ieee 802.1x 1. introdução o padrão ieee 802.1x define o controle de acesso à rede baseado em...
TRANSCRIPT
![Page 1: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/1.jpg)
IEEE 802.1X
1
![Page 2: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/2.jpg)
Introdução
• O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a redes Ethernet. Esse controle de acesso à rede baseado em porta utiliza as características físicas da infra-estrutura de rede local comutada para autenticar dispositivos conectados a uma porta do comutador. A capacidade de enviar e receber quadros usando uma porta do comutador Ethernet será negada se o processo de autenticação falhar. Embora esse padrão seja projetado para redes Ethernet com fio, ele foi adaptado para ser usado em redes locais sem fio IEEE 802.11.
2
![Page 3: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/3.jpg)
• O IEEE 802.1X define os seguintes termos: – Entidade de acesso à porta – Autenticador – Suplicante – Servidor de autenticação
3
![Page 4: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/4.jpg)
Entidade de acesso à porta
• Uma entidade de acesso à porta (PAE), também conhecida como uma porta de rede local, é uma entidade lógica que oferece suporte ao protocolo IEEE 802.1X associado a uma porta. Uma porta de rede local pode adotar a função de autenticador, suplicante ou ambos.
4
![Page 5: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/5.jpg)
Autenticador
• Um autenticador é uma porta de rede local que aplica a autenticação antes de permitir acesso a serviços que são acessados por meio da porta. No caso das conexões sem fio, o autenticador é a porta de rede local lógica em um ponto de acesso (AP) sem fio por meio do qual os clientes sem fio, operando no modo de infra-estrutura, ganham acesso à rede com fio.
5
![Page 6: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/6.jpg)
Suplicante • O suplicante é uma porta de rede local que solicita
acesso a serviços acessados por meio do autenticador. No caso das conexões sem fio, o suplicante é a porta de rede local lógica em um adaptador de rede sem fio que solicita acesso à rede com fio. Ele faz isso associando-se a um autenticador e se autenticando.
• Quando utilizados para conexões sem fio ou conexões Ethernet com fio, o suplicante e o autenticador são conectados por um segmento de rede local ponto a ponto lógico ou físico.
6
![Page 7: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/7.jpg)
Servidor de autenticação
• Para verificar as credenciais do suplicante, o autenticador usa um servidor de autenticação. O servidor de autenticação verifica as credenciais do suplicante em nome do autenticador e responde ao autenticador, indicando se o suplicante está ou não autorizado a acessar os serviços do autenticador. O servidor de autenticação pode ser:
7
![Page 8: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/8.jpg)
• Um componente do AP. – O AP deve ser configurado com os conjuntos de
credenciais de usuário correspondentes aos clientes que estão tentando se conectar. Isso geralmente não é implementado para APs sem fio.
• Uma entidade separada. – O AP encaminha as credenciais da tentativa de
conexão a um servidor de autenticação diferente. Geralmente, um AP sem fio usa o protocolo RADIUS para enviar os parâmetros de tentativa de conexão a um servidor RADIUS.
8
![Page 9: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/9.jpg)
Portas controladas e não controladas
• O controle de acesso baseado em porta do autenticador define os seguintes tipos de portas lógicas, que acessam a rede local com fio por meio de uma única porta de rede local física: – Porta Controlada– Porta Não Controlada
9
![Page 10: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/10.jpg)
Porta controlada
• A porta controlada permite que os dados sejam enviados entre um cliente sem fio e a rede com fio, mas apenas se o cliente sem fio estiver autenticado. Antes da autenticação, o comutador está aberto e nenhum quadro é encaminhado entre o cliente sem fio e a rede com fio. Depois de o cliente sem fio ser autenticado com êxito usando o IEEE 802.1X, o comutador é fechado e os quadros são encaminhados entre o cliente sem fio e os nós na rede com fio.
10
![Page 11: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/11.jpg)
Porta não controlada • A porta não controlada permite uma troca não
controlada de dados entre o autenticador (o AP sem fio) e outros dispositivos de rede na rede com fio, independentemente do estado de autorização dos clientes sem fio. Um bom exemplo é a troca de mensagens RADIUS entre um AP sem fio e um servidor RADIUS na rede com fio, que fornece a autenticação e a autorização de conexões sem fio. Os quadros enviados pelo cliente sem fio nunca são encaminhados pelo AP sem fio por meio da porta não controlada.
