Introdução
A
administração e gestão de uma infraestrutura de rede nos dias atuais é
algo complexo que envolve diversos mecanismos de funcionamento,
protocolos e tipos de servidores, que visam aumentar a segurança interna
e externa de uma rede de computadores.
De
forma a se aumentar a segurança em um sistema de rede privado ou
empresarial, foram implementados ao longo dos tempos várias soluções
para o efeito, umas proprietárias e outras de código aberto (GPL), estas
últimas permitindo uma maior flexibilidade no que se refere a
configuração da pilha de protocolos TCP/IP, assim como toda a adaptação
necessária aos próprios mecanismo de autenticação, sejam eles
provenientes de redes LAN ou WAN.
O
RADIUS não sendo um protocolo propriétario de um fabricante específico é
amplamente implementado hoje em dia em sistemas de redes de
computadores, como exemplo tempos os roteadores, “gateways”, pontos de
acesso em redes sem fio e servidores das mais váriadas marcas,
Microsoft, Linux, Unix, CISCO, etc...
Este
artigo aborda os aspectos preponderantes e objectivos de uma
implementação em servidores Windows Server 2003/2008, configurações
gerais a se ter e os principais conceitos detalhados para o bom
funcionamento de um sistema baseado neste tipo de autenticação que é
centralizado e seguro, assim como a adequação de recursos à gestão do
modelo de autenticação RADIUS utilizando diferentes meios de acesso à
rede.
1. RADIUS
Remote
Authentication Dial-In User Service (RADIUS) é um sistema centralizado
de autenticação para clientes. É frequentemente implementado para
garantir um nível adicional de segurança em uma rede de computadores.
Para se garantir uma autenticação de um cliente remoto em um Controlador
de Domínio (AD), no próprio servidor de acesso remoto (RRAS) ou por
último em um servidor RADIUS, é possível desta foma aumentar
consideravelmente uma protecção contra intrusos ou usuários maliciosos
dentro de uma rede por forma de one-way authentication, onde o usuário
precisa pelo menos de saber um “username” e uma “passwrod” para se
poder autenticar no sistema. Não basta fazer parte do sistema, o usuário
preciso de saber as credenciais e estar de acordo com as políticas
internas da empresa para poder fazer parte dela.
1.1.1 MECANISMO
O
mecanismo RADIUS serve para dar acesso remoto a usuários originais de
ligações de Dial-Up, ligações por Virtual Private Network (VPN),
Wireless Clients (Usuários de redes sem fio) ou por serviços de
terminais.
Figura 1.1 – Gráfico com os vários tipos de cliente de acesso remoto
Extraído de e-Microsoft (Elements of a Network Access Infrastruture, 2009)
Extraído de e-Microsoft (Elements of a Network Access Infrastruture, 2009)
1.1.2 OBJETIVOS
RADIUS
é conhecido como um servidor de AAA, os três A significam
autenticação, autorização ou controlo de acesso e contabilidade, também
referenciado como auditoria. Ele tem a função principal de permitir
acesso a clientes remotos e separar os acessos internos dos externos.
Desta
forma é possível centralizar toda a informação referente a
autenticações, controlar quem tem determinadas permissões de acesso e
quem está restringido, ficando por exemplo impedido de acessar à rede em
um determinado horário ou dias da semana e criar estatística de acesso e
de auditoria para futuros planejamentos da empresa, como expansões
assim como tipos de comportamento por parte dos usuários.
Figura
1.2 – Gráfico mostrando a importância do conceito AAA para o acesso
remoto a um servidor RRAS que é controlado por um Controlador de domínio
(AD).
Extraído de e-Microsoft (Concepts to Autenticated and Authorized, 2009)
1.1.3 PROTOCOLO E PORTAS TCP/IP
O
protocolo RADIUS é conhecido como um padrão IETF (Internet Engineering
Task Force), em geral um IETF é um padrão de Internet com especificações
estáveis e bem compreendidas, tecnicamente competentes, com múltiplas
implementações independentes e interoperáveis com substancial
experiência operacional, que conta com o apoio do público no geral, e é
reconhecidamente útil em algumas ou todas as partes da Internet.
Quanto
às portas TCP/IP a Internet Assigned Numbers Authority (IANA) reserva
as portas UDP 1812 para o serviço de autenticação do cliente no servidor
de RADIUS e a porta UDP 1813 para o serviço de contabilidade. No
entanto diversos servidores optam pela porta UDP 1645 para o serviço de
autenticação e a porta UDP 1646 para o serviço de contabilidade por
padrão.
Aqui
um aspecto importante na implementação de portas TCP/IP é que um
servidor cliente RADIUS tem que utilizar as mesma portas de um servidor
RADIUS que recebe os pedidos, que no fabricante Microsoft é conhecido
como Internet Authentication Service (IAS).
2. AAA
Autenticação
o primeiro A do triplo AAA, é uma forma da qual uma pessoa, usuário da
rede ou não utiliza para provar a sua identidade em um sistema RADIUS.
Frequentemente
este tipo de autenticação envolve somente o usuário ter conhecimento de
um nome de usuário e uma senha para ter acesso sem restrição ao
sistema. Outros processos de autenticação mais complexos, envolvendo
outros factores de autenticação e de protecção de credenciais são
implementados em ordem de promover uma protecção mais elevada à rede e
protecção em relação ao “logon” de um usuário.
A
intenção é sempre de provar que o usuário é realmente quem diz ser e
justificar por meio de autenticação esse mesmo facto ao sistema que
solicita esses dados, como por exemplo o mecanismo de RADIUS server.
2. 1. 1 DEFINIÇÃO DE FUNCIONAMENTO
Quando
um mecanismo de RADIUS é implementado é importante entender os termos
normalmente usados durante a sua implementação, o termo RADIUS Client
por vezes gera confusão, pois pode-se pensar que é o cliente a tentar
aceder à rede ou seja o usuário final estando incorrecto, este termo é
usado para representar na infraestrutura de rede o servidor de acesso
remoto (RRAS) e não o cliente final.
Para
se definir o cliente ou usuário final dá-se o nome de remote access
client (cliente de acesso remoto), sendo assim o servidor de acesso
remoto passa a ser o cliente do servidor RADIUS que tem por nome IAS
server nas implementações em servidores Microsoft.
O
usuário comunica diretamente com o RADIUS client e este comunica
diretamente com o RADIUS server, conhecido como IAS server em
implementações Microsoft, deste modo aumenta-se o nível de segurança,
até porque as comunicações entre RADIUS server e RADIUS client podem ser
encriptadas com hash MD5 aumentando ainda mais a integridade dos dados
trafegados na rede.
Figura 1.3 – Gráfico mostrando os diferentes Players de uma ligação RADIUS
Extraído de e-Microsoft (Centralize Network Access Authentication, 2009)
Extraído de e-Microsoft (Centralize Network Access Authentication, 2009)
CONCLUSÃO OU CONSIDERAÇÕES FINAIS
RADIUS
é um mecanismo confiável que já deu provas de ser extremamente seguro e
estável, o que na prespectiva de segurança de redes de computadores têm
uma grande aceitação, precisamente por ser um padrão IETF onde se pode
implementar em diferentes vendedores e sistemas, no mercado de TI.
O
sistema também ganha grandes adeptos nas redes cooperativas sem fio,
chamadas de Wireless Local Area Networn (WLAN), pois como estas redes de
meios não guiados foram originalmente desenvolvidas para trafegar dados
e não para garantir a segurança dos mesmos, revê aqui uma oportunidade
bastante confiável para assegurar a autenticação em uma rede desta
natureza.
Outro
dos benefícios de se utilizar o protocolo RADIUS em vez de
proprietários como o Terminal Access Controller Acess-Control System
(TACACS+) utilizado pela CISCO é que é possível instalar diversos
equipamentos de rede como servidores e roteadores sem a necessidade de
um outro protocolo de rede, promovendo a comunicação entre ambas as
partes envolvidas, desde o cliente até ao servidor RADIUS final, com
isto, sem ser necessário a utilização de mais nenhum software adicional
ou outro mecanismo de comunicação, pelo motivo de que originalmente os
sistemas operacionais WINDOWS têm suporte a este protocolo, assim como
os sistemas LINUX.
Contudo
faz importância salientar que uma das diferenças mais significativas
entre ambos, é que o protocolo RADIUS não consegue separar os processos
de Autenticação e Autorização dentro de uma arquitectura AAA, sendo
mais adequado para permaner ativo nos equipamentos de rede, durante todo
o tempo de conexão do usuário.
Já
o TACACS+ separa os processos de Autenticação e Autorização e foi
otimizado para controle de comandos de configuração e monitorização
utilizando a porta confiável TCP 49 em vez das UDP já descritas no
artigo.
Fonte: Projeto de Redes
Nenhum comentário:
Postar um comentário