O documento discute autenticação de usuários em sistemas computacionais. Aborda os componentes lógicos de autenticação, autorização e contabilização, além de tipos de credenciais e protocolos de autenticação como LDAP, RADIUS e EAP.
O documento discute autenticação de usuários em sistemas computacionais. Aborda os componentes lógicos de autenticação, autorização e contabilização, além de tipos de credenciais e protocolos de autenticação como LDAP, RADIUS e EAP.
O documento discute autenticação de usuários em sistemas computacionais. Aborda os componentes lógicos de autenticação, autorização e contabilização, além de tipos de credenciais e protocolos de autenticação como LDAP, RADIUS e EAP.
O documento discute autenticação de usuários em sistemas computacionais. Aborda os componentes lógicos de autenticação, autorização e contabilização, além de tipos de credenciais e protocolos de autenticação como LDAP, RADIUS e EAP.
Baixe no formato PPTX, PDF, TXT ou leia online no Scribd
Fazer download em pptx, pdf ou txt
Você está na página 1de 18
Autenticação
MsC. Eng. Beldo Mario
Objectivos A autenticação de utilizador destinasse a identificar as pessoas que pretendem ter acesso a um determinado sistema como, por exemplo, um computador ou uma aplicação, através das respectivas credenciais de autenticação. Pode, entam dizer-se que a autenticação pretende controlar quem e o utilizador, a autorização determina o que pode fazer com o recurso e a contabilização regista o que foi feito Componentes lógicos de um sistema de AAA Autenticação
O processo de autenticação envolve um cliente que solicita
acesso a rede ou aplicação, as credenciais de autenticação submetidas e, eventualmente, informação de contexto, isto e, informação complementar que permite uma decisão mais selectiva, relativamente a decisão de acesso. Cliente, principal, suplicante, ou mesmo utilizador, são designações para entidades (utilizador, aplicação, serviço) que solicitam acesso a um recurso, cujos atributos são armazenados no PIP. Para o caso de um utilizador, o PIP contem atributos como Username, a password, o endereço de correio electrónico ou os grupos de utilizadores a que pertence e as horas a que lhe e permitido acesso a rede ou aplicação. Todos estes atributos são acessaveis pilo PDP. Tipo de credencias que são submetidas pelo cliente ao PDP chaves partilhadas (shered-key) OTP (one-time password), Certificado digital Credencias biométricas,
◦ Reconhecimento facial; íris; impressão digital
Informação de contexto ◦ Postura do dispositivo ◦ OS do cliente ◦ Data de actualização do antivírus Autorização
Uma vez identificado o utilizador, a autorização determina
o que ele pode fazer, isto e quais os recursos do sistema que pode utilizar. A granularidade desta decisão depende, necessariamente, da implementação do componente responsável pela tomada de decisão (PDP) e do ponto onde ѐ aplicada a politica de acesso (PEP), não bastando que a informação esteja simplesmente armazenada no PIP. De um modo geral, o processo de autorização e suportado por um processo de provisioning. Em que, a informação sobre os direitos do utilizador, armazena num repositório (PIP), e transmitida ao PEP após uma decisão do PDP. Contabilização
A contabilização consiste num registo da actividade
do utilizador - identificação, hora de acesso, PEP usado para acesso, hora a que terminou o acesso. Durante muito tempo, contabilização era sinonimo da funcionalidade de accounting do RADIUS e apenas utilizada pelos fornecedores de acesso a internet, com o objectivo de facturar os seus clientes. Hoje em dia, por questões de segurança e de protecção de direitos de autor, a contabilização assume particular importância, na medida em que a legislação e cada vez mais exigente na manutenção de registos de utilização das redes. Protocolos de AAA CLIENTE-PEP
Estes operam no perímetro externo da rede. O protocolo
utilizado depende do modo como o utilizador solicita o acesso a rede e um sistema de autenticação devera autenticar utilizadores que usam diferentes tecnologia de acesso. ◦ PPP e PPPoE - num simples acesso telefónico (dial-up), e estabelecida uma ligação ponto-a-ponto entre o cliente e o PEP que, neste caso, e um Network Access Server (NAS) do operador. Esta ligação utiliza o point-to- point protocal (ppp) que, após estabelecimento da ligação, inclui uma fase de autenticação (opcional). A validação das credenciais de autenticação entre o cliente e o PEP é então feita com base em PAP ou CHAP. ◦ Hoje em dia, designadamente nos serviços de banda larga residencial, os operadores utilizam point-to-point protocol over Ethernet (PPPoE), adaptação do PPP para redes com meio partilhado.
◦ VPN Ipsec e SSL/TLS - Um utilizador pode igualmente, solicitar acesso
seguro a rede da sua organização, a partir de uma rede remota. O PEP correspondera assim, ao concentrador de VPN, localizado na rede de destino, que termina a ligação segura e autentica o utilizador. Neste caso poderão ser usados VPN Ipsec e SSL PEP-PDP
Operam no interior da rede e permitem suporta a decisão sobre o pedido de acesso
do utilizador. Devem ser referidos três protocolos: RADIUS, TACACS+ e Diameter. RADIUS - O Remote Authentication Dial In User Service, é a norma de facto, na comunicação entre o PEP e o PDP. Neste caso o PDP corresponde ao servidor RADIUS que comunica com o PEP (switch, Access point, concentrador de VPN), utilizando o protocolo RADIUS. É um protocolo com uma forte base de utilização e suporte, flexível, e que tem sido adaptado para responder a requisitos mais recentes. TACACS+ - E um protocolo proprietário, desenvolvido pela Cisco para comunicação entre PEP e PDP. Apesar de funcionalidades importantes e do suporte que recebe nos equipamentos de outros construtores, não tem a aceitação do RADIUS. DIAMETER - Assim como o diâmetro da circunferência e o dobro do raio, também o Diameter e uma proposta com o objectivo de ser o dobro do RADIUS. O diameter e um protocolo do IETF designado como sucessor do RADIUS, orientado para serviços avançados de AAA. Em redes de operadores e suporte de rede moveis. No entanto, a falta de suporte nos PEP e a referida evolução do RADUS, tem constituído um obstáculo a divulgação do Diameter. Cliente-PDP Para alem dos protocolos de AAA abordados, que operam entre componentes adjacentes, há também um protocolo que permite a comunicação directa entre o cliente e o PDP trata-se do Extensible Authentication protocolo (EAP). Num cenário de comunicação cliente-PDP, O PEP funciona apenas como dispositivo de passagem, não necessitando de conhecer o mecanismo de autenticação em uso, o que significa a sua concepção. O EAP foi criado para funcionar como uma extensão ao PPP e permitir uma escolha mais flexível do mecanismo (ou método EAP) de autenticação do usuário. Esta característica permitiu uma disponibilidade de diversos métodos EAP, como o EAP-MD5, o EAP-otp, EAP_SIM, o EAP-TTLS, o PEAP da Microsoft e o EAP-fest da Cisco. O interesse pelo EAP e a respectiva disponibilização de produtos com suporte EAP, recebeu um forte impulso com a utilização de redes sem fios IEEE 8202.11. de facto são conhecidas as fragilidades do protocolo WEP que constituía a solução de segurança mais forte, quando os primeiros produtos IEEE 802.11 surgiram no mercado. Perante a necessidade de encontrar rapidamente uma solução normalizada, o IEEE802.1x enquadrou o EAP e RADIUS para utilização em rede sem fios. Esta solução evoluiu rapidamente para WPA (que substitui o WEP pelo TKIP) ate estabilizar na revisão da norma designada por IEEE 802.11i (frequentemente designada por WPAv2). A disponibilização de activos de rede com suporte de EAP/802.1x permitiu adoptar a mesma solução para as redes cabeadas. PDP-PIP
Os protocolos PDP-PIP permitem ao PDP consultar m repositório de
informações sobre o cliente (atributos), com o objectivo de permitir o acesso. Actualmente, dois protocolos deste grupo assumem particular importância: O Lightweight Directory Access Protocol (LDAP) e o RADIUS. O LDAP permite ao PDP, interrogar um repositório de dados sobre o cliente, armazenado num directório X.500 (muitas vezes referido como directório LDAP). O LDAP permite construir soluções de elevado desempenho, robustas e fiáveis. O directório pode, igualmente, ser acedido por RADIUS. Se for utilizada a funcionalidade de proxy do RADIUS, pode ser construído um repositório de credenciais de autenticação, geograficamente distribuído.
Neste grupo de protocolos o PDP-PIP, pode, ainda, inclui-se o Active
Directory (AD) da Microsoft, também baseado em LDAP com extensões próprias, soluções suportadas por base de dados relacionais, o Network Information System (NIS) e o Kerberos. Trabalhos Abordagem detalhada dos protocolos LDAP e RADIUS. O objectivo principal destes detalhes e ilustrar a composição dum sistema de autenticação que reúna os seguintes requisitos base: Um utilizador usa sempre as mesmas credenciais em todos os
cenários de acesso, independente da plataforma cliente. O sistema,
pode ser utilizado para autenticar clientes com diversos sistemas operativos ou aplicações que suportem LDAP ou RADIUS; Redundância: a indisponibilidade de um sistema não deve impedir
o controlo de acesso; Escalabilidade: o sistema pode ser ampliado com equipamentos
adicionais para responder a requisitos de desempenho;
O sistema deve suportar os cenários de dispersão geográfica de
organização. Por exemplo, um utilizador, que habitualmente
trabalha na sede duma empresa pode autenticar-se na rede duma filial com as mesmas credenciais de autenticação; As credencias de autenticação nunca são transmitidas e/ou
armazenadas no repositório sem serem cifradas.
Repositórios de credenciais de autenticação LDAP ◦ Modelo cliente-servidor LDAP ◦ Elementos do directório ◦ Construção do directório (LDIF) ◦ Uma DIT para autenticação e autorização ◦ Definir a estrutura do directório ◦ Implementação do directório ◦ Configuração básica do servidor opemLDAP ◦ Carregamento de dados Protocolo de acesso ao repositório LDAP ◦ Cliente linux ◦ Cliente apple macOS ◦ Cliente microsoft Windows RADIUS O protocolo Operação Pares atributo-valor (AVP) REALM Proxy RADIUS e Roamng FreeRADIUS Exemplo de utilização do servidor de autenticação Redundância e escalabilidade Replicar o directório Repartir o directório Redundância RADIUS Expansão da solução Outras alternativas
◦ Kerberos ◦ Microsoft active directory ◦ Shibboleth System