Relat
orio Final de Projeto
Autentica
c
ao de acesso em ambiente
de redes Microsoft
SILVEIRA RAMOS
ANDRE
PERES (orientador)
Prof. Dr. ANDRE
Porto Alegre
2012
Resumo
Prover seguranca aos dados de uma organizacao requer medidas de diferentes aspectos. Alem da seguranca ao ambiente fsico e procedimentos, e essencial que se adote
mecanismos logicos que apoiem a seguranca computacional. Aspectos como confidencialidade, integridade, autenticacao, autorizacao e registros de usuarios sao elementos chave
no provimento de um ambiente seguro. Assim, e essencial que esses aspectos sejam observados na implementacao de tecnologias como redes privadas virtuais (VPN), firewall e
proxy web.
Com o uso de VPN e possvel que se estabeleca um canal de comunicacao segura
comum que ferramentas de firewall assumam a funcao
atraves de um meio p
ublico. E
de prover esse canal, uma vez que sao os componentes responsaveis por filtrar as comunicacoes entre redes distintas. Alem disso, todo trafego de entrada ou sada de uma rede e
controlado pelo firewall que, alem de bloquear transacoes, pode ser capaz validar e inspecionar pacotes com base em diferentes criterios como origem, destino, protocolo, porta de
comunicacao e ate mesmo usuario solicitante. Isso porque, alem de trabalhar na camada
de rede, muitas vezes esse tipo de solucao e capaz de trabalhar diretamente na camada
de aplicacao.
Com o uso das ferramentas Active Directory Domain Services e Microsoft Forefront
Threat Management Gateway(TMG) este trabalho propoe uma solucao de autenticacao
de usuarios para diferentes situacoes comuns a ambientes cooperativos. Sao abordadas
e testadas solucoes que proveem acesso a rede ethernet autenticado, logon de rede com
cartao inteligente (smartcard ) com base em polticas, acesso autenticado a` internet e
conexao de clientes VPN.
Este trabalho contribui com a apresentacao de uma solucao com elementos fundamentais para qualquer projeto de seguranca da informacao, servindo como ponto de partida
para a implantacao de outros elementos importantes como VPN entre redes (site-to-site),
Sistemas de Prevencao de Intrusao (IPS), redundancia de provedores de internet e sistemas de protecao de e-mails.
PALAVRAS-CHAVE: Autenticacao; Active Directory Domain Services; Firewall;
Forefront Threat Management Gateway (TMG); Redes Privadas Virtuais (VPN); Seguranca da Informacao;
Lista de Figuras
1
p. 12
2011). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
p. 14
p. 16
p. 17
2011) . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
p. 19
Topologia de rede. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
p. 21
p. 21
p. 22
p. 22
10
p. 23
11
p. 24
12
p. 24
13
p. 25
14
p. 25
15
p. 26
16
p. 27
17
p. 29
18
. . . . .
p. 30
19
p. 30
20
p. 30
21
p. 31
22
p. 31
23
p. 32
24
p. 32
25
p. 32
26
. . . . . . . . . . . . . . . . . . . . . . . . .
p. 33
27
p. 33
Sum
ario
1 Apresentac
ao Geral do Projeto
p. 7
2 Definic
ao do Problema
p. 8
3 Objetivos
p. 10
4 Referencial Te
orico e An
alise de Tecnologias, Normas e Ferramentas
p. 11
4.1
. . . . . . . . . . . . . . . . . .
p. 11
4.2
Seguranca de redes . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
p. 12
4.2.1
Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
p. 13
4.2.2
Proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
p. 13
4.2.3
p. 14
4.3
Autenticacao de usuarios . . . . . . . . . . . . . . . . . . . . . . . . . .
p. 14
4.4
p. 15
4.5
802.1x . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
p. 17
5 Descric
ao da Soluc
ao
5.1
p. 18
p. 20
5.1.1
Nomenclatura de rede . . . . . . . . . . . . . . . . . . . . . . .
p. 20
5.1.2
Enderecamento de rede . . . . . . . . . . . . . . . . . . . . . . .
p. 20
5.2
Controlador de domnio . . . . . . . . . . . . . . . . . . . . . . . . . .
p. 21
5.3
Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
p. 22
5.3.1
p. 23
Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.3.2
Proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
p. 23
5.3.3
p. 24
5.3.4
Autenticacao 802.1x . . . . . . . . . . . . . . . . . . . . . . . .
p. 26
6 Validac
ao
6.1
p. 28
Autenticacoes locais
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
p. 28
6.1.1
Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
p. 28
6.1.2
Smartcard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
p. 28
6.1.3
Ambientes controlados . . . . . . . . . . . . . . . . . . . . . . .
p. 29
6.1.4
802.1x . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
p. 29
6.2
Proxy web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
p. 31
6.3
Acesso VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
p. 31
7 Considerac
oes Finais
p. 34
Refer
encias
p. 35
Apresenta
c
ao Geral do Projeto
Defini
ca
o do Problema
poderao ser levados em conta neste momento equipamentos e configuracoes dos demais
equipamentos do ambiente, tais como: roteadores, pontos de acesso wireless e sistemas
de prevencao de intrusao.
10
Objetivos
O ambiente fruto deste projeto devera prover meios de autenticacao de usuarios com
seguranca aceitavel em variados tipos de acessos. Isso e, serao analisados diferentes tipos
comuns de acessos `as redes privadas e nesses casos devera ser possvel a identificacao dos
usuarios autores dos mesmos.
Com a implantacao deste projeto espera-se que:
Mesmo com acesso a` rede fsica, o acesso logico a` LAN somente seja permitido
quando for legtimo;
A LAN seja acessvel a` usuarios legtimos provenientes da internet;
O acesso a computadores localizados fora da LAN sera controlado;
Havera diferentes tipos de autenticacao conforme os requisitos de seguranca e usabilidade de cada ambiente.
A fim de amparar definicoes quanto a`s exigencias de seguranca definidos e necessario
que seja feita uma analise crtica do ambiente. Neste caso sera criado um cenario de
testes, de modo que permita a utilizacao e exemplificacao dos meios de autenticacao que
aqui serao abordados.
11
Referencial Te
orico e An
alise
de Tecnologias, Normas e
Ferramentas
4.1
Conceitos de seguran
ca da informa
c
ao
12
que eles devem realizar suas funcoes de forma singular, livre de livre de manipulacao
nao autorizada, deliberada ou inadvertida(STALLINGS, 2010).
AAA: padrao regulado pela Internet Engineering Task Force (IETF) que serve de
referencia aos protocolos relacionados com procedimentos de Autenticacao, Autorizacao e Accounting (contabilizacao).
Autenticacao: e a verificacao da identidade, seja de usuario ou de um equipamento
(switch, servidor, telefone, impressora,...).
Autorizacao: princpio o qual garante que cada objeto autenticado so tenha acesso
aos recursos a que tem direito.
Accounting: refere-se a contabilizacao dos acessos e autorizacoes de um sistema e
seus usuarios.
Na figura 1 e representada a trade CIA. Segundo Stallings (2010) sao esses tres
conceitos (disponibilidade, confidencialidade e integridade) que representam os principais
objetivos de seguranca para dados, informacoes e servicos.
4.2
Seguranca de redes
13
4.2.1
Firewall
Segundo Nakamura e Geus (2007), firewall e um ponto entre duas ou mais redes, que
pode ser um componente ou um conjunto de componentes, por onde passa todo o trafego,
permitindo que o controle, a autenticacao e os registros de todo trafego sejam realizados.
Firewall e um mecanismo desenvolvido para filtrar o trafego de dados, o permitindo
ou negando de acordo com criterios pre-estabelecidos. Ele agira como filtro de pacotes e
cada pacote que passe por ele, em qualquer sentido, sera primeiro verificado de acordo com
regras de acesso para depois ser encaminhado. Esses criterios sao normalmente tabelas
com origens e destinos aceitaveis ou bloqueaveis, verificando o protocolo e a porta utilizada
(TANENBAUM; WETHERALL, 2011).
Atualmente, alem das regras de acesso, algumas solucoes incorporam a funcao de
Sistema de Prevencao de Intrusao (IPS). Ele monitora todo trafego de forma mais ampla
que um firewall normalmente faria, e possibilita a deteccao e resposta a intrusoes de
forma automatizada (SCARFONE; MELL, 2007). Alem disso, sao capazes de realizar outras
tarefas no permetro de rede como prover os servicos de VPN ou proxy web.
4.2.2
Proxy
Segundo Souza e Sousa (2008), o principal objetivo de um servidor proxy e intermediar a comunicacao entre um cliente qualquer e o servidor de destino responsavel pelo
servico solicitado. Pode ser simplesmente um encaminhador de dados ou realizar filtragem nos pacotes, trabalhando na camada de aplicacao. Alem disso, agrega a vantagem de
permitir que todo trafego seja registrado (NAKAMURA; GEUS, 2007). Com isso e possvel
14
4.2.3
4.3
Autenticac
ao de usu
arios
15
4.4
Protocolos de autentica
c
ao: NTLM e Kerberos
16
utilizar o mecanismo de autenticacao Kerberos. Esse por sua vez, se baseia em um modelo
de tickets.
Na figura 3 e apresentada de forma simplificada uma negociacao de tickets realizada
na versao 4 do Kerberos. Essa versao apresenta algumas deficiencias como o nao provimento de autenticacao entre domnios diferentes, requer protocolo de internet (IP), utiliza
apenas o Data Encryption System (DES) e possui tempo de vida dos tickets fixo. Essas
deficiencias foram corrigidas na versao 5, contudo sua representacao e adequada para uma
facil compreensao do protocolo, pois em essencia o fluxo dos tickets e o mesmo.
Nele, assim que o usuario realiza o login de rede, e enviada uma requisicao ao servidor
de autenticacao (AS) do Kerberos para obter um ticket-granting ticket (TGT). A AS
verifica as diretivas do usuario em sua base de dados e gera o TGT e uma chave de
sessao. Esses resultados sao criptografados com uma chave derivada da senha do usuario
e enviados ao seu computador. La com a senha fornecida pelo usuario a mensagem e
descriptografada. Com a chave de sessao e com o ticket fornecido, e enviado ao ticketgranting server (TGS) a solicitacao de autenticador para um determinado servico com o
nome do usuario, endereco de rede e hora. Por sua vez, o TGS descriptografa a mensagem e
verifica a solicitacao, entao cria um ticket para o servidor solicitado. Enfim, o computador
recebe o ticket enviado pelo TGS e o encaminha ao servidor provedor do servico em
questao, o qual ira verificar se o ticket e a autenticacao atendem as especificacoes, para
entao realizar a autenticacao (STALLINGS, 2010).
17
4.5
802.1x
A realizacao do objetivo do Firewall em manter a rede interna isolado da rede externa (NAKAMURA; GEUS, 2007) somente tem sentido quando existe a preocupacao com a
sua seguranca interna. Para apoiar neste aspecto pode-se usar autenticacao ethernet ou
wireless 802.1x
802.1x e o padrao definido pela Institute of Electrical and Electronics Engineers
(IEEE) para autenticacao para acesso a portas de rede, onde um sistema tem que provar
sua identidade antes de poder se conectar a rede (CIMA, 2006). Este padrao descreve um
modelo onde o seu controle e centralizado obedecendo ao padrao AAA. Conforme descrito
no estudo de Barros e J
unior (2008) o modelo pode ser utilizado com um diretorio LDAP
que prove autenticacao e autorizacao e um servidor de RADIUS (Remote Authentication
Dial In User Service) provendo o accounting e a interoperabilidade do AAA.
A figura 4 mostra os tres agentes envolvidos no padrao 802.1x: o suplicante, o autenticador e o servidor de autenticacao (RADIUS). O cliente e, em tese, qualquer dispositivo
que deseje acessar uma rede de dados, como um smartphone, um computador ou telefone
VOIP. O servidor de autenticacao e o local onde serao configuradas polticas de acessos e
AAA. Por fim, o autenticador switch ou ponto de acesso sem fio e uma especie de
seguranca de permetro, que garante que o suplicante nao permaneca isolado ate que sua
identidade seja identificada pelo servidor de autenticacao e autorizada .
Figura 4: Configuracao tpica para autenticacao 802.1x com equipamentos com e sem fio.
18
Descri
ca
o da Solu
c
ao
19
Figura 5: Firewall prove um permetro de seguranca entre a LAN e a Internet.(TANENBAUM; WETHERALL, 2011)
Nos itens que seguem serao abordadas as estrategias utilizadas para atingir os objetivos do projeto, alem de detalhar definicoes e configuracoes necessarias nos ambientes.
20
Dessa forma, sao descritas desde questoes como estrategias para enderecamento de rede
ate detalhes de configuracoes realizadas no Forefront TMG e AD DS.
5.1
5.1.1
Nomenclatura de rede
Com objetivo de prover um gerenciamento mais amigavel para a rede, foi definido que
todos dispositivos serao nomeados com prefixo referindo-se ao tipo de equipamento, sufixo
com breve descricao e numeracao com funcao de ndice. Assim, os computadores terao
prefixo PC e servidores SV. Desse modo o controlador de domnio chama-se SV-DC1,
analgomente a server-domain controller 1, o gateway chama-se SV-GW1 (server-gateway
1) e os computadores envolvidos na homologacao do ambiente chamam-se PC-TI (Personal Computer-TI 1) e PC-BIBLIO11(Personal Computer-TI 11), fazendo referencia a
computadores de uso pessoal alocados nos departamentos de tecnologia da informacao e
na biblioteca da organizacao.
5.1.2
Endere
camento de rede
21
5.2
Controlador de domnio
22
Com o processo de autorizacao gerenciado por grupos toda e qualquer permissao passa
a ser controlada de forma central, seja para acesso a Internet, acesso remoto, recursos de
impressao, a arquivos ou qualquer aplicacao com autenticacao e autorizacao em base
lightweight directory access protocol (LDAP). Na figura 8 sao exibidos os grupos de um
usuario deste ambiente, os quais lhe proveem acesso a VPN e web.
5.3
Gateway
23
5.3.1
Firewall
5.3.2
Proxy
No planejamento deste ambiente foi definido que alguns usuarios poderao acessar os
recursos de internet. Assim, foi criada uma condicao, exibida na figura 11, no Forefront
TMG chamada Usuarios de Internet. Nela e verificado se o usuario solicitante esta
inserido em um grupo pre-definido no AD DS (WEB Acesso Completo). Ainda no Forefront TMG foi configurada uma segunda regra de acesso, permitindo que esses usuarios
tenham o trafego do protocolo de transferencia de hipertexto (HTTP) e HTTP seguro
(HTTPS) (pre-configurados no Forefront TMG) permitidos para a rede externa. Desse
24
modo, e realizada toda autenticacao e autorizacao para acessos a web, pois somente e
possvel qualquer conexao com internet por meio desta regra, conforme a figura 12.
5.3.3
Conex
ao cliente VPN
Existe ainda um terceiro acesso que deve ser protegido, proveniente da rede internet
para os recursos da rede interna. Para garantir esse acesso de forma segura (com criptografia) e autenticada foi configurado no Forefront TMG e AD DS o acesso por VPN.
Assim, e possvel que um usuario autorizado acesse aos recursos locais por meio de um
t
unel na internet.
Para possibilitar prover este acesso com autenticacao e autorizacao foi criado um
grupo no AD no qual todos os usuarios autorizados facam parte. Desse modo, quando a
25
regra de acesso a` VPN e configurada e necessario que seja limitada, nas condicoes para o
acesso apenas os usuarios deste grupo do domnio.
A figura 13 exibe a tela de configuracao dos metodos de autenticacao das diretivas
de acesso remoto. Para esta conexao dos clientes `a VPN foi selecionado o protocolo
MSCHAPv2.
Alem das configuracoes para conexao VPN e necessario autorizar o trafego de dados
entre os seus clientes com a rede interna. Na figura 14 e exibida essa configuracao.
Figura 14: Configuracao realizada no Forefront TMG para permitir o trafego entre os
clientes VPN com os todos os recursos locais.
26
5.3.4
Autentica
c
ao 802.1x
Para o processo de autenticacao dos usuarios da rede ethernet com o padrao 802.1x,
pode ser usado no Windows Server 2008 R2 a role Network Police Server (NPS). Nele sao
configurados os equipamentos autenticadores e as polticas de acesso. A configuracao dos
autenticadores consiste no seu IP e uma chave-secreta que sera utilizada na comunicacao
entre eles. Na figura 15 e exibida a lista de equipamentos autenticadores. Nesse caso foi
configurado um equipamento denominado Switch-Almox que representa um switch de
IP 192.168.100.51.
27
28
Valida
c
ao
6.1
Autenticaco
es locais
6.1.1
Kerberos
Foi evidenciado, conforme a figura 17, o uso dos tickets Kerberos no computador PCTI1. Nele foi realizado o logon do usuario zeca no controlador de domnio SV-DC1 por
meio de senha.
6.1.2
Smartcard
29
6.1.3
Ambientes controlados
Com objetivo de evidenciar a diferenciacao de ambientes e exigencias para autenticacao foi configurada uma Diretiva de Grupo que exige autenticacao com smartcard no
processo de logon. Essa diretiva foi aplicada a um grupo especfico de computadores chamado Computadores Publicos. Assim, na figura 21 e apresentada a negativa de acesso
ao computador PC-Biblio11 sem um cartao autorizado.
6.1.4
802.1x
30
31
6.2
Proxy web
A aplicacao das polticas de acesso a web atraves do Forefront TMG foi evidenciada
com dois testes: primeiro um acesso autorizado (usuario andre) e depois um nao autorizado (usuario zeca), como pode ser observado nas figura 22 e figura 23, respectivamente.
6.3
Acesso VPN
Para a validacao do acesso a VPN foi usado um computador com Windows 7 conectado
na rede da interface WAN do firewall. Nesse computador de endereco 192.168.1.93 foi
configurado uma conexao de rede VPN tipo PPTP (Protocolo de T
unel Ponto a Ponto)
para o endereco 192.168.100.123 (interface WAN do Forefront TMG) com autenticacao
MSCHAP-V2 e criptografia exigida. Essa conexao foi evidenciada com o status da conexao
realizada, figura 25.
32
33
34
Considera
co
es Finais
35
Refer
encias
BARROS, L. G.; J
uNIOR, D. C. F. Autenticacao ieee 802.1x em redes de computadores
utilizando tls e eap. In: 4o Encontro de Engenharia e Tecnologia dos Campos Gerais. [S.l.:
s.n.], 2008.
CIMA, F. O que voce precisa saber antes de implementar 802.1x em redes *com* fio. 2006. Seguranca na Microsoft: Comentarios e Analises sobre
Seguranca da Informacao. Out. 2006. Acessado em 20 set. 2012. Disponvel
em:
<http://blogs.technet.com/b/fcima/archive/2006/10/30/o-que-voc-precisa-saberantes-de-implementar-802-1x-em-redes-com-fio.aspx>.
DIOGENES, Y.; SAXENA, M.; HARRISON, J. Security Watch: Malware Inspection at
the Perimeter. 2009. TechNet Magazine. Fev. 2009. Acessado em 07 set. 2012. Disponvel
em: <http://technet.microsoft.com/en/magazine/2009.02.securitywatch.aspx>.
GUTTMAN, B.; ROBACK, E. An Introduction to Computer Security: The NIST Handbook. [S.l.], Outubro 1995. NIST Special Publication 800-12.
HARRISON, J.; DIOGENES, Y.; SAXENA, M. Microsoft Threat Management Gateway
(TMG): Administrators Companion. [S.l.]: Microsoft Press, 2010.
MICROSOFT. Microsoft NTLM. 2012. Microsoft MSDN. Mai. 2012. Acessado em 17 set. 2012. Disponvel em:
<http://msdn.microsoft.com/enus/library/windows/desktop/aa378749(v=vs.85).aspx>.
NAKAMURA, E. T.; GEUS, P. L. de. Seguranca de Redes em Ambientes Cooperativos.
[S.l.]: Novatec Editora, 2007.
REKHTER, Y. et al. RCF 1918: Address Allocation for Private Internets. [S.l.], Fevereiro
1996.
SCARFONE, K.; MELL, P. Guide to Intrusion Detection and Prevention Systems
(IDPS): Recommendations of the National Institute of Standards and Technology. [S.l.],
Fevereiro 2007. NIST Special Publication 800-94.
SOUZA, P. R. de; SOUSA, J. R. de. Proxy e firewall em gnu/linux. 2008. Disponvel
em: <http://www3.iesam-pa.edu.br/ojs/index.php/computacao/article/view/159/148>.
Acesso em: 25 set. 2012.
STALLINGS, W. Cryptography and Network Security: Principles and Practice. [S.l.]:
Prentice Hall, 2010.
TANENBAUM, A. S.; WETHERALL, D. Redes de Computadores. [S.l.]: Pearson, 2011.