Servi

co Nacional de Aprendizagem Comercial

do Rio Grande do Sul
Faculdade Senac Porto Alegre
Curso de Especializac
ao em Seguranca da Informac
ao

Relat
orio Final de Projeto

Autentica
c
ao de acesso em ambiente
de redes Microsoft

SILVEIRA RAMOS
ANDRE
PERES (orientador)
Prof. Dr. ANDRE

Porto Alegre
2012

Resumo
Prover seguranca aos dados de uma organizacao requer medidas de diferentes aspectos. Alem da seguranca ao ambiente fsico e procedimentos, e essencial que se adote
mecanismos logicos que apoiem a seguranca computacional. Aspectos como confidencialidade, integridade, autenticacao, autorizacao e registros de usuarios sao elementos chave
no provimento de um ambiente seguro. Assim, e essencial que esses aspectos sejam observados na implementacao de tecnologias como redes privadas virtuais (VPN), firewall e
proxy web.
Com o uso de VPN e possvel que se estabeleca um canal de comunicacao segura
comum que ferramentas de firewall assumam a funcao
atraves de um meio p
ublico. E
de prover esse canal, uma vez que sao os componentes responsaveis por filtrar as comunicacoes entre redes distintas. Alem disso, todo trafego de entrada ou sada de uma rede e
controlado pelo firewall que, alem de bloquear transacoes, pode ser capaz validar e inspecionar pacotes com base em diferentes criterios como origem, destino, protocolo, porta de
comunicacao e ate mesmo usuario solicitante. Isso porque, alem de trabalhar na camada
de rede, muitas vezes esse tipo de solucao e capaz de trabalhar diretamente na camada
de aplicacao.
Com o uso das ferramentas Active Directory Domain Services e Microsoft Forefront
Threat Management Gateway(TMG) este trabalho propoe uma solucao de autenticacao
de usuarios para diferentes situacoes comuns a ambientes cooperativos. Sao abordadas
e testadas solucoes que proveem acesso a rede ethernet autenticado, logon de rede com
cartao inteligente (smartcard ) com base em polticas, acesso autenticado a` internet e
conexao de clientes VPN.
Este trabalho contribui com a apresentacao de uma solucao com elementos fundamentais para qualquer projeto de seguranca da informacao, servindo como ponto de partida
para a implantacao de outros elementos importantes como VPN entre redes (site-to-site),
Sistemas de Prevencao de Intrusao (IPS), redundancia de provedores de internet e sistemas de protecao de e-mails.
PALAVRAS-CHAVE: Autenticacao; Active Directory Domain Services; Firewall;
Forefront Threat Management Gateway (TMG); Redes Privadas Virtuais (VPN); Seguranca da Informacao;

Lista de Figuras
1

Trade dos requisitos de seguranca(STALLINGS, 2010). . . . . . . . . . .

VPN entre dois escritorios e estacoes remotas(TANENBAUM; WETHERALL,

p. 12

2011). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

p. 14

Processo de autenticacao com Kerberos. . . . . . . . . . . . . . . . . .

p. 16

Configuracao tpica para autenticacao 802.1x com equipamentos com e

sem fio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

p. 17

Firewall prove um permetro de seguranca entre a LAN e a Internet.(TANENBAUM;

WETHERALL,

2011) . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

p. 19

Topologia de rede. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

p. 21

Grupos de autorizacao de acessos a web e VPN. . . . . . . . . . . . . .

p. 21

Usuario com grupos de acessos centralizados no AD DS. . . . . . . . .

p. 22

Interfaces configuradas no Forefront TMG. . . . . . . . . . . . . . . . .

p. 22

10

Regra padrao do firewall, nega qualquer trafego. . . . . . . . . . . . . .

p. 23

11

Condicao do Forefront TMG para acesso a` Internet. . . . . . . . . . . .

p. 24

12

Regra de acesso a web no Forefront TMG. . . . . . . . . . . . . . . . .

p. 24

13

Configuracao Forefront TMG para autenticacao MS-CHAPv2 . . . . .

p. 25

14

Configuracao realizada no Forefront TMG para permitir o trafego entre

os clientes VPN com os todos os recursos locais. . . . . . . . . . . . . .

p. 25

15

Lista de autenticadores configurados. . . . . . . . . . . . . . . . . . . .

p. 26

16

Polticas de AAA 802.1x. . . . . . . . . . . . . . . . . . . . . . . . . . .

p. 27

17

Tickets do usuario zeca armazenados em PC-TI1 apos logon. . . . . . .

p. 29

18

Certificado emitido para Andre Ramos pela AC SV-DC1-CA.

. . . . .

p. 30

19

Logon utilizando smartcard. . . . . . . . . . . . . . . . . . . . . . . . .

p. 30

20

Aplicacao da diretiva PC Publico Logon Smartcard. . . . . . . . . . . .

p. 30

21

Diretiva bloqueia logon sem smartcard. . . . . . . . . . . . . . . . . . .

p. 31

22

Usuario autorizado acessa um site da internet. . . . . . . . . . . . . . .

p. 31

23

Usuario nao autorizado bloqueado. . . . . . . . . . . . . . . . . . . . .

p. 32

24

Mensagem de bloqueio para navegacao web. . . . . . . . . . . . . . . .

p. 32

25

Status da conexao VPN PPTP. . . . . . . . . . . . . . . . . . . . . . .

p. 32

26

Sessao cliente VPN ativa.

. . . . . . . . . . . . . . . . . . . . . . . . .

p. 33

27

Conexao VPN estabelecida e conectividade com rede interna. . . . . . .

p. 33

Sum
ario

1 Apresentac
ao Geral do Projeto

p. 7

2 Definic
ao do Problema

p. 8

3 Objetivos

p. 10

4 Referencial Te
orico e An
alise de Tecnologias, Normas e Ferramentas

p. 11

4.1

Conceitos de seguranca da informacao

. . . . . . . . . . . . . . . . . .

p. 11

4.2

Seguranca de redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

p. 12

4.2.1

Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

p. 13

4.2.2

Proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

p. 13

4.2.3

Redes privadas virtuais (VPN) . . . . . . . . . . . . . . . . . . .

p. 14

4.3

Autenticacao de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . .

p. 14

4.4

Protocolos de autenticacao: NTLM e Kerberos . . . . . . . . . . . . . .

p. 15

4.5

802.1x . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

p. 17

5 Descric
ao da Soluc
ao
5.1

p. 18

Local area network (LAN) . . . . . . . . . . . . . . . . . . . . . . . . .

p. 20

5.1.1

Nomenclatura de rede . . . . . . . . . . . . . . . . . . . . . . .

p. 20

5.1.2

Enderecamento de rede . . . . . . . . . . . . . . . . . . . . . . .

p. 20

5.2

Controlador de domnio . . . . . . . . . . . . . . . . . . . . . . . . . .

p. 21

5.3

Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

p. 22

5.3.1

p. 23

Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

5.3.2

Proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

p. 23

5.3.3

Conexao cliente VPN . . . . . . . . . . . . . . . . . . . . . . . .

p. 24

5.3.4

Autenticacao 802.1x . . . . . . . . . . . . . . . . . . . . . . . .

p. 26

6 Validac
ao
6.1

p. 28

Autenticacoes locais

. . . . . . . . . . . . . . . . . . . . . . . . . . . .

p. 28

6.1.1

Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

p. 28

6.1.2

Smartcard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

p. 28

6.1.3

Ambientes controlados . . . . . . . . . . . . . . . . . . . . . . .

p. 29

6.1.4

802.1x . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

p. 29

6.2

Proxy web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

p. 31

6.3

Acesso VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

p. 31

7 Considerac
oes Finais

p. 34

Refer
encias

p. 35

Apresenta
c
ao Geral do Projeto

um axioma que o avanco computacional trouxe benefcios a` gestao e aos processos

E
das organizacoes. Contudo, e fundamental que essas organizacoes mantenham um controle
rigoroso dos acessos aos seus dados e sistemas. Para isso, os conceitos de autenticacao,
autorizacao e contabilizacao sao indispensaveis.
Este trabalho propoe uma estrutura essencial a ambientes que requerem tais controles.
Embasado em conceitos fundamentais de seguranca da informacao, sao aplicadas tecnologias como de redes privadas virtuais (VPN), firewall, proxy web e 802.1x, alem do uso
de cartoes inteligentes (smartcard ) em ambientes variados.
Com um ambiente de testes virtualizado e desenvolvida uma solucao em que, em um
controlador de domnio utilizando o Active Directory Domain Services, sao autenticados acessos basicos de um ambiente cooperativo. Conectado a ele e usado um servidor
Microsoft Forefront Threat Management Gateway (TMG) que controla todo o trafego
de entrada ou sada da rede, servindo clientes VPN e autenticando acessos a` internet.
Dessa forma, para todos os itens abordados nessa solucao sao planejados testes praticos
de validacao.

Defini
ca
o do Problema

No ambito empresarial, o avanco computacional possibilitou melhorias para a gestao

tanto de processos quanto estrategica. Agora, dados sao lancados e cruzados em tempo
real, gerando informacoes instantaneas `as organizacoes. No entanto, acesso rapido e facil
nao pode ser confundido com acesso nao controlado. Cada vez mais, e percebido que e
indispensavel o controle de acessos fsicos e logicos a`s informacoes. Como o controle de
documentacoes, que antes era atingido com livros de registros de protocolo, hoje pode ser
realizado com os processos de autenticacao, autorizacao e logs de acessos.
sabido que as informacoes, alem de ser ferramenta de apoio a`s decisoes, representam
E
um ativo valioso que tem de ser protegido. Essa protecao e fundamentada no conceito dos
tres pilares da seguranca da informacao: disponibilidade, confidencialidade e integridade.
Agora as organizacoes possuem um novo meio acesso aos seus ativos, o digital. Suas
informacoes, que ate entao podiam ser protegidas unicamente com processos e mecanismos
tangveis, agora necessitam de equipamentos especficos destinados a seguranca logica de
suas redes privadas. A partir do momento em que e identificado que as informacoes
contidas em um computador conectado a uma rede privada sao sensveis, o uso desses
equipamentos de seguranca passam a ser indispensavel.
Para prover seguranca em uma rede privada e necessario que sejam tomadas medidas
em diferentes aspectos, como procedimentos operacionais, mecanismos de seguranca fsica
e mecanismos logicos. No entanto, este trabalho se atera aos mecanismos necessarios para
prover autenticacao de usuarios para acessos em uma rede local (LAN). Para esse fim sera
observado o controle para os seguintes tipos de acessos: acesso a` LAN, acesso proveniente
da LAN para a um agente na internet e acesso proveniente da internet para a LAN.
Alem disso, para uma boa exemplificacao dos conceitos propostos, o ambiente de rede
aqui estudado sera composto de: um firewall que fara os controles entre os ambientes
interno (LAN) e externo (internet), um controlador de domnio que gerenciara as credenciais para todo e qualquer acesso a` rede de computadores aos usuarios. Contudo, nao

poderao ser levados em conta neste momento equipamentos e configuracoes dos demais
equipamentos do ambiente, tais como: roteadores, pontos de acesso wireless e sistemas
de prevencao de intrusao.

10

Objetivos

O ambiente fruto deste projeto devera prover meios de autenticacao de usuarios com
seguranca aceitavel em variados tipos de acessos. Isso e, serao analisados diferentes tipos
comuns de acessos `as redes privadas e nesses casos devera ser possvel a identificacao dos
usuarios autores dos mesmos.
Com a implantacao deste projeto espera-se que:
Mesmo com acesso a` rede fsica, o acesso logico a` LAN somente seja permitido
quando for legtimo;
A LAN seja acessvel a` usuarios legtimos provenientes da internet;
O acesso a computadores localizados fora da LAN sera controlado;
Havera diferentes tipos de autenticacao conforme os requisitos de seguranca e usabilidade de cada ambiente.
A fim de amparar definicoes quanto a`s exigencias de seguranca definidos e necessario
que seja feita uma analise crtica do ambiente. Neste caso sera criado um cenario de
testes, de modo que permita a utilizacao e exemplificacao dos meios de autenticacao que
aqui serao abordados.

11

Referencial Te
orico e An
alise
de Tecnologias, Normas e
Ferramentas

Nos proximos itens serao descritos os conceitos basicos de seguranca da informacao

e das tecnologias adotadas neste trabalho, possibilitando assim um melhor entendimento
da solucao construda.

4.1

Conceitos de seguran
ca da informa
c
ao

Para a adequada compreensao dos princpios seguidos em um projeto pensado com

foco na seguranca da informacao e imprescindvel que alguns conceitos sejam explicitamente definidos. Dessa forma, a seguir alguns conceitos encontrados na literatura que sao
fundamentais no desenvolvimento deste trabalho.
a protecao provida a um sistema de informacao automato
Seguranca computacional: E
de forma a garantir a aplicacao de seus objetivos, preservando a integridade, disponibilidade e confidencialidade dos recursos (GUTTMAN; ROBACK, 1995).
Confidencialidade: Garantia que informacoes privadas ou confidenciais nao sejam
disponveis ou de conhecimento para indivduos nao autorizados . Tambem deve
garantir o controle de quais informacoes possam ser coletadas e armazenadas, e por
quem e para quem as informacoes podem ser divulgadas(STALLINGS, 2010).
Disponibilidade: Garantia que os sistemas funcionem prontamente e que os servicos
nao sejam recusados a usuarios autorizados(STALLINGS, 2010).
Integridade: A integridade de dados preve que as informacoes e programas so possam
ser alterados de forma autorizada e especifica. Ja a integridade de sistemas, define

12

que eles devem realizar suas funcoes de forma singular, livre de livre de manipulacao
nao autorizada, deliberada ou inadvertida(STALLINGS, 2010).
AAA: padrao regulado pela Internet Engineering Task Force (IETF) que serve de
referencia aos protocolos relacionados com procedimentos de Autenticacao, Autorizacao e Accounting (contabilizacao).
Autenticacao: e a verificacao da identidade, seja de usuario ou de um equipamento
(switch, servidor, telefone, impressora,...).
Autorizacao: princpio o qual garante que cada objeto autenticado so tenha acesso
aos recursos a que tem direito.
Accounting: refere-se a contabilizacao dos acessos e autorizacoes de um sistema e
seus usuarios.
Na figura 1 e representada a trade CIA. Segundo Stallings (2010) sao esses tres
conceitos (disponibilidade, confidencialidade e integridade) que representam os principais
objetivos de seguranca para dados, informacoes e servicos.

Figura 1: Trade dos requisitos de seguranca(STALLINGS, 2010).

4.2

Seguranca de redes

Desde o aparecimento das primeiras redes de computadores, a partir das decadas de

60 e 70, houveram significativas mudancas de paradigma. Se no seu surgimento eram utilizadas para envio de e-mail em universidades ou compartilhamento de impressoras, agora
os computadores sao usados por milhoes de pessoas para os mais diversos propositos.
Com essa mudanca diversas vulnerabilidades foram descobertas ano apos ano e a discussao sobre algoritmos e protocolos para seguranca dessas redes se tornou indispensavel
(TANENBAUM; WETHERALL, 2011).

13

Segundo Tanenbaum e Wetherall (2011) a maioria dos problemas de seguranca sao

causados por pessoas mal intencionadas com objetivo de obter algum beneficio proprio,
atencao ou prejudicar alguem. Alem disso, segundo ele, relatorios policiais indicam que
os ataques mais impactantes nao sao de intrusos externos, mas de internos motivados por
ressentimento ou vinganca.
Quando a seguranca de redes e tratada, o problema nao pode ser mitigado em um
nvel satisfatorio por apenas um mecanismo. Para isso e necessaria a intervencao nas
diferentes camadas do modelo TCP/IP, com criptografias (nas camadas de enlace e transporte), com firewalls (na camada de rede) ou com autenticacao (na camada de aplicacao)
(TANENBAUM; WETHERALL, 2011).

4.2.1

Firewall

Segundo Nakamura e Geus (2007), firewall e um ponto entre duas ou mais redes, que
pode ser um componente ou um conjunto de componentes, por onde passa todo o trafego,
permitindo que o controle, a autenticacao e os registros de todo trafego sejam realizados.
Firewall e um mecanismo desenvolvido para filtrar o trafego de dados, o permitindo
ou negando de acordo com criterios pre-estabelecidos. Ele agira como filtro de pacotes e
cada pacote que passe por ele, em qualquer sentido, sera primeiro verificado de acordo com
regras de acesso para depois ser encaminhado. Esses criterios sao normalmente tabelas
com origens e destinos aceitaveis ou bloqueaveis, verificando o protocolo e a porta utilizada
(TANENBAUM; WETHERALL, 2011).
Atualmente, alem das regras de acesso, algumas solucoes incorporam a funcao de
Sistema de Prevencao de Intrusao (IPS). Ele monitora todo trafego de forma mais ampla
que um firewall normalmente faria, e possibilita a deteccao e resposta a intrusoes de
forma automatizada (SCARFONE; MELL, 2007). Alem disso, sao capazes de realizar outras
tarefas no permetro de rede como prover os servicos de VPN ou proxy web.

4.2.2

Proxy

Segundo Souza e Sousa (2008), o principal objetivo de um servidor proxy e intermediar a comunicacao entre um cliente qualquer e o servidor de destino responsavel pelo
servico solicitado. Pode ser simplesmente um encaminhador de dados ou realizar filtragem nos pacotes, trabalhando na camada de aplicacao. Alem disso, agrega a vantagem de
permitir que todo trafego seja registrado (NAKAMURA; GEUS, 2007). Com isso e possvel

14

manter os controles de autenticacao e autorizacao dos usuarios no acesso a web, alem de

realizar inspecao por malware (DIOGENES; SAXENA; HARRISON, 2009), filtro de Uniform
Resource Locator (URL) e economizar trafego de dados mantendo cache dos dados ja
transmitidos (HARRISON; DIOGENES; SAXENA, 2010).

4.2.3

Redes privadas virtuais (VPN)

De acordo com Tanenbaum e Wetherall (2011), as VPNs sao uma sobreposicao de

redes privadas sobre redes p
ublicas. Assim, e possvel usar um canal inseguro para conectar redes separadas geograficamente, que atraves de um t
unel beneficiam-se de todos os
aspectos uma u
nica rede privada. Um exemplo popular e demonstrado na figura 2 na qual
dois escritorios sao conectados por seus firewalls atraves da internet, mantendo uma conexao segura entre eles. Desse modo e criado um canal criptografado, onde virtualmente
fazem parte de um mesmo segmento de rede.
Esse mecanismo tambem e capaz de prover acesso a clientes externos as organizacoes.
Atraves do canal seguro criado por uma VPN, um computador remoto pode acessar
os recursos locais aplicando as mesmas polticas e aspectos de seguranca impostos aos
computadores locais.

Figura 2: VPN entre dois escritorios e estacoes remotas(TANENBAUM; WETHERALL,

2011).

4.3

Autenticac
ao de usu
arios

Na grande maioria dos contextos de seguranca computacional, a autenticacao e o pilar

de sustentacao e a primeira linha de defesa. Essencialmente, esse e o meio pelo qual o
usuario comprova ser quem ele alega ser. Para tal, existem basicamente quatro formas do
usuario autenticar sua identidade(BARROS; JuNIOR, 2008):

15

Algo que o indivduo saiba: uma senha, um n

umero de identificacao pessoal (PIN)
ou perguntas previamente respondidas sao alguns exemplos;
Algo que o indivduo possua: um cartao inteligente ou uma chave sao exemplos
cotidianos desse meio de autenticacao. Estes objetos sao conhecidos como token.
Algo que o indivduo seja (biometria estatica): por exemplo, digitais ou reconhecimento de retina.
Algo que o indivduo faca (biometria dinamica): como reconhecimento de um padrao
de voz, caligrafia ou ritmo de digitacao.
Todos os quatro metodos podem prover autenticacao segura do usuario, no entanto
todos podem representar algum tipo de vulnerabilidade, assim para cada cenario deve ser
avaliado o melhor metodo, ou combinacao de metodos, para autenticacao de usuarios(STALLINGS,
2010).

4.4

Protocolos de autentica
c
ao: NTLM e Kerberos

Nos computadores e servidores anteriores ao Windows 2000, para prover o servico de

autenticacao era utilizado o protocolo Windows NT Lan Manager (NTLM), que funciona
atraves de um processo de geracao de hash e desafio-resposta. Essa geracao de hash nada
mais e do que um algoritmo que recebe uma entrada de dados de tamanho variada e
atraves de um algoritmo gera uma sequencia de caracteres singular. Isso e, a geracao de
um mesmo hash com duas entradas diferentes deve ser computacionalmente impraticavel.
Para realizar esse processo, o servidor gera um desafio ao cliente (numero aleatorio
de 16 bytes), esse n
umero e criptografado com o hash da senha fornecida pelo usuario e
devolvido ao servidor, este por sua vez ira encaminhar o usuario, desafio e a mensagem
criptografada ao controlador de domnio. Com essas informacoes o controlador de domnio
fara o mesmo processo com o nome do usuario e hash de senha armazenados, assim
autenticando o usuario(MICROSOFT, 2012).
No entanto, esse mecanismo baseado em hashes e vulneravel a ataques como o metodo
de Rainbow Tables, que sao tabelas pre-processadas de hashes com objetivo de descobrir
a palavra-passe. Outro metodo e o Pass-the-hash, no qual somente com o hash da senha e
possvel realizar a autenticacao, sem de fato descobrir a senha. Para reforcar o mecanismo
de autenticacao nos domnios Windows, a Microsoft a partir do Windows 2000 passou a

16

utilizar o mecanismo de autenticacao Kerberos. Esse por sua vez, se baseia em um modelo
de tickets.
Na figura 3 e apresentada de forma simplificada uma negociacao de tickets realizada
na versao 4 do Kerberos. Essa versao apresenta algumas deficiencias como o nao provimento de autenticacao entre domnios diferentes, requer protocolo de internet (IP), utiliza
apenas o Data Encryption System (DES) e possui tempo de vida dos tickets fixo. Essas
deficiencias foram corrigidas na versao 5, contudo sua representacao e adequada para uma
facil compreensao do protocolo, pois em essencia o fluxo dos tickets e o mesmo.
Nele, assim que o usuario realiza o login de rede, e enviada uma requisicao ao servidor
de autenticacao (AS) do Kerberos para obter um ticket-granting ticket (TGT). A AS
verifica as diretivas do usuario em sua base de dados e gera o TGT e uma chave de
sessao. Esses resultados sao criptografados com uma chave derivada da senha do usuario
e enviados ao seu computador. La com a senha fornecida pelo usuario a mensagem e
descriptografada. Com a chave de sessao e com o ticket fornecido, e enviado ao ticketgranting server (TGS) a solicitacao de autenticador para um determinado servico com o
nome do usuario, endereco de rede e hora. Por sua vez, o TGS descriptografa a mensagem e
verifica a solicitacao, entao cria um ticket para o servidor solicitado. Enfim, o computador
recebe o ticket enviado pelo TGS e o encaminha ao servidor provedor do servico em
questao, o qual ira verificar se o ticket e a autenticacao atendem as especificacoes, para
entao realizar a autenticacao (STALLINGS, 2010).

Figura 3: Processo de autenticacao com Kerberos.

17

4.5

802.1x

A realizacao do objetivo do Firewall em manter a rede interna isolado da rede externa (NAKAMURA; GEUS, 2007) somente tem sentido quando existe a preocupacao com a
sua seguranca interna. Para apoiar neste aspecto pode-se usar autenticacao ethernet ou
wireless 802.1x
802.1x e o padrao definido pela Institute of Electrical and Electronics Engineers
(IEEE) para autenticacao para acesso a portas de rede, onde um sistema tem que provar
sua identidade antes de poder se conectar a rede (CIMA, 2006). Este padrao descreve um
modelo onde o seu controle e centralizado obedecendo ao padrao AAA. Conforme descrito
no estudo de Barros e J
unior (2008) o modelo pode ser utilizado com um diretorio LDAP
que prove autenticacao e autorizacao e um servidor de RADIUS (Remote Authentication
Dial In User Service) provendo o accounting e a interoperabilidade do AAA.
A figura 4 mostra os tres agentes envolvidos no padrao 802.1x: o suplicante, o autenticador e o servidor de autenticacao (RADIUS). O cliente e, em tese, qualquer dispositivo
que deseje acessar uma rede de dados, como um smartphone, um computador ou telefone
VOIP. O servidor de autenticacao e o local onde serao configuradas polticas de acessos e
AAA. Por fim, o autenticador switch ou ponto de acesso sem fio e uma especie de
seguranca de permetro, que garante que o suplicante nao permaneca isolado ate que sua
identidade seja identificada pelo servidor de autenticacao e autorizada .

Figura 4: Configuracao tpica para autenticacao 802.1x com equipamentos com e sem fio.

18

Descri
ca
o da Solu
c
ao

Com objetivo de atender os requisitos propostos, as solucoes aqui propostas se utilizam

de recursos oferecidos por ferramentas da empresa Microsoft. A escolha dessa solucao se
deve pela boa integracao entre as ferramentas oferecidas pelo fornecedor e pela viabilidade
da execucao deste projeto com baixo custo. Assim, todos os softwares utilizados nesse
projeto sao devidamente licenciados em versoes de teste, permitindo o uso integral dos
recursos para estes fins.
Para realizar o gerenciamento de credenciais foi definido o uso do Active Directory
Domain Services (AD DS) com nvel funcional de Windows Server 2008 R2. Ja para a
funcao gateway de rede, foi definido o uso do Microsoft Forefront Threat Management
Gateway (TMG), pois apresenta todos os requisitos necessarios para a execucao deste
projeto em um u
nico software, incluindo firewall, servidor de VPN e proxy.
A fim de possibilitar a implantacao do ambiente citado, foi criado um ambiente virtualizado em um computador com sistema operacional Windows Server 2008 R2 e a role
Hyper-V. Dessa forma, e possvel reproduzir o cenario definido com otimizacao de recursos
e propiciando escalabilidade, permitindo assim a aplicacao da solucao aqui proposta em
outros ambientes.
Nesse ambiente foram criadas quatro maquinas virtuais, dois servidores e dois clientes,
com as seguintes caractersticas:
Um servidor MS Windows Server 2008 R2, com as roles:
Active Directory Certificate Services;
Active Directory Domain Services);
DHCP Server ;
DNS Server ;
Web Server (IIS).

19

Um servidor MS Windows Server 2008 R2, com o software Microsoft Forefront

TMG.
1 desktop Windows 7 Professional.
1 desktop Windows XP Professional.
O primeiro servidor e o responsavel por gerenciar as credenciais dos computadores e
usuarios envolvidos nas solicitacoes de autenticacao e autorizacao. Alem disso, e ele que
faz a atribuicao das polticas de acesso dos clientes da LAN.
Para prover seguranca a essa rede, e utilizado um modelo bastante consolidado onde ha
apenas uma conexao entre a LAN com o mundo exterior. Tanenbaum e Wetherall (2011)
exemplificam esse modelo com uma analogia aos castelos medievais, onde a conexao com
o mundo eram as pontes levadicas onde tudo era analisando antes de entrar ou sair do
castelo. Da mesma forma, o gateway de rede e onde sao definidas regras que determinam
as diretrizes para todo trafego de dados entre o ambiente local com a internet, definindo
origens, destinos e protocolos envolvidos na comunicacao (TANENBAUM; WETHERALL,
2011).
Da mesma forma descrita por Tanenbaum e Wetherall (2011), entre a LAN e a internet
foi colocado o gateway. Esse acumulara as funcoes de firewall, proxy de internet e servidor
de VPN, provendo para a LAN um permetro seguro, como exibido na figura 5. Neste
permetro, apenas os usuarios pre-estabelecidos pelo administrador de redes terao acesso,
seja localmente ou de forma remota.

Figura 5: Firewall prove um permetro de seguranca entre a LAN e a Internet.(TANENBAUM; WETHERALL, 2011)
Nos itens que seguem serao abordadas as estrategias utilizadas para atingir os objetivos do projeto, alem de detalhar definicoes e configuracoes necessarias nos ambientes.

20

Dessa forma, sao descritas desde questoes como estrategias para enderecamento de rede
ate detalhes de configuracoes realizadas no Forefront TMG e AD DS.

5.1

Local area network (LAN)

Estrategias de enderecamento e nomenclatura de rede sao questoes essenciais para o

desenvolvimento do ambiente. Dessa forma, foi definido que este ambiente sera composto
de uma u
nica rede onde ficarao todos os hosts, independentemente de classificacao. Isso
e, serao distinguidos apenas pelos seus nomes e faixas de enderecos, pois nao havera
segregacao de redes.

5.1.1

Nomenclatura de rede

Com objetivo de prover um gerenciamento mais amigavel para a rede, foi definido que
todos dispositivos serao nomeados com prefixo referindo-se ao tipo de equipamento, sufixo
com breve descricao e numeracao com funcao de ndice. Assim, os computadores terao
prefixo PC e servidores SV. Desse modo o controlador de domnio chama-se SV-DC1,
analgomente a server-domain controller 1, o gateway chama-se SV-GW1 (server-gateway
1) e os computadores envolvidos na homologacao do ambiente chamam-se PC-TI (Personal Computer-TI 1) e PC-BIBLIO11(Personal Computer-TI 11), fazendo referencia a
computadores de uso pessoal alocados nos departamentos de tecnologia da informacao e
na biblioteca da organizacao.

5.1.2

Endere
camento de rede

Para atender as especificacoes planejadas para o ambiente, todos os computadores

e servidores sao conectados em uma u
nica rede privada classe C. Essa rede tem enderecamento 192.168.100.0 com 254 possveis hosts (REKHTER et al., 1996). O primeiro
endereco dessa rede (192.168.100.1) foi reservado para o controlador de domnio e os
enderecos subsequentes serao reservados para novos servidores ou equipamentos.
Essa rede, como e demonstrado na figura 6, tem como sua u
nica conexao com a internet
o firewall (SV-GW1). Logo, todo trafego de entrada ou sada podera ser bloqueado ou
inspecionado.

21

Figura 6: Topologia de rede.

5.2

Controlador de domnio

Toda solucao de autenticacao aqui proposta se baseia na autenticacao provida pelo

AD DS. Essa ira prover login u
nico (single sign-on), conta de usuario u
nica e gerenciamento centralizado de credenciais. Ele e peca fundamental na garantia da autenticacao e
autorizacao dos servicos providos. O ambiente do domnio em nvel funcional 2008 prove
a estrutura para que todo processo de autenticacao e autorizacao seja realizado utilizando
o protocolo Kerberos.
Toda e qualquer autenticacao de usuarios ou computadores e realizada com os objetos
do Active Directory Users and Computers e a autorizacao de servicos e gerenciada por
meio de grupos do domnio. A figura 7 demonstra grupos utilizados para conceder acessos
a web e VPN, enquanto a figura 8 demonstra como sao exibidos os grupos dos quais um
usuario faz parte no AD DS.

Figura 7: Grupos de autorizacao de acessos a web e VPN.

22

Com o processo de autorizacao gerenciado por grupos toda e qualquer permissao passa
a ser controlada de forma central, seja para acesso a Internet, acesso remoto, recursos de
impressao, a arquivos ou qualquer aplicacao com autenticacao e autorizacao em base
lightweight directory access protocol (LDAP). Na figura 8 sao exibidos os grupos de um
usuario deste ambiente, os quais lhe proveem acesso a VPN e web.

Figura 8: Usuario com grupos de acessos centralizados no AD DS.

5.3

Gateway

A funcao de gateway de rede, que acumulara as funcoes de firewall, proxy web e

servidor VPN, e realizada pelo Forefront TMG. Como pode ser observado na figura 9,
nele sao configuradas duas interfaces ethernet: wide area network (WAN) e LAN. A
interface LAN e conectada a rede interna e ela que recebera todas requisicoes de sada
para outras redes, enquanto a interface WAN tem conectividade com o mundo e, alem de
proteger a rede interna, recebera as conexoes dos clientes VPN.

Figura 9: Interfaces configuradas no Forefront TMG.

23

5.3.1

Firewall

Inicialmente o ambiente e completamente isolado da internet pelo firewall, onde nao e

permitida entrada ou sada de nenhum pacote, como exibido na figura 10. Nesse cenario
o firewall e configurado para negar Todo o Trafego de Todas as Redes para Todas
as Redes a` Todos Usuarios. Essa e uma regra padrao, pois parte-se do princpio do
acesso mais restritivo. Assim, nenhum acesso e permitido inicialmente e qualquer acesso
que seja necessario e tratado como excecao.

Figura 10: Regra padrao do firewall, nega qualquer trafego.

Pode-se realizar tal configuracao, pois quando os pacotes sao recebidos pelo Forefront
TMG, sao verificadas as regras de acesso do firewall de forma sequencial. Assim, quando
as definicoes de origem, destino, condicao e tipo de pacote se encaixarem em uma das
regras a verificacao e encerrada e acao definida e tomada.
De uma forma mais pratica, para qualquer acesso necessario sera inserida uma nova
regra antes da regra de negacao, assim se houver o alinhamento do politica de acesso
definida com os dados do pacote, esse sera permitido antes da regra geral de negacao ser
processada.

5.3.2

Proxy

No planejamento deste ambiente foi definido que alguns usuarios poderao acessar os
recursos de internet. Assim, foi criada uma condicao, exibida na figura 11, no Forefront
TMG chamada Usuarios de Internet. Nela e verificado se o usuario solicitante esta
inserido em um grupo pre-definido no AD DS (WEB Acesso Completo). Ainda no Forefront TMG foi configurada uma segunda regra de acesso, permitindo que esses usuarios
tenham o trafego do protocolo de transferencia de hipertexto (HTTP) e HTTP seguro
(HTTPS) (pre-configurados no Forefront TMG) permitidos para a rede externa. Desse

24

modo, e realizada toda autenticacao e autorizacao para acessos a web, pois somente e
possvel qualquer conexao com internet por meio desta regra, conforme a figura 12.

Figura 11: Condicao do Forefront TMG para acesso a` Internet.

Figura 12: Regra de acesso a web no Forefront TMG.

5.3.3

Conex
ao cliente VPN

Existe ainda um terceiro acesso que deve ser protegido, proveniente da rede internet
para os recursos da rede interna. Para garantir esse acesso de forma segura (com criptografia) e autenticada foi configurado no Forefront TMG e AD DS o acesso por VPN.
Assim, e possvel que um usuario autorizado acesse aos recursos locais por meio de um
t
unel na internet.
Para possibilitar prover este acesso com autenticacao e autorizacao foi criado um
grupo no AD no qual todos os usuarios autorizados facam parte. Desse modo, quando a

25

regra de acesso a` VPN e configurada e necessario que seja limitada, nas condicoes para o
acesso apenas os usuarios deste grupo do domnio.
A figura 13 exibe a tela de configuracao dos metodos de autenticacao das diretivas
de acesso remoto. Para esta conexao dos clientes `a VPN foi selecionado o protocolo
MSCHAPv2.
Alem das configuracoes para conexao VPN e necessario autorizar o trafego de dados
entre os seus clientes com a rede interna. Na figura 14 e exibida essa configuracao.

Figura 13: Configuracao Forefront TMG para autenticacao MS-CHAPv2

Figura 14: Configuracao realizada no Forefront TMG para permitir o trafego entre os
clientes VPN com os todos os recursos locais.

26

5.3.4

Autentica
c
ao 802.1x

Para o processo de autenticacao dos usuarios da rede ethernet com o padrao 802.1x,
pode ser usado no Windows Server 2008 R2 a role Network Police Server (NPS). Nele sao
configurados os equipamentos autenticadores e as polticas de acesso. A configuracao dos
autenticadores consiste no seu IP e uma chave-secreta que sera utilizada na comunicacao
entre eles. Na figura 15 e exibida a lista de equipamentos autenticadores. Nesse caso foi
configurado um equipamento denominado Switch-Almox que representa um switch de
IP 192.168.100.51.

Figura 15: Lista de autenticadores configurados.

Alem dos autenticadores, e necessaria a configuracao das polticas de conexao e de
rede. Nela e configurado o meio de acesso (neste caso ethernet), o metodo de autenticacao
(smartcard, EAP ou MSCHAP-V2), usuarios ou grupos autorizados e controle de trafego
(como atribuicao de VLAN). Nas polticas demonstradas na figura 16 e condicionada a
autenticacao a` interfaces ethernet e usuarios do grupo Domain Users do domnio, alem
de especificar os metodos de autenticacao aceitos.
Do outro lado do processo de autenticacao fica o suplicante, nesse caso um computador com Windows 7 instalado. Para habilitar a autenticacao 802.1x com fio nele e
necessario iniciar o servico Configuracao automatica com fio. Com isso sao habilitadas
as configuracoes de autenticacao 802.1x nas interfaces ethernet.
Por fim, o autenticador deve ser configurado. Nele e necessario configurar os parametros
do servidor RADIUS e o metodo de autenticacao da interface. Para isso, com comutador
3com da linha 4200 se deve criar um scheme, configurar o domnio e habilitar a autenticacao 802.1x globalmente e nas interfaces ethernet, como pode ser observado no script
abaixo:

27

Figura 16: Polticas de AAA 802.1x.

radius scheme authramos
primary authentication 192.168.100.254
key authentication aa18dSOwha87wa9
domain ramos.com
authentication lan-access radius-scheme authramos
authorization lan-access radius-scheme authramos
dot1x
dot1x authentication-method eap
interface gigabitEthernet 1/0/1
dot1x

28

Valida
c
ao

Para validar a correta e eficiente implantacao do sistema projetado foi criado um

cenario em maquinas virtuais. A fim de realizar o tal verificacao foram procuradas
evidencias que comprovem a conquista dos objetivos especficos e que colaborem com
o objetivo geral do projeto prover meios de autenticacao eficientes.
Com esse criterio definido, a solucao sera evidenciada em duas etapas. Primeiro serao
validadas as autenticacoes locais utilizando Kerberos, utilizando smartcard, em ambientes
controlados e com 802.1x. Depois sera validada as autenticacoes de proxy web e acesso
VPN aos usuarios fora da rede local.

6.1

Autenticaco
es locais

Nessa primeira etapa serao apresentadas as validacoes para os metodos de autenticacao

de clientes dentro do permetro de seguranca. Nos itens que seguem sera evidenciada a
troca de tickets Kerberos, o uso de cartoes inteligentes para autenticacao, os testes em
ambientes controlados e as limitacoes encontradas para validacao da autenticacao 802.1x.

6.1.1

Kerberos

Foi evidenciado, conforme a figura 17, o uso dos tickets Kerberos no computador PCTI1. Nele foi realizado o logon do usuario zeca no controlador de domnio SV-DC1 por
meio de senha.

6.1.2

Smartcard

Para o processo de autenticacao com smartcard, primeiro foi emitido um certificado

de smartcard logon para o usuario andre. A figura 18 evidencia o certificado emitido
pela autoridade certificadora do domnio SV-DC1-CA, enquanto a figura 19 comprova o

29

Figura 17: Tickets do usuario zeca armazenados em PC-TI1 apos logon.

processo de logon no computador PC-Biblio11 utilizando o cartao e a figura 20 evidencia
o uso da diretiva Computadores Publicos.

6.1.3

Ambientes controlados

Com objetivo de evidenciar a diferenciacao de ambientes e exigencias para autenticacao foi configurada uma Diretiva de Grupo que exige autenticacao com smartcard no
processo de logon. Essa diretiva foi aplicada a um grupo especfico de computadores chamado Computadores Publicos. Assim, na figura 21 e apresentada a negativa de acesso
ao computador PC-Biblio11 sem um cartao autorizado.

6.1.4

802.1x

Para realizar o processo de autenticacao com o padrao 802.1x e exigida a participacao

dos tres agentes envolvidos, cliente (suplicante), autenticador (cliente RADIUS) e servidor
RADIUS. Contudo, em um laboratorio virtualizado nao existe a figura do agente autenticador, assim as configuracoes expostas na secao 4.5 nao puderam ser validadas neste
ambiente.

30

Figura 18: Certificado emitido para Andre Ramos pela AC SV-DC1-CA.

Figura 19: Logon utilizando smartcard.

Figura 20: Aplicacao da diretiva PC Publico Logon Smartcard.

31

Figura 21: Diretiva bloqueia logon sem smartcard.

6.2

Proxy web

A aplicacao das polticas de acesso a web atraves do Forefront TMG foi evidenciada
com dois testes: primeiro um acesso autorizado (usuario andre) e depois um nao autorizado (usuario zeca), como pode ser observado nas figura 22 e figura 23, respectivamente.

Figura 22: Usuario autorizado acessa um site da internet.

Tambem e evidenciada a mensagem de bloqueio do proxy na figura 24, quando um
usuario nao autorizado tenta acessar um pagina web no browser.

6.3

Acesso VPN

Para a validacao do acesso a VPN foi usado um computador com Windows 7 conectado
na rede da interface WAN do firewall. Nesse computador de endereco 192.168.1.93 foi
configurado uma conexao de rede VPN tipo PPTP (Protocolo de T
unel Ponto a Ponto)
para o endereco 192.168.100.123 (interface WAN do Forefront TMG) com autenticacao
MSCHAP-V2 e criptografia exigida. Essa conexao foi evidenciada com o status da conexao
realizada, figura 25.

32

Figura 23: Usuario nao autorizado bloqueado.

Figura 24: Mensagem de bloqueio para navegacao web.

Figura 25: Status da conexao VPN PPTP.

33

Tambem foram evidenciados o status da conexao no servidor Forefront TM G na figura

26 e a conectividade do cliente VPN com o controlador de domnio na rede interna na
figura 27. Neles podem ser observados a conexao estabelecida, os IPs do cliente VPN na
interface ethernet e VPN, alem de evidenciar a a conectividade com o comando PING.

Figura 26: Sessao cliente VPN ativa.

Figura 27: Conexao VPN estabelecida e conectividade com rede interna.

34

Considera
co
es Finais

O projeto de um ambiente seguro e um trabalho contnuo e eternamente em evolucao.

Sao in
umeras as vulnerabilidades de sistemas e dos protocolos existentes e os que ainda
nao possuem, um dia terao. Isso, enquanto exclumos do escopo de seguranca as pessoas,
pois tratando das pessoas o escopo de um projeto de ambiente cresce de forma incalculavel.
Esse trabalho apresentado tratou apenas de um dos diversos aspectos de um ambiente
seguro. Contudo, a seguranca do permetro com firewall e autenticacao de acessos sao
itens indispensaveis para a seguranca de qualquer ambiente.
Quatro eram os objetivos especficos deste projeto: acesso a usuarios por VPN, implantacao de proxy web, um segundo fator de autenticacao de usuarios alem de senha
e autenticacao de clientes com o protocolo 802.1x. Destes, tres foram executados e evidenciados, restando um que nao pode ser validado no ambiente planejado, pois o sistema
operacional virtualizado nao permite tal autenticacao. Este u
ltimo objetivo ainda poderia
ter sido comprovado com a insercao de um roteador sem fio compatvel com o protocolo
e um computador fsico com adaptador sem fio. Contudo, uma abertura ainda maior no
escopo do projeto, em sua fase final, poderia ameacar a sua completa execucao. Mesmo
assim, foram apresentadas e validadas as tres outras solucoes, alem de exemplificar as
configuracoes necessaria para a u
ltima.
Desse modo, este trabalho contribui com elementos fundamentais que subsidiarao
implantacoes de IPS, sistemas de protecao de e-mails, VPN site-to-site, autenticacao para
outros sistemas com base LDAP ou RADIUS, VLANs dinamicas, provedores de internet
(ISP) redundantes, gateways redundantes, balanceamento de carga e in
umeros outros
projetos de autenticacao e seguranca de permetro.

35

Refer
encias
BARROS, L. G.; J
uNIOR, D. C. F. Autenticacao ieee 802.1x em redes de computadores
utilizando tls e eap. In: 4o Encontro de Engenharia e Tecnologia dos Campos Gerais. [S.l.:
s.n.], 2008.
CIMA, F. O que voce precisa saber antes de implementar 802.1x em redes *com* fio. 2006. Seguranca na Microsoft: Comentarios e Analises sobre
Seguranca da Informacao. Out. 2006. Acessado em 20 set. 2012. Disponvel
em:
<http://blogs.technet.com/b/fcima/archive/2006/10/30/o-que-voc-precisa-saberantes-de-implementar-802-1x-em-redes-com-fio.aspx>.
DIOGENES, Y.; SAXENA, M.; HARRISON, J. Security Watch: Malware Inspection at
the Perimeter. 2009. TechNet Magazine. Fev. 2009. Acessado em 07 set. 2012. Disponvel
em: <http://technet.microsoft.com/en/magazine/2009.02.securitywatch.aspx>.
GUTTMAN, B.; ROBACK, E. An Introduction to Computer Security: The NIST Handbook. [S.l.], Outubro 1995. NIST Special Publication 800-12.
HARRISON, J.; DIOGENES, Y.; SAXENA, M. Microsoft Threat Management Gateway
(TMG): Administrators Companion. [S.l.]: Microsoft Press, 2010.
MICROSOFT. Microsoft NTLM. 2012. Microsoft MSDN. Mai. 2012. Acessado em 17 set. 2012. Disponvel em:
<http://msdn.microsoft.com/enus/library/windows/desktop/aa378749(v=vs.85).aspx>.
NAKAMURA, E. T.; GEUS, P. L. de. Seguranca de Redes em Ambientes Cooperativos.
[S.l.]: Novatec Editora, 2007.
REKHTER, Y. et al. RCF 1918: Address Allocation for Private Internets. [S.l.], Fevereiro
1996.
SCARFONE, K.; MELL, P. Guide to Intrusion Detection and Prevention Systems
(IDPS): Recommendations of the National Institute of Standards and Technology. [S.l.],
Fevereiro 2007. NIST Special Publication 800-94.
SOUZA, P. R. de; SOUSA, J. R. de. Proxy e firewall em gnu/linux. 2008. Disponvel
em: <http://www3.iesam-pa.edu.br/ojs/index.php/computacao/article/view/159/148>.
Acesso em: 25 set. 2012.
STALLINGS, W. Cryptography and Network Security: Principles and Practice. [S.l.]:
Prentice Hall, 2010.
TANENBAUM, A. S.; WETHERALL, D. Redes de Computadores. [S.l.]: Pearson, 2011.