11
![Page 12: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/12.jpg)
Funcionamento• Em um comutador Ethernet autenticado, o
cliente Ethernet com fio pode enviar quadros Ethernet à rede com fio assim que a autenticação é concluída. O comutador identifica o tráfego de determinado cliente Ethernet com fio usando a porta física à qual o cliente Ethernet está conectado. Geralmente, somente um único cliente Ethernet é conectado a uma porta física no comutador Ethernet.
12
![Page 13: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/13.jpg)
• Como vários clientes sem fio disputam acesso e enviam dados usando o mesmo canal, é necessária uma extensão para o protocolo IEEE 802.1X básico a fim de permitir que um AP sem fio identifique o tráfego seguro de um cliente sem fio específico. Isso é feito por meio da determinação mútua de uma chave de sessão por cliente de difusão ponto a ponto realizada pelo cliente e o AP sem fio.
13
![Page 14: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/14.jpg)
• Somente os clientes sem fio autenticados têm uma chave de sessão por cliente de difusão ponto a ponto determinada corretamente. Sem uma chave de sessão de difusão ponto a ponto válida, ligada a uma autenticação bem-sucedida, os quadros enviados por um cliente sem fio não autenticado são descartados silenciosamente pelo AP sem fio.
14
![Page 15: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/15.jpg)
Protocolo de autenticação extensível
• Para fornecer um mecanismo de autenticação padrão para o IEEE 802.1X, o IEEE optou pelo protocolo de autenticação extensível (EAP). EAP é uma tecnologia de autenticação baseada no protocolo ponto a ponto (PPP) que foi adaptada para uso em segmentos de rede local ponto a ponto.
15
![Page 16: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/16.jpg)
• O EAP-TLS, com certificados de usuário e computador baseados no Registro, é o método de autenticação para a conectividade sem fio baseada no Windows devido aos seguintes motivos: – O EAP-TLS não requer nenhuma dependência na senha da
conta de usuário. – A autenticação EAP-TLS ocorre automaticamente, sem
intervenção do usuário. – O EAP-TLS usa certificados, que fornecem um esquema de
autenticação de alta segurança.
16
![Page 17: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/17.jpg)
• Como as mensagens EAP originalmente eram definidas para serem enviadas como a carga de quadros PPP, o padrão IEEE 802.1X define o EAP através de rede local (EAPOL), que é um método de encapsular mensagens EAP para poderem ser enviadas através de segmentos Ethernet ou rede local sem fio.
17
![Page 18: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/18.jpg)
• Para a autenticação de conexões sem fio, o Windows usa o protocolo de nível de transporte EAP (EAP-TLS), que é definido na RFC 2716 e usado em ambientes de segurança baseados em certificado. A troca de mensagens EAP-TLS fornece autenticação mútua, negociação de conjuntos de codificação de integridade protegida e determinação mútua de material de chave de assinatura e criptografia entre o cliente sem fio e o servidor de autenticação (o servidor RADIUS). Após a autenticação e a autorização, o servidor RADIUS envia as chaves de criptografia e assinatura ao AP sem fio usando a mensagem de aceitação e acesso RADIUS.
18
![Page 19: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/19.jpg)
LDAP
![Page 20: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/20.jpg)
O que é um Diretório? • O que é um diretório?– É um banco de dados especializado com informações
descritivas baseadas em atributos e organizadas em forma de árvore.
• Característica de um diretório:– Resposta rápida a grande quantidade de consultas.
• Tipos de diretórios:– De aplicações: diretório do MS Exchange, etc.– De sistemas operacionais de rede: NIS (Sun), AD
(Microsoft)– De propósito específico: DNS– De propósito geral: LDAP
20
![Page 21: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/21.jpg)
O que é o LDAP?
• Lightweight Directory Access Protocol– Protocolo Leve de Acesso a Diretórios. – Trabalha na camada de aplicação da pilha de
protocolos TCP/IP, como por exemplo o SMTP, HTTP, FTP, TELNET e tantos outros.
– RFCs 2251 – 2830 e 3377– Cliente-Servidor.– Orientado a mensagens.
21
![Page 22: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/22.jpg)
História do LDAP
22
X.500 A CCITT (atual ITU) cria a versão Standard X.500 , ISO 9594
Data Communications Network Directory DAS: Directory Assistance Service (RFC 1202)
DIXIE: Protocol Specification (RFC1249)
LDAP: X.500 Lightweight Access Protocol (RFC 1487)LDAP (RFC 1777)
LDAP v2
LDAP v3 (RFC 3377)
1988
1998
![Page 23: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/23.jpg)
Origem do LDAP – Diretórios X.500
• Características Principais do X.500– Conexão de Serviços de Diretórios locais a fim de
formar um diretório global distribuído.
