[Fedora-users-br] DHCP - IEEE 802.1X

Adere - Levi / Suporte Linux levi.alves em adere.com
Seg Jan 9 09:30:49 UTC 2006 

Otto, eu agradeço muito pelo tempo dedicado que vc sedeu a lista, muito 
obrigado mesmo

Otto Fuchshuber Filho escreveu:
> Explicando rapidamente o padrão IEEE 802.1X, existem basicamente 3 
> entidades (termos definidos no padrão):
> 1. Autenticador (authenticator): entidade na extremidade de um 
> segmento de LAN ponto-a-ponto que facilita a autenticação da entidade 
> conectada na outra extremidade.
> 2. Servidor de autenticação (authentication server): Entidade que 
> provê serviço de autenticação para o autenticador.  Este serviço 
> determina, a partir das credenciais de acesso providas pelo 
> suplicante, se ele está autorizado a acessar os serviços providos pelo 
> autenticador.
> 3. Suplicante (supplicant): Entidade na extremidade de um segmento de 
> LAN ponto-a-ponto que está sendo autenticada por um autenticador 
> conectado na outra extremidade.
>
> Esclarecendo melhor:
> 1. O autenticador é um switch nas redes cabeadas ou um access point 
> 802.11 nas redes wireless, com suporte a 802.1X.
> 2. O servidor de autenticação é um servidor Radius.
> 3. O suplicante é um micro, notebook, PDA (Palm, IPaq, ...), etc, com 
> um software-cliente 802.1X instalado.
>
> De maneira bem simplificada, o funcionamento na rede cabeada é o 
> seguinte:  as portas do switch estão sempre bloqueadas, não permitindo 
> que qualquer tráfego ethernet passe por elas, a menos dos pacotes de 
> autenticação.  Ao perceber a conexão de um micro em uma de suas portas 
> (logon, presença do sinal link do ethernet, etc), o switch pede ao 
> micro que se identifique (ou o próprio micro inicia o processo de 
> autenticação).  O micro então informa suas credenciais de acesso as 
> quais o switch repassa ao servidor Radius.  Se as credenciais forem 
> válidas, o servidor Radius informa ao switch que por sua vez libera a 
> porta.  Se as credenciais não forem válidas, o servidor Radius informa 
> ao switch o qual mantém a porta bloqueada.  Ao se fazer logoff no 
> micro, desligá-lo ou desconectar seu cabo de rede, a porta do switch 
> volta a ser bloqueada.  Se você tentar enganar o switch colocando dois 
> micros em uma mesma porta através de um hub e autenticando apenas um 
> deles, a porta bloqueia assim que mais de um endereço MAC tentar 
> trafegar por ela (em alguns switches, a quantidade de endereços MAC 
> permitida é configurável).
>
> Existem implementações proprietárias (por exemplo, as arquiteturas UPN 
> da Enterasys e IBNS da Cisco) que, a partir do 802.1X, permitem 
> associar um perfil à porta em função das credenciais de acesso 
> apresentadas, permitindo coisas do tipo limitar/especificar a banda, 
> especificar que serviços podem ser utilizados, que servidores podem 
> ser acessados, qual VLAN se conectar.
>
> As credenciais de acesso podem ser desde a velha dupla 
> username/password até certificados digitais, vai depender do mecanismo 
> de autenticação que se deseja utilizar (EAP-MD5, LEAP, PEAP, 
> EAP-MSCHAPv2, EAP-TLS, EAP-TTLS), em função do nível de segurança 
> requerido.
>
> Então, para implementar um ambiente IEEE 802.1X em rede cabeadas, você 
> precisa de switches que tenham suporte a 802.1X, um servidor Radius 
> (ou mais de um para alta disponibilidade) e clientes 802.1X instalados 
> nos micros.  Micros que não tenham clientes 802.1X simplesmente não 
> conseguem trafegar absolutamente nada na rede, sequer conseguem obter 
> endereço pelo DHCP.
>
> O switch, só comprando.  Cisco, Nortel e Enterasys são as opções 
> tradicionais (e mais caras), mas pode ser que já existam switches 
> "genéricos" (Planet, Encore, etc) que ofereçam suporte a 802.1X.  
> Teria que pesquisar.
>
> O software Radius Server pode ser adquirido (por exemplo, Cisco ACS, 
> Microsoft IAS) ou implementado em uma máquina Linux com o FreeRadius 
> (http://www.freeradius.org).  É possível inclusive em certas 
> implementações, configurar o Radius para pesquisar as credenciais de 
> acesso em um Active Directory ou LDAP.
>
> Já o cliente 802.1X para os micros:
> - Para o Linux tem o Open1X (http://open1x.sourceforge.net) e WIRE1x 
> (http://wire.cs.nthu.edu.tw/wire1x).
> - Para o Win2K-SP2 e XP, existe suporte nativo para alguns mecanismos 
> de autenticação (EAP-MSCHAPv2 e EAP-TLS, se não me engano).
> - Para outros Windows e/ou outros mecanismos de autenticação, existem 
> os clientes "pagos" Odyssey Client da Funk Software 
> (http://www.funk.com/radius/wlan/wlan_c_radius.asp) e Aegis Client da 
> Meetinghouse (http://www.mtghouse.com/products/aegis_solutions.asp).
> - Para outros SO's (outros Unix-like, MAC OS X, etc) tem que pesquisar.
>
> Para o caso dos demais dispositivos ethernet tais como impressoras, já 
> estão aparecendo no mercado alguns com suporte a 802.1X (algumas 
> impressoras da HP, se não me engano) mas por enquanto acho que a 
> solução ainda é o velho filtro por MAC Address e investir em segurança 
> física para eles de tal forma que minimize o risco de seus pontos de 
> rede serem utilizados por pessoas não autorizadas.
>
> Enfim, a solução 802.1X é extremamente robusta e altamente escalável 
> mas, por isto, sua implementação não é trivial, requer ajustes de 
> configuração que precisam ser determinados em um ambiente de teste 
> antes de colocar em produção, pois são muitas opções e o que funciona 
> em uma rede pode não funcionar em outra.  Algumas das considerações 
> que expus já testei e implementei, outras não.
>
> Finalmente, como leitura, achei este HOW-TO para implementação com 
> FreeRadius e Open1X: 
> http://www.tldp.org/HOWTO/html_single/8021X-HOWTO.  Não o li, só 
> passei os olhos, mas parece ser bem completo.  Só que é em inglês.
>
> Bem, tentei dar uma geral no 802.1X para você, espero ter ajudado.
>
> Sds,
> Otto Fuchshuber Filho
> o2to2f em gmail.com
>
> Adere - Levi / Suporte Linux wrote:
>> existiria algum manual passo a passo pra mim tentar implantar o 
>> protocolo 802.1X, explicasse melhor, em português?
>>
>> Otto Fuchshuber Filho escreveu:
>>
>>> É possível fazendo bloqueio por MAC ou implementando o protocolo 
>>> IEEE 802.1X.
>>>
>>> Em ambos os casos seu switch precisa ter suporte a estas features e 
>>> no caso do 802.1X você ainda precisará de servidores Radius.
>>>
>>> Sds,
>>> Otto Fuchshuber Filho
>>> o2to2f em gmail.com
>>>
>>> Adere - Levi / Suporte Linux wrote:
>>>
>>>> Pessoal uso DHCP na minha rede, mas as vezes chegam algumas pessoas 
>>>> com notebook, espetam seus notebook na minha rede e logo em 
>>>> seguinda eles ja adquiriram um numero ip, dns primario, secundario, 
>>>> gateway, entre outras coisas, queria saber se tem como barrar isso, 
>>>> quando a pessoa colocar o notebook na rede, não vai conseguir fazer 
>>>> nada, não vai obter ip, nada, teria como?
>>>>
>>>> -- 
>>>> Fedora-users-br mailing list
>>>> Fedora-users-br em redhat.com
>>>> https://www.redhat.com/mailman/listinfo/fedora-users-br
>>>
>>>
>>> -- 
>>> Fedora-users-br mailing list
>>> Fedora-users-br em redhat.com
>>> https://www.redhat.com/mailman/listinfo/fedora-users-br
>>>
>>>
>> -- 
>> Fedora-users-br mailing list
>> Fedora-users-br em redhat.com
>> https://www.redhat.com/mailman/listinfo/fedora-users-br
>
> -- 
> Fedora-users-br mailing list
> Fedora-users-br em redhat.com
> https://www.redhat.com/mailman/listinfo/fedora-users-br
>
>
-------------- Próxima Parte ----------
Um anexo não-texto foi limpo...
Nome: levi.alves.vcf
Tipo: text/x-vcard
Tamanho: 794 bytes
Descrição: não disponível
URL: <http://listman.redhat.com/archives/fedora-users-br/attachments/20060109/203a8ea2/attachment.vcf>

Mais detalhes sobre a lista de discussão Fedora-users-br