Unidade 04 Sistemas de Controle de Acesso Cap 07 17 02 07 125 ppts 01 Slide por folha

Prévia do material em texto

Segurança de Controle de Acesso
• Profª. Alex Casañas, M.Sc.
• brulex@bol.com.br 1
2
@@brulexbrulex
@@casanasdfcasanasdf
@@sabadotecsabadotec
3
Prof. M.Sc. Alex Casañas +55(61) 98413­0351 (OI)
­ SKYPE ­ casanasdf ­
Páginas oficiais:
Redes Sociais e Parcerias
Facebook: Brulex https://www.facebook.com/alex.casanas1
LinkedIn: Brulex http://br.linkedin.com/in/brulex
Twitter: @brulex https://twitter.com/#!/brulex
Compre com Segurança Aqui ­ Parceria  entre o Professor Alex com 
o site Submarino desde 1999
http://www.submarino.com.br/menu/1060/Livros/?franq=131531
4
/alex.casanas1in/brulex casanasdf
brulex@bol.com.br
Contatos
Unidade 04
• Objetivos a serem alcançados:
• UNIDADE IV
•.RADIUS;
•TACACS+
•LDAP.
6
Unidade 04
• Bibliografia:
• ftp://ftp.freeradius.org/pub/radius/ Mateial on line
com os instaladores da solução freeradius;
•KisMAC
http://binaervarianz.de/programmieren/kismac
•Cowpatty
http://www.remote­exploit.org/?page=codes
7
Unidade 04
• WEB+Bibliografia:
•WPA_Supplicant
http://w1.fi/wpa_supplicant/
Site com informações sobre o metodo WPA;
Redes de Computadores Locais e de Longa Distância
Liane Tauroco – Material LDAP
8
Unidade 04
• WEB+Bibliografia:
http://www.cisco.com/c/en/us/td/docs/wireless/acce
ss_point/12­
3_7_JA/configuration/guide/i1237sc/s37radi.pdf
Material da Cisco com instrução para configurar 
Cisco Access Control Security: AAA Administrative
Services, by Brandon Carroll. May 27, 2014
9
Unidade#1
RADIUS
10
RADIUS
Two-Party Athentication
11
Two­Party Athentication: RADIUS
• Remote Authentication Dial­In User Service;
• Livingston (divisão da Lucent Technologies);
• Cliente/Servidor;
• Utiliza o NAS com papel de cliente do RADIUS.
• Função do NAS:
– Permitir conexão remota via linha discada.
– Gerenciar as conexões.
– Liberá­las ou não.
12
Servidor de Autenticação RADIUS
13
RADIUS
• Usuário disca para um modem em um pool de 
modems, conectados ao NAS.
• Ou como no ADSL, .....
• Quando é estabelecida a conexão, o NAS solicita o 
nome e a senha do usuário para autenticação.
• Recebido o nome e a senha, o NAS cria um pacote 
chamado Requisição de Autenticação, com essas 
informações. 
14
NAS
• O pacote identifica o NAS, a porta do modem, o 
usuário (nome, senha).
• NAS envia esse pacote, criptografado, via Internet, 
para o servidor RADIUS, para autenticação.
15
Autorização RADIUS
• Se o nome e a senha conferem, o servidor RADIUS 
devolve para o NAS uma autorização.
• Essa autorização consiste de:
– informações da rede acessada pelo cliente.
– serviço que o cliente pode utilizar.
16
RADIUS
• O servidor RADIUS pode avisar ao NAS que o cliente 
irá encapsular pacotes de outros protocolos (IPX) 
sobre o protocolo PPP para se conectar à rede interna 
corporativa.
17
RADIUS
• Se o nome e senha não conferem, o servidor RADIUS 
envia ao NAS uma notificação de acesso negado, que 
será encaminhada ao usuário remoto.
18
Arquitetura Distribuída RADIUS
• Os provedores de acesso à Internet e as empresa de 
telecomunicações, podem utilizar a arquitetura distribuída do 
RADIUS.
• Arquitetura RADIUS distribuída na Internet:
– Proxy
– Servidor RADIUS na Empresa A.
– Servidor RADIUS na Empresa B.
19
Arquitetura Distribuída RADIUS
• Cada empresa é um contexto de autenticação.
• Com o NAS, com suporte para autenticação em domínios 
diferentes, a requisição de autenticação é enviada ao Proxy 
RADIUS que irá redirecioná­la para um servidor RADIUS na 
operadora de telecomunicações.
20
EAP Types
• The EAP types now included in the certification 
program are:
– EAP­TLS 
21
TLS
• TLS runs on layers beneath application protocols such 
as HTTP, FTP, SMTP, NNTP, and XMPP and above a 
reliable transport protocol, TCP for example. 
• While it can add security to any protocol that uses 
reliable connections (such as TCP), it is most 
commonly used with HTTP to form HTTPS. 
22
Migration from WEP to WPA
• Existing authentication systems can still be used.
• WPA replaces WEP.
• All access points and client will need new firmware and drivers.
• Some older NICs and access points may not be upgradeable.
• Once enterprise access points are upgraded, home units will 
need to be, if they were using WEP.
23
Migration from WEP to WPA
• Small Office/Home Office:
– Configure pre­shared key (PSK) or master password on the 
AP.
– Configure the PSK on client stations.
• Enterprise:
– Select EAP types and 802.1X supplicants to be supported 
on stations, APs, and authentication servers.
– Select and deploy RADIUS­based authentication servers
24
How WPA Addresses the WEP 
Vulnerabilities
• WPA wraps RC4 cipher engine in four new 
algorithms
– 1. Extended 48­bit IV and IV Sequencing Rules
• 248 is a large number! More than 500 trillion
• Sequencing rules specify how IVs are selected and verified
– 2. A Message Integrity Code (MIC) called Michael
• Designed for deployed hardware
• Requires use of active countermeasures
– 3. Key Derivation and Distribution
• Initial random number exchanges defeat man­in­the­middle attacks
• Temporal Key Integrity Protocol generates per­packet keys
25
WPA Vulnerabilities
• However…
WPA has not met the challenge of intensive traffic.
WPA has some vulnerabilities:
26
WPA Vulnerabilties
• Uso de senhas pequenas ou de fácil advinhação.
Está sujeito a ataques de força bruta (quando o 
atacante testa senhas em sequência) ou ataques 
de dicionário (quando o atacante testa palavras 
comuns ­ dicionário).
27
WPA Vulnerabilties
• Senhas de menos de 20 caracteres são mais 
susceptíveis à ataque de força bruta.
• É comum o fabricante deixar senhas de 8­10 
caracters, imaginando que o administrador irá 
alterá­las.
28
WPA Vulnerabilties
• Existem ferramentas disponíveis que promovem 
ataques de força bruta e/ou dicionário para 
ataques ao WPA.
– KisMAC para MacOS X (força bruta para 
senhas/dicionário).
– WPA Crack para Linux (força bruta para 
senhas/dicionário).
– Ethereal
– Cowpatty para Linux (dicionário) ou 
combinadas com John the Ripper. 29
WPA Vulnerabilities
• Não há dificuldades em modificar programas de 
acesso ao WPA.
• Como por exemplo, em WPA_supplicant) para 
permitir a descoberta de chave pré­compartilhada 
(PSK) ou do TKIP que muda a chave de tempos em 
tempos de forma configurável.
30
WPA Vulnerabilities
• O arquivo config.c pode ser modificado na função 
wpa_config_psk, para ao invés de ler a chave no 
arquivo de configuração, passa a ler palavras 
recebidas como parâmetros, permitindo o uso de 
dicionário e mais algum programa para quebra 
de senha, como John The Ripper.
31
WPA Vulnerabilities
• Problemas no armazenamento das chaves, tanto 
nos clientes como nos concentradores, que 
podem comprometer a segurança.
32
Encryption Method Comparison
WEP WPA WPA2
Cipher RC4 128 bits encrytion AES
Key Size 40 bits 64 bits authentication 128 bits
Key Life 24 bits IV 24 bits IV 24 bits IV 
Packet Key concatened Mixing Function Not Nedeed
Data Integrity CRC­32 Michael CCMP
Header Integrity none Michael CCMP
Replay Attack none IV sequence IV sequence
Management Key none EAP­based EAP­based
33
General Recommendations
• Conduct a risk assessment for all information that 
will travel over the WLAN and restrict sensitive 
information.
• Policies and infrastructure for authenticating 
remote access users can be applied to WLAN 
users.• Perform regular audits of the WLAN using network 
management and RF detection tools.
34
General Recommendations
• Minimize signal leakage (vazamento) through 
directional antennas and placement of access 
points.
• Make sure all equipment being purchased can be 
upgraded to support WPA and WPA 2/AES.
• If using Pre­Shared Key Mode consider that the 
shared secret may become compromised.
35
Should you upgrade to WPA2 with 
AES after WPA?
• An investment in new hardware (access points, 
NICs) may be needed.
• Does your risk analysis indicate the extra 
protection ?
• Is there a compelling business reason to do so?
36
Autenticação RADIUS
• Federação por meios de Proxies RADIUS
• Pode ser usado para serviços de autenticação
centralizada
• Não requer vinculação ao domínio
– Ótimo para utilização em DMZ
1
HTTP/SSL basic 
auth.
RADIUS Server (IAS)
3
HTTP/SSL 
request, sent to 
server
Back­end
Server
Web Client
(Browser, HTTP client)
2
Requisição RADIUS
Internet
37
Network Computing Magazine 
application layer firewall review (3/03):
Full inspection performance [Mbps]Full inspection performance [Mbps]
Symantec FW 7.0 67
122
127
170
Sidewinder
Checkpoint NG FP3
ISA FP1
Performance
Arquitetura otimizada
• Otimizada para uso em cenários reais
• Melhorias desde o ISA Server
– Kernel­mode data pump
– Otimizações no modo de usuarios
– Até +150% (2.5X faster) para o trafégo do firewall (SecureNAT)
– Até +250% (3.5X faster) para o tafégo de Web proxy (transparent)
– 1,000,000+ conexões concorrentes
• Escalavel com CPUs adicionais
Raw throughput performance
How?How?
� Design improvements
� IP Stack improvements
� Hardware improvements
� (raw thru­put measured using 
HTTP+NAT benchmark)
TestTest ResultsResults DetailsDetails
KM tput, 1500 MTUKM tput, 1500 MTU 1.65 Gbps1.65 Gbps 22--proc, 4 NICsproc, 4 NICs
KM tput, 9000 MTUKM tput, 9000 MTU 4.6 Gbps4.6 Gbps 44--proc, 6 NICsproc, 6 NICs
HTTP FilteringHTTP Filtering 250 Mbps @ 250 Mbps @ 
600 cps600 cps
22--proc, 4 NICsproc, 4 NICs
38
ETAPA#2
LDAP 
39
LDAP
Liane Tarouco
40
LDAP
• Lightweight Directory Access Protocol
(LDAP);
– subconjunto do X.500 DAP sem o 
overhead do ASN.1 ou da pilha OSI;
– Destinado a rodar em qualquer 
desktop;
• Roda sobre TCP;
• Pode ser usado para acessar um servidor 
LDAP independente ou um servidor X.500 
indiretamente, via servidor LDAP.
41
Versões LDAP
• 1993 primeira versão;
• 1996 LDAPv2;
• 1997 LDAP v3.
42
Aplicações do LDAP
• Localizar usuários e recursos da rede;
• Gerenciar usuários e recursos da rede
– Recursos on­line (Dublin Core);
– Learning Objects (IEEE);
• Autenticar e proteger (segurança) usuários 
e recursos da rede.
43
Aspectos a considerar
• Replicação do diretório;
• Controle de acesso;
44
LDAP x DNS
• LDAP não é substitutivo para DNS;
• Não pode competir com a performance 
orientada ao alto tráfego do DNS;
– não orientado a conexões;
– usa porta 389 mas pode usar outras portas;
– usa o protocolo LDAP para atendimento.
45
Estrutura do 
LDAP
46
Modelo de informação
• Coleção de atributos e valores;
• Tipo de de dados armazenados no diretório;
• Praticamente todo o tipo de informação pode 
ser colocado no diretório.
47
LDAP schema
• Define os elementos de dados que 
efetivamente podem ser armazenados num 
particular servidor e como se relacionam com 
objetos do mundo real;
• Foram padronizados objetos representando:
– Países;
– Organizações;
– Pessoas;
– Grupos.
48
Naming Model
• Como a informação é organizada e referenciada;
• Nomes LDAP são hierárquicos;
• Nomes individuais compostos de atributos e 
valores;
• LDAP permite esquemas flexíveis de nomeação.
49
Modelo de segurança
• Como a informação é protegida contra acesso não 
autorizado;
• Autenticação extensível permite a clientes e 
servidores provarem sua identidade unas aos 
outros;
• Confidencialidade e integridade também podem ser 
implementadas para proteger a privacidade e 
contra ataques ativos. 50
Modelo de funcionamento
• Como os clientes acessam e atualizam a informação 
bem como o modo pelo qual os dados podem ser 
manipulados;
• Funções básicas operacionais:
– add delete modify;
– bind unbind (autenticação);
– search compare;
– modify DN (distinguished name);
– abandon (interromper operação em progresso).