– Parte do diretório fica global e sua informação é disponibilizada através de um Agente do Sistema de Diretórios
– Trabalha com funções de gerenciamento, isto é, adição, modificação e deleção de entradas.
23
![Page 24: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/24.jpg)
Origem do LDAP – Cliente do X.500• O LDAP foi desenvolvido para ser um cliente
para o X.500, o serviço de Diretório OSI. O X.500 define o Protocolo de Acesso a Diretório (DAP) para os clientes usarem quando estiverem em contato com servidores de Diretório.
24
![Page 25: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/25.jpg)
Origem do LDAP - DAP
• O DAP era um protocolo difícil de trabalhar e implementar, e protocolos mais fáceis foram desenvolvidos com a maior parte de sua funcionalidade, mas com muito menos complexidade.
25
![Page 26: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/26.jpg)
Origem do LDAP – Pilha de Protocolos
• O LDAP roda diretamente sobre o TCP e fornece a maioria das funcionalidades do DAP, a um custo muito menor.
26
![Page 27: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/27.jpg)
Origem do LDAP – Versões
• Versões LDAP– 1993 primeira versão – 1996 LDAP v2 • Autenticação forte com Kerberos v4.
– 1997 LDAP v3 (atual)• Esta última foi desenvolvida para solucionar uma série de
limitações existentes na anterior, incluindo aspectos de segurança, passando a suportar protocolos de autenticação forte como o Simple Authentication Security Layer (SASL) e o Transport Layer Security (TLS)
27
![Page 28: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/28.jpg)
Por que usar o LDAP?
• Integração entre sistemas Operacionais• Interligação ( Windows , Linux, Unix , MacOS)
• Integração entre Serviços • Serviços de e-mail, FTP , Web etc.
• Desempenho nas consultas: Desenvolvido com ênfase na leitura, ou seja, os dados serão lidos rapidamente por um número maior de consultas simultâneas.
• Difundido no mercado• Não requer hardware pesado para operações
28
![Page 29: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/29.jpg)
Por que usar o LDAP?
29
![Page 30: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/30.jpg)
Diretório LDAP
• Representação gráfica de parte de um diretório LDAP:
30
![Page 31: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/31.jpg)
O que é LDIF?
• LDAP Data Interchange Format– Formato de intercâmbio de informações para o
LDAP– Definido na RFC 2849 - The LDAP Data Interchange
Format– Esse formato de dados descreve o diretório e suas
entradas em formato texto– Formato básico:
31
dn: <indentificador_único><atributo>: <valor><atributo>:: <valor codif. em base-64><atributo>: < <URL>...
![Page 32: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/32.jpg)
LDIFExemplo Simples com 2 entradas
32
version: 1dn: cn=Barbara Jensen, ou=Product Development, dc=airius, dc=comobjectclass: topobjectclass: personobjectclass: organizationalPersoncn: Barbara Jensencn: Barbara J Jensencn: Babs Jensensn: Jensenuid: bjensentelephonenumber: +1 408 555 1212description: A big sailing fan.
dn: cn=Bjorn Jensen, ou=Accounting, dc=airius, dc=comobjectclass: topobjectclass: personobjectclass: organizationalPersoncn: Bjorn Jensensn: Jensentelephonenumber: +1 408 555 1212
![Page 33: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/33.jpg)
LDIFExemplo com uma entrada codificada em
base-64
33
version: 1dn: cn=Gern Jensen, ou=Product Testing, dc=airius, dc=comobjectclass: topobjectclass: personobjectclass: organizationalPersoncn: Gern Jensencn: Gern O Jensensn: Jensenuid: gernjtelephonenumber: +1 408 555 1212description:: V2hhdCBhIGNhcmVmdWwgcmVhZGVyIHlvdSBhcmUhICBUaGlzIHZhbHVlIGlzIGJhc2UtNjQtZW5jb2RlZCBiZWNhdXNlIGl0IGhhcyBhIGNvbnRyb2wgY2hhcmFjdGVyIGluIGl0IChhIENSKS4NICBCeSB0aGUgd2F5LCB5b3Ugc2hvdWxkIHJlYWxseSBnZXQgb3V0IG1vcmUu
![Page 34: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/34.jpg)
LDIFