[Fedora-users-br] DHCP - IEEE 802.1X
Otto Fuchshuber Filho
o2to2f em gmail.com
Sex Jan 6 16:51:17 UTC 2006
Explicando rapidamente o padrão IEEE 802.1X, existem basicamente 3 entidades
(termos definidos no padrão):
1. Autenticador (authenticator): entidade na extremidade de um segmento de LAN
ponto-a-ponto que facilita a autenticação da entidade conectada na outra
extremidade.
2. Servidor de autenticação (authentication server): Entidade que provê serviço
de autenticação para o autenticador. Este serviço determina, a partir das
credenciais de acesso providas pelo suplicante, se ele está autorizado a acessar
os serviços providos pelo autenticador.
3. Suplicante (supplicant): Entidade na extremidade de um segmento de LAN
ponto-a-ponto que está sendo autenticada por um autenticador conectado na outra
extremidade.
Esclarecendo melhor:
1. O autenticador é um switch nas redes cabeadas ou um access point 802.11 nas
redes wireless, com suporte a 802.1X.
2. O servidor de autenticação é um servidor Radius.
3. O suplicante é um micro, notebook, PDA (Palm, IPaq, ...), etc, com um
software-cliente 802.1X instalado.
De maneira bem simplificada, o funcionamento na rede cabeada é o seguinte: as
portas do switch estão sempre bloqueadas, não permitindo que qualquer tráfego
ethernet passe por elas, a menos dos pacotes de autenticação. Ao perceber a
conexão de um micro em uma de suas portas (logon, presença do sinal link do
ethernet, etc), o switch pede ao micro que se identifique (ou o próprio micro
inicia o processo de autenticação). O micro então informa suas credenciais de
acesso as quais o switch repassa ao servidor Radius. Se as credenciais forem
válidas, o servidor Radius informa ao switch que por sua vez libera a porta. Se
as credenciais não forem válidas, o servidor Radius informa ao switch o qual
mantém a porta bloqueada. Ao se fazer logoff no micro, desligá-lo ou
desconectar seu cabo de rede, a porta do switch volta a ser bloqueada. Se você
tentar enganar o switch colocando dois micros em uma mesma porta através de um
hub e autenticando apenas um deles, a porta bloqueia assim que mais de um
endereço MAC tentar trafegar por ela (em alguns switches, a quantidade de
endereços MAC permitida é configurável).
Existem implementações proprietárias (por exemplo, as arquiteturas UPN da
Enterasys e IBNS da Cisco) que, a partir do 802.1X, permitem associar um perfil
à porta em função das credenciais de acesso apresentadas, permitindo coisas do
tipo limitar/especificar a banda, especificar que serviços podem ser utilizados,
que servidores podem ser acessados, qual VLAN se conectar.
As credenciais de acesso podem ser desde a velha dupla username/password até
certificados digitais, vai depender do mecanismo de autenticação que se deseja
utilizar (EAP-MD5, LEAP, PEAP, EAP-MSCHAPv2, EAP-TLS, EAP-TTLS), em função do
nível de segurança requerido.
Então, para implementar um ambiente IEEE 802.1X em rede cabeadas, você precisa
de switches que tenham suporte a 802.1X, um servidor Radius (ou mais de um para
alta disponibilidade) e clientes 802.1X instalados nos micros. Micros que não
tenham clientes 802.1X simplesmente não conseguem trafegar absolutamente nada na
rede, sequer conseguem obter endereço pelo DHCP.
O switch, só comprando. Cisco, Nortel e Enterasys são as opções tradicionais (e
mais caras), mas pode ser que já existam switches "genéricos" (Planet, Encore,
etc) que ofereçam suporte a 802.1X. Teria que pesquisar.
O software Radius Server pode ser adquirido (por exemplo, Cisco ACS, Microsoft
IAS) ou implementado em uma máquina Linux com o FreeRadius
(http://www.freeradius.org). É possível inclusive em certas implementações,
configurar o Radius para pesquisar as credenciais de acesso em um Active
Directory ou LDAP.
Já o cliente 802.1X para os micros:
- Para o Linux tem o Open1X (http://open1x.sourceforge.net) e WIRE1x
(http://wire.cs.nthu.edu.tw/wire1x).
- Para o Win2K-SP2 e XP, existe suporte nativo para alguns mecanismos de
autenticação (EAP-MSCHAPv2 e EAP-TLS, se não me engano).
- Para outros Windows e/ou outros mecanismos de autenticação, existem os
clientes "pagos" Odyssey Client da Funk Software
(http://www.funk.com/radius/wlan/wlan_c_radius.asp) e Aegis Client da
Meetinghouse (http://www.mtghouse.com/products/aegis_solutions.asp).
- Para outros SO's (outros Unix-like, MAC OS X, etc) tem que pesquisar.
Para o caso dos demais dispositivos ethernet tais como impressoras, já estão
aparecendo no mercado alguns com suporte a 802.1X (algumas impressoras da HP, se
não me engano) mas por enquanto acho que a solução ainda é o velho filtro por
MAC Address e investir em segurança física para eles de tal forma que minimize o
risco de seus pontos de rede serem utilizados por pessoas não autorizadas.
Enfim, a solução 802.1X é extremamente robusta e altamente escalável mas, por
isto, sua implementação não é trivial, requer ajustes de configuração que
precisam ser determinados em um ambiente de teste antes de colocar em produção,
pois são muitas opções e o que funciona em uma rede pode não funcionar em outra.
Algumas das considerações que expus já testei e implementei, outras não.
Finalmente, como leitura, achei este HOW-TO para implementação com FreeRadius e
Open1X: http://www.tldp.org/HOWTO/html_single/8021X-HOWTO. Não o li, só passei
os olhos, mas parece ser bem completo. Só que é em inglês.
Bem, tentei dar uma geral no 802.1X para você, espero ter ajudado.
Sds,
Otto Fuchshuber Filho
o2to2f em gmail.com
Adere - Levi / Suporte Linux wrote:
> existiria algum manual passo a passo pra mim tentar implantar o
> protocolo 802.1X, explicasse melhor, em português?
>
> Otto Fuchshuber Filho escreveu:
>
>> É possível fazendo bloqueio por MAC ou implementando o protocolo IEEE
>> 802.1X.
>>
>> Em ambos os casos seu switch precisa ter suporte a estas features e no
>> caso do 802.1X você ainda precisará de servidores Radius.
>>
>> Sds,
>> Otto Fuchshuber Filho
>> o2to2f em gmail.com
>>
>> Adere - Levi / Suporte Linux wrote:
>>
>>> Pessoal uso DHCP na minha rede, mas as vezes chegam algumas pessoas
>>> com notebook, espetam seus notebook na minha rede e logo em seguinda
>>> eles ja adquiriram um numero ip, dns primario, secundario, gateway,
>>> entre outras coisas, queria saber se tem como barrar isso, quando a
>>> pessoa colocar o notebook na rede, não vai conseguir fazer nada, não
>>> vai obter ip, nada, teria como?
>>>
>>> --
>>> Fedora-users-br mailing list
>>> Fedora-users-br em redhat.com
>>> https://www.redhat.com/mailman/listinfo/fedora-users-br
>>
>>
>> --
>> Fedora-users-br mailing list
>> Fedora-users-br em redhat.com
>> https://www.redhat.com/mailman/listinfo/fedora-users-br
>>
>>
> --
> Fedora-users-br mailing list
> Fedora-users-br em redhat.com
> https://www.redhat.com/mailman/listinfo/fedora-users-br
Mais detalhes sobre a lista de discussão Fedora-users-br