51
LDAP protocol
• Interação entre clientes e servidores e mapeamento 
sobre TCP/IP;
• Cada LDAP request é portado em uma mensagem e 
as entradas contidas na resposta a uma pesquisa 
são transportadas em mensagens separadas.
52
Mensagens do 
LDAP
LDAPMessage ::=
SEQUENCE {
messageID MessageID,
protocolOp CHOICE {
bindRequest BindRequest,
bindResponse BindResponse,
unbindRequest UnbindRequest,
searchRequest SearchRequest,
searchResponse SearchResponse,
modifyRequest ModifyRequest,
modifyResponse ModifyResponse,
addRequest AddRequest,
addResponse AddResponse,
delRequest DelRequest,
delResponse DelResponse,
modifyRDNRequest ModifyRDNRequest,
modifyRDNResponse ModifyRDNResponse,
compareDNRequest CompareRequest,
compareDNResponse CompareResponse,
abandonRequest AbandonRequest
}
} 53
Bind
BindRequest ::=
[APPLICATION 0] SEQUENCE {
version INTEGER (1 .. 127),
name LDAPDN,
authentication CHOICE {
simple [0] OCTET STRING,
krbv42LDAP [1] OCTET STRING,
krbv42DSA [2] OCTET STRING
}
}
Iniciar uma sessão entre um cliente e um servidor 
permitindo a autenticação do cliente para o servidor;
Deve ser a primeira operação recebida por um servidor de 
um cliente numa sessão. 54
Unbind
Encerrar uma sessão. 
UnbindRequest ::= [APPLICATION 2] NULL
55
Search
SearchRequest ::=
[APPLICATION 3] SEQUENCE {
baseObject LDAPDN,
scope ENUMERATED {
baseObject (0),
singleLevel (1),
wholeSubtree (2)
},
derefAliases ENUMERATED {
neverDerefAliases (0),
derefInSearching (1),
derefFindingBaseObj (2),
derefAlways (3)
},
sizeLimit INTEGER (0 .. maxInt),
timeLimit INTEGER (0 .. maxInt),
attrsOnly BOOLEAN,
filter Filter,
attributes SEQUENCE OF AttributeType
}
Permite a um 
cliente solicitar a 
execução de uma 
pesquisa a ser feita 
pelo servidor.
56
Filter
Filter ::=
CHOICE {
and [0] SET OF Filter,
or [1] SET OF Filter,
not [2] Filter,
equalityMatch [3] AttributeValueAssertion,
substrings [4] SubstringFilter,
greaterOrEqual [5] AttributeValueAssertion,
lessOrEqual [6] AttributeValueAssertion,
present [7] AttributeType,
approxMatch [8] AttributeValueAssertion
}
57
SubstringFilter
SubstringFilter
SEQUENCE {
type AttributeType,
SEQUENCE OF CHOICE {
initial [0] LDAPString,
any [1] LDAPString,
final [2] LDAPString
}
}
58
Modify
Permite a um cliente solicitar a modificação da BID (Base de 
Informações do Diretório) que será feita para ele pelo servidor.
ModifyRequest ::=
[APPLICATION 6] SEQUENCE {
object LDAPDN,
modification SEQUENCE OF SEQUENCE {
operation ENUMERATED {
add (0),
delete (1),
replace (2)
},
modification SEQUENCE {
type AttributeType,
values SET OF
AttributeValue
}
}
}
59
Add
Permite a um cliente adicionar uma entrada 
no diretório.AddRequest ::=
[APPLICATION 8] SEQUENCE {
entry LDAPDN,
attrs SEQUENCE OF SEQUENCE {
type AttributeType,
values SET OF AttributeValue
}
}
60
Delete
Permite a um cliente solicitar a remoção de 
uma entrada no diretório.
DelRequest ::= [APPLICATION 10] LDAPDN
O pedido contém o Nome Distinto da entrada a seer deletada
61
Modify RDN
A operação Modify RDN permite a um cliente alterar o último 
componente do nome de uma entrada no diretório.
ModifyRDNRequest ::=
[APPLICATION 12] SEQUENCE {
entry LDAPDN,
newrdn RelativeLDAPDN,
deleteoldrdn BOOLEAN
}
62
Compare
Permite a um cliente comparar uma assertiva que ele provê 
com uma entrada no diretório.
CompareRequest ::=
[APPLICATION 14] SEQUENCE {
entry LDAPDN,
ava AttributeValueAssertion
}
63
Abandon
Permite a um cliente pedir ao servidor para 
abandonar o atendimento a um pedido em 
atendimento.
AbandonRequest ::= [APPLICATION 16] MessageID
64
Considerações de segurança
A versão do protocolo definida no RFC1777 prove 
apenas facilidades de autenticação simples 
usando uma senha não cifrada ou autenticação 
com o sistema kerberos versão 4. 
65
LDAP 1, 2 
• Nas versões 1 e 2 do LDAP não há previsão para 
que os servidor retornem indicações de outros 
servidores que os clientes poderiam consultar;
• Mas visando otimizar a performance e a 
distribuição do diretório o servidor pode retornar 
aos clientes referência a outros servidores.
66
LDAP API
• Application Program Interface (API) usados em 
plataformas rodando C/C++, Java Javascript, Perl;
• LDIF­ LDAP Interchange Format ­ oferece formato 
textual simples para representar entradas do 
diretório.
67
68
LDAP clients
• LDAP é um protocolo de acesso para cliente.
• Existem muitos clientes LDAP embutidos em aplicações tais 
como email 
69
ETAPA#3
TACACS+ e Revisão da disciplina
70
Autenticação
• Um IP identifica um único equipamento ou 
uma rede, mas o usuário que está num 
equipamento usando esse endereço, precisa 
ser uma pessoa válida, autêntica na rede.
• Autenticação é a capacidade de garantir que 
alguém, ou algum equipamento, é de fato 
quem diz ser, dentro de um contexto
definido.
71
Contextos de Autenticação : 
Exemplos
• Passaporte
• Cartão de identificação de uma empresa.
• Cartão bancário.
• Habilitação de motorista.
• CPF
• Carteira de Identidade de uma pessoa.
• Cartão do INSS.
• Mundo virtual: sistemas de computação.
72
Autenticação
• Entre duas entidades:
– O USUÁRIO.
– O AUTENTICADOR.
• Categorias de Informação de Autenticação:
– Algo que sabemos.
– Algo físico que temos.
– Algo que somos.
– Algum lugar onde estamos.
73
Métodos de Autenticação
• Métodos de Autenticação são definidos e 
implementados considerando um ou mais 
categorias de informação de autenticação.
74
Qualificação dos Métodos
• Autenticação fraca
• Autenticação forte.
75
Esquemas de Autenticação
• Two-Party Authentication
– One­way – somente o cliente é autenticado.
– Two­Way – autenticação mútua entre cliente e 
servidor.
• Trusted Third-Party Authentication
76
Esquemas Two­Party Athentication
– Password
– Challenge/Response
– One­Time Password (OTP) – S/Key
– One­Time Password by Tokens
– Smartcards
– Biometria
77
Métodos: Uso dos esquemas
• Como estes esquemas se encaixam dentro de 
protocolos de autenticação ponto-a-ponto?
78
PPP – Point­to­Point Protocol
• O PPP foi criado para superar as limitações do 
SLIP (Serial Link Internet Protocol) e para 
atender à necessidade de um protocolo de 
encapsulamento para linhas seriais com base 
em padrões Internet.
79
PPP – Point­to­Point Protocol
• Os aprimoramentos do PPP incluem 
criptografia, controle de erros, 
endereçamento IP dinâmico, suporte a vários 
protocolos e negociação da conexão e 
autenticação.
80
Métodos de Autenticação em PPP
• Two-Party Athentication
– Password Athentication Protocol (PAP)
– Challege Handshake Authentication Protocol
(CHAP)
– Extensible Authentication Protocol (EAP)
– TACACS
– RADIUS
81
PAP ­ Password Athentication 
Protocol 
• Esquema de autenticação muito utilizado 
entre duas entidades.
• Mais fraco, em matéria de segurança.
• O usuário e o servidor conhecem previamente 
a senha (segredo) e cabe ao servidor 
armazenar, numa base de senhas, esse 
segredo para ser comparado no momento da 
autenticação.
82
PAP – Password Authentication 
Protocol
83
Challenge­Response
• É o esquema de autenticação em que o servidor lança um 
desafio ao usuário, esperando uma resposta, previamente 
acordada entre eles.
• A informação de autenticação é dinâmica, podendo haver 
diversos desafios­respostas possíveis.
• Sempre quem inicia a pergunta­desafio é o servidor, que irá 
escolher o desafio aleatoriamente, e cabe ao usuário 
fornecer a resposta correta.
• O servidor é que determina quantas perguntas­desafios irá 
fazer. 
84
CHAP – Challenge Handshake 
Authentication Protocol
85
EAP – Extensible Authentication Protocol
• Suporta múltiplos mecanismos de autenticação.
• Existem duas fases:
– Controle do enlace (link)
– Escolha do método de autenticação
• MD5 – perguntas e respostas são chaves construídas com Hash
MD5.
• One­Time Password – uma senha gerada uma única vez para 
cada sessão.
• Token – gera uma combinação numérica aleatoriamente para 
cada sessão.
86
EAP – Extensible Authentication Protocol
87
Two-Party Athentication: TACACS
• Terminal Access Controller Access Control 
System.
• Cisco, anos 80.
• TACACS
• É um servidor de controle de acesso.
• XTACACS, Cisco, 1990.
• Autenticação, controle de níveis de acesso, 
contabilidade.
• Sem privacidade entre cliente e servidor.
88
Servidor TACACS+
• Protocolo redesenhado e incompatível com os 
anteriores.
• O servidor adiciona níveis de permissão, 
estatística de uso, uma base de dados de 
usuários e permissões (BD).
• Gera logs de acesso.
• Permite com restrições a determinados 
usuários.
• Tem um BD de segurança.
89
TACACS+
90
Tacacs+ ou Radius suportado no NAS, 
Roteador e Servidor de Segurança Remoto (BD)
91
Papéis de clientes TACACS+
• Clientes
– NAS (Network Access Server).
– Um roteador de entrada para a rede corporativa.
• O NAS e um roteador fazem o papel de 
clientes do servidor TACACS+ que tem o BD de 
segurança.
92
Acesso Remoto
• Usuário disca para um modem em um pool de modems, 
conectados ao NAS.
• Quando é estabelecida a conexão, o NAS solicita o nome 
e a senha do usuário para autenticação.
• Recebido o nome e a senha, o NAS cria um pacote 
chamado Requisição de Autenticação, com essas 
informações. 
93
Acesso Remoto
• O pacote identifica o NAS, a porta do modem, 
o usuário (nome, senha).
• NAS é configurado para suportar diferentes 
tipos de autenticação, autorização e 
contabilidade da sessão.
94
Pedido de Autenticação
• NAS o envia esse pacote para o servidor 
TACACS+, que tem o BD de segurança, para 
autenticação.
• Se o nome e a senha conferem, o servidor 
TACACS+ devolve para o NAS uma 
autorização.
95
Autorização do Servidor TACACS+
• Essa autorização consiste de:
– informações da rede do cliente.
– serviço que o cliente pode utilizar.
96
Servidor de segurança TACACS+
• O servidor TACACS+ pode avisar ao NAS que o 
cliente irá encapsular pacotes IPX sobre o 
protocolo PPP para se conectar à rede interna 
corporativa.
97
O servidor de segurança TACACS+
• Se o nome e senha não conferem, o servidorTACACS+ envia ao NAS uma notificação de 
acesso negado, que será encaminhada ao 
usuário remoto.
98
NAS
• O NAS pode pedir informações adicionais 
sobre a sessão para o usuário remoto, no 
início da sessão.
• Se o usuário usar um comando para entrar na 
modalidade PPP, o NAS emite um pedido ao 
servidor TACACS+ para autorização do PPP e 
propõe um IP para esse usuário.
99
Acesso Remoto
• É função do NAS fazer a contabilidade para 
cada sessão.
• Contabilidade:
– Tempo de cada sessão.
– Nome do usuário, senha.
– Largura de banda.
– Quantidade de bytes enviados e recebidos.
– Porta do modem.
– Telefone utilizado.
– Data e hora de início e fim de cada sessão.
100
De TACACS+ para outra entidade de 
autenticação ...
• O servidor de segurança TACACS+ recebe o 
pacote de Requisição de Autenticação.
• Esse pacote recebido pode ser enviado para
uma outra entidade de autenticação, como o 
Kerberos.
101
ETAPA#4
Revisão da disciplina e Concursos
102
Métodos de Autenticação
Trusted Third­Party Authentication
103
Métodos de Autenticação
• Trusted Third­Party Authentication
– Kerberos
– Explicado na unidade 02.
– X.509 Public Key Infrastrutcture (PKI)
• Explicado na unidade 02.
• Necessita entendimento de assinaturas e 
certificados digitais. 
104
Trusted Third­Party Authentication: 
Kerberos
• Desenvolvido no MIT nos anos 80 [Steiner et al. 1988] 
para prover uma gama de facilidades de autenticação e 
segurança, para uso na rede de computação do campus 
no MIT.
• Kerberos Version 5 [Neuman and Ts’o 1994] está nos 
padrões Internet na RFC 1510.
• Usado por muitas empresas e universidades. 
105
Kerberos
• O código fonte para uma implementação está 
disponível no MIT [ web.mit.edu I ].
• Era incluído no OSF Distributed Computing 
Environment (DCE) [OSF 1997].
• Microsoftware Windows 2000 OS como 
serviço de autenticação default.
• Tem sido proposta uma extensão para uso de 
certificados de chaves públicas, para a 
autenticação inicial [Neuman et al. 1999]. 
106
System architecture of Kerberos
ServerClient
DoOperation
Authentication
database
Login
session setup
Ticket­
granting
service T
Kerberos Key Distribution Centre
Server
session setup
Authen­
tication
service A
1. Request for
TGS ticket
2. TGS
ticket
3. Request for
server ticket
4. Server ticket
5. Service
request
Request encrypted with session key
Reply encrypted with session key 
Service
function
Step B
Step A
Step C
C S
107
AAA Access Security
Accounting
What did you spend it on?
Authentication
Who are you?
Authorization
which resources the user is allowed to access and which 
operations the user is allowed to perform?
108
TACACS+/RADIUS Comparison
TACACS+ RADIUS
Functionality Separates AAA according to the AAA 
architecture, allowing modularity of 
the security server implementation 
Combines authentication and 
authorization but separates 
accounting, allowing less flexibility in 
implementation than TACACS+.
Standard Mostly Cisco supported Open/RFC standard
Transport Protocol TCP UDP
CHAP Bidirectional challenge and response 
as used in Challenge Handshake 
Authentication Protocol (CHAP)
Unidirectional challenge and response 
from the RADIUS security server to 
the RADIUS client.
Protocol Support Multiprotocol support No ARA, no NetBEUI
Confidentiality Entire packet encrypted Password encrypted
Customization Provides authorization of router 
commands on a per-user or 
per-group basis. 
Has no option to authorize router 
commands on a per-user or 
per-group basis
Confidentiality Limited Extensive
109
Considerações Finais
• Na disciplina de Sistemas de controle de acesso
temos várias tecnologias disponíveis.
• Sempre devemos levantar e dimensionar a
quantidade de máquinas, usuários e serviços que
precisaremos utilizar tais tecnologias.
• Fazer um levantamento nos fabricantes de
hardware do suporte de controle de acesso.
110
Questões para debate
• Banca: AOCP Órgão: TCE­PA Prova: Assessor 
• O Terminal Access Controller Access­Control System 
(TACACS) é
• a) um protocolo de autenticação remota utilizado 
para a comunicação com servidores de 
autenticação.
b) um serviço para a verificação e o aceite de 
conexões remotas conforme o controle de acesso 
estabelecido. 111
Questões para debate
• c) um tipo de terminal que permite a comunicação 
entre redes de longo alcance com autenticação 
segura.
• d) um equipamento para a autenticação de 
usuários de sistemas operacionais em uma rede Wi­
Fi.
• e) um software para a comunicação de terminais 
remotos entre sistemas UNIX e Windows.
112
Questões para debate
• Banca: AOCP Órgão: TCE­PA Prova: Assessor 
• O Terminal Access Controller Access­Control System 
(TACACS) é
• a) um protocolo de autenticação remota utilizado 
para a comunicação com servidores de 
autenticação.
b) um serviço para a verificação e o aceite de 
conexões remotas conforme o controle de acesso 
estabelecido. 113
Explicação
• Radius/Tacacs
�Protocolos que provêm serviço AAA
� Sistemas que provêm recursos de Auten�cação, 
Autorização e Accouting (Contabilização/Auditoria) 
remota (em um servidor)
�Uso de modelo Cliente­Servidor
�Possuem versões abertas e gratuitas e 
versões/implementações proprietárias/pagas
�Possibilitam auten�cação de contas de usuários 
(ou equipamentos) locais (criados no próprio 
servidor) e de usuários registrados em um serviço 
de diretório (ex: AD, LDAP etc). 114
Explicação
• �Serviços podem ser usados para controle de:
� Acesso à redes cabeadas
� Acesso à redes sem fio
� Acesso VPN ou dial­up (discado)
� Acesso à equipamentos (switches, roteadores, 
servidores, etc)
� Acesso à sistemas e recursos que suportem 
autenticação remota com estes protocolo.
• https://pt.wikipedia.org/wiki/TACACS 
115
Questões para debate
• Banca: AOCP Órgão: TCE­PA Prova: Assessor Técnico 
• O protocolo de autenticação do tipo 
desafio/resposta, que usa o esquema de hash MD5 
para criptografar a resposta, e requer o uso de uma 
senha criptografada reversível é conhecido como
• a) Kerberos. b) MS­CHAP. c) TACACS.
• d) CHAP. e) NAT.
116
Questões para debate
• Banca: AOCP Órgão: TCE­PA Prova: Assessor Técnico 
• O protocolo de autenticação do tipo 
desafio/resposta, que usa o esquema de hash MD5 
para criptografar a resposta, e requer o uso de uma 
senha criptografada reversível é conhecido como
• a) Kerberos. b) MS­CHAP. c) TACACS.
• d) CHAP. e) NAT.
117
Questões para debate
• Banca: CESPE Órgão: Telebras Prova: Engenheiro ­
• Julgue o seguinte item, relativo a mecanismos de 
autenticação.
• As vantagens do TACACS+ em relação ao TACACS 
incluem a disponibilização do serviço de registro 
de logs de eventos.
• Certo Errado
118
Questões para debate
• Banca: CESPE Órgão: Telebras Prova: Engenheiro ­
• Julgue o seguinte item, relativo a mecanismos de 
autenticação.
• As vantagens do TACACS+ em relação ao TACACS 
incluem a disponibilização do serviço de registro 
de logs de eventos.
• Certo Errado
119
Explicação
• o protocolo TACACS+ (Terminal Access Controller
Access­Control System Plus) providencia acesso 
a roteadores, servidores de redes e outros 
equipamentos de rede. O TACACS+ providencia 
separadamente autenticação, autorizaçãoe serviços 
de contas. Com ele é possível realizar a 
autenticação do usuário de acesso junto a uma 
conta previamente cadastrada no AD(Active
Directory).
120
Explicação
• O TACACS+ é baseado no TACACS, mas só no nome, 
pois foi totalmente remodelado pelaCisco 
Systems de tal forma que esta nova versão é 
incompatível com qualquer outra anterior. 
Enquanto que o RADIUS combina a autorização e a 
autenticação no perfil de um utilizador e atua 
no UDP (User Datagram Protocol), o TACACS+ 
separa­os, atuando no TCP(Transmission Control
Protocol).
121
Questões para debate
• Banca: IADES Órgão: EBSERH Prova: Analista
• O LDAP é um serviço de diretórios leves. O 
comando que permite fazer buscas em um servidor 
LDAP é
a) ldapget
• b) ldapwhat
• c) ldapsearch
• d) ldapcompare
• e) ldapadd
122
Questões para debate
• Banca: IADES Órgão: EBSERH Prova: Analista
• O LDAP é um serviço de diretórios leves. O 
comando que permite fazer buscas em um servidor 
LDAP é
a) ldapget
• b) ldapwhat
• c) ldapsearch
• d) ldapcompare
• e) ldapadd
123
Explicação
• O LDAP é gerenciado por comandos. O
comando Connect permite a conexão com um servidor
LDAP. Bind serve para autenticar o cliente no servidor
LDAP. Ele envia o DN (Distinguished Name), a senha do
usuário e a versão do protocolo que está sendo usada. O
comando Search permite buscar ou recuperar entradas no
LDAP. Modify permite alterar registros no LDAP. Já o
comando Unbind realiza operação de fechamento da
conexão entre cliente e servidor. Add adiciona registros
em uma base LDAP.
124
• Ao término desta Unidade você deverá ser capaz de
explanar sobre:
• UNIDADE IV
•.RADIUS;
•TACACS+
•LDAP.
Unidade 04
125
���������������������������������������������������������������������������
���������������������������������������������������������������������������������
�����������������������������������������������������