso não é mais certificado pela CA; 3. o certificado da CA está comprometido; • CA mantém lista de certificados revogados – lista de certificado revogados (CRL); • Usuários deveriam checar certificados com CRL(certificação de revogação) da CA. 53 Procedimento de autenticação • X.509 inclue 3 procedimentos de autenticação alternativos: • Autenticação de uma via; • Autenticação de duas vias; • Autenticação de três vias; • Todas usam assinaturas de chave pública. 54 Autenticação de uma via • Uma mensagem (A>B) usada para estabelecer – A identidade de A que foi gerada por A; – mensagem foi destinada a B; – Integridade e originalidade da mensagem. • Mensagem deve incluir carimbo de tempo, nonce(carimbo de tempo), identidade de B e é assinada por A; • pode incluir informações adicionais de B; – EX chave de sessão. 55 Autenticação de duas vias • 2 mensagens (A>B, B>A) que também além do mais estabelece: – a identidade de B e que responde é de B; – que responde é intencionada por A; – integridade e originalidade da resposta • Resposta inclue nonce original de A, também carimbo de tempo e nonce de B; • Pode incluir informação adicionam para A. 56 Autenticação de 3 vias • 3 mensagens (A>B, B>A, A>B) que habilitam autenticação mencionada sem clocks sincronizados; • Tem resposta de A de volta para B contendo cópia sinalizada de nonce para B; • Significa que carimbo de tempo não precisa ser checado. 57 X.509 versão 3 • Reconheceu que informação adicional é necessária em uma certificado; – email/url, detalhes de política, uso confinado • Claramente em vez de nomear novos campos definiu um método geral de extensão; • Extensões consistem de: – Identificador de extensão; – Indicador crítico; – Valor de extensão. 58 Certificado de extensões • Chave e informação de política – Leva informação sobre assunto echaves emitentes, mais indicadores de política de certificado; • Título de certificado e atributos emitentes – Suporta nomes alternativos, em formatos alternativos para assunto de certificado e/ou origem; • Certificado de restrição de caminho – Permite restrição em uso de certificados por outra Cas. 59 Infraestrutura de chave pública 60 Parte#2 Material Microsoft 61 62 63 66 VírusVírus 67 Aumento da sofisticação dos ataques Fonte: Claudio Rêgo – Grupo Nova 68 Entre tantas ameaças… Vírus Clonagem Spyware Ataques Estruturados ETC… Roubo de informações 69 70 71 72 73 Linha do Tempo dos Ataques VulnerabilidadeVulnerabilidade ReportadaReportada Correção Correção DesenvolvidaDesenvolvida Boletim e Correção Boletim e Correção DivulgadosDivulgados Engenharia Engenharia Reversa da Reversa da CorreçãoCorreção Código do Código do Worm/VirusWorm/Virus DesenvolvidoDesenvolvido Worm/VirusWorm/Virus DivulgadoDivulgado Sem Exploit Apenas a Apenas a Microsoft e o Microsoft e o descobridor descobridor sabem da falhasabem da falha Sem Exploit Apenas a Apenas a Microsoft e o Microsoft e o descobridor descobridor sabem da falhasabem da falha Sem ExploitSem Exploit Público ciente da Público ciente da falha mas sem falha mas sem saber como saber como exploráexplorála ainda la ainda Sem ExploitSem Exploit Exploração Exploração disponível mas disponível mas sem vírus ou sem vírus ou wormworm Sem ExploitSem Exploit Virus/worm Virus/worm disponível mas disponível mas ainda não ainda não espalhadoespalhado ExploitExploit Virus/worm Virus/worm divulgado; divulgado; infecta os infecta os sistemas sistemas desprotegidos e desprotegidos e sem correçãosem correção Começa a corrida para proteger e aplicar as correções antes do ataque acontecer 74 Níveis de Severidade dos Boletins Consulta aos Boletins de Segurança: http://www.microsoft.com/technet/security/current.asp Nível Definition Crítico Exploração pode permitir a propagação de um worm na Internet como o Code Red ou o Nimda sem necessidade de ação do usuário Importante Exploração pode resultar no comprometimento da confidencialidade, integridade, ou disponibilidade dos dados dos usuários; ou integridade ou disponibilidade dos recursos de processamento Moderado Impacto sério mas mitigado bastante por fatores como configuração default, auditoria, necessidade de ação do usuário ou dificuldade de exploração Baixo Exploração is extremamente díficil, ou impacto é mínimo 75 Tempo Para Instalação Nível Severidade Recommended Patching Time Frame Maximum Recommended Time Frame Crítico Em 24 hours Até duas semanas Importante Até um mês Até dois meses Moderado Dependendo da disponibilidade, esperar pelo próximo service pack ou pelo próximo conjunto de correções que inclua esta correção, ou instale dentro de quatro meses Instale a atualização em até seis meses Baixo Dependendo da disponibilidade, esperar pelo próximo service pack ou pelo próximo conjunto de correções que inclua esta correção, ou instale dentro de quatro meses Instale a atualização em pelo menos um ano, ou decida simplesmente não instalar Fator Impacto Potencial Recursos de alto valor ou exposição afetados Diminua o tempo Recursos historicamente atacados são afetados Diminua o tempo Fatores de mitigação colocados ou em vias de colocação Aumente o tempo Baixo risco de exposição dos recursos afetados Aumente o tempo Fatores Afetando o Tempo de Instalação 76 Produtos, ferramentas,Produtos, ferramentas, e automatizaçãoe automatização Consistente eConsistente e ReproduzívelReproduzível Skills, papéis, Skills, papéis, e responsabilidadese responsabilidades ProcessosProcessos PessoasPessoasTecnologiaTecnologia Gerência Eficiente de Correções 77 Processo de Gerência de Correções 1. Avalie o Ambiente a Ser Gerenciado1. Avalie o Ambiente a Ser Gerenciado Tarefas PeriódicasTarefas Periódicas A. Crie/mantenha um padrão para os sistemasA. Crie/mantenha um padrão para os sistemas B. Avalie a arquitetura de gerência de correçõesB. Avalie a arquitetura de gerência de correções C. Revise a infraestrutura/C. Revise a infraestrutura/ configuraçãoconfiguração Tarefas IniciaisTarefas Iniciais 1. Avalie1. Avalie 2.Identifique2.Identifique 4. Instale4. Instale 3. Planeje3. Planeje 2. Identifique as Correções2. Identifique as Correções TarefasTarefas A. Identifique as novas correçõesA. Identifique as novas correções B. Determine a sua relevânciaB. Determine a sua relevância C. Verifique a autenticidade e C. Verifique a autenticidade e integridade da correçãointegridade da correção 3. Planeje a Instalação da 3. Planeje a Instalação da CorreçãoCorreção TarefasTarefas A. Obtenha aprovação para instalar A. Obtenha aprovação para instalar a correçãoa correção B. Faça uma análise de riscosB. Faça uma análise de riscos C. Planeje o processo de instalação C. Planeje o processo de instalação da correçãoda correção D. Faça os testes de aceitação da D. Faça os testes de aceitação da correçãocorreção 4. Instale a Correção4. Instale a Correção TarefasTarefas A. Distribua e instale a correçãoA. Distribua e instale a correção B. Relate os progressosB. Relate os progressos C. Trate as exceçõesC. Trate as exceções D. Revise a instalaçãoD. Revise a instalação 78 Ouvindo o Feedback dos Usuários “Quero saber o jeito certo de gerênciar um ambiente Microsoft” “Quero saber o jeito certo de gerênciar um ambiente Microsoft” “Existem muitas vulnerabilidades e correções” “Existem muitas vulnerabilidades e correções” Prover treinamento e guias prescritivos Melhorar a experiência de atualização de correções Melhorar a qualidade do produto; diminuir o número de correções “O processo de correção é inconsistente “O processo de correção é inconsistente “As ferramentas são incompletas e se sobrepõe” “As ferramentas são incompletas e se sobrepõe” “A qualidade das correções é ruim – quero pacotes menores e com menos reboots” “A qualidade das correções é ruim – quero pacotes menores e com menos reboots” Melhorar e integrar as ferramentas de gerência Melhorar a qualidade das correções 79 O que os Clientes esperam… Proteger meus dadosProteger meus dados Melhorar o valor econômicoMelhorar o valor econômico Reduzir o downtimeReduzir o downtime Aproveitar ativos existentesAproveitar ativos existentes Inter- operabilidade Segurança Robusta Confiabilidade Disponibilidade Inovação Integrada Clientes requisitamClientes requisitam Compromissos da equipe de controle de acessoCompromissos da equipe de controle de acesso Conectar-se com clientes (Faturamento)Integrar-se com parceiros (Reduzir Custos)Funcionários eficientes (Produtividade) Melhor Valor IndenizaçãoTer um nome por trás dos ProdutosTer um nome por trás dos Produtos 80 Parte#3 IEEE 802.1x 81 82 83 84 85 86 Operação do 802.1X 87 Extensible Authentication Protocol (EAP) • É um protocolo de transporte flexível usado para carregar informações arbitrárias de autenticação— o EAP não é o método de autenticação em si. • O EAP provê um “framework” flexível para Segurança na camada de enlace – Protocolo de encapsulamento simples; • Não depende do IP – Poucos requisitos em relação à camada de Enlace; – Pode funcionar em qualquer camada de Enlace (PPP, 802, etc.); – Pode funcionar em meios com perdas; – Originalmente especificado na RFC 2284, a qual se tornou obsoleta após a publicaçãoda RFC 3748. 88 Extensible Authentication Protocol (EAP) • O EAP provê um “framework” flexível para Segurança na camada de enlace – Protocolo de encapsulamento simples; • Não depende do IP – Poucos requisitos em relação à camada de Enlace; – Pode funcionar em qualquer camada de Enlace (PPP, 802, etc.); – Pode funcionar em meios de transmissão com perdas; – Originalmente especificado na RFC 2284(antiga), a qual se tornou obsoleta após a publicação da RFC 3748(atual). 89 O que o EAP faz ? • Transporta informação de autenticação sob a forma de “payloads” EAP; • Estabelece e gerencia a conexão; encapsula vários tipos de mensagens de autenticação; • Métodos EAP mais utilizados: 802.1x Header Ethernet Header RADIUS IP Header EAP Payload UDP EAP Payload Conversação EAP Resultante Switch clien te Servidor RADIUS 90 O que o EAP faz ? – EAPTLS: usa certificados digitais x.509 v3 PKI e o mecanismo TLS para autenticação. (Certificados tanto no cliente como no servidor) – PEAP: Protected EAP tunnel mode EAP encapsulator; promove “tunelamento” de outros métodos EAP em uma sessão TLS criptografada. – EAPFAST: projetado para não depender de certificados ; promove “tunelamento” de outros métodos EAP em uma sessão TLS criptografada. 802.1x Header Ethernet Header RADIUS IP Header EAP Payload UDP EAP Payload Conversação EAP Resultante Switch clien te Servidor RADIUS 91 Protocol Version 1 Byte Packet Type 1 Byte Packet Length 2 Byte Packet Body N Byte DST MAC SRC MAC Type Data FCS Tipo de Pacote Descrição do Pacote EAP Packet (0) Enviado pelo Suplicante e pelo Switch. Contém informação MD5 ouTLS necessária para completar o processo de autenticação; EAPOL Start (1) Enviado pelo Suplicante no início do processo de autenticação; EAPOL Logoff (2) Enviado pelo Suplicante para terminar a sessão 802.1x; EAPOL Key (3) Enviado pelo Switch ao Suplicante (contém chave usada durante a autenticação TLS) . Formato do Frame EAPOL (EAP over LAN) 92 • RADIUS age como o transporte para o EAP, entre o autenticador (switch) e o servidor de autenticação (servidor RADIUS); • RFC 3579 trata do suporte do RADIUS ao protocolo EAP entre autenticador e servidor de autenticação ; • RADIUS também é usado para passar informações de política (autorização) ao autenticador, após a identificação do usuário, sob a forma de pares AV (“attributevalue pairs”); • RFC 3580 – define forma de uso do protocolo RADIUS por parte dos autenticadores 802.1x. Como o RADIUS é usado ? RADIUS Header EAP PayloadUDP HeaderIP Header RADIUS Header EAP PayloadUDP HeaderIP Header AV Pairs 93 Terminologia IEEE Termos do IEEE Termos usuais Supplicant Client Authenticator Network Access Device Authentication Server AAA/RADIUS Server * IBNS = Identity Based Networking Services = autenticação 802.1x + serviços adicionais sobre a plataforma 802.1x 94 Uncontrolled port provides a path for extensible authentication protocol over LAN (EAPOL) and CDP traffic only Segurança Implícita do 802.1x O canal não controlado provê o caminho para transporte exclusivo do protocolo EAPOL (EAP over LAN). Para cada porta física habilitada para 802.1x, o switch cria dois canais virtuais de comunicação; O canal controlado só é aberto após a autorização da porta via 802.1x; Controlled UncontrolledEAPOL EAPOL Switc h 95 Entendendo o 802.1x Trocas de Mensagens EAP • A autenticação 802.1x é iniciada quando o link muda de “down” para “up”. • Tanto o Switch como o Cliente (Supplicant) podem iniciar a autenticação. • O protocolo EAP over LAN (EAPOL) transporta frames EAP entre o Suplicante e o Autenticador. • O protocolo EAPOL é encapsulado em um Frame Ethernet conforme ilustração abaixo: DST MAC SRC MAC TYPE DATA FCS Protocol version 1 byte Packet Type 1 byte Packet Length 2 byte Packet Body N byte O endereço MAC de destino é sempre 01-80-C3-00-00-03 96 Modelo 802.1x para controle de acesso por porta Request for Service (Connectivity) Backend Authentication Support Identity Store Integration Authenticator • LAN Switch • WLAN