Unidade 02 Sistemas de Controle de Acesso Cap 07 17 02 07 159 ppts 01 Slide por folha

Prévia do material em texto

Sistemas de Controle de Acesso
• Profª. Alex Casañas, M.Sc.
• brulex@bol.com.br 1
2
@@brulexbrulex
@@casanasdfcasanasdf
@@sabadotecsabadotec
3
Prof. M.Sc. Alex Casañas +55(61) 98413­0351 (OI)
­ SKYPE ­ casanasdf ­
Páginas oficiais:
Redes Sociais e Parcerias
Facebook: Brulex https://www.facebook.com/alex.casanas1
LinkedIn: Brulex http://br.linkedin.com/in/brulex
Twitter: @brulex https://twitter.com/#!/brulex
Compre com Segurança Aqui ­ Parceria  entre o Professor Alex com 
o site Submarino desde 1999
http://www.submarino.com.br/menu/1060/Livros/?franq=131531
4
/alex.casanas1in/brulex casanasdf
brulex@bol.com.br
Contatos
5
Unidade 02
• Objetivos a serem alcançados:
• UNIDADE II
Criptografia;
Kerberos;
IEEE 802.1x;
Serviço de diretório.
6
Unidade 02
• Bibliografia:
1. KUROSE, James F. E ROSS, Keith W. Redes de 
Computadores e a Internet: uma abordagem top­down
3 ed. São Paulo Pearson
2. FARREL, Adrian A internet e seus protocolos: uma 
análise comparativa ? 1ª. Edição Rio de Janeiro, Elseiver
3. COMER, Douglas E. Redes de Computadores e 
Internet. 4. ed Bookman, Porto Alegre.
7
Unidade 02
• WEB+Bibliografia:
http://blogbrasil.comstor.com/bid/398582/O­que­o­
protocolo­802­1X
https://msdn.microsoft.com/pt­
br/library/dn452409(v=ws.11).aspx
https://www.microsoft.com/brasil/technet/seguranca
/colunas/sm0805.mspx 802.1X em Redes com Fio 
Consideradas Perigosas
http://standards.ieee.org/getieee802/download/802.
1X­2001.pdf Site do padrão IEEE
8
WEB+Bibliografia:
9
Unidade 02
10
• WEB+Bibliografia:
• www.modulo.com.br, 
• www.checkpoint.com, 
• www.aker.com.br, 
• www.axur.com.br
• www.techbiz.com.br
• www.clubedohacker.com.br
Unidade#2
Criptografia, Kerberos e X.509
11
MECANISMOS PARA SEGURANÇA DE REDE
• Os mecanismos de segurança de rede são 
responsáveis pela identificação, análise e 
avaliação das ameaças e também de proteger 
as informações e os ativos de informação;
• Proteção do fluxo de informações;
• Proteção do armazenamento das informações.
12
MECANISMOS PARA SEGURANÇA DE REDE
• Liberação de acesso somente a pessoas 
autorizadas;
• Gerenciamento da Segurança da Informação;
• Visão analítica do fluxo e do processamento das 
informações.
13
CONTROLE DE ACESSO
• Controle de acesso tem a incumbência de 
identificar quem deseja ter acesso as informações 
ou ativos, validar a autorização e registras os 
eventos das transações e processamento no âmbito 
da auditoria.
• Autenticação
– Identifica quem deseja ter acesso aos ativos e as 
informações;
– Uso de credencias de acesso;
– Proteção das credencias de acesso;
– Base de usuário. 14
CONTROLE DE ACESSO
• Controle de acesso tem a incumbência de identificar 
quem deseja ter acesso as informações ou ativos, 
validar a autorização e registras os eventos das 
transações e processamento no âmbito da auditoria.
• Autorização
– Validação do que o usuário pode acessar;
– Definição de perfis de acesso;
– Política de alçadas.
15
CONTROLE DE ACESSO
• Controle de acesso tem a incumbência de identificar quem 
deseja ter acesso as informações ou ativos, validar a 
autorização e registras os eventos das transações e 
processamento no âmbito da auditoria
• Auditoria
– Registro dos acesso, processamento das transações, erros e falhas 
de segurança;
– Rastrearbilidade.
• Gerenciamento de Identidade
– Soma das opções acima;
– Sistema de gestão de credenciais e perfis de acesso às 
informações e sistemas.
16
Alguns conceitos importantes sobre Identidade
• Arquitetura AAA – Autenticação, Autorização 
e “Accounting”
• O processo de autenticação é usado para 
verificar uma identidade alegada. 
• Um sistema de autenticação é tão forte 
quanto o método de verificação utilizado. 
Você DEVE
ter no mínimo
a altura “H” 
para entrar
H
17
Alguns conceitos importantes sobre Identidade
• Uma identidade só é útil como um “ponteiro”para 
uma política aplicável ao usuário, e para 
“accounting” dos serviços utilizados.
• Autorização é o conceito de associar diferentes 
serviços aos usuários após a autenticação destes. 
• Se todos os usuários tiverem os mesmos direitos 
então não precisaremos de autorização. 
Você DEVE
ter no mínimo
a altura “H” 
para entrar
H
18
Identidade em todas as camadas?
• Camada Física— cadeados , crachá baseado em RFID
• Camada de Enlace — Arquitetura IEEE 802.1x
• Camada de Rede — “gateways”, “extended authentication” 
(x­auth), firewalls, método “lock and key” em roteadores
• Camada de Sessão —SSL, TLS
• Camada de Aplicação — Windows networking, Kerberos
Física
Enlace
Rede
Sessão
Aplicação
Gateways, X­Auth, Firewalls, 
Lock and Key
Cadeados, Crachá RFID
802.1x
SSL, TLS
Windows Networking (SMB), 
Kerberos
19
Pausa para Reflexão : Por que ter Segurança já no nível 2?
Quando falamos em Segurança 
de Redes normalmente fazemos 
uma associação imediata com a 
Internet, o que, por sua vez, nos 
remete a “IP” e, 
conseqüentemente, à camada 3 
do modelo OSI.
APLICAÇÃO
APRESENTAÇÃO
SESSÃO
TRANSPORTE
REDE
ENLACE
FÍSICO
Devemos lembrar, no entanto, que 
uma corrente é tão forte quanto o 
seu elo mais fraco. Pensando 
justamente no modelo OSI, fica fácil 
perceber que se conseguirmos 
comprometer a Segurança no nível 
2, os outros níveis naturalmente 
serão afetados. 
!
7
6
5
4
3
2
1
20
CONTROLE DE ACESSO GERENCIAMENTO DE 
IDENTIDADE
• Gerenciamento de identidades é o conjunto 
de processos e uma infra­estrutura de suporte 
para a criação, manutenção e uso de 
identidades digitais;
• Sistema de gestão de credenciais e perfis de 
acesso às informações e sistemas.
21
CONTROLE DE ACESSO GERENCIAMENTO DE 
IDENTIDADE
• Soma das AAA;
• Gerenciamento do ciclo de vida de 
identidades;
• Gerenciamento de acesso.
22
CONTROLE DE ACESSO GERENCIAMENTO DE 
IDENTIDADE
• Serviços de diretório;
• Autenticação única – Single Sign­On.
23
Triplo AAA
• Em segurança da informação, o termo protocolos 
AAA (Authentication, Authorization and Accounting) 
é uma referência aos protocolos relacionados com os 
procedimentos de autenticação, autorização 
e auditoria. 
• A autenticação verifica a identidade digital do usuário 
de um sistema, a autorização garante que um usuário 
autenticado somente tenha acesso aos recursos 
autorizados e, por fim, a auditoria refere­se a coleta 
de informações sobre o uso dos recursos de um 
sistema pelos seus usuários.
CONTROLE DE ACESSO CRIPTOGRAFICO
• Proteger a confidencialidade da informação;
• Chave de criptografia
– Simétrica;
– Assimétrica.
25
CONTROLE DE ACESSO CRIPTOGRAFIA
• Proteger a confidencialidade da informação;
• Algoritmos
– DES
– 3DES
– AES
– RC4
• HASH
– MD5
– SHA­1 26
CONTROLE DE ACESSO ICP/PKI
• Assinaturas digitais
– São documentos eletrônicos que comprovam a 
identidade do usuário nas comunicações online;
– As assinaturas digitais podem ter inúmeras 
aplicações, desde assinar documentos 
digitalmente até comprovar a autenticidade e a 
idoneidade de um site no momento de fazer 
compras virtuais. 27
CONTROLE DE ACESSO ICP/PKI
• Assinaturas digitais
–Pode­se também determinar que sejam 
abertos arquivos criptografados, apenas 
por uma lista de pessoas pré­
determinadas e que possuem permissão 
para abri­los.
28
CONTROLE DE ACESSO ICP ou PKI
• Certificação digital
– Um tipo de tecnologia de identificação que
permite que transações eletrônicas dos mais
diversos tipos sejam feitas, considerando sua
integridade, sua autenticidade e sua
confidencialidade,de forma a evitar que
adulterações, interceptações ou outros tipos de
fraude ocorram.
29
CONTROLE DE ACESSO ICP ou PKI
Certificado digital
– Um certificado digital é um arquivo de computador que
contém um conjunto de informações referentes a
entidade para o qual o certificado foi emitido mais a
chave pública referente a chave privada que acredita­se
ser de posse unicamente da entidade especificada no
certificado.
– É importante sabe que certificados digitais têm
finalidades específicas:
• Autenticação;
• Assinatura digital;
• Criptografia.
30
Parte#2
Criptografia – Controle de acesso
31
Criptografia e segurança de redes
Chapter 14
Quarta Edição
de William Stallings
Slides de Lawrie Brown
32
Capítulo 14 – Aplicações de 
autenticação
Nós não podemos fazer uma aliança com 
príncipes vizinhos até que saibamos de suas 
intenções.
—A Arte da Guerra, Sun Tzu.
33
Aplicações de Autenticação
• Desenvolvida para suportar níveis de 
aplicação, autenticação e assinaturas digitais.
• Considerará Kerberos ­ um serviço de 
autenticação de uma chave privada.
• x.509 ­ um serviço de autenticação de 
diretório de uma chave pública.
34
Kerberos
• Sistema de servidor de chave confiável do MIT
• Provê centralizada autenticação de terceiros 
de chave privada
– Permite aos usuários acessarem serviços distribuidos na 
rede. 
– Sem necessidade de confiar em todas as estações de 
trabalho.
– Mais propriamente todos confiam em um servidor de 
autenticação
– duas versões em uso: 4 e 5. 35
Exigências do kerberos
• Sua primeira informação de exigência 
identificadas são:
• Segurança;
• Confiança;
• Transparência;
• Expansível;
• Implementado usando um protocolo de 
autenticação baseado em Needham e 
Schroeder.
36
Resumo da versão 4 de kerberos
• Esquema básico de autenticação de terceiros;
• Tem um servidor de autenticação (AS);
• Usuários inicialmente negociam com AS para se identificar
• S.A. provê uma credencial de autenticação não 
corruptível (ticket concedendo ticket TGT);
• tem um servidor de concessão de ticket (TGS);
• Usuários sub sequentemente requisitam acesso para 
outros serviços do TGS com base em usuários TGT.
37
Diálogo de kerberos v4
1. Obtém ticket concedendo ticket do AS
• Uma vez por sessão;
2. Obtém serviço concedendo ticket do TGT
• Para cada serviço distinto requirido;
3. Troca de cliente/servidor para obter serviço
• Em todo pedido de serviço.
38
Resumo de Kerberos 4
39
Domínios de kerberos
• O ambiente de kerberos consiste de:
– Um servidor kerberos;
– Um numero de clientes, todos registrados com servidor;
– Servidores de aplicação, compartilhando chaves com 
servido.
• Isso é expressado um domínio
– Tipicamente um domínio administrativo sozinho;
• Se tiver múltiplos campos, os servidores kerberos 
deles devem compartilhar chaves e confiar.
40
Domínios deKerberos
41
Kerberos Versão 5
• Desenvolvido em meados de 1990;
• Especificado na RFC 1510;
• Provê melhoria sobre a versão 4
– Limitações ambientais
• criptografia, protocolo de rede, ordem de byte, tempo de vida 
do ticket, encaminhamento de autenticação, autenticação 
entre domínios;
– Deficiências técnicas
• Criptografia dupla, modo não padrão de usuário, chave de 
sessão, ataques de senha.
42
Serviço de autenticação X.509
• Parte das normas do diretório do serviço de autenticação 
CCITT x.509;
– servidores distribuídos mantendo banco de dados sobre 
informações de usuários;
• Define uma estrutura para autenticação de serviços;
– diretório pode armazenar certificados de chave pública;
– contém a chave publica de um usuário assinado por 
certificação de autoridade.
43
Serviço de autenticação X.509
• Também define protocolo de autenticação;
• Usa chave publica criptografada e assinatura digital;
– sem uso de algoritmo padrão, mas recomendado 
o RSA.
• Certificações x.509 são amplamente usadas;
• X.509 é baseado no uso criptografia de chave 
publica e assinaturas digitais. 44
Serviço de autenticação X.509
• O formato do certificado x.509 é amplamente 
usado, como por exemplo S/MIME, segurança 
de IP e SSL/TLS e SET.
45
Certificados x.509
• Emitido por uma autoridade certificadora 
(CA), contendo:
– versão (1, 2 ou 3);
– certificado de identificação de numero serial 
(único na CA);
– algoritmo identificador de assinatura;
– nome do emissor; 
– periodo de validade; 
• Notação CA <<A>> denota certificado para A 
sinalizado por CA.
46
Certificados x.509
• Emitido por uma autoridade certificadora 
(CA), contendo:
– nome do titular;
– informações sobre a chave publica do titular;
– identificador exclusivo do emissor;
– identificado exclusivo do titular;
– Extenções;
– Assinatura; 
• Notação CA <<A>> denota certificado para A 
sinalizado por CA. 47
Certificados X.509
48
Obtendo um certificado
• Qualquer usuário com acesso para CA pode 
pegar qualquer certificado dele;
• Somente a CA pode modificar um certificado;
• Por causa de não poderem ser falsificados, 
certificados podem ser colocados em um 
diretório público.
49
Hierarquia da CA
• Se ambos usuários compartilham uma CA 
comum eles supostamente sabem sua chave 
publica;
• De outra maneira CA deve formar uma 
hierarquia;
• Cada CA tem certificados para cliente (avançar) e 
origem (recuar).
50
Hierarquia da CA
• Cada cliente confia certificados de origem;
• Habilita verificação de qualquer certificado de 
uma CA por usuários de todas outras CAs em 
hierarquia.
51
Uso da hierarquia da CA
52
Revogação de certificados
• Certificados tem período de validade
1. chave privada do usuário está comprometida;
2. o uso não é mais certificado pela CA;
3. o certificado da CA está comprometido;
• CA mantém lista de certificados revogados
– lista de certificado revogados (CRL);
• Usuários deveriam checar certificados com 
CRL(certificação de revogação) da CA.
53
Procedimento de autenticação
• X.509 inclue 3 procedimentos de 
autenticação alternativos:
• Autenticação de uma via;
• Autenticação de duas vias;
• Autenticação de três vias;
• Todas usam assinaturas de chave pública.
54
Autenticação de uma via
• Uma mensagem (A­>B) usada para estabelecer
– A identidade de A que foi gerada por A;
– mensagem foi destinada a B;
– Integridade e originalidade da mensagem.
• Mensagem deve incluir carimbo de tempo, 
nonce(carimbo de tempo), identidade de B e é 
assinada por A;
• pode incluir informações adicionais de B;
– EX chave de sessão.
55
Autenticação de duas vias
• 2 mensagens (A­>B, B­>A) que também além do 
mais estabelece:
– a identidade de B e que responde é de B;
– que responde é intencionada por A;
– integridade e originalidade da resposta
• Resposta inclue nonce original de A, também 
carimbo de tempo e nonce de B;
• Pode incluir informação adicionam para A.
56
Autenticação de 3 vias
• 3 mensagens (A­>B, B­>A, A­>B) que habilitam 
autenticação mencionada sem clocks 
sincronizados;
• Tem resposta de A de volta para B contendo 
cópia sinalizada de nonce para B;
• Significa que carimbo de tempo não precisa 
ser checado.
57
X.509 versão 3
• Reconheceu que informação adicional é necessária 
em uma certificado;
– email/url, detalhes de política, uso confinado
• Claramente em vez de nomear novos campos 
definiu um método geral de extensão;
• Extensões consistem de:
– Identificador de extensão;
– Indicador crítico;
– Valor de extensão.
58
Certificado de extensões
• Chave e informação de política
– Leva informação sobre assunto echaves 
emitentes, mais indicadores de política de 
certificado;
• Título de certificado e atributos emitentes
– Suporta nomes alternativos, em formatos 
alternativos para assunto de certificado e/ou 
origem;
• Certificado de restrição de caminho
– Permite restrição em uso de certificados por outra 
Cas.
59
Infraestrutura de chave pública
60
Parte#2
Material Microsoft
61
62
63
66
VírusVírus
67
Aumento da sofisticação dos ataques
Fonte: Claudio Rêgo – Grupo Nova
68
Entre tantas ameaças…
Vírus
Clonagem
Spyware
Ataques 
Estruturados
ETC…
Roubo de 
informações
69
70
71
72
73
Linha do Tempo dos Ataques
VulnerabilidadeVulnerabilidade
ReportadaReportada
Correção Correção 
DesenvolvidaDesenvolvida
Boletim e Correção Boletim e Correção 
DivulgadosDivulgados
Engenharia Engenharia 
Reversa da Reversa da 
CorreçãoCorreção
Código do Código do 
Worm/VirusWorm/Virus
DesenvolvidoDesenvolvido
Worm/VirusWorm/Virus
DivulgadoDivulgado
Sem Exploit
Apenas a Apenas a 
Microsoft e o Microsoft e o 
descobridor descobridor 
sabem da falhasabem da falha
Sem Exploit
Apenas a Apenas a 
Microsoft e o Microsoft e o 
descobridor descobridor 
sabem da falhasabem da falha
Sem ExploitSem Exploit
Público ciente da Público ciente da 
falha mas sem falha mas sem 
saber como saber como 
exploráexplorá­­la ainda la ainda 
Sem ExploitSem Exploit
Exploração Exploração 
disponível mas disponível mas 
sem vírus ou sem vírus ou 
wormworm
Sem ExploitSem Exploit
Virus/worm Virus/worm 
disponível mas disponível mas 
ainda não ainda não 
espalhadoespalhado
ExploitExploit
Virus/worm Virus/worm 
divulgado; divulgado; 
infecta os infecta os 
sistemas sistemas 
desprotegidos e desprotegidos e 
sem correçãosem correção
Começa a corrida para 
proteger e aplicar as 
correções antes do 
ataque acontecer
74
Níveis de Severidade dos Boletins
Consulta aos Boletins de Segurança:
http://www.microsoft.com/technet/security/current.asp
Nível Definition
Crítico
Exploração pode permitir a propagação de um worm na 
Internet como o Code Red ou o Nimda sem necessidade de 
ação do usuário
Importante
Exploração pode resultar no comprometimento da 
confidencialidade, integridade, ou disponibilidade dos 
dados dos usuários; ou integridade ou disponibilidade dos 
recursos de processamento
Moderado
Impacto sério mas mitigado bastante por fatores como 
configuração default, auditoria, necessidade de ação do 
usuário ou dificuldade de exploração
Baixo Exploração is extremamente díficil, ou impacto é mínimo
75
Tempo Para Instalação
Nível 
Severidade Recommended Patching Time Frame
Maximum 
Recommended Time 
Frame
Crítico Em 24 hours Até duas semanas
Importante Até um mês Até dois meses
Moderado
Dependendo da disponibilidade, esperar pelo 
próximo service pack ou pelo próximo conjunto 
de correções que inclua esta correção, ou 
instale dentro de quatro meses
Instale a atualização em 
até seis meses
Baixo
Dependendo da disponibilidade, esperar pelo 
próximo service pack ou pelo próximo conjunto 
de correções que inclua esta correção, ou 
instale dentro de quatro meses
Instale a atualização em 
pelo menos um ano, ou 
decida simplesmente não 
instalar 
Fator Impacto Potencial
Recursos de alto valor ou exposição afetados Diminua o tempo
Recursos historicamente atacados são afetados Diminua o tempo
Fatores de mitigação colocados ou em vias de 
colocação Aumente o tempo
Baixo risco de exposição dos recursos afetados Aumente o tempo
Fatores Afetando o Tempo de Instalação
76
Produtos, ferramentas,Produtos, ferramentas,
e automatizaçãoe automatização
Consistente eConsistente e
ReproduzívelReproduzível
Skills, papéis, Skills, papéis, 
e responsabilidadese responsabilidades
ProcessosProcessos
PessoasPessoasTecnologiaTecnologia
Gerência Eficiente de Correções
77
Processo de Gerência de Correções
1. Avalie o Ambiente a Ser Gerenciado1. Avalie o Ambiente a Ser Gerenciado
Tarefas PeriódicasTarefas Periódicas
A. Crie/mantenha um padrão para os sistemasA. Crie/mantenha um padrão para os sistemas
B. Avalie a arquitetura de gerência de correçõesB. Avalie a arquitetura de gerência de correções
C. Revise a infraestrutura/C. Revise a infraestrutura/
configuraçãoconfiguração
Tarefas IniciaisTarefas Iniciais
1. Avalie1. Avalie 2.Identifique2.Identifique
4. Instale4. Instale 3. Planeje3. Planeje
2. Identifique as Correções2. Identifique as Correções
TarefasTarefas
A. Identifique as novas correçõesA. Identifique as novas correções
B. Determine a sua relevânciaB. Determine a sua relevância
C. Verifique a autenticidade e C. Verifique a autenticidade e 
integridade da correçãointegridade da correção
3. Planeje a Instalação da 3. Planeje a Instalação da 
CorreçãoCorreção
TarefasTarefas
A. Obtenha aprovação para instalar A. Obtenha aprovação para instalar 
a correçãoa correção
B. Faça uma análise de riscosB. Faça uma análise de riscos
C. Planeje o processo de instalação C. Planeje o processo de instalação 
da correçãoda correção
D. Faça os testes de aceitação da D. Faça os testes de aceitação da 
correçãocorreção
4. Instale a Correção4. Instale a Correção
TarefasTarefas
A. Distribua e instale a correçãoA. Distribua e instale a correção
B. Relate os progressosB. Relate os progressos
C. Trate as exceçõesC. Trate as exceções
D. Revise a instalaçãoD. Revise a instalação
78
Ouvindo o Feedback dos Usuários
“Quero saber o jeito certo de 
gerênciar um ambiente Microsoft”
“Quero saber o jeito certo de 
gerênciar um ambiente Microsoft”
“Existem muitas vulnerabilidades 
e correções”
“Existem muitas vulnerabilidades 
e correções”
Prover treinamento e guias 
prescritivos
Melhorar a experiência de 
atualização de correções
Melhorar a qualidade do 
produto; diminuir o número 
de correções
“O processo de correção é 
inconsistente
“O processo de correção é 
inconsistente
“As ferramentas são incompletas e 
se sobrepõe”
“As ferramentas são incompletas e 
se sobrepõe”
“A qualidade das correções é ruim –
quero pacotes menores e com 
menos reboots”
“A qualidade das correções é ruim –
quero pacotes menores e com 
menos reboots”
Melhorar e integrar as 
ferramentas de gerência
Melhorar a qualidade das 
correções
79
O que os Clientes esperam…
Proteger meus dadosProteger meus dados
Melhorar o valor econômicoMelhorar o valor econômico
Reduzir o downtimeReduzir o downtime
Aproveitar ativos existentesAproveitar ativos existentes
Inter-
operabilidade
Segurança
Robusta
Confiabilidade
Disponibilidade
Inovação
Integrada
Clientes requisitamClientes requisitam Compromissos da equipe de controle de acessoCompromissos da equipe de controle de acesso
Conectar-se com clientes (Faturamento)Integrar-se com parceiros (Reduzir Custos)Funcionários eficientes (Produtividade)
Melhor Valor
IndenizaçãoTer um nome por trás dos ProdutosTer um nome por trás dos Produtos
80
Parte#3
IEEE 802.1x
81
82
83
84
85
86
Operação do 802.1X
87
Extensible Authentication Protocol 
(EAP)
• É um protocolo de transporte flexível usado para carregar 
informações arbitrárias de autenticação— o EAP não é o 
método de autenticação em si. 
• O EAP provê um “framework” flexível para Segurança na 
camada de enlace
– Protocolo de encapsulamento simples;
• Não depende do IP
– Poucos requisitos em relação à camada de Enlace;
– Pode funcionar em qualquer camada de Enlace (PPP, 802, etc.);
– Pode funcionar em meios com perdas;
– Originalmente especificado na RFC 2284, a qual se tornou 
obsoleta após a publicaçãoda RFC 3748.
88
Extensible Authentication Protocol 
(EAP)
• O EAP provê um “framework” flexível para 
Segurança na camada de enlace
– Protocolo de encapsulamento simples;
• Não depende do IP
– Poucos requisitos em relação à camada de Enlace;
– Pode funcionar em qualquer camada de Enlace (PPP, 
802, etc.);
– Pode funcionar em meios de transmissão com perdas;
– Originalmente especificado na RFC 2284(antiga), a qual 
se tornou obsoleta após a publicação da RFC 
3748(atual).
89
O que o EAP faz ?
• Transporta informação de autenticação sob 
a forma de “payloads” EAP;
• Estabelece e gerencia a conexão; encapsula 
vários tipos de mensagens de autenticação;
• Métodos EAP mais utilizados:
802.1x Header
Ethernet Header
RADIUS
IP Header
EAP Payload
UDP
EAP Payload
Conversação EAP Resultante
Switch
clien
te
Servidor 
RADIUS
90
O que o EAP faz ?
– EAP­TLS: usa certificados digitais x.509 v3 PKI e o 
mecanismo TLS para autenticação. (Certificados tanto 
no cliente como no servidor)
– PEAP: Protected EAP tunnel mode EAP encapsulator; 
promove “tunelamento” de outros métodos EAP em 
uma sessão TLS criptografada. 
– EAP­FAST: projetado para não depender de 
certificados ; promove “tunelamento” de outros 
métodos EAP em uma sessão TLS criptografada.
802.1x Header
Ethernet Header
RADIUS
IP Header
EAP Payload
UDP
EAP Payload
Conversação EAP Resultante
Switch
clien
te
Servidor 
RADIUS
91
Protocol Version
1 Byte
Packet Type
1 Byte
Packet Length
2 Byte
Packet Body
N Byte
DST MAC SRC MAC Type Data FCS
Tipo de Pacote Descrição do Pacote
EAP Packet (0) Enviado pelo Suplicante e pelo Switch. Contém informação MD5 ouTLS necessária para completar o processo de autenticação;
EAPOL Start (1) Enviado pelo Suplicante no início do processo de autenticação;
EAPOL Logoff (2) Enviado pelo Suplicante para terminar a sessão 802.1x;
EAPOL Key (3) Enviado pelo Switch ao Suplicante (contém chave usada durante a 
autenticação TLS) .
Formato do Frame EAPOL (EAP 
over LAN)
92
• RADIUS age como o transporte para o EAP, entre o autenticador 
(switch) e o servidor de autenticação (servidor RADIUS);
• RFC 3579 ­ trata do suporte do RADIUS ao protocolo EAP entre 
autenticador e servidor de autenticação ;
• RADIUS também é usado para passar informações de política 
(autorização) ao autenticador, após a identificação do usuário, sob a 
forma de pares AV (“attribute­value pairs”);
• RFC 3580 – define forma de uso do protocolo RADIUS por parte dos 
autenticadores 802.1x.
Como o RADIUS é usado ?
RADIUS Header EAP PayloadUDP HeaderIP Header
RADIUS Header EAP PayloadUDP HeaderIP Header AV Pairs
93
Terminologia IEEE
Termos do IEEE Termos usuais
Supplicant Client
Authenticator Network Access Device
Authentication Server AAA/RADIUS Server
* IBNS = Identity Based Networking Services = autenticação 802.1x + serviços adicionais sobre a plataforma 
802.1x
94
Uncontrolled port provides a path for extensible authentication protocol over 
LAN (EAPOL) and CDP traffic only
Segurança Implícita do 802.1x 
O canal não controlado provê o caminho para transporte exclusivo do 
protocolo EAPOL (EAP over LAN).
Para cada porta física habilitada para 802.1x, o switch cria 
dois canais virtuais de comunicação;
O canal controlado só é aberto após a autorização da porta via 802.1x;
Controlled
UncontrolledEAPOL EAPOL
Switc
h
95
Entendendo o 802.1x
Trocas de Mensagens EAP
• A autenticação 802.1x é iniciada quando o link muda de “down” para “up”. 
• Tanto o Switch como o Cliente (Supplicant) podem iniciar a autenticação. 
• O protocolo EAP over LAN (EAPOL) transporta frames EAP entre o 
Suplicante e o Autenticador. 
• O protocolo EAPOL é encapsulado em um Frame Ethernet conforme 
ilustração abaixo: 
DST MAC SRC MAC TYPE DATA FCS
Protocol version
1 byte
Packet Type
1 byte
Packet Length
2 byte
Packet Body
N byte
O endereço MAC de destino é sempre 01-80-C3-00-00-03
96
Modelo 802.1x para controle de acesso por porta
Request for Service
(Connectivity)
Backend Authentication
Support
Identity Store
Integration
Authenticator
• LAN Switch
• WLAN Access Point
Identity Store/Management
• Microsoft AD
• LDAP
• NDS
• ODBC
Authentication Server
• Microsoft IAS 
• ACS (Access Control Server)
• Any IETF RADIUS server
Supplicant
• Desktop/laptop
• IP phone
• WLAN Access Point
• LAN Switch
IP NetworkL2 
Access
97
Detalhamento dos fluxos 802.1x
802.1x
Port Unauthorized
802.1x, STP
EAP­Identity­Request
EAP­Identity­Response
EAPOL­Start
98
802.1x RADIUS
EAP—Method Dependent
Port Unauthorized
802.1x, STP
EAP­Auth Exchange
EAP­Identity­Request
EAP­Success/Failure
EAP­Identity­Response
EAPOL­Start
Auth Exchange w/AAA Server
Authentication Successful/Rejected
Detalhamento dos fluxos 802.1x
99
EAP­Auth Exchange Auth Exchange w/AAA Server
EAP­Identity­Request
Authentication Successful/RejectedEAP­Success/Failure
802.1x RADIUS
Policy Instructions
EAPOL­Start
EAP—Method Dependent
Port Authorized
EAP­Identity­Response
Port Unauthorized
802.1x, STP
Detalhamento dos fluxos 802.1x
100
802.1x RADIUS
EAP—Method Dependent
Port Authorized
EAPOL­Logoff
Port Unauthorized
Port Unauthorized
802.1x, STP
EAP­Auth Exchange Auth Exchange w/AAA Server
EAP­Identity­Request
Authentication Successful/RejectedEAP­Success/Failure
Policy Instructions
EAPOL­Start
Port Authorized
EAP­Identity­Response
Detalhamento dos fluxos 802.1x
101
Actual Authentication Conversation Is Between Client and Auth Server 
Using EAP; the Switch Is an EAP Conduit, but Aware of What’s Going on
802.1x RADIUS
EAP—Method Dependent
Port Authorized
Port Unauthorized
Port Unauthorized
802.1x, STP
EAPOL­Logoff
EAP­Auth Exchange Auth Exchange w/AAA Server
EAP­Identity­Request
Authentication Successful/RejectedEAP­Success/Failure
Policy Instructions
EAPOL­Start
EAP­Identity­Response
Detalhamento dos fluxos 802.1x
102
802.1x não se limita a autenticação
103
ATRIBUTO NOME OFICIAL SIGNIFICADO
Attribute[1] User Name Nome do usuário
Attribute[4] NAS IP Address IP do switch
Attribute[5] NAS Port Porta do switch
Attribute[8] Framed IP Address IP do usuário
Attribute[25] Class Vinculação ao grupo
Attribute[30] Called Station ID MAC da porta do switch
Attribute[31] Calling Station ID MAC do usuário
Attribute[40] Acct Status Type Start/stop
Attribute[42] Acct Input Octets Bytes transmitidos
Attribute[43] Acct Output Octets Bytes recebidos
Attribute[44] Acct Session ID Identificador da sessão
Attribute[61] NAS Port Type Tipo de porta do switch
O switch envia uma 
mensagem de accounting 
do tipo “start” para o 
servidor RADIUS após a 
autenticação da sessão 
802.1x;
O switch envia uma 
mensagem de accounting 
do tipo “stop” para o 
servidor RADIUS após o 
término da sessão 802.1x 
(mensagem EAP­Logoff do 
switch ou desconexão da 
porta física);
RADIUS Accounting na arquitetura 
802.1X
Nota Importante : O Switch deve estar preparado para enviar os atributos de accounting ao servidor RADIUS.
104
ATRIBUTO NOME OFICIAL SIGNIFICADO
Attribute[1] User Name Nome do usuário
Attribute[4] NAS IP Address IP do switch
Attribute[5] NAS Port Porta do switch
Attribute[8] Framed IP Address IP do usuário
Attribute[25] Class Vinculação ao grupo
Attribute[30] Called Station ID MAC da porta do switch
Attribute[31] Calling Station ID MAC do usuário
Attribute[40] Acct Status Type Start/stop
Attribute[42] Acct Input Octets Bytes transmitidos
Attribute[43] Acct Output Octets Bytes recebidos
Attribute[44] Acct SessionID Identificador da sessão
Attribute[61] NAS Port Type Tipo de porta do switch
Um pacote RADIUS­
Accounting é 
transportado sobre a 
porta UDP 1813 e é 
seguido por um pacote 
“RADIUS­Accounting 
Response”, conforme 
definições das RFCs 2139
e 2866.
As informações de sessão 
são carregadas via 
“RADIUS Attribute Value 
Pairs”.
RADIUS Accounting na arquitetura 
802.1X
Nota Importante : O Switch deve estar preparado para enviar os atributos de accounting ao servidor RADIUS.
105
802.1x Accounting : Auditoria e Localização (1)
106
802.1x Accounting : Auditoria e Localização (2)
107
802.1x com associação dinâmica 
de VLAN
• [64] Tunnel­type—“VLAN” (13)
• [65] Tunnel­medium­type—“802” (6)
• [81] Tunnel­private­group­ID—<VLAN name>
Marketing = VLAN 10
Attribute Value Pairs Usados—conforme padrão IETF
Engenharia = VLAN 20
Grupo 
1Grupo 
2
VLAN 10
VLAN 20
Política de Autorização
Servidor 
RADIUS
Associação de VLAN por grupo de usuários
108
802.1x com VLAN de visitante (“Guest VLAN”)
• “Timeout” padrão é de 30 segundos e 3 tentativas; “Timeout” total é 
de 90 segundos (valor padrão);
• Um cliente é colocado na VLAN de visitante por não responder aos 
frames EAPOL­Identity­Request enviados pelo switch (que podem ser 
vistos como “hellos” 802.1x);
• Inexistência ou não habilitação do suplicante;
• Não há comunicação com o servidor RADIUS (decisão sobre a VLAN 
de visitante é local ao switch);
• Estações aptas a falar 802.1x e que podem responder ao switch via 
EAPOL, por definição, não podem ser direcionadas para a VLAN de 
visitante.
Guest
109
Integração de 802.1x com “Wake 
on LAN”
Supplicant 802.1x Process
1
√
2
√
3
4 PC Must 802.1x Authenticate
• Tráfego de saída de uma porta (Rede ­>> Cliente) é permitido; 
• Tráfego de entrada de uma porta continua sendo bloqueado enquanto 
o usuário não tiver sido autorizado; 
• Sendo detectado tráfego na Rede, a porta volta para o estado normal e 
a estação tem que se autenticar. 
WoL Frame Transmitted
PC Can Wakeup
PC Sends Traffic
110
802.1X : Reautenticação periódica
Portas que suportam 802.1x podem ser configuradas para exigir reautenticação periodicamente
Switch LAN
(suporta 802.1x)
12
6
39
Switch LAN 
(suporta 802.1x)
12
6
39Algumas máquinas foram autenticadas e estão 
utilizando a Rede;
Período de reautenticação 
expira e todos os clientes 
são forçados a se 
reautenticar. 
111
802.1x : Desafios específicos de 
ambientes Microsoft
112
Processo de “boot”do Windows : visão geral
Power Up Load NDIS 
Drivers
DHCP Setup Secure 
Channel to DC
Update GPOs Apply 
Computer 
GPOs
Present GINA 
(Ctrl­Alt­Del) 
Login
Pressupõe­se Conectividade 
à Rede
A espera pela autenticação de 
usuário via 802.1x 
contraria o pressuposto de 
conectividade da Microsoft
113
“Machine Authentication” no 
Windows
Power 
Up
Load 
NDIS 
drivers
DHCP Setup Secure 
Channel to DC
Update GPOs Apply 
Computer 
GPOs
Present 
GINA 
(Ctrl­Alt­Del) 
Login
802.1x 
Authenticate 
as Computer
Suposição de 
conectividade à 
Rede
Foi concebido para compatibilizar a plataforma 802.1x com as características de boot do Windows 114
“Machine Authentication” e 802.1x
Identity Req.
Computer Identity
EAP­TLS Authentication EAP­TLS Authentication
Computer Identity
Access­AcceptAccess­Accept
Authenticate to Domain Controller
Request Group Policy Updates
Group Policy Updates
“Machine Authentication” é suportada com EAP­TLS, PEAP­MSCHAPv2  e EAP­FAST
Domain 
Controlle
r
Servid
or 
RADI
US
Switch
Cliente
115
• Boot da estação
• Interface física é ativada (não autenticada)
• Início da autenticação 802.1x
• Máquina envia sua credencial
– Certificado de Máquina no EAP­TLS 
– Chave compartilhada Windows AD no PEAP­MS­CHAPv2
– Prefixo de nome de máquina (host/) para machine authentication 
EAP­FAST
M
ac
h
in
e 
A
u
th
en
ti
ca
ti
o
n
Machine Authentication e User Authentication
U
se
r 
A
u
th
en
ti
ca
ti
o
n
Nota: Os dois processos de autenticação são, por definição, independentes.
• Se o usuário faz login na máquina, esta envia uma 
mensagem EAPOL­start para avisar o switch 
sobre a nova autenticação em andamento. 
• Em seguida é feita a autenticação de usuário usando a 
credencial pertinente (de acordo com o método EAP 
utilizado)
116
802.1x e Machine Access 
Restriction
• A proposta é criar um vínculo entre a autenticação de usuário e a 
autenticação de máquina (uma autenticação de usuário só pode ser 
aceita após uma autenticação de máquina correta);
• Possível para EAP­FAST, PEAP/MS­CHAPv2 e EAP­TLS;
• A autenticação de máquina foi originalmente concebida para 
compatibilizar  a plataforma 802.1x com as características de boot do 
Windows e não como um item de Segurança.
• Usando o conceito de Machine Access Restriction a autenticação de 
usuário só será aceita se o endereço MAC da estação usada pelo 
usuário, tiver sido usado previamente numa autenticação de 
máquina. 
• Ganhou­se uma nova característica de Segurança!
117
Network Admission Control
118
Arquitetura NAC Framework
Rede
Servidor de 
Autenticação
Servidor de
Patching
Servidor de 
Diretório
(Computadores Gerenciados e 
não Gerenciados)
Decisão e Remediação
LAN
Remoto
WAN
Servidor de 
Validação 
de Status
Servidor de 
Relatórios
Servidor de
Auditoria
119
NAC proporciona maior Segurança
Qual é a melhor maneira de
verificar/corrigir?
Pre­Configured Checks
Customized Checks
Self­Remediation or Auto­Remediation
Third­Party Software
Windows, Mac, Linux ?
Laptop, Desktop, PDA ?
Impressora ? Telefone IP ? ... ?
Qual é o sistema?
Empresa
Empregado
Terceirizado
Visitante
Desconhecido
A quem ele pertence?
VPN
LAN
WLAN
WAN
Qual é o meio de acesso?
Anti­Virus, Anti­Spyware
Personal Firewall
Ferramentas de Patching
Quais são os softwares instalados?
Eles estão habilitados?
120
Operação 802.1x e NAC
• Autenticação via 802.1x
• Um único túnel, múltiplas transações.
– Validação de Identidade;
– Validação do “Status” (Verificação da adequação da 
Máquina aos requisitos mínimos da Política de Admissão 
à Rede);
• Aplicação de Políticas de Grupo (autorização).
RADIUS
Identidade + Status da Máquina
L2 (802.1x)
Cliente
Switc
h
Servidor 
RADIUS
121
Fluxo de Admissão NAC
Key: Opcional Obrigatório
ServidorR
ADIUS
Posture 
Validati
on 
Server 
(PVS)
Máquina 
solicitando 
acesso à Rede
Network 
Access 
Devices 
(NADs)
Servidores de Políticas 
de Acesso/Admissão
RADIUS
Cisco Trust Agent 
(CTA)
Servido
r de 
Auditori
a (AS)
Credentials
2
Notification
8 Authorization
6
Identity
4a
Compliant?
5
Enforcement
7
3
Credentials
Servido
r de 
Diretóri
o
LDAP, 
OTP
HCAP
Posture
4b
Audit
4c
GAME: 
HTTPS
Status
9
Traffic Triggers Challenge1
EAP
122
Possíveis estados NAC (Status da Máquina)
• Healthy — a estação está de acordo com as 
políticas; sem restrições no acesso à Rede;
• Checkup — a estação está de acordo com as 
políticas, porém existe uma atualização disponível; 
usado para remediar uma estação para o status 
“healthy” de uma maneira pró­ativa;
• Transition — a verificação do status da estação está 
em andamento; a estação tem um acesso 
temporário até que seja feita a verificação do 
completa da estação; utilizado quanto a estação 
está sendo inicializada e todos os serviços ainda 
não foram iniciados e/ou os resultados de 
auditoria ainda não estão disponíveis.123
Possíveis estados NAC (Status da Máquina)
• Quarantine — a estação não está adequada; o 
acesso é restrito a uma rede de quarentena para 
que a estação seja remediada; a estação não é 
considerada uma ameaça mas é vulnerável a um 
ataque conhecido ou uma infecção;
• Infected — a estação é uma ameaça aos outros 
dispositivos de rede; o acesso à Rede deve ser 
limitado ou totalmente negado;
• Unknown — a status da estação não pode ser 
determinado; a estação pode ser colocada em 
quarentena até que possa ser identificado seu o 
status.
124
Método EAP­FAST
• “Extensible Authentication Protocol­Flexible 
Authentication via Secure Tunneling” (EAP­FAST) 
é um método EAP baseado em TLS (RFC3748);
• O estabelecimento do túnel se baseia no “Protected 
Access Credential” (PAC) que pode ser 
aprovisionado e gerenciado dinamicamente pelo 
EAP­FAST através de um servidor AAA.
125
Método EAP­FAST
• PAC é uma credencial única compartilhada para 
autenticar mutuamente o cliente e o servidor;
• PAC é associado a um user­ID e um authority­ID 
específico;
• Por enquanto é o único método que suporta 802.1x 
+ NAC (Identidade + validação de Status 
simultaneamente).
126
NAC­L2­802.1x:
Identidade e Status
Key:
[26/9/1] cisco­av­pair
[27] Session­Timeout
[29] Termination­Action
[64] Tunnel­type
[65] Tunnel­Medium­Type
[81] Tunnel­Private­Group­ID
127
NAC­L2­802.1x:
Processo de reautenticação
128
NAC­L2­802.1x: 
Quarentena (Atribuição Dinâmica de VLAN)
1005 trnet-default act/unsup
129
Resultado da validação de Identidade e Status (1)
130
Resultado da validação de Identidade e Status (2)
131
Resultado da validação de Identidade e Status (3)
132
Elementos definidores de uma solução NAC
IDENTIFICAR DEIDENTIFICAR DE
FORMA SEGURAFORMA SEGURA
A ESTAÇÃO E OA ESTAÇÃO E O
USUARIOUSUARIO
O QUE
SIGNIFICA…
SEM 
ISSO . . .
Identificar 
estações e 
usuários e criar 
associações entre 
eles.
Crítico para 
associar as 
estações e os 
usuários às suas 
respectivas 
políticas. Previne 
“device spoofing”. 
GERÊNCIA GERÊNCIA 
E E 
CONFIGURAÇÃOCONFIGURAÇÃO
Políticas que 
são muito 
complexas ou 
muito difíceis 
de criar podem 
inviabilizar o 
projeto.
Criação de 
políticas 
granulares para 
mapear 
rapidamente 
grupos de usuários 
às suas políticas.
QUARENTENA QUARENTENA 
E E 
REMEDIAÇÃOREMEDIAÇÃO
Somente saber que 
uma estação não 
está adequada não 
é suficiente. 
Deve haver um 
responsável pela 
readequação.
Atua com base 
nos resultados da 
verificação do 
status da estação, 
isolando e 
remediando para 
que ela venha a 
ser considerada 
adequada.
GARANTIR UMA GARANTIR UMA 
POLÍTICA POLÍTICA 
CONSISTENTECONSISTENTE
Um mecanismo 
de política 
descentralizada
(ex: baseado na 
estação) pode 
levar a 
problemas de 
Segurança.
Verifica e 
reforça uma 
única política 
consistente em 
toda a rede.
Elementos definidores de uma solução NAC
Uma solução NAC completa deve ter todas as quatro características. A
ausência de uma das quatro características limita
significativamente a solução.
134
Cuidado com os “agentes 
inteligentes”...
Algumas implementações prometem “agentes inteligentes”
O suposto “Agente Inteligente” se traduz em: Ponto Único de 
falha;
Propagação automática de worms: com um “agente inteligente”, 
um worm só precisa fazer uma coisa certa:
SHUT DOWN AGENT = NO MORE NAC
Quando o “Agente Inteligente” é Neutralizado, o NAC falha 
135
Padronização do NAC
• A Cisco está participando do processo de 
padronização do NAC
• Os drafts EAP­FAST (NAC­L2) e EAPoUDP 
(NAC­L3) estão publicados no IETF 
• Cisco participou na reunião “Network 
Endpoint Assessment” (NEA) realizado 
no IETF em 2006
• Lista de discussão nea@ietf.org
• Mais informações : 
www.cisco.com/go/nac
www.cisco.com/go/ibns
136
Conclusão
137
*2015 FBI/CSI Report
Necessidade de Network Admission Control
• Vírus, worms, spyware, etc., 
continuam a ser um grande desafio no 
dia­a­dia das Empresas.* Virus são só 
um sintoma do problema maior : 
aplicativos complexos com inúmeras 
falhas de Segurança. 
• Ameaças novas (principalmente 
baseadas em worms) tornam as 
soluções puramente reativas muito 
pouco eficazes. 
• Apesar de a maioria dos usuários 
serem autenticados, não se verifica a 
adequação dos computadores deles 
(laptops, PCs, PDAs, etc.) à Política de 
Segurança.
“Endpoint systems are vulnerable 
and represent the most likely 
point of infection from which a 
virus or worm can spread rapidly 
and cause serious disruption and 
economic damage.” 
Burton Group
138
*2015 FBI/CSI Report
Necessidade de Network Admission Control
• É comum haver servidores e estações 
não adequados à Política de 
Segurança. É difícil detectá­los e 
contê­los. 
• Produtos pontuais de Segurança (sem 
visão de Sistema e Política) não são 
muito efetivos em manter a 
disponibilidade da Rede 
• Localizar, isolar e fazer “patching” de 
sistemas inefctados consome tempo e 
recursos. 
“Endpoint systems are vulnerable 
and represent the most likely 
point of infection from which a 
virus or worm can spread rapidly 
and cause serious disruption and 
economic damage.” 
Burton Group
139
Em que abordagem você confia ?
Segurança como uma opção
Segurança como um aditivo 
Integração extremamente complicada
Não é economicamente viável
Não pode focar na principal prioridade
Segurança como parte do sistema
Segurança Embutida na Rede
Colaboração inteligente entre os 
elementos
Visão de sistemas
Foco direto na principal prioridade
140
Considerações Finais
• Existem soluções de autenticação para todos os
portes de necessidades empresariais;
• A criptografia e fundamental para prover a
codificação de cada solução;
• O padrão 802.1x funciona em redes cabeadas e
redes sem fio.
141
Questões para debate
• Banca: UFF Órgão: UFF
• Prova: Laboratório – Informática
• Em relação aos protocolos, aquele que é utilizado 
como mecanismo para autenticação e autorização 
dos acessos dos clientes, evitando que haja uma 
transmissão de login e senhas em texto claro, é 
conhecido como:
• a) SMTP; b)DNSbind; c) SNMP;
• d) Kerberos; e) FTP.
142
Questões para debate
• Banca: UFF Órgão: UFF
• Prova: Laboratório – Informática
• Em relação aos protocolos, aquele que é utilizado 
como mecanismo para autenticação e autorização 
dos acessos dos clientes, evitando que haja uma 
transmissão de login e senhas em texto claro, é 
conhecido como:
• a) SMTP; b)DNSbind; c) SNMP;
• d) Kerberos; e) FTP.
143
Questões para debate
• Banca: IBADE Órgão: Prefeitura de Rio Branco –
• Um protocolo associado à segurança de informação, 
que permite comunicações individuais seguras e 
identificadas é o:
• a)ARP. b)FTP. c)HTTP.
• d)Kerberos. e)PPP.
144
Questões para debate
• Banca: IBADE Órgão: Prefeitura de Rio Branco –
• Um protocolo associado à segurança de informação, 
que permite comunicações individuais seguras e 
identificadas é o:
• a)ARP. b)FTP. c)HTTP.
• d)Kerberos. e)PPP.
145
Questões para debate
• Banca: IDECAN Órgão: CREFITO­8ª Região(PR)
• Prova: Analista de Sistemas
• “O padrão com o qual o ponto de acesso permite 
que o cliente trave um diálogo com o servidor de 
autenticação e observe o resultado.” Assinale a 
alternativa que contempla a informação disposta na 
afirmativa anterior.
• a) 802.3u b)802.1X c) 802.3af
• d)802.3ae e)802.11Q
146
Questões para debate
• Banca: IDECAN Órgão: CREFITO­8ª Região(PR)
• Prova: Analista de Sistemas
• “O padrão com o qualo ponto de acesso permite 
que o cliente trave um diálogo com o servidor de 
autenticação e observe o resultado.” Assinale a 
alternativa que contempla a informação disposta na 
afirmativa anterior.
• a) 802.3u b)802.1X c) 802.3af
• d)802.3ae e)802.11Q
147
Questões para debate
• Banca: FCC Órgão: DPE­SP
• Prova: Administrador de Redes
• No padrão de rede sem fio IEEE 802.11, o protocolo 
IEEE 802.1x provê:
148
• a) recursos de criptografia de chave simétrica 
durante a negociação entre o AccessPoint e o 
dispositivo cliente.
• b) um mecanismo de autenticação de dispositivos 
que desejam juntar­se à LAN.
• c) um mecanismo de segurança para o SSID 
divulgado em Broadcast.
• d) recursos de autenticação dos usuários não 
cadastrados na WLAN.
• e) uma maior banda de transmissão adicionando 
uma extensão aos canais de transmissão.
149
• a) recursos de criptografia de chave simétrica 
durante a negociação entre o AccessPoint e o 
dispositivo cliente.
• b) um mecanismo de autenticação de 
dispositivos que desejam juntar­se à 
LAN.
• c) um mecanismo de segurança para o SSID 
divulgado em Broadcast.
• d) recursos de autenticação dos usuários não 
cadastrados na WLAN.
• e) uma maior banda de transmissão adicionando 
uma extensão aos canais de transmissão.
150
Questões para debate
• Banca: AOCP Órgão: TCE­PA Prova: Assessor Técnico 
• O NAC é uma sigla referente a Network Access 
Control e sua função é
• a) garantir a segurança do tráfego de dados em 
uma rede de computadores.
• b) validar as permissões de acesso de usuários e de 
serviços em uma rede.
Questões para debate
• Banca: AOCP Órgão: TCE­PA Prova: Assessor Técnico 
• c) controlar o acesso a rede de sistemas por meio 
de autenticação de usuário.
• d) verificar e atualizar sistemas antes da sua ligação 
efetiva em uma rede.
• e) monitorar as ações suspeitas de aplicações e 
usuários em uma rede.
Questões para debate
• Banca: AOCP Órgão: TCE­PA Prova: Assessor Técnico 
• c) controlar o acesso a rede de sistemas por meio 
de autenticação de usuário.
• d) verificar e atualizar sistemas antes da sua 
ligação efetiva em uma rede.
• e) monitorar as ações suspeitas de aplicações e 
usuários em uma rede.
Questões para debate
• Banca: CESPE Órgão: TCE­PA Prova: Auditor
• Com relação aos protocolos NAC (network access 
control) e NAP (network access protection), julgue o 
seguinte item.
• O NAP funciona em redes Windows e permite aos 
administradores de sistemas definirem políticas que 
permitam ou neguem acesso a uma estação na 
rede.
• Certo Errado
Questões para debate
• Banca: CESPE Órgão: TCE­PA Prova: Auditor
• Com relação aos protocolos NAC (network access 
control) e NAP (network access protection), julgue o 
seguinte item.
• O NAP funciona em redes Windows e permite aos 
administradores de sistemas definirem políticas que 
permitam ou neguem acesso a uma estação na 
rede.
• Certo Errado
Explicação
• O Network Access Protection (NAP ­ Proteção de 
Acesso à Rede) é uma nova tecnologia de segurança 
do NPS (Serviço de Proteção à Rede) lançada 
no Windows Vista e Windows Server 2008. Essa 
tecnologia inclui componentes que permitem criar 
e impor diretivas de requisito de integridade que 
definem as configurações necessárias tanto de 
software como de sistema para os computadores 
que se conectam a rede.
Explicação
• Com o Network Access Protection, os 
administradores de rede podem definir políticas 
para os requisitos de integridade do sistema e assim 
verificar o estado de saúde das máquinas que 
tentam se conectar ao servidor. Certificar se o 
computador possui o sistema 
operacional atualizado, ou as definições de vírus do 
software antivírus atualizadas são alguns dos 
exemplos de requisitos de integridade do sistema.
Explicação
• Caso um computador cliente não esteja em 
conformidade com a política de requisitos, o NAP 
restringe o seu acesso à rede, porém oferece 
mecanismos para que o cliente se torne compatível 
com os requisitos, e tenha o acesso normal à rede.
• Ao término desta Unidade você deverá ser capaz de
explanar sobre:
UNIDADE II
Criptografia;
Kerberos;
IEEE 802.1x;
Serviço de diretório.
Unidade 02
159
���������������������������������������������������������������������������
���������������������������������������������������������������������������������
�����������������������������������������������������