Baixe o app para aproveitar ainda mais
Prévia do material em texto
Segurança de Controle de Acesso • Profª. Alex Casañas, M.Sc. • brulex@bol.com.br 1 2 @@brulexbrulex @@casanasdfcasanasdf @@sabadotecsabadotec 3 Prof. M.Sc. Alex Casañas +55(61) 984130351 (OI) SKYPE casanasdf Páginas oficiais: Redes Sociais e Parcerias Facebook: Brulex https://www.facebook.com/alex.casanas1 LinkedIn: Brulex http://br.linkedin.com/in/brulex Twitter: @brulex https://twitter.com/#!/brulex Compre com Segurança Aqui Parceria entre o Professor Alex com o site Submarino desde 1999 http://www.submarino.com.br/menu/1060/Livros/?franq=131531 4 /alex.casanas1in/brulex casanasdf brulex@bol.com.br Contatos Unidade 04 • Objetivos a serem alcançados: • UNIDADE IV •.RADIUS; •TACACS+ •LDAP. 6 Unidade 04 • Bibliografia: • ftp://ftp.freeradius.org/pub/radius/ Mateial on line com os instaladores da solução freeradius; •KisMAC http://binaervarianz.de/programmieren/kismac •Cowpatty http://www.remoteexploit.org/?page=codes 7 Unidade 04 • WEB+Bibliografia: •WPA_Supplicant http://w1.fi/wpa_supplicant/ Site com informações sobre o metodo WPA; Redes de Computadores Locais e de Longa Distância Liane Tauroco – Material LDAP 8 Unidade 04 • WEB+Bibliografia: http://www.cisco.com/c/en/us/td/docs/wireless/acce ss_point/12 3_7_JA/configuration/guide/i1237sc/s37radi.pdf Material da Cisco com instrução para configurar Cisco Access Control Security: AAA Administrative Services, by Brandon Carroll. May 27, 2014 9 Unidade#1 RADIUS 10 RADIUS Two-Party Athentication 11 TwoParty Athentication: RADIUS • Remote Authentication DialIn User Service; • Livingston (divisão da Lucent Technologies); • Cliente/Servidor; • Utiliza o NAS com papel de cliente do RADIUS. • Função do NAS: – Permitir conexão remota via linha discada. – Gerenciar as conexões. – Liberálas ou não. 12 Servidor de Autenticação RADIUS 13 RADIUS • Usuário disca para um modem em um pool de modems, conectados ao NAS. • Ou como no ADSL, ..... • Quando é estabelecida a conexão, o NAS solicita o nome e a senha do usuário para autenticação. • Recebido o nome e a senha, o NAS cria um pacote chamado Requisição de Autenticação, com essas informações. 14 NAS • O pacote identifica o NAS, a porta do modem, o usuário (nome, senha). • NAS envia esse pacote, criptografado, via Internet, para o servidor RADIUS, para autenticação. 15 Autorização RADIUS • Se o nome e a senha conferem, o servidor RADIUS devolve para o NAS uma autorização. • Essa autorização consiste de: – informações da rede acessada pelo cliente. – serviço que o cliente pode utilizar. 16 RADIUS • O servidor RADIUS pode avisar ao NAS que o cliente irá encapsular pacotes de outros protocolos (IPX) sobre o protocolo PPP para se conectar à rede interna corporativa. 17 RADIUS • Se o nome e senha não conferem, o servidor RADIUS envia ao NAS uma notificação de acesso negado, que será encaminhada ao usuário remoto. 18 Arquitetura Distribuída RADIUS • Os provedores de acesso à Internet e as empresa de telecomunicações, podem utilizar a arquitetura distribuída do RADIUS. • Arquitetura RADIUS distribuída na Internet: – Proxy – Servidor RADIUS na Empresa A. – Servidor RADIUS na Empresa B. 19 Arquitetura Distribuída RADIUS • Cada empresa é um contexto de autenticação. • Com o NAS, com suporte para autenticação em domínios diferentes, a requisição de autenticação é enviada ao Proxy RADIUS que irá redirecionála para um servidor RADIUS na operadora de telecomunicações. 20 EAP Types • The EAP types now included in the certification program are: – EAPTLS 21 TLS • TLS runs on layers beneath application protocols such as HTTP, FTP, SMTP, NNTP, and XMPP and above a reliable transport protocol, TCP for example. • While it can add security to any protocol that uses reliable connections (such as TCP), it is most commonly used with HTTP to form HTTPS. 22 Migration from WEP to WPA • Existing authentication systems can still be used. • WPA replaces WEP. • All access points and client will need new firmware and drivers. • Some older NICs and access points may not be upgradeable. • Once enterprise access points are upgraded, home units will need to be, if they were using WEP. 23 Migration from WEP to WPA • Small Office/Home Office: – Configure preshared key (PSK) or master password on the AP. – Configure the PSK on client stations. • Enterprise: – Select EAP types and 802.1X supplicants to be supported on stations, APs, and authentication servers. – Select and deploy RADIUSbased authentication servers 24 How WPA Addresses the WEP Vulnerabilities • WPA wraps RC4 cipher engine in four new algorithms – 1. Extended 48bit IV and IV Sequencing Rules • 248 is a large number! More than 500 trillion • Sequencing rules specify how IVs are selected and verified – 2. A Message Integrity Code (MIC) called Michael • Designed for deployed hardware • Requires use of active countermeasures – 3. Key Derivation and Distribution • Initial random number exchanges defeat maninthemiddle attacks • Temporal Key Integrity Protocol generates perpacket keys 25 WPA Vulnerabilities • However… WPA has not met the challenge of intensive traffic. WPA has some vulnerabilities: 26 WPA Vulnerabilties • Uso de senhas pequenas ou de fácil advinhação. Está sujeito a ataques de força bruta (quando o atacante testa senhas em sequência) ou ataques de dicionário (quando o atacante testa palavras comuns dicionário). 27 WPA Vulnerabilties • Senhas de menos de 20 caracteres são mais susceptíveis à ataque de força bruta. • É comum o fabricante deixar senhas de 810 caracters, imaginando que o administrador irá alterálas. 28 WPA Vulnerabilties • Existem ferramentas disponíveis que promovem ataques de força bruta e/ou dicionário para ataques ao WPA. – KisMAC para MacOS X (força bruta para senhas/dicionário). – WPA Crack para Linux (força bruta para senhas/dicionário). – Ethereal – Cowpatty para Linux (dicionário) ou combinadas com John the Ripper. 29 WPA Vulnerabilities • Não há dificuldades em modificar programas de acesso ao WPA. • Como por exemplo, em WPA_supplicant) para permitir a descoberta de chave précompartilhada (PSK) ou do TKIP que muda a chave de tempos em tempos de forma configurável. 30 WPA Vulnerabilities • O arquivo config.c pode ser modificado na função wpa_config_psk, para ao invés de ler a chave no arquivo de configuração, passa a ler palavras recebidas como parâmetros, permitindo o uso de dicionário e mais algum programa para quebra de senha, como John The Ripper. 31 WPA Vulnerabilities • Problemas no armazenamento das chaves, tanto nos clientes como nos concentradores, que podem comprometer a segurança. 32 Encryption Method Comparison WEP WPA WPA2 Cipher RC4 128 bits encrytion AES Key Size 40 bits 64 bits authentication 128 bits Key Life 24 bits IV 24 bits IV 24 bits IV Packet Key concatened Mixing Function Not Nedeed Data Integrity CRC32 Michael CCMP Header Integrity none Michael CCMP Replay Attack none IV sequence IV sequence Management Key none EAPbased EAPbased 33 General Recommendations • Conduct a risk assessment for all information that will travel over the WLAN and restrict sensitive information. • Policies and infrastructure for authenticating remote access users can be applied to WLAN users.• Perform regular audits of the WLAN using network management and RF detection tools. 34 General Recommendations • Minimize signal leakage (vazamento) through directional antennas and placement of access points. • Make sure all equipment being purchased can be upgraded to support WPA and WPA 2/AES. • If using PreShared Key Mode consider that the shared secret may become compromised. 35 Should you upgrade to WPA2 with AES after WPA? • An investment in new hardware (access points, NICs) may be needed. • Does your risk analysis indicate the extra protection ? • Is there a compelling business reason to do so? 36 Autenticação RADIUS • Federação por meios de Proxies RADIUS • Pode ser usado para serviços de autenticação centralizada • Não requer vinculação ao domínio – Ótimo para utilização em DMZ 1 HTTP/SSL basic auth. RADIUS Server (IAS) 3 HTTP/SSL request, sent to server Backend Server Web Client (Browser, HTTP client) 2 Requisição RADIUS Internet 37 Network Computing Magazine application layer firewall review (3/03): Full inspection performance [Mbps]Full inspection performance [Mbps] Symantec FW 7.0 67 122 127 170 Sidewinder Checkpoint NG FP3 ISA FP1 Performance Arquitetura otimizada • Otimizada para uso em cenários reais • Melhorias desde o ISA Server – Kernelmode data pump – Otimizações no modo de usuarios – Até +150% (2.5X faster) para o trafégo do firewall (SecureNAT) – Até +250% (3.5X faster) para o tafégo de Web proxy (transparent) – 1,000,000+ conexões concorrentes • Escalavel com CPUs adicionais Raw throughput performance How?How? � Design improvements � IP Stack improvements � Hardware improvements � (raw thruput measured using HTTP+NAT benchmark) TestTest ResultsResults DetailsDetails KM tput, 1500 MTUKM tput, 1500 MTU 1.65 Gbps1.65 Gbps 22--proc, 4 NICsproc, 4 NICs KM tput, 9000 MTUKM tput, 9000 MTU 4.6 Gbps4.6 Gbps 44--proc, 6 NICsproc, 6 NICs HTTP FilteringHTTP Filtering 250 Mbps @ 250 Mbps @ 600 cps600 cps 22--proc, 4 NICsproc, 4 NICs 38 ETAPA#2 LDAP 39 LDAP Liane Tarouco 40 LDAP • Lightweight Directory Access Protocol (LDAP); – subconjunto do X.500 DAP sem o overhead do ASN.1 ou da pilha OSI; – Destinado a rodar em qualquer desktop; • Roda sobre TCP; • Pode ser usado para acessar um servidor LDAP independente ou um servidor X.500 indiretamente, via servidor LDAP. 41 Versões LDAP • 1993 primeira versão; • 1996 LDAPv2; • 1997 LDAP v3. 42 Aplicações do LDAP • Localizar usuários e recursos da rede; • Gerenciar usuários e recursos da rede – Recursos online (Dublin Core); – Learning Objects (IEEE); • Autenticar e proteger (segurança) usuários e recursos da rede. 43 Aspectos a considerar • Replicação do diretório; • Controle de acesso; 44 LDAP x DNS • LDAP não é substitutivo para DNS; • Não pode competir com a performance orientada ao alto tráfego do DNS; – não orientado a conexões; – usa porta 389 mas pode usar outras portas; – usa o protocolo LDAP para atendimento. 45 Estrutura do LDAP 46 Modelo de informação • Coleção de atributos e valores; • Tipo de de dados armazenados no diretório; • Praticamente todo o tipo de informação pode ser colocado no diretório. 47 LDAP schema • Define os elementos de dados que efetivamente podem ser armazenados num particular servidor e como se relacionam com objetos do mundo real; • Foram padronizados objetos representando: – Países; – Organizações; – Pessoas; – Grupos. 48 Naming Model • Como a informação é organizada e referenciada; • Nomes LDAP são hierárquicos; • Nomes individuais compostos de atributos e valores; • LDAP permite esquemas flexíveis de nomeação. 49 Modelo de segurança • Como a informação é protegida contra acesso não autorizado; • Autenticação extensível permite a clientes e servidores provarem sua identidade unas aos outros; • Confidencialidade e integridade também podem ser implementadas para proteger a privacidade e contra ataques ativos. 50 Modelo de funcionamento • Como os clientes acessam e atualizam a informação bem como o modo pelo qual os dados podem ser manipulados; • Funções básicas operacionais: – add delete modify; – bind unbind (autenticação); – search compare; – modify DN (distinguished name); – abandon (interromper operação em progresso). 51 LDAP protocol • Interação entre clientes e servidores e mapeamento sobre TCP/IP; • Cada LDAP request é portado em uma mensagem e as entradas contidas na resposta a uma pesquisa são transportadas em mensagens separadas. 52 Mensagens do LDAP LDAPMessage ::= SEQUENCE { messageID MessageID, protocolOp CHOICE { bindRequest BindRequest, bindResponse BindResponse, unbindRequest UnbindRequest, searchRequest SearchRequest, searchResponse SearchResponse, modifyRequest ModifyRequest, modifyResponse ModifyResponse, addRequest AddRequest, addResponse AddResponse, delRequest DelRequest, delResponse DelResponse, modifyRDNRequest ModifyRDNRequest, modifyRDNResponse ModifyRDNResponse, compareDNRequest CompareRequest, compareDNResponse CompareResponse, abandonRequest AbandonRequest } } 53 Bind BindRequest ::= [APPLICATION 0] SEQUENCE { version INTEGER (1 .. 127), name LDAPDN, authentication CHOICE { simple [0] OCTET STRING, krbv42LDAP [1] OCTET STRING, krbv42DSA [2] OCTET STRING } } Iniciar uma sessão entre um cliente e um servidor permitindo a autenticação do cliente para o servidor; Deve ser a primeira operação recebida por um servidor de um cliente numa sessão. 54 Unbind Encerrar uma sessão. UnbindRequest ::= [APPLICATION 2] NULL 55 Search SearchRequest ::= [APPLICATION 3] SEQUENCE { baseObject LDAPDN, scope ENUMERATED { baseObject (0), singleLevel (1), wholeSubtree (2) }, derefAliases ENUMERATED { neverDerefAliases (0), derefInSearching (1), derefFindingBaseObj (2), derefAlways (3) }, sizeLimit INTEGER (0 .. maxInt), timeLimit INTEGER (0 .. maxInt), attrsOnly BOOLEAN, filter Filter, attributes SEQUENCE OF AttributeType } Permite a um cliente solicitar a execução de uma pesquisa a ser feita pelo servidor. 56 Filter Filter ::= CHOICE { and [0] SET OF Filter, or [1] SET OF Filter, not [2] Filter, equalityMatch [3] AttributeValueAssertion, substrings [4] SubstringFilter, greaterOrEqual [5] AttributeValueAssertion, lessOrEqual [6] AttributeValueAssertion, present [7] AttributeType, approxMatch [8] AttributeValueAssertion } 57 SubstringFilter SubstringFilter SEQUENCE { type AttributeType, SEQUENCE OF CHOICE { initial [0] LDAPString, any [1] LDAPString, final [2] LDAPString } } 58 Modify Permite a um cliente solicitar a modificação da BID (Base de Informações do Diretório) que será feita para ele pelo servidor. ModifyRequest ::= [APPLICATION 6] SEQUENCE { object LDAPDN, modification SEQUENCE OF SEQUENCE { operation ENUMERATED { add (0), delete (1), replace (2) }, modification SEQUENCE { type AttributeType, values SET OF AttributeValue } } } 59 Add Permite a um cliente adicionar uma entrada no diretório.AddRequest ::= [APPLICATION 8] SEQUENCE { entry LDAPDN, attrs SEQUENCE OF SEQUENCE { type AttributeType, values SET OF AttributeValue } } 60 Delete Permite a um cliente solicitar a remoção de uma entrada no diretório. DelRequest ::= [APPLICATION 10] LDAPDN O pedido contém o Nome Distinto da entrada a seer deletada 61 Modify RDN A operação Modify RDN permite a um cliente alterar o último componente do nome de uma entrada no diretório. ModifyRDNRequest ::= [APPLICATION 12] SEQUENCE { entry LDAPDN, newrdn RelativeLDAPDN, deleteoldrdn BOOLEAN } 62 Compare Permite a um cliente comparar uma assertiva que ele provê com uma entrada no diretório. CompareRequest ::= [APPLICATION 14] SEQUENCE { entry LDAPDN, ava AttributeValueAssertion } 63 Abandon Permite a um cliente pedir ao servidor para abandonar o atendimento a um pedido em atendimento. AbandonRequest ::= [APPLICATION 16] MessageID 64 Considerações de segurança A versão do protocolo definida no RFC1777 prove apenas facilidades de autenticação simples usando uma senha não cifrada ou autenticação com o sistema kerberos versão 4. 65 LDAP 1, 2 • Nas versões 1 e 2 do LDAP não há previsão para que os servidor retornem indicações de outros servidores que os clientes poderiam consultar; • Mas visando otimizar a performance e a distribuição do diretório o servidor pode retornar aos clientes referência a outros servidores. 66 LDAP API • Application Program Interface (API) usados em plataformas rodando C/C++, Java Javascript, Perl; • LDIF LDAP Interchange Format oferece formato textual simples para representar entradas do diretório. 67 68 LDAP clients • LDAP é um protocolo de acesso para cliente. • Existem muitos clientes LDAP embutidos em aplicações tais como email 69 ETAPA#3 TACACS+ e Revisão da disciplina 70 Autenticação • Um IP identifica um único equipamento ou uma rede, mas o usuário que está num equipamento usando esse endereço, precisa ser uma pessoa válida, autêntica na rede. • Autenticação é a capacidade de garantir que alguém, ou algum equipamento, é de fato quem diz ser, dentro de um contexto definido. 71 Contextos de Autenticação : Exemplos • Passaporte • Cartão de identificação de uma empresa. • Cartão bancário. • Habilitação de motorista. • CPF • Carteira de Identidade de uma pessoa. • Cartão do INSS. • Mundo virtual: sistemas de computação. 72 Autenticação • Entre duas entidades: – O USUÁRIO. – O AUTENTICADOR. • Categorias de Informação de Autenticação: – Algo que sabemos. – Algo físico que temos. – Algo que somos. – Algum lugar onde estamos. 73 Métodos de Autenticação • Métodos de Autenticação são definidos e implementados considerando um ou mais categorias de informação de autenticação. 74 Qualificação dos Métodos • Autenticação fraca • Autenticação forte. 75 Esquemas de Autenticação • Two-Party Authentication – Oneway – somente o cliente é autenticado. – TwoWay – autenticação mútua entre cliente e servidor. • Trusted Third-Party Authentication 76 Esquemas TwoParty Athentication – Password – Challenge/Response – OneTime Password (OTP) – S/Key – OneTime Password by Tokens – Smartcards – Biometria 77 Métodos: Uso dos esquemas • Como estes esquemas se encaixam dentro de protocolos de autenticação ponto-a-ponto? 78 PPP – PointtoPoint Protocol • O PPP foi criado para superar as limitações do SLIP (Serial Link Internet Protocol) e para atender à necessidade de um protocolo de encapsulamento para linhas seriais com base em padrões Internet. 79 PPP – PointtoPoint Protocol • Os aprimoramentos do PPP incluem criptografia, controle de erros, endereçamento IP dinâmico, suporte a vários protocolos e negociação da conexão e autenticação. 80 Métodos de Autenticação em PPP • Two-Party Athentication – Password Athentication Protocol (PAP) – Challege Handshake Authentication Protocol (CHAP) – Extensible Authentication Protocol (EAP) – TACACS – RADIUS 81 PAP Password Athentication Protocol • Esquema de autenticação muito utilizado entre duas entidades. • Mais fraco, em matéria de segurança. • O usuário e o servidor conhecem previamente a senha (segredo) e cabe ao servidor armazenar, numa base de senhas, esse segredo para ser comparado no momento da autenticação. 82 PAP – Password Authentication Protocol 83 ChallengeResponse • É o esquema de autenticação em que o servidor lança um desafio ao usuário, esperando uma resposta, previamente acordada entre eles. • A informação de autenticação é dinâmica, podendo haver diversos desafiosrespostas possíveis. • Sempre quem inicia a perguntadesafio é o servidor, que irá escolher o desafio aleatoriamente, e cabe ao usuário fornecer a resposta correta. • O servidor é que determina quantas perguntasdesafios irá fazer. 84 CHAP – Challenge Handshake Authentication Protocol 85 EAP – Extensible Authentication Protocol • Suporta múltiplos mecanismos de autenticação. • Existem duas fases: – Controle do enlace (link) – Escolha do método de autenticação • MD5 – perguntas e respostas são chaves construídas com Hash MD5. • OneTime Password – uma senha gerada uma única vez para cada sessão. • Token – gera uma combinação numérica aleatoriamente para cada sessão. 86 EAP – Extensible Authentication Protocol 87 Two-Party Athentication: TACACS • Terminal Access Controller Access Control System. • Cisco, anos 80. • TACACS • É um servidor de controle de acesso. • XTACACS, Cisco, 1990. • Autenticação, controle de níveis de acesso, contabilidade. • Sem privacidade entre cliente e servidor. 88 Servidor TACACS+ • Protocolo redesenhado e incompatível com os anteriores. • O servidor adiciona níveis de permissão, estatística de uso, uma base de dados de usuários e permissões (BD). • Gera logs de acesso. • Permite com restrições a determinados usuários. • Tem um BD de segurança. 89 TACACS+ 90 Tacacs+ ou Radius suportado no NAS, Roteador e Servidor de Segurança Remoto (BD) 91 Papéis de clientes TACACS+ • Clientes – NAS (Network Access Server). – Um roteador de entrada para a rede corporativa. • O NAS e um roteador fazem o papel de clientes do servidor TACACS+ que tem o BD de segurança. 92 Acesso Remoto • Usuário disca para um modem em um pool de modems, conectados ao NAS. • Quando é estabelecida a conexão, o NAS solicita o nome e a senha do usuário para autenticação. • Recebido o nome e a senha, o NAS cria um pacote chamado Requisição de Autenticação, com essas informações. 93 Acesso Remoto • O pacote identifica o NAS, a porta do modem, o usuário (nome, senha). • NAS é configurado para suportar diferentes tipos de autenticação, autorização e contabilidade da sessão. 94 Pedido de Autenticação • NAS o envia esse pacote para o servidor TACACS+, que tem o BD de segurança, para autenticação. • Se o nome e a senha conferem, o servidor TACACS+ devolve para o NAS uma autorização. 95 Autorização do Servidor TACACS+ • Essa autorização consiste de: – informações da rede do cliente. – serviço que o cliente pode utilizar. 96 Servidor de segurança TACACS+ • O servidor TACACS+ pode avisar ao NAS que o cliente irá encapsular pacotes IPX sobre o protocolo PPP para se conectar à rede interna corporativa. 97 O servidor de segurança TACACS+ • Se o nome e senha não conferem, o servidorTACACS+ envia ao NAS uma notificação de acesso negado, que será encaminhada ao usuário remoto. 98 NAS • O NAS pode pedir informações adicionais sobre a sessão para o usuário remoto, no início da sessão. • Se o usuário usar um comando para entrar na modalidade PPP, o NAS emite um pedido ao servidor TACACS+ para autorização do PPP e propõe um IP para esse usuário. 99 Acesso Remoto • É função do NAS fazer a contabilidade para cada sessão. • Contabilidade: – Tempo de cada sessão. – Nome do usuário, senha. – Largura de banda. – Quantidade de bytes enviados e recebidos. – Porta do modem. – Telefone utilizado. – Data e hora de início e fim de cada sessão. 100 De TACACS+ para outra entidade de autenticação ... • O servidor de segurança TACACS+ recebe o pacote de Requisição de Autenticação. • Esse pacote recebido pode ser enviado para uma outra entidade de autenticação, como o Kerberos. 101 ETAPA#4 Revisão da disciplina e Concursos 102 Métodos de Autenticação Trusted ThirdParty Authentication 103 Métodos de Autenticação • Trusted ThirdParty Authentication – Kerberos – Explicado na unidade 02. – X.509 Public Key Infrastrutcture (PKI) • Explicado na unidade 02. • Necessita entendimento de assinaturas e certificados digitais. 104 Trusted ThirdParty Authentication: Kerberos • Desenvolvido no MIT nos anos 80 [Steiner et al. 1988] para prover uma gama de facilidades de autenticação e segurança, para uso na rede de computação do campus no MIT. • Kerberos Version 5 [Neuman and Ts’o 1994] está nos padrões Internet na RFC 1510. • Usado por muitas empresas e universidades. 105 Kerberos • O código fonte para uma implementação está disponível no MIT [ web.mit.edu I ]. • Era incluído no OSF Distributed Computing Environment (DCE) [OSF 1997]. • Microsoftware Windows 2000 OS como serviço de autenticação default. • Tem sido proposta uma extensão para uso de certificados de chaves públicas, para a autenticação inicial [Neuman et al. 1999]. 106 System architecture of Kerberos ServerClient DoOperation Authentication database Login session setup Ticket granting service T Kerberos Key Distribution Centre Server session setup Authen tication service A 1. Request for TGS ticket 2. TGS ticket 3. Request for server ticket 4. Server ticket 5. Service request Request encrypted with session key Reply encrypted with session key Service function Step B Step A Step C C S 107 AAA Access Security Accounting What did you spend it on? Authentication Who are you? Authorization which resources the user is allowed to access and which operations the user is allowed to perform? 108 TACACS+/RADIUS Comparison TACACS+ RADIUS Functionality Separates AAA according to the AAA architecture, allowing modularity of the security server implementation Combines authentication and authorization but separates accounting, allowing less flexibility in implementation than TACACS+. Standard Mostly Cisco supported Open/RFC standard Transport Protocol TCP UDP CHAP Bidirectional challenge and response as used in Challenge Handshake Authentication Protocol (CHAP) Unidirectional challenge and response from the RADIUS security server to the RADIUS client. Protocol Support Multiprotocol support No ARA, no NetBEUI Confidentiality Entire packet encrypted Password encrypted Customization Provides authorization of router commands on a per-user or per-group basis. Has no option to authorize router commands on a per-user or per-group basis Confidentiality Limited Extensive 109 Considerações Finais • Na disciplina de Sistemas de controle de acesso temos várias tecnologias disponíveis. • Sempre devemos levantar e dimensionar a quantidade de máquinas, usuários e serviços que precisaremos utilizar tais tecnologias. • Fazer um levantamento nos fabricantes de hardware do suporte de controle de acesso. 110 Questões para debate • Banca: AOCP Órgão: TCEPA Prova: Assessor • O Terminal Access Controller AccessControl System (TACACS) é • a) um protocolo de autenticação remota utilizado para a comunicação com servidores de autenticação. b) um serviço para a verificação e o aceite de conexões remotas conforme o controle de acesso estabelecido. 111 Questões para debate • c) um tipo de terminal que permite a comunicação entre redes de longo alcance com autenticação segura. • d) um equipamento para a autenticação de usuários de sistemas operacionais em uma rede Wi Fi. • e) um software para a comunicação de terminais remotos entre sistemas UNIX e Windows. 112 Questões para debate • Banca: AOCP Órgão: TCEPA Prova: Assessor • O Terminal Access Controller AccessControl System (TACACS) é • a) um protocolo de autenticação remota utilizado para a comunicação com servidores de autenticação. b) um serviço para a verificação e o aceite de conexões remotas conforme o controle de acesso estabelecido. 113 Explicação • Radius/Tacacs �Protocolos que provêm serviço AAA � Sistemas que provêm recursos de Auten�cação, Autorização e Accouting (Contabilização/Auditoria) remota (em um servidor) �Uso de modelo ClienteServidor �Possuem versões abertas e gratuitas e versões/implementações proprietárias/pagas �Possibilitam auten�cação de contas de usuários (ou equipamentos) locais (criados no próprio servidor) e de usuários registrados em um serviço de diretório (ex: AD, LDAP etc). 114 Explicação • �Serviços podem ser usados para controle de: � Acesso à redes cabeadas � Acesso à redes sem fio � Acesso VPN ou dialup (discado) � Acesso à equipamentos (switches, roteadores, servidores, etc) � Acesso à sistemas e recursos que suportem autenticação remota com estes protocolo. • https://pt.wikipedia.org/wiki/TACACS 115 Questões para debate • Banca: AOCP Órgão: TCEPA Prova: Assessor Técnico • O protocolo de autenticação do tipo desafio/resposta, que usa o esquema de hash MD5 para criptografar a resposta, e requer o uso de uma senha criptografada reversível é conhecido como • a) Kerberos. b) MSCHAP. c) TACACS. • d) CHAP. e) NAT. 116 Questões para debate • Banca: AOCP Órgão: TCEPA Prova: Assessor Técnico • O protocolo de autenticação do tipo desafio/resposta, que usa o esquema de hash MD5 para criptografar a resposta, e requer o uso de uma senha criptografada reversível é conhecido como • a) Kerberos. b) MSCHAP. c) TACACS. • d) CHAP. e) NAT. 117 Questões para debate • Banca: CESPE Órgão: Telebras Prova: Engenheiro • Julgue o seguinte item, relativo a mecanismos de autenticação. • As vantagens do TACACS+ em relação ao TACACS incluem a disponibilização do serviço de registro de logs de eventos. • Certo Errado 118 Questões para debate • Banca: CESPE Órgão: Telebras Prova: Engenheiro • Julgue o seguinte item, relativo a mecanismos de autenticação. • As vantagens do TACACS+ em relação ao TACACS incluem a disponibilização do serviço de registro de logs de eventos. • Certo Errado 119 Explicação • o protocolo TACACS+ (Terminal Access Controller AccessControl System Plus) providencia acesso a roteadores, servidores de redes e outros equipamentos de rede. O TACACS+ providencia separadamente autenticação, autorizaçãoe serviços de contas. Com ele é possível realizar a autenticação do usuário de acesso junto a uma conta previamente cadastrada no AD(Active Directory). 120 Explicação • O TACACS+ é baseado no TACACS, mas só no nome, pois foi totalmente remodelado pelaCisco Systems de tal forma que esta nova versão é incompatível com qualquer outra anterior. Enquanto que o RADIUS combina a autorização e a autenticação no perfil de um utilizador e atua no UDP (User Datagram Protocol), o TACACS+ separaos, atuando no TCP(Transmission Control Protocol). 121 Questões para debate • Banca: IADES Órgão: EBSERH Prova: Analista • O LDAP é um serviço de diretórios leves. O comando que permite fazer buscas em um servidor LDAP é a) ldapget • b) ldapwhat • c) ldapsearch • d) ldapcompare • e) ldapadd 122 Questões para debate • Banca: IADES Órgão: EBSERH Prova: Analista • O LDAP é um serviço de diretórios leves. O comando que permite fazer buscas em um servidor LDAP é a) ldapget • b) ldapwhat • c) ldapsearch • d) ldapcompare • e) ldapadd 123 Explicação • O LDAP é gerenciado por comandos. O comando Connect permite a conexão com um servidor LDAP. Bind serve para autenticar o cliente no servidor LDAP. Ele envia o DN (Distinguished Name), a senha do usuário e a versão do protocolo que está sendo usada. O comando Search permite buscar ou recuperar entradas no LDAP. Modify permite alterar registros no LDAP. Já o comando Unbind realiza operação de fechamento da conexão entre cliente e servidor. Add adiciona registros em uma base LDAP. 124 • Ao término desta Unidade você deverá ser capaz de explanar sobre: • UNIDADE IV •.RADIUS; •TACACS+ •LDAP. Unidade 04 125 ��������������������������������������������������������������������������� ��������������������������������������������������������������������������������� �����������������������������������������������������
Compartilhar