Access Point Identity Store/Management • Microsoft AD • LDAP • NDS • ODBC Authentication Server • Microsoft IAS • ACS (Access Control Server) • Any IETF RADIUS server Supplicant • Desktop/laptop • IP phone • WLAN Access Point • LAN Switch IP NetworkL2 Access 97 Detalhamento dos fluxos 802.1x 802.1x Port Unauthorized 802.1x, STP EAPIdentityRequest EAPIdentityResponse EAPOLStart 98 802.1x RADIUS EAP—Method Dependent Port Unauthorized 802.1x, STP EAPAuth Exchange EAPIdentityRequest EAPSuccess/Failure EAPIdentityResponse EAPOLStart Auth Exchange w/AAA Server Authentication Successful/Rejected Detalhamento dos fluxos 802.1x 99 EAPAuth Exchange Auth Exchange w/AAA Server EAPIdentityRequest Authentication Successful/RejectedEAPSuccess/Failure 802.1x RADIUS Policy Instructions EAPOLStart EAP—Method Dependent Port Authorized EAPIdentityResponse Port Unauthorized 802.1x, STP Detalhamento dos fluxos 802.1x 100 802.1x RADIUS EAP—Method Dependent Port Authorized EAPOLLogoff Port Unauthorized Port Unauthorized 802.1x, STP EAPAuth Exchange Auth Exchange w/AAA Server EAPIdentityRequest Authentication Successful/RejectedEAPSuccess/Failure Policy Instructions EAPOLStart Port Authorized EAPIdentityResponse Detalhamento dos fluxos 802.1x 101 Actual Authentication Conversation Is Between Client and Auth Server Using EAP; the Switch Is an EAP Conduit, but Aware of What’s Going on 802.1x RADIUS EAP—Method Dependent Port Authorized Port Unauthorized Port Unauthorized 802.1x, STP EAPOLLogoff EAPAuth Exchange Auth Exchange w/AAA Server EAPIdentityRequest Authentication Successful/RejectedEAPSuccess/Failure Policy Instructions EAPOLStart EAPIdentityResponse Detalhamento dos fluxos 802.1x 102 802.1x não se limita a autenticação 103 ATRIBUTO NOME OFICIAL SIGNIFICADO Attribute[1] User Name Nome do usuário Attribute[4] NAS IP Address IP do switch Attribute[5] NAS Port Porta do switch Attribute[8] Framed IP Address IP do usuário Attribute[25] Class Vinculação ao grupo Attribute[30] Called Station ID MAC da porta do switch Attribute[31] Calling Station ID MAC do usuário Attribute[40] Acct Status Type Start/stop Attribute[42] Acct Input Octets Bytes transmitidos Attribute[43] Acct Output Octets Bytes recebidos Attribute[44] Acct Session ID Identificador da sessão Attribute[61] NAS Port Type Tipo de porta do switch O switch envia uma mensagem de accounting do tipo “start” para o servidor RADIUS após a autenticação da sessão 802.1x; O switch envia uma mensagem de accounting do tipo “stop” para o servidor RADIUS após o término da sessão 802.1x (mensagem EAPLogoff do switch ou desconexão da porta física); RADIUS Accounting na arquitetura 802.1X Nota Importante : O Switch deve estar preparado para enviar os atributos de accounting ao servidor RADIUS. 104 ATRIBUTO NOME OFICIAL SIGNIFICADO Attribute[1] User Name Nome do usuário Attribute[4] NAS IP Address IP do switch Attribute[5] NAS Port Porta do switch Attribute[8] Framed IP Address IP do usuário Attribute[25] Class Vinculação ao grupo Attribute[30] Called Station ID MAC da porta do switch Attribute[31] Calling Station ID MAC do usuário Attribute[40] Acct Status Type Start/stop Attribute[42] Acct Input Octets Bytes transmitidos Attribute[43] Acct Output Octets Bytes recebidos Attribute[44] Acct SessionID Identificador da sessão Attribute[61] NAS Port Type Tipo de porta do switch Um pacote RADIUS Accounting é transportado sobre a porta UDP 1813 e é seguido por um pacote “RADIUSAccounting Response”, conforme definições das RFCs 2139 e 2866. As informações de sessão são carregadas via “RADIUS Attribute Value Pairs”. RADIUS Accounting na arquitetura 802.1X Nota Importante : O Switch deve estar preparado para enviar os atributos de accounting ao servidor RADIUS. 105 802.1x Accounting : Auditoria e Localização (1) 106 802.1x Accounting : Auditoria e Localização (2) 107 802.1x com associação dinâmica de VLAN • [64] Tunneltype—“VLAN” (13) • [65] Tunnelmediumtype—“802” (6) • [81] TunnelprivategroupID—<VLAN name> Marketing = VLAN 10 Attribute Value Pairs Usados—conforme padrão IETF Engenharia = VLAN 20 Grupo 1Grupo 2 VLAN 10 VLAN 20 Política de Autorização Servidor RADIUS Associação de VLAN por grupo de usuários 108 802.1x com VLAN de visitante (“Guest VLAN”) • “Timeout” padrão é de 30 segundos e 3 tentativas; “Timeout” total é de 90 segundos (valor padrão); • Um cliente é colocado na VLAN de visitante por não responder aos frames EAPOLIdentityRequest enviados pelo switch (que podem ser vistos como “hellos” 802.1x); • Inexistência ou não habilitação do suplicante; • Não há comunicação com o servidor RADIUS (decisão sobre a VLAN de visitante é local ao switch); • Estações aptas a falar 802.1x e que podem responder ao switch via EAPOL, por definição, não podem ser direcionadas para a VLAN de visitante. Guest 109 Integração de 802.1x com “Wake on LAN” Supplicant 802.1x Process 1 √ 2 √ 3 4 PC Must 802.1x Authenticate • Tráfego de saída de uma porta (Rede >> Cliente) é permitido; • Tráfego de entrada de uma porta continua sendo bloqueado enquanto o usuário não tiver sido autorizado; • Sendo detectado tráfego na Rede, a porta volta para o estado normal e a estação tem que se autenticar. WoL Frame Transmitted PC Can Wakeup PC Sends Traffic 110 802.1X : Reautenticação periódica Portas que suportam 802.1x podem ser configuradas para exigir reautenticação periodicamente Switch LAN (suporta 802.1x) 12 6 39 Switch LAN (suporta 802.1x) 12 6 39Algumas máquinas foram autenticadas e estão utilizando a Rede; Período de reautenticação expira e todos os clientes são forçados a se reautenticar. 111 802.1x : Desafios específicos de ambientes Microsoft 112 Processo de “boot”do Windows : visão geral Power Up Load NDIS Drivers DHCP Setup Secure Channel to DC Update GPOs Apply Computer GPOs Present GINA (CtrlAltDel) Login Pressupõese Conectividade à Rede A espera pela autenticação de usuário via 802.1x contraria o pressuposto de conectividade da Microsoft 113 “Machine Authentication” no Windows Power Up Load NDIS drivers DHCP Setup Secure Channel to DC Update GPOs Apply Computer GPOs Present GINA (CtrlAltDel) Login 802.1x Authenticate as Computer Suposição de conectividade à Rede Foi concebido para compatibilizar a plataforma 802.1x com as características de boot do Windows 114 “Machine Authentication” e 802.1x Identity Req. Computer Identity EAPTLS Authentication EAPTLS Authentication Computer Identity AccessAcceptAccessAccept Authenticate to Domain Controller Request Group Policy Updates Group Policy Updates “Machine Authentication” é suportada com EAPTLS, PEAPMSCHAPv2 e EAPFAST Domain Controlle r Servid or RADI US Switch Cliente 115 • Boot da estação • Interface física é ativada (não autenticada) • Início da autenticação 802.1x • Máquina envia sua credencial – Certificado de Máquina no EAPTLS – Chave compartilhada Windows AD no PEAPMSCHAPv2 – Prefixo de nome de máquina (host/) para machine authentication EAPFAST M ac h in e A u th en ti ca ti o n Machine Authentication e User Authentication U se r A u th en ti ca ti o n Nota: Os dois processos de autenticação são, por definição, independentes. • Se o usuário faz login na máquina, esta envia uma mensagem EAPOLstart para avisar o switch sobre a nova autenticação em andamento. • Em seguida é feita a autenticação de usuário usando a credencial pertinente (de acordo com o método EAP utilizado) 116 802.1x e Machine Access Restriction • A proposta é criar um vínculo entre a autenticação de usuário e a autenticação de máquina (uma autenticação de usuário só pode ser aceita após uma autenticação de máquina correta); • Possível para EAPFAST, PEAP/MSCHAPv2 e EAPTLS; • A autenticação de máquina foi originalmente concebida para compatibilizar a plataforma 802.1x com as características de boot do Windows e não como um item de Segurança. • Usando o conceito de Machine Access Restriction a autenticação de usuário só será aceita se o endereço MAC da estação usada pelo usuário, tiver sido usado previamente numa autenticação de máquina. • Ganhouse uma nova característica de Segurança! 117 Network Admission Control 118 Arquitetura NAC Framework Rede Servidor de Autenticação Servidor de Patching Servidor de Diretório (Computadores Gerenciados e não Gerenciados) Decisão e Remediação LAN Remoto WAN Servidor de Validação de Status Servidor de Relatórios Servidor de Auditoria 119 NAC proporciona maior Segurança Qual é a melhor maneira de verificar/corrigir? PreConfigured Checks Customized Checks SelfRemediation or AutoRemediation ThirdParty Software Windows, Mac, Linux ? Laptop, Desktop, PDA ? Impressora ? Telefone IP ? ... ? Qual é o sistema? Empresa Empregado Terceirizado Visitante Desconhecido A quem ele pertence? VPN LAN WLAN WAN Qual é o meio de acesso? AntiVirus, AntiSpyware Personal Firewall Ferramentas de Patching Quais são os softwares instalados? Eles estão habilitados? 120 Operação 802.1x e NAC • Autenticação via 802.1x • Um único túnel, múltiplas transações. – Validação de Identidade; – Validação do “Status” (Verificação da adequação da Máquina aos requisitos mínimos da Política de Admissão à Rede); • Aplicação de Políticas de Grupo (autorização). RADIUS Identidade + Status da Máquina L2 (802.1x) Cliente Switc h Servidor RADIUS 121 Fluxo de Admissão NAC Key: Opcional Obrigatório ServidorR ADIUS Posture Validati on Server (PVS) Máquina solicitando acesso à Rede Network Access Devices (NADs) Servidores de Políticas de Acesso/Admissão RADIUS Cisco Trust Agent (CTA) Servido r de Auditori a (AS) Credentials 2 Notification 8 Authorization 6 Identity 4a Compliant? 5 Enforcement 7 3 Credentials Servido r de Diretóri o LDAP, OTP HCAP Posture 4b Audit 4c GAME: HTTPS Status 9 Traffic Triggers Challenge1 EAP 122 Possíveis estados NAC (Status da Máquina) • Healthy — a estação está de acordo com as políticas; sem restrições no acesso à Rede; • Checkup — a estação está de acordo com as políticas, porém existe uma atualização disponível; usado para remediar uma estação para o status “healthy” de uma maneira próativa; • Transition — a verificação do status da estação está em andamento; a estação tem um acesso temporário até que seja feita a verificação do completa da estação; utilizado quanto a estação está sendo inicializada e todos os serviços ainda não foram iniciados e/ou os resultados de auditoria ainda não estão disponíveis.123 Possíveis estados NAC (Status da Máquina) • Quarantine — a estação não está adequada; o acesso é restrito a uma rede de quarentena para que a estação seja remediada; a estação não é considerada uma ameaça mas é vulnerável a um ataque conhecido ou uma infecção; • Infected — a estação é uma ameaça aos outros dispositivos de rede; o acesso à Rede deve ser limitado ou totalmente negado; • Unknown — a status da estação não pode ser determinado; a estação pode ser colocada em quarentena até que possa ser identificado seu o status. 124 Método EAPFAST • “Extensible Authentication ProtocolFlexible Authentication via Secure Tunneling” (EAPFAST) é um método EAP baseado em TLS (RFC3748); • O estabelecimento do túnel se baseia no “Protected Access Credential” (PAC) que pode ser aprovisionado e gerenciado dinamicamente pelo EAPFAST através de um servidor AAA. 125 Método EAPFAST • PAC é uma credencial única compartilhada para autenticar mutuamente o cliente e o servidor; • PAC é associado a um userID e um authorityID específico; • Por enquanto é o único método que suporta 802.1x + NAC (Identidade + validação de Status simultaneamente). 126 NACL2802.1x: Identidade e Status Key: [26/9/1] ciscoavpair [27] SessionTimeout [29] TerminationAction [64] Tunneltype [65] TunnelMediumType [81] TunnelPrivateGroupID 127 NACL2802.1x: Processo de reautenticação 128 NACL2802.1x: Quarentena (Atribuição Dinâmica de VLAN) 1005 trnet-default act/unsup 129 Resultado da validação de Identidade e Status (1) 130 Resultado da validação de Identidade e Status (2) 131 Resultado da validação de Identidade e Status (3) 132 Elementos definidores de uma solução NAC IDENTIFICAR DEIDENTIFICAR DE FORMA SEGURAFORMA SEGURA A ESTAÇÃO E OA ESTAÇÃO E O USUARIOUSUARIO O QUE SIGNIFICA… SEM ISSO . . . Identificar estações e usuários e criar associações entre eles. Crítico para associar as estações e os usuários às suas respectivas políticas. Previne “device spoofing”. GERÊNCIA GERÊNCIA E E CONFIGURAÇÃOCONFIGURAÇÃO Políticas que são muito complexas ou muito difíceis de criar podem inviabilizar o projeto. Criação de políticas granulares para mapear rapidamente grupos de usuários às suas políticas. QUARENTENA QUARENTENA E E REMEDIAÇÃOREMEDIAÇÃO Somente saber que uma estação não está adequada não é suficiente. Deve haver um responsável pela readequação. Atua com base nos resultados da verificação do status da estação, isolando e remediando para que ela venha a ser considerada adequada. GARANTIR UMA GARANTIR UMA POLÍTICA POLÍTICA CONSISTENTECONSISTENTE Um mecanismo de política descentralizada (ex: baseado na estação) pode levar a problemas de Segurança. Verifica e reforça uma única política consistente em toda a rede. Elementos definidores de uma solução NAC Uma solução NAC completa deve ter todas as quatro características. A ausência de uma das quatro características limita significativamente a solução. 134 Cuidado com os “agentes inteligentes”... Algumas implementações prometem “agentes inteligentes” O suposto “Agente Inteligente” se traduz em: Ponto Único de falha; Propagação automática de worms: com um “agente inteligente”, um worm só precisa fazer uma coisa certa: SHUT DOWN AGENT = NO MORE NAC Quando o “Agente Inteligente” é Neutralizado, o NAC falha 135 Padronização do NAC • A Cisco está participando do processo de padronização do NAC • Os drafts EAPFAST (NACL2) e EAPoUDP (NACL3) estão publicados no IETF • Cisco participou na reunião “Network Endpoint Assessment” (NEA) realizado no IETF em 2006 • Lista de discussão nea@ietf.org • Mais informações : www.cisco.com/go/nac www.cisco.com/go/ibns 136 Conclusão 137 *2015 FBI/CSI Report Necessidade de Network Admission Control • Vírus, worms, spyware, etc., continuam a ser um grande desafio no diaadia das Empresas.* Virus são só um sintoma do problema maior : aplicativos complexos com inúmeras falhas de Segurança. • Ameaças novas (principalmente baseadas em worms) tornam as soluções puramente reativas muito pouco eficazes. • Apesar de a maioria dos usuários serem autenticados, não se verifica a adequação dos computadores deles (laptops, PCs, PDAs, etc.) à Política de Segurança. “Endpoint systems are vulnerable and represent the most likely point of infection from which a virus or worm can spread rapidly and cause serious disruption and economic damage.” Burton Group 138 *2015 FBI/CSI Report Necessidade de Network Admission Control • É comum haver servidores e estações não adequados à Política de Segurança. É difícil detectálos e contêlos. • Produtos pontuais de Segurança (sem visão de Sistema e Política) não são muito efetivos em manter a disponibilidade da Rede • Localizar, isolar e fazer “patching” de sistemas inefctados consome tempo e recursos. “Endpoint systems are vulnerable and represent the most likely point of infection from which a virus or worm can spread rapidly and cause serious disruption and economic damage.” Burton Group 139 Em que abordagem você confia ? Segurança como uma opção Segurança como um aditivo Integração extremamente complicada Não é economicamente viável Não pode focar na principal prioridade Segurança como parte do sistema Segurança Embutida na Rede Colaboração inteligente entre os elementos Visão de sistemas Foco direto na principal prioridade 140 Considerações Finais • Existem soluções de autenticação para todos os portes de necessidades empresariais; • A criptografia e fundamental para prover a codificação de cada solução; • O padrão 802.1x funciona em redes cabeadas e redes sem fio. 141 Questões para debate • Banca: UFF Órgão: UFF • Prova: Laboratório – Informática • Em relação aos protocolos, aquele que é utilizado como mecanismo para autenticação e autorização dos acessos dos clientes, evitando que haja uma transmissão de login e senhas em texto claro, é conhecido como: • a) SMTP; b)DNSbind; c) SNMP; • d) Kerberos; e) FTP. 142 Questões para debate • Banca: UFF Órgão: UFF • Prova: Laboratório – Informática • Em relação aos protocolos, aquele que é utilizado como mecanismo para autenticação e autorização dos acessos dos clientes, evitando que haja uma transmissão de login e senhas em texto claro, é conhecido como: • a) SMTP; b)DNSbind; c) SNMP; • d) Kerberos; e) FTP. 143 Questões para debate • Banca: IBADE Órgão: Prefeitura de Rio Branco – • Um protocolo associado à segurança de informação, que permite comunicações individuais seguras e identificadas é o: • a)ARP. b)FTP. c)HTTP. • d)Kerberos. e)PPP. 144 Questões para debate • Banca: IBADE Órgão: Prefeitura de Rio Branco – • Um protocolo associado à segurança de informação, que permite comunicações individuais seguras e identificadas é o: • a)ARP. b)FTP. c)HTTP. • d)Kerberos. e)PPP. 145 Questões para debate • Banca: IDECAN Órgão: CREFITO8ª Região(PR) • Prova: Analista de Sistemas • “O padrão com o qual o ponto de acesso permite que o cliente trave um diálogo com o servidor de autenticação e observe o resultado.” Assinale a alternativa que contempla a informação disposta na afirmativa anterior. • a) 802.3u b)802.1X c) 802.3af • d)802.3ae e)802.11Q 146 Questões para debate • Banca: IDECAN Órgão: CREFITO8ª Região(PR) • Prova: Analista de Sistemas • “O padrão com o qualo ponto de acesso permite que o cliente trave um diálogo com o servidor de autenticação e observe o resultado.” Assinale a alternativa que contempla a informação disposta na afirmativa anterior. • a) 802.3u b)802.1X c) 802.3af • d)802.3ae e)802.11Q 147 Questões para debate • Banca: FCC Órgão: DPESP • Prova: Administrador de Redes • No padrão de rede sem fio IEEE 802.11, o protocolo IEEE 802.1x provê: 148 • a) recursos de criptografia de chave simétrica durante a negociação entre o AccessPoint e o dispositivo cliente. • b) um mecanismo de autenticação de dispositivos que desejam juntarse à LAN. • c) um mecanismo de segurança para o SSID divulgado em Broadcast. • d) recursos de autenticação dos usuários não cadastrados na WLAN. • e) uma maior banda de transmissão adicionando uma extensão aos canais de transmissão. 149 • a) recursos de criptografia de chave simétrica durante a negociação entre o AccessPoint e o dispositivo cliente. • b) um mecanismo de autenticação de dispositivos que desejam juntarse à LAN. • c) um mecanismo de segurança para o SSID divulgado em Broadcast. • d) recursos de autenticação dos usuários não cadastrados na WLAN. • e) uma maior banda de transmissão adicionando uma extensão aos canais de transmissão. 150 Questões para debate • Banca: AOCP Órgão: TCEPA Prova: Assessor Técnico • O NAC é uma sigla referente a Network Access Control e sua função é • a) garantir a segurança do tráfego de dados em uma rede de computadores. • b) validar as permissões de acesso de usuários e de serviços em uma rede. Questões para debate • Banca: AOCP Órgão: TCEPA Prova: Assessor Técnico • c) controlar o acesso a rede de sistemas por meio de autenticação de usuário. • d) verificar e atualizar sistemas antes da sua ligação efetiva em uma rede. • e) monitorar as ações suspeitas de aplicações e usuários em uma rede. Questões para debate • Banca: AOCP Órgão: TCEPA Prova: Assessor Técnico • c) controlar o acesso a rede de sistemas por meio de autenticação de usuário. • d) verificar e atualizar sistemas antes da sua ligação efetiva em uma rede. • e) monitorar as ações suspeitas de aplicações e usuários em uma rede. Questões para debate • Banca: CESPE Órgão: TCEPA Prova: Auditor • Com relação aos protocolos NAC (network access control) e NAP (network access protection), julgue o seguinte item. • O NAP funciona em redes Windows e permite aos administradores de sistemas definirem políticas que permitam ou neguem acesso a uma estação na rede. • Certo Errado Questões para debate • Banca: CESPE Órgão: TCEPA Prova: Auditor • Com relação aos protocolos NAC (network access control) e NAP (network access protection), julgue o seguinte item. • O NAP funciona em redes Windows e permite aos administradores de sistemas definirem políticas que permitam ou neguem acesso a uma estação na rede. • Certo Errado Explicação • O Network Access Protection (NAP Proteção de Acesso à Rede) é uma nova tecnologia de segurança do NPS (Serviço de Proteção à Rede) lançada no Windows Vista e Windows Server 2008. Essa tecnologia inclui componentes que permitem criar e impor diretivas de requisito de integridade que definem as configurações necessárias tanto de software como de sistema para os computadores que se conectam a rede. Explicação • Com o Network Access Protection, os administradores de rede podem definir políticas para os requisitos de integridade do sistema e assim verificar o estado de saúde das máquinas que tentam se conectar ao servidor. Certificar se o computador possui o sistema operacional atualizado, ou as definições de vírus do software antivírus atualizadas são alguns dos exemplos de requisitos de integridade do sistema. Explicação • Caso um computador cliente não esteja em conformidade com a política de requisitos, o NAP restringe o seu acesso à rede, porém oferece mecanismos para que o cliente se torne compatível com os requisitos, e tenha o acesso normal à rede. • Ao término desta Unidade você deverá ser capaz de explanar sobre: UNIDADE II Criptografia; Kerberos; IEEE 802.1x; Serviço de diretório. Unidade 02 159 ��������������������������������������������������������������������������� ��������������������������������������������������������������������������������� �����������������������������������������������������
Compartilhar