autenticacao em ambiente de redes ms
DESCRIPTION
Este trabalho contribui com a apresentação de uma solução com elementos fundamentaispara qualquer projeto de segurança da informac~ao, servindo como ponto de partidapara a implantação de outros elementos importantes como VPN entre redes (site-to-site),Sistemas de Prevenção de Intrusão (IPS), redundância de provedores de internet e sistemasde proteção de e-mails.TRANSCRIPT
Servico Nacional de Aprendizagem Comercial
do Rio Grande do Sul
Faculdade Senac Porto Alegre
Curso de Especializacao em Seguranca da Informacao
Relatorio Final de Projeto
Autenticacao de acesso em ambientede redes Microsoft
ANDRE SILVEIRA RAMOS
Prof. Dr. ANDRE PERES (orientador)
Porto Alegre
2012
Resumo
Prover seguranca aos dados de uma organizacao requer medidas de diferentes aspec-tos. Alem da seguranca ao ambiente fısico e procedimentos, e essencial que se adotemecanismos logicos que apoiem a seguranca computacional. Aspectos como confidencia-lidade, integridade, autenticacao, autorizacao e registros de usuarios sao elementos chaveno provimento de um ambiente seguro. Assim, e essencial que esses aspectos sejam ob-servados na implementacao de tecnologias como redes privadas virtuais (VPN), firewall eproxy web.
Com o uso de VPN e possıvel que se estabeleca um canal de comunicacao seguraatraves de um meio publico. E comum que ferramentas de firewall assumam a funcaode prover esse canal, uma vez que sao os componentes responsaveis por filtrar as comu-nicacoes entre redes distintas. Alem disso, todo trafego de entrada ou saıda de uma rede econtrolado pelo firewall que, alem de bloquear transacoes, pode ser capaz validar e inspe-cionar pacotes com base em diferentes criterios como origem, destino, protocolo, porta decomunicacao e ate mesmo usuario solicitante. Isso porque, alem de trabalhar na camadade rede, muitas vezes esse tipo de solucao e capaz de trabalhar diretamente na camadade aplicacao.
Com o uso das ferramentas Active Directory Domain Services e Microsoft ForefrontThreat Management Gateway(TMG) este trabalho propoe uma solucao de autenticacaode usuarios para diferentes situacoes comuns a ambientes cooperativos. Sao abordadase testadas solucoes que proveem acesso a rede ethernet autenticado, logon de rede comcartao inteligente (smartcard) com base em polıticas, acesso autenticado a internet econexao de clientes VPN.
Este trabalho contribui com a apresentacao de uma solucao com elementos fundamen-tais para qualquer projeto de seguranca da informacao, servindo como ponto de partidapara a implantacao de outros elementos importantes como VPN entre redes (site-to-site),Sistemas de Prevencao de Intrusao (IPS), redundancia de provedores de internet e siste-mas de protecao de e-mails.
PALAVRAS-CHAVE: Autenticacao; Active Directory Domain Services; Firewall;Forefront Threat Management Gateway (TMG); Redes Privadas Virtuais (VPN); Segu-ranca da Informacao;
Lista de Figuras
1 Trıade dos requisitos de seguranca(STALLINGS, 2010). . . . . . . . . . . p. 12
2 VPN entre dois escritorios e estacoes remotas(TANENBAUM; WETHE-
RALL, 2011). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 14
3 Processo de autenticacao com Kerberos. . . . . . . . . . . . . . . . . . p. 16
4 Configuracao tıpica para autenticacao 802.1x com equipamentos com e
sem fio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 17
5 Firewall prove um perımetro de seguranca entre a LAN e a Internet.(TANENBAUM;
WETHERALL, 2011) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 19
6 Topologia de rede. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 21
7 Grupos de autorizacao de acessos a web e VPN. . . . . . . . . . . . . . p. 21
8 Usuario com grupos de acessos centralizados no AD DS. . . . . . . . . p. 22
9 Interfaces configuradas no Forefront TMG. . . . . . . . . . . . . . . . . p. 22
10 Regra padrao do firewall, nega qualquer trafego. . . . . . . . . . . . . . p. 23
11 Condicao do Forefront TMG para acesso a Internet. . . . . . . . . . . . p. 24
12 Regra de acesso a web no Forefront TMG. . . . . . . . . . . . . . . . . p. 24
13 Configuracao Forefront TMG para autenticacao MS-CHAPv2 . . . . . p. 25
14 Configuracao realizada no Forefront TMG para permitir o trafego entre
os clientes VPN com os todos os recursos locais. . . . . . . . . . . . . . p. 25
15 Lista de autenticadores configurados. . . . . . . . . . . . . . . . . . . . p. 26
16 Polıticas de AAA 802.1x. . . . . . . . . . . . . . . . . . . . . . . . . . . p. 27
17 Tickets do usuario zeca armazenados em PC-TI1 apos logon. . . . . . . p. 29
18 Certificado emitido para Andre Ramos pela AC SV-DC1-CA. . . . . . p. 30
19 Logon utilizando smartcard. . . . . . . . . . . . . . . . . . . . . . . . . p. 30
20 Aplicacao da diretiva PC Publico Logon Smartcard. . . . . . . . . . . . p. 30
21 Diretiva bloqueia logon sem smartcard. . . . . . . . . . . . . . . . . . . p. 31
22 Usuario autorizado acessa um site da internet. . . . . . . . . . . . . . . p. 31
23 Usuario nao autorizado bloqueado. . . . . . . . . . . . . . . . . . . . . p. 32
24 Mensagem de bloqueio para navegacao web. . . . . . . . . . . . . . . . p. 32
25 Status da conexao VPN PPTP. . . . . . . . . . . . . . . . . . . . . . . p. 32
26 Sessao cliente VPN ativa. . . . . . . . . . . . . . . . . . . . . . . . . . p. 33
27 Conexao VPN estabelecida e conectividade com rede interna. . . . . . . p. 33
Sumario
1 Apresentacao Geral do Projeto p. 7
2 Definicao do Problema p. 8
3 Objetivos p. 10
4 Referencial Teorico e Analise de Tecnologias, Normas e Ferramen-
tas p. 11
4.1 Conceitos de seguranca da informacao . . . . . . . . . . . . . . . . . . p. 11
4.2 Seguranca de redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 12
4.2.1 Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 13
4.2.2 Proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 13
4.2.3 Redes privadas virtuais (VPN) . . . . . . . . . . . . . . . . . . . p. 14
4.3 Autenticacao de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . . p. 14
4.4 Protocolos de autenticacao: NTLM e Kerberos . . . . . . . . . . . . . . p. 15
4.5 802.1x . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 17
5 Descricao da Solucao p. 18
5.1 Local area network (LAN) . . . . . . . . . . . . . . . . . . . . . . . . . p. 20
5.1.1 Nomenclatura de rede . . . . . . . . . . . . . . . . . . . . . . . p. 20
5.1.2 Enderecamento de rede . . . . . . . . . . . . . . . . . . . . . . . p. 20
5.2 Controlador de domınio . . . . . . . . . . . . . . . . . . . . . . . . . . p. 21
5.3 Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 22
5.3.1 Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 23
5.3.2 Proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 23
5.3.3 Conexao cliente VPN . . . . . . . . . . . . . . . . . . . . . . . . p. 24
5.3.4 Autenticacao 802.1x . . . . . . . . . . . . . . . . . . . . . . . . p. 26
6 Validacao p. 28
6.1 Autenticacoes locais . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 28
6.1.1 Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 28
6.1.2 Smartcard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 28
6.1.3 Ambientes controlados . . . . . . . . . . . . . . . . . . . . . . . p. 29
6.1.4 802.1x . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 29
6.2 Proxy web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 31
6.3 Acesso VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 31
7 Consideracoes Finais p. 34
Referencias p. 35
7
1 Apresentacao Geral do Projeto
E um axioma que o avanco computacional trouxe benefıcios a gestao e aos processos
das organizacoes. Contudo, e fundamental que essas organizacoes mantenham um controle
rigoroso dos acessos aos seus dados e sistemas. Para isso, os conceitos de autenticacao,
autorizacao e contabilizacao sao indispensaveis.
Este trabalho propoe uma estrutura essencial a ambientes que requerem tais controles.
Embasado em conceitos fundamentais de seguranca da informacao, sao aplicadas tecno-
logias como de redes privadas virtuais (VPN), firewall, proxy web e 802.1x, alem do uso
de cartoes inteligentes (smartcard) em ambientes variados.
Com um ambiente de testes virtualizado e desenvolvida uma solucao em que, em um
controlador de domınio utilizando o Active Directory Domain Services, sao autentica-
dos acessos basicos de um ambiente cooperativo. Conectado a ele e usado um servidor
Microsoft Forefront Threat Management Gateway (TMG) que controla todo o trafego
de entrada ou saıda da rede, servindo clientes VPN e autenticando acessos a internet.
Dessa forma, para todos os itens abordados nessa solucao sao planejados testes praticos
de validacao.
8
2 Definicao do Problema
No ambito empresarial, o avanco computacional possibilitou melhorias para a gestao
tanto de processos quanto estrategica. Agora, dados sao lancados e cruzados em tempo
real, gerando informacoes instantaneas as organizacoes. No entanto, acesso rapido e facil
nao pode ser confundido com acesso nao controlado. Cada vez mais, e percebido que e
indispensavel o controle de acessos fısicos e logicos as informacoes. Como o controle de
documentacoes, que antes era atingido com livros de registros de protocolo, hoje pode ser
realizado com os processos de autenticacao, autorizacao e logs de acessos.
E sabido que as informacoes, alem de ser ferramenta de apoio as decisoes, representam
um ativo valioso que tem de ser protegido. Essa protecao e fundamentada no conceito dos
tres pilares da seguranca da informacao: disponibilidade, confidencialidade e integridade.
Agora as organizacoes possuem um novo meio acesso aos seus ativos, o digital. Suas
informacoes, que ate entao podiam ser protegidas unicamente com processos e mecanismos
tangıveis, agora necessitam de equipamentos especıficos destinados a seguranca logica de
suas redes privadas. A partir do momento em que e identificado que as informacoes
contidas em um computador conectado a uma rede privada sao sensıveis, o uso desses
equipamentos de seguranca passam a ser indispensavel.
Para prover seguranca em uma rede privada e necessario que sejam tomadas medidas
em diferentes aspectos, como procedimentos operacionais, mecanismos de seguranca fısica
e mecanismos logicos. No entanto, este trabalho se atera aos mecanismos necessarios para
prover autenticacao de usuarios para acessos em uma rede local (LAN). Para esse fim sera
observado o controle para os seguintes tipos de acessos: acesso a LAN, acesso proveniente
da LAN para a um agente na internet e acesso proveniente da internet para a LAN.
Alem disso, para uma boa exemplificacao dos conceitos propostos, o ambiente de rede
aqui estudado sera composto de: um firewall que fara os controles entre os ambientes
interno (LAN) e externo (internet), um controlador de domınio que gerenciara as creden-
ciais para todo e qualquer acesso a rede de computadores aos usuarios. Contudo, nao
9
poderao ser levados em conta neste momento equipamentos e configuracoes dos demais
equipamentos do ambiente, tais como: roteadores, pontos de acesso wireless e sistemas
de prevencao de intrusao.
10
3 Objetivos
O ambiente fruto deste projeto devera prover meios de autenticacao de usuarios com
seguranca aceitavel em variados tipos de acessos. Isso e, serao analisados diferentes tipos
comuns de acessos as redes privadas e nesses casos devera ser possıvel a identificacao dos
usuarios autores dos mesmos.
Com a implantacao deste projeto espera-se que:
• Mesmo com acesso a rede fısica, o acesso logico a LAN somente seja permitido
quando for legıtimo;
• A LAN seja acessıvel a usuarios legıtimos provenientes da internet;
• O acesso a computadores localizados fora da LAN sera controlado;
• Havera diferentes tipos de autenticacao conforme os requisitos de seguranca e usa-
bilidade de cada ambiente.
A fim de amparar definicoes quanto as exigencias de seguranca definidos e necessario
que seja feita uma analise crıtica do ambiente. Neste caso sera criado um cenario de
testes, de modo que permita a utilizacao e exemplificacao dos meios de autenticacao que
aqui serao abordados.
11
4 Referencial Teorico e Analisede Tecnologias, Normas eFerramentas
Nos proximos itens serao descritos os conceitos basicos de seguranca da informacao
e das tecnologias adotadas neste trabalho, possibilitando assim um melhor entendimento
da solucao construıda.
4.1 Conceitos de seguranca da informacao
Para a adequada compreensao dos princıpios seguidos em um projeto pensado com
foco na seguranca da informacao e imprescindıvel que alguns conceitos sejam explicita-
mente definidos. Dessa forma, a seguir alguns conceitos encontrados na literatura que sao
fundamentais no desenvolvimento deste trabalho.
• Seguranca computacional: E a protecao provida a um sistema de informacao automato
de forma a garantir a aplicacao de seus objetivos, preservando a integridade, dispo-
nibilidade e confidencialidade dos recursos (GUTTMAN; ROBACK, 1995).
• Confidencialidade: Garantia que informacoes privadas ou confidenciais nao sejam
disponıveis ou de conhecimento para indivıduos nao autorizados . Tambem deve
garantir o controle de quais informacoes possam ser coletadas e armazenadas, e por
quem e para quem as informacoes podem ser divulgadas(STALLINGS, 2010).
• Disponibilidade: Garantia que os sistemas funcionem prontamente e que os servicos
nao sejam recusados a usuarios autorizados(STALLINGS, 2010).
• Integridade: A integridade de dados preve que as informacoes e programas so possam
ser alterados de forma autorizada e especifica. Ja a integridade de sistemas, define
12
que eles devem realizar suas funcoes de forma singular, livre de livre de manipulacao
nao autorizada, deliberada ou inadvertida(STALLINGS, 2010).
• AAA: padrao regulado pela Internet Engineering Task Force (IETF) que serve de
referencia aos protocolos relacionados com procedimentos de Autenticacao, Auto-
rizacao e Accounting (contabilizacao).
• Autenticacao: e a verificacao da identidade, seja de usuario ou de um equipamento
(switch, servidor, telefone, impressora,...).
• Autorizacao: princıpio o qual garante que cada objeto autenticado so tenha acesso
aos recursos a que tem direito.
• Accounting : refere-se a contabilizacao dos acessos e autorizacoes de um sistema e
seus usuarios.
Na figura 1 e representada a trıade CIA. Segundo Stallings (2010) sao esses tres
conceitos (disponibilidade, confidencialidade e integridade) que representam os principais
objetivos de seguranca para dados, informacoes e servicos.
Figura 1: Trıade dos requisitos de seguranca(STALLINGS, 2010).
4.2 Seguranca de redes
Desde o aparecimento das primeiras redes de computadores, a partir das decadas de
60 e 70, houveram significativas mudancas de paradigma. Se no seu surgimento eram uti-
lizadas para envio de e-mail em universidades ou compartilhamento de impressoras, agora
os computadores sao usados por milhoes de pessoas para os mais diversos propositos.
Com essa mudanca diversas vulnerabilidades foram descobertas ano apos ano e a dis-
cussao sobre algoritmos e protocolos para seguranca dessas redes se tornou indispensavel
(TANENBAUM; WETHERALL, 2011).
13
Segundo Tanenbaum e Wetherall (2011) a maioria dos problemas de seguranca sao
causados por pessoas mal intencionadas com objetivo de obter algum beneficio proprio,
atencao ou prejudicar alguem. Alem disso, segundo ele, relatorios policiais indicam que
os ataques mais impactantes nao sao de intrusos externos, mas de internos motivados por
ressentimento ou vinganca.
Quando a seguranca de redes e tratada, o problema nao pode ser mitigado em um
nıvel satisfatorio por apenas um mecanismo. Para isso e necessaria a intervencao nas
diferentes camadas do modelo TCP/IP, com criptografias (nas camadas de enlace e trans-
porte), com firewalls (na camada de rede) ou com autenticacao (na camada de aplicacao)
(TANENBAUM; WETHERALL, 2011).
4.2.1 Firewall
Segundo Nakamura e Geus (2007), “firewall e um ponto entre duas ou mais redes, que
pode ser um componente ou um conjunto de componentes, por onde passa todo o trafego,
permitindo que o controle, a autenticacao e os registros de todo trafego sejam realizados”.
Firewall e um mecanismo desenvolvido para filtrar o trafego de dados, o permitindo
ou negando de acordo com criterios pre-estabelecidos. Ele agira como filtro de pacotes e
cada pacote que passe por ele, em qualquer sentido, sera primeiro verificado de acordo com
regras de acesso para depois ser encaminhado. Esses criterios sao normalmente tabelas
com origens e destinos aceitaveis ou bloqueaveis, verificando o protocolo e a porta utilizada
(TANENBAUM; WETHERALL, 2011).
Atualmente, alem das regras de acesso, algumas solucoes incorporam a funcao de
Sistema de Prevencao de Intrusao (IPS). Ele monitora todo trafego de forma mais ampla
que um firewall normalmente faria, e possibilita a deteccao e resposta a intrusoes de
forma automatizada (SCARFONE; MELL, 2007). Alem disso, sao capazes de realizar outras
tarefas no perımetro de rede como prover os servicos de VPN ou proxy web.
4.2.2 Proxy
Segundo Souza e Sousa (2008), “o principal objetivo de um servidor proxy e inter-
mediar a comunicacao entre um cliente qualquer e o servidor de destino responsavel pelo
servico solicitado”. Pode ser simplesmente um encaminhador de dados ou realizar filtra-
gem nos pacotes, trabalhando na camada de aplicacao. Alem disso, agrega a vantagem de
permitir que todo trafego seja registrado (NAKAMURA; GEUS, 2007). Com isso e possıvel
14
manter os controles de autenticacao e autorizacao dos usuarios no acesso a web, alem de
realizar inspecao por malware (DIOGENES; SAXENA; HARRISON, 2009), filtro de Uniform
Resource Locator (URL) e economizar trafego de dados mantendo cache dos dados ja
transmitidos (HARRISON; DIOGENES; SAXENA, 2010).
4.2.3 Redes privadas virtuais (VPN)
De acordo com Tanenbaum e Wetherall (2011), as VPNs sao uma sobreposicao de
redes privadas sobre redes publicas. Assim, e possıvel usar um canal inseguro para conec-
tar redes separadas geograficamente, que atraves de um tunel beneficiam-se de todos os
aspectos uma unica rede privada. Um exemplo popular e demonstrado na figura 2 na qual
dois escritorios sao conectados por seus firewalls atraves da internet, mantendo uma co-
nexao segura entre eles. Desse modo e criado um canal criptografado, onde virtualmente
fazem parte de um mesmo segmento de rede.
Esse mecanismo tambem e capaz de prover acesso a clientes externos as organizacoes.
Atraves do canal seguro criado por uma VPN, um computador remoto pode acessar
os recursos locais aplicando as mesmas polıticas e aspectos de seguranca impostos aos
computadores locais.
Figura 2: VPN entre dois escritorios e estacoes remotas(TANENBAUM; WETHERALL,2011).
4.3 Autenticacao de usuarios
Na grande maioria dos contextos de seguranca computacional, a autenticacao e o pilar
de sustentacao e a primeira linha de defesa. Essencialmente, esse e o meio pelo qual o
usuario comprova ser quem ele alega ser. Para tal, existem basicamente quatro formas do
usuario autenticar sua identidade(BARROS; JuNIOR, 2008):
15
• Algo que o indivıduo saiba: uma senha, um numero de identificacao pessoal (PIN)
ou perguntas previamente respondidas sao alguns exemplos;
• Algo que o indivıduo possua: um cartao inteligente ou uma chave sao exemplos
cotidianos desse meio de autenticacao. Estes objetos sao conhecidos como token.
• Algo que o indivıduo seja (biometria estatica): por exemplo, digitais ou reconheci-
mento de retina.
• Algo que o indivıduo faca (biometria dinamica): como reconhecimento de um padrao
de voz, caligrafia ou ritmo de digitacao.
Todos os quatro metodos podem prover autenticacao segura do usuario, no entanto
todos podem representar algum tipo de vulnerabilidade, assim para cada cenario deve ser
avaliado o melhor metodo, ou combinacao de metodos, para autenticacao de usuarios(STALLINGS,
2010).
4.4 Protocolos de autenticacao: NTLM e Kerberos
Nos computadores e servidores anteriores ao Windows 2000, para prover o servico de
autenticacao era utilizado o protocolo Windows NT Lan Manager(NTLM), que funciona
atraves de um processo de geracao de hash e desafio-resposta. Essa geracao de hash nada
mais e do que um algoritmo que recebe uma entrada de dados de tamanho variada e
atraves de um algoritmo gera uma sequencia de caracteres singular. Isso e, a geracao de
um mesmo hash com duas entradas diferentes deve ser computacionalmente impraticavel.
Para realizar esse processo, o servidor gera um desafio ao cliente (numero aleatorio
de 16 bytes), esse numero e criptografado com o hash da senha fornecida pelo usuario e
devolvido ao servidor, este por sua vez ira encaminhar o usuario, desafio e a mensagem
criptografada ao controlador de domınio. Com essas informacoes o controlador de domınio
fara o mesmo processo com o nome do usuario e hash de senha armazenados, assim
autenticando o usuario(MICROSOFT, 2012).
No entanto, esse mecanismo baseado em hashes e vulneravel a ataques como o metodo
de Rainbow Tables, que sao tabelas pre-processadas de hashes — com objetivo de descobrir
a palavra-passe. Outro metodo e o Pass-the-hash, no qual somente com o hash da senha e
possıvel realizar a autenticacao, sem de fato descobrir a senha. Para reforcar o mecanismo
de autenticacao nos domınios Windows, a Microsoft a partir do Windows 2000 passou a
16
utilizar o mecanismo de autenticacao Kerberos. Esse por sua vez, se baseia em um modelo
de tickets.
Na figura 3 e apresentada de forma simplificada uma negociacao de tickets realizada
na versao 4 do Kerberos. Essa versao apresenta algumas deficiencias como o nao provi-
mento de autenticacao entre domınios diferentes, requer protocolo de internet (IP), utiliza
apenas o Data Encryption System (DES) e possui tempo de vida dos tickets fixo. Essas
deficiencias foram corrigidas na versao 5, contudo sua representacao e adequada para uma
facil compreensao do protocolo, pois em essencia o fluxo dos tickets e o mesmo.
Nele, assim que o usuario realiza o login de rede, e enviada uma requisicao ao servidor
de autenticacao (AS) do Kerberos para obter um ticket-granting ticket (TGT). A AS
verifica as diretivas do usuario em sua base de dados e gera o TGT e uma chave de
sessao. Esses resultados sao criptografados com uma chave derivada da senha do usuario
e enviados ao seu computador. La com a senha fornecida pelo usuario a mensagem e
descriptografada. Com a chave de sessao e com o ticket fornecido, e enviado ao ticket-
granting server (TGS) a solicitacao de autenticador para um determinado servico com o
nome do usuario, endereco de rede e hora. Por sua vez, o TGS descriptografa a mensagem e
verifica a solicitacao, entao cria um ticket para o servidor solicitado. Enfim, o computador
recebe o ticket enviado pelo TGS e o encaminha ao servidor provedor do servico em
questao, o qual ira verificar se o ticket e a autenticacao atendem as especificacoes, para
entao realizar a autenticacao (STALLINGS, 2010).
Figura 3: Processo de autenticacao com Kerberos.
17
4.5 802.1x
A realizacao do objetivo do Firewall em manter a rede interna isolado da rede ex-
terna (NAKAMURA; GEUS, 2007) somente tem sentido quando existe a preocupacao com a
sua seguranca interna. Para apoiar neste aspecto pode-se usar autenticacao ethernet ou
wireless 802.1x
“802.1x e o padrao definido pela Institute of Electrical and Electronics Engineers
(IEEE) para autenticacao para acesso a portas de rede, onde um sistema tem que provar
sua identidade antes de poder se conectar a rede” (CIMA, 2006). Este padrao descreve um
modelo onde o seu controle e centralizado obedecendo ao padrao AAA. Conforme descrito
no estudo de Barros e Junior (2008) o modelo pode ser utilizado com um diretorio LDAP
que prove autenticacao e autorizacao e um servidor de RADIUS (Remote Authentication
Dial In User Service) provendo o accounting e a interoperabilidade do AAA.
A figura 4 mostra os tres agentes envolvidos no padrao 802.1x: o suplicante, o auten-
ticador e o servidor de autenticacao (RADIUS). O cliente e, em tese, qualquer dispositivo
que deseje acessar uma rede de dados, como um smartphone, um computador ou telefone
VOIP. O servidor de autenticacao e o local onde serao configuradas polıticas de acessos e
AAA. Por fim, o autenticador — switch ou ponto de acesso sem fio — e uma especie de
seguranca de perımetro, que garante que o suplicante nao permaneca isolado ate que sua
identidade seja identificada pelo servidor de autenticacao e autorizada .
Figura 4: Configuracao tıpica para autenticacao 802.1x com equipamentos com e sem fio.
18
5 Descricao da Solucao
Com objetivo de atender os requisitos propostos, as solucoes aqui propostas se utilizam
de recursos oferecidos por ferramentas da empresa Microsoft. A escolha dessa solucao se
deve pela boa integracao entre as ferramentas oferecidas pelo fornecedor e pela viabilidade
da execucao deste projeto com baixo custo. Assim, todos os softwares utilizados nesse
projeto sao devidamente licenciados em versoes de teste, permitindo o uso integral dos
recursos para estes fins.
Para realizar o gerenciamento de credenciais foi definido o uso do Active Directory
Domain Services (AD DS) com nıvel funcional de Windows Server 2008 R2. Ja para a
funcao gateway de rede, foi definido o uso do Microsoft Forefront Threat Management
Gateway (TMG), pois apresenta todos os requisitos necessarios para a execucao deste
projeto em um unico software, incluindo firewall, servidor de VPN e proxy.
A fim de possibilitar a implantacao do ambiente citado, foi criado um ambiente vir-
tualizado em um computador com sistema operacional Windows Server 2008 R2 e a role
Hyper-V. Dessa forma, e possıvel reproduzir o cenario definido com otimizacao de recursos
e propiciando escalabilidade, permitindo assim a aplicacao da solucao aqui proposta em
outros ambientes.
Nesse ambiente foram criadas quatro maquinas virtuais, dois servidores e dois clientes,
com as seguintes caracterısticas:
• Um servidor MS Windows Server 2008 R2, com as roles :
– Active Directory Certificate Services ;
– Active Directory Domain Services);
– DHCP Server ;
– DNS Server ;
– Web Server (IIS).
19
• Um servidor MS Windows Server 2008 R2, com o software Microsoft Forefront
TMG.
• 1 desktop Windows 7 Professional.
• 1 desktop Windows XP Professional.
O primeiro servidor e o responsavel por gerenciar as credenciais dos computadores e
usuarios envolvidos nas solicitacoes de autenticacao e autorizacao. Alem disso, e ele que
faz a atribuicao das polıticas de acesso dos clientes da LAN.
Para prover seguranca a essa rede, e utilizado um modelo bastante consolidado onde ha
apenas uma conexao entre a LAN com o mundo exterior. Tanenbaum e Wetherall (2011)
exemplificam esse modelo com uma analogia aos castelos medievais, onde a conexao com
o mundo eram as pontes levadicas onde tudo era analisando antes de entrar ou sair do
castelo. Da mesma forma, o gateway de rede e onde sao definidas regras que determinam
as diretrizes para todo trafego de dados entre o ambiente local com a internet, definindo
origens, destinos e protocolos envolvidos na comunicacao (TANENBAUM; WETHERALL,
2011).
Da mesma forma descrita por Tanenbaum e Wetherall (2011), entre a LAN e a internet
foi colocado o gateway. Esse acumulara as funcoes de firewall, proxy de internet e servidor
de VPN, provendo para a LAN um perımetro seguro, como exibido na figura 5. Neste
perımetro, apenas os usuarios pre-estabelecidos pelo administrador de redes terao acesso,
seja localmente ou de forma remota.
Figura 5: Firewall prove um perımetro de seguranca entre a LAN e a Inter-net.(TANENBAUM; WETHERALL, 2011)
Nos itens que seguem serao abordadas as estrategias utilizadas para atingir os obje-
tivos do projeto, alem de detalhar definicoes e configuracoes necessarias nos ambientes.
20
Dessa forma, sao descritas desde questoes como estrategias para enderecamento de rede
ate detalhes de configuracoes realizadas no Forefront TMG e AD DS.
5.1 Local area network (LAN)
Estrategias de enderecamento e nomenclatura de rede sao questoes essenciais para o
desenvolvimento do ambiente. Dessa forma, foi definido que este ambiente sera composto
de uma unica rede onde ficarao todos os hosts, independentemente de classificacao. Isso
e, serao distinguidos apenas pelos seus nomes e faixas de enderecos, pois nao havera
segregacao de redes.
5.1.1 Nomenclatura de rede
Com objetivo de prover um gerenciamento mais amigavel para a rede, foi definido que
todos dispositivos serao nomeados com prefixo referindo-se ao tipo de equipamento, sufixo
com breve descricao e numeracao com funcao de ındice. Assim, os computadores terao
prefixo PC e servidores SV. Desse modo o controlador de domınio chama-se SV-DC1,
analgomente a server-domain controller 1, o gateway chama-se SV-GW1 (server-gateway
1) e os computadores envolvidos na homologacao do ambiente chamam-se PC-TI (Per-
sonal Computer-TI 1) e PC-BIBLIO11(Personal Computer-TI 11), fazendo referencia a
computadores de uso pessoal alocados nos departamentos de tecnologia da informacao e
na biblioteca da organizacao.
5.1.2 Enderecamento de rede
Para atender as especificacoes planejadas para o ambiente, todos os computadores
e servidores sao conectados em uma unica rede privada classe C. Essa rede tem en-
derecamento 192.168.100.0 com 254 possıveis hosts (REKHTER et al., 1996). O primeiro
endereco dessa rede (192.168.100.1) foi reservado para o controlador de domınio e os
enderecos subsequentes serao reservados para novos servidores ou equipamentos.
Essa rede, como e demonstrado na figura 6, tem como sua unica conexao com a internet
o firewall (SV-GW1). Logo, todo trafego de entrada ou saıda podera ser bloqueado ou
inspecionado.
21
Figura 6: Topologia de rede.
5.2 Controlador de domınio
Toda solucao de autenticacao aqui proposta se baseia na autenticacao provida pelo
AD DS. Essa ira prover login unico (single sign-on), conta de usuario unica e gerencia-
mento centralizado de credenciais. Ele e peca fundamental na garantia da autenticacao e
autorizacao dos servicos providos. O ambiente do domınio em nıvel funcional 2008 prove
a estrutura para que todo processo de autenticacao e autorizacao seja realizado utilizando
o protocolo Kerberos.
Toda e qualquer autenticacao de usuarios ou computadores e realizada com os objetos
do Active Directory Users and Computers e a autorizacao de servicos e gerenciada por
meio de grupos do domınio. A figura 7 demonstra grupos utilizados para conceder acessos
a web e VPN, enquanto a figura 8 demonstra como sao exibidos os grupos dos quais um
usuario faz parte no AD DS.
Figura 7: Grupos de autorizacao de acessos a web e VPN.
22
Com o processo de autorizacao gerenciado por grupos toda e qualquer permissao passa
a ser controlada de forma central, seja para acesso a Internet, acesso remoto, recursos de
impressao, a arquivos ou qualquer aplicacao com autenticacao e autorizacao em base
lightweight directory access protocol (LDAP). Na figura 8 sao exibidos os grupos de um
usuario deste ambiente, os quais lhe proveem acesso a VPN e web.
Figura 8: Usuario com grupos de acessos centralizados no AD DS.
5.3 Gateway
A funcao de gateway de rede, que acumulara as funcoes de firewall, proxy web e
servidor VPN, e realizada pelo Forefront TMG. Como pode ser observado na figura 9,
nele sao configuradas duas interfaces ethernet : wide area network (WAN) e LAN. A
interface LAN e conectada a rede interna e ela que recebera todas requisicoes de saıda
para outras redes, enquanto a interface WAN tem conectividade com o mundo e, alem de
proteger a rede interna, recebera as conexoes dos clientes VPN.
Figura 9: Interfaces configuradas no Forefront TMG.
23
5.3.1 Firewall
Inicialmente o ambiente e completamente isolado da internet pelo firewall, onde nao e
permitida entrada ou saıda de nenhum pacote, como exibido na figura 10. Nesse cenario
o firewall e configurado para negar “Todo o Trafego” de “Todas as Redes” para “Todas
as Redes” a “Todos Usuarios”. Essa e uma regra padrao, pois parte-se do princıpio do
acesso mais restritivo. Assim, nenhum acesso e permitido inicialmente e qualquer acesso
que seja necessario e tratado como excecao.
Figura 10: Regra padrao do firewall, nega qualquer trafego.
Pode-se realizar tal configuracao, pois quando os pacotes sao recebidos pelo Forefront
TMG, sao verificadas as regras de acesso do firewall de forma sequencial. Assim, quando
as definicoes de origem, destino, condicao e tipo de pacote se encaixarem em uma das
regras a verificacao e encerrada e acao definida e tomada.
De uma forma mais pratica, para qualquer acesso necessario sera inserida uma nova
regra antes da regra de negacao, assim se houver o alinhamento do politica de acesso
definida com os dados do pacote, esse sera permitido antes da regra geral de negacao ser
processada.
5.3.2 Proxy
No planejamento deste ambiente foi definido que alguns usuarios poderao acessar os
recursos de internet. Assim, foi criada uma condicao, exibida na figura 11, no Forefront
TMG chamada “Usuarios de Internet”. Nela e verificado se o usuario solicitante esta
inserido em um grupo pre-definido no AD DS (WEB Acesso Completo). Ainda no Fore-
front TMG foi configurada uma segunda regra de acesso, permitindo que esses usuarios
tenham o trafego do protocolo de transferencia de hipertexto (HTTP) e HTTP seguro
(HTTPS) (pre-configurados no Forefront TMG) permitidos para a rede externa. Desse
24
modo, e realizada toda autenticacao e autorizacao para acessos a web, pois somente e
possıvel qualquer conexao com internet por meio desta regra, conforme a figura 12.
Figura 11: Condicao do Forefront TMG para acesso a Internet.
Figura 12: Regra de acesso a web no Forefront TMG.
5.3.3 Conexao cliente VPN
Existe ainda um terceiro acesso que deve ser protegido, proveniente da rede internet
para os recursos da rede interna. Para garantir esse acesso de forma segura (com crip-
tografia) e autenticada foi configurado no Forefront TMG e AD DS o acesso por VPN.
Assim, e possıvel que um usuario autorizado acesse aos recursos locais por meio de um
tunel na internet.
Para possibilitar prover este acesso com autenticacao e autorizacao foi criado um
grupo no AD no qual todos os usuarios autorizados facam parte. Desse modo, quando a
25
regra de acesso a VPN e configurada e necessario que seja limitada, nas condicoes para o
acesso apenas os usuarios deste grupo do domınio.
A figura 13 exibe a tela de configuracao dos metodos de autenticacao das diretivas
de acesso remoto. Para esta conexao dos clientes a VPN foi selecionado o protocolo
MSCHAPv2.
Alem das configuracoes para conexao VPN e necessario autorizar o trafego de dados
entre os seus clientes com a rede interna. Na figura 14 e exibida essa configuracao.
Figura 13: Configuracao Forefront TMG para autenticacao MS-CHAPv2
Figura 14: Configuracao realizada no Forefront TMG para permitir o trafego entre osclientes VPN com os todos os recursos locais.
26
5.3.4 Autenticacao 802.1x
Para o processo de autenticacao dos usuarios da rede ethernet com o padrao 802.1x,
pode ser usado no Windows Server 2008 R2 a role Network Police Server (NPS). Nele sao
configurados os equipamentos autenticadores e as polıticas de acesso. A configuracao dos
autenticadores consiste no seu IP e uma chave-secreta que sera utilizada na comunicacao
entre eles. Na figura 15 e exibida a lista de equipamentos autenticadores. Nesse caso foi
configurado um equipamento denominado “Switch-Almox” que representa um switch de
IP 192.168.100.51.
Figura 15: Lista de autenticadores configurados.
Alem dos autenticadores, e necessaria a configuracao das polıticas de conexao e de
rede. Nela e configurado o meio de acesso (neste caso ethernet), o metodo de autenticacao
(smartcard, EAP ou MSCHAP-V2), usuarios ou grupos autorizados e controle de trafego
(como atribuicao de VLAN). Nas polıticas demonstradas na figura 16 e condicionada a
autenticacao a interfaces ethernet e usuarios do grupo “Domain Users” do domınio, alem
de especificar os metodos de autenticacao aceitos.
Do outro lado do processo de autenticacao fica o suplicante, nesse caso um compu-
tador com Windows 7 instalado. Para habilitar a autenticacao 802.1x com fio nele e
necessario iniciar o servico “Configuracao automatica com fio”. Com isso sao habilitadas
as configuracoes de autenticacao 802.1x nas interfaces ethernet.
Por fim, o autenticador deve ser configurado. Nele e necessario configurar os parametros
do servidor RADIUS e o metodo de autenticacao da interface. Para isso, com comutador
3com da linha 4200 se deve criar um scheme, configurar o domınio e habilitar a auten-
ticacao 802.1x globalmente e nas interfaces ethernet, como pode ser observado no script
abaixo:
27
Figura 16: Polıticas de AAA 802.1x.
radius scheme authramos
primary authentication 192.168.100.254
key authentication aa18dSOwha87wa9
domain ramos.com
authentication lan-access radius-scheme authramos
authorization lan-access radius-scheme authramos
dot1x
dot1x authentication-method eap
interface gigabitEthernet 1/0/1
dot1x
28
6 Validacao
Para validar a correta e eficiente implantacao do sistema projetado foi criado um
cenario em maquinas virtuais. A fim de realizar o tal verificacao foram procuradas
evidencias que comprovem a conquista dos objetivos especıficos e que colaborem com
o objetivo geral do projeto — prover meios de autenticacao eficientes.
Com esse criterio definido, a solucao sera evidenciada em duas etapas. Primeiro serao
validadas as autenticacoes locais utilizando Kerberos, utilizando smartcard, em ambientes
controlados e com 802.1x. Depois sera validada as autenticacoes de proxy web e acesso
VPN aos usuarios fora da rede local.
6.1 Autenticacoes locais
Nessa primeira etapa serao apresentadas as validacoes para os metodos de autenticacao
de clientes dentro do perımetro de seguranca. Nos itens que seguem sera evidenciada a
troca de tickets Kerberos, o uso de cartoes inteligentes para autenticacao, os testes em
ambientes controlados e as limitacoes encontradas para validacao da autenticacao 802.1x.
6.1.1 Kerberos
Foi evidenciado, conforme a figura 17, o uso dos tickets Kerberos no computador PC-
TI1. Nele foi realizado o logon do usuario “zeca” no controlador de domınio SV-DC1 por
meio de senha.
6.1.2 Smartcard
Para o processo de autenticacao com smartcard, primeiro foi emitido um certificado
de smartcard logon para o usuario “andre”. A figura 18 evidencia o certificado emitido
pela autoridade certificadora do domınio SV-DC1-CA, enquanto a figura 19 comprova o
29
Figura 17: Tickets do usuario zeca armazenados em PC-TI1 apos logon.
processo de logon no computador PC-Biblio11 utilizando o cartao e a figura 20 evidencia
o uso da diretiva “Computadores Publicos”.
6.1.3 Ambientes controlados
Com objetivo de evidenciar a diferenciacao de ambientes e exigencias para auten-
ticacao foi configurada uma Diretiva de Grupo que exige autenticacao com smartcard no
processo de logon. Essa diretiva foi aplicada a um grupo especıfico de computadores cha-
mado “Computadores Publicos”. Assim, na figura 21 e apresentada a negativa de acesso
ao computador PC-Biblio11 sem um cartao autorizado.
6.1.4 802.1x
Para realizar o processo de autenticacao com o padrao 802.1x e exigida a participacao
dos tres agentes envolvidos, cliente (suplicante), autenticador (cliente RADIUS) e servidor
RADIUS. Contudo, em um laboratorio virtualizado nao existe a figura do agente auten-
ticador, assim as configuracoes expostas na secao 4.5 nao puderam ser validadas neste
ambiente.
30
Figura 18: Certificado emitido para Andre Ramos pela AC SV-DC1-CA.
Figura 19: Logon utilizando smartcard.
Figura 20: Aplicacao da diretiva PC Publico Logon Smartcard.
31
Figura 21: Diretiva bloqueia logon sem smartcard.
6.2 Proxy web
A aplicacao das polıticas de acesso a web atraves do Forefront TMG foi evidenciada
com dois testes: primeiro um acesso autorizado (usuario “andre”) e depois um nao auto-
rizado (usuario zeca), como pode ser observado nas figura 22 e figura 23, respectivamente.
Figura 22: Usuario autorizado acessa um site da internet.
Tambem e evidenciada a mensagem de bloqueio do proxy na figura 24, quando um
usuario nao autorizado tenta acessar um pagina web no browser.
6.3 Acesso VPN
Para a validacao do acesso a VPN foi usado um computador com Windows 7 conectado
na rede da interface WAN do firewall. Nesse computador de endereco 192.168.1.93 foi
configurado uma conexao de rede VPN tipo PPTP (Protocolo de Tunel Ponto a Ponto)
para o endereco 192.168.100.123 (interface WAN do Forefront TMG) com autenticacao
MSCHAP-V2 e criptografia exigida. Essa conexao foi evidenciada com o status da conexao
realizada, figura 25.
32
Figura 23: Usuario nao autorizado bloqueado.
Figura 24: Mensagem de bloqueio para navegacao web.
Figura 25: Status da conexao VPN PPTP.
33
Tambem foram evidenciados o status da conexao no servidor Forefront TM G na figura
26 e a conectividade do cliente VPN com o controlador de domınio na rede interna na
figura 27. Neles podem ser observados a conexao estabelecida, os IPs do cliente VPN na
interface ethernet e VPN, alem de evidenciar a a conectividade com o comando PING.
Figura 26: Sessao cliente VPN ativa.
Figura 27: Conexao VPN estabelecida e conectividade com rede interna.
34
7 Consideracoes Finais
O projeto de um ambiente seguro e um trabalho contınuo e eternamente em evolucao.
Sao inumeras as vulnerabilidades de sistemas e dos protocolos existentes e os que ainda
nao possuem, um dia terao. Isso, enquanto excluımos do escopo de seguranca as pessoas,
pois tratando das pessoas o escopo de um projeto de ambiente cresce de forma incalculavel.
Esse trabalho apresentado tratou apenas de um dos diversos aspectos de um ambiente
seguro. Contudo, a seguranca do perımetro com firewall e autenticacao de acessos sao
itens indispensaveis para a seguranca de qualquer ambiente.
Quatro eram os objetivos especıficos deste projeto: acesso a usuarios por VPN, im-
plantacao de proxy web, um segundo fator de autenticacao de usuarios — alem de senha
— e autenticacao de clientes com o protocolo 802.1x. Destes, tres foram executados e evi-
denciados, restando um que nao pode ser validado no ambiente planejado, pois o sistema
operacional virtualizado nao permite tal autenticacao. Este ultimo objetivo ainda poderia
ter sido comprovado com a insercao de um roteador sem fio compatıvel com o protocolo
e um computador fısico com adaptador sem fio. Contudo, uma abertura ainda maior no
escopo do projeto, em sua fase final, poderia ameacar a sua completa execucao. Mesmo
assim, foram apresentadas e validadas as tres outras solucoes, alem de exemplificar as
configuracoes necessaria para a ultima.
Desse modo, este trabalho contribui com elementos fundamentais que subsidiarao
implantacoes de IPS, sistemas de protecao de e-mails, VPN site-to-site, autenticacao para
outros sistemas com base LDAP ou RADIUS, VLANs dinamicas, provedores de internet
(ISP) redundantes, gateways redundantes, balanceamento de carga e inumeros outros
projetos de autenticacao e seguranca de perımetro.
35
Referencias
BARROS, L. G.; JuNIOR, D. C. F. Autenticacao ieee 802.1x em redes de computadoresutilizando tls e eap. In: 4o Encontro de Engenharia e Tecnologia dos Campos Gerais. [S.l.:s.n.], 2008.
CIMA, F. O que voce precisa saber antes de implementar 802.1x em re-des *com* fio. 2006. Seguranca na Microsoft: Comentarios e Analises sobreSeguranca da Informacao. Out. 2006. Acessado em 20 set. 2012. Disponıvelem: <http://blogs.technet.com/b/fcima/archive/2006/10/30/o-que-voc-precisa-saber-antes-de-implementar-802-1x-em-redes-com-fio.aspx>.
DIOGENES, Y.; SAXENA, M.; HARRISON, J. Security Watch: Malware Inspection atthe Perimeter. 2009. TechNet Magazine. Fev. 2009. Acessado em 07 set. 2012. Disponıvelem: <http://technet.microsoft.com/en/magazine/2009.02.securitywatch.aspx>.
GUTTMAN, B.; ROBACK, E. An Introduction to Computer Security: The NIST Hand-book. [S.l.], Outubro 1995. NIST Special Publication 800-12.
HARRISON, J.; DIOGENES, Y.; SAXENA, M. Microsoft Threat Management Gateway(TMG): Administrator’s Companion. [S.l.]: Microsoft Press, 2010.
MICROSOFT. Microsoft NTLM. 2012. Microsoft MSDN. Mai. 2012. Aces-sado em 17 set. 2012. Disponıvel em: <http://msdn.microsoft.com/en-us/library/windows/desktop/aa378749(v=vs.85).aspx>.
NAKAMURA, E. T.; GEUS, P. L. de. Seguranca de Redes em Ambientes Cooperativos.[S.l.]: Novatec Editora, 2007.
REKHTER, Y. et al. RCF 1918: Address Allocation for Private Internets. [S.l.], Fevereiro1996.
SCARFONE, K.; MELL, P. Guide to Intrusion Detection and Prevention Systems(IDPS): Recommendations of the National Institute of Standards and Technology. [S.l.],Fevereiro 2007. NIST Special Publication 800-94.
SOUZA, P. R. de; SOUSA, J. R. de. Proxy e firewall em gnu/linux. 2008. Disponıvelem: <http://www3.iesam-pa.edu.br/ojs/index.php/computacao/article/view/159/148>.Acesso em: 25 set. 2012.
STALLINGS, W. Cryptography and Network Security: Principles and Practice. [S.l.]:Prentice Hall, 2010.
TANENBAUM, A. S.; WETHERALL, D. Redes de Computadores. [S.l.]: Pearson, 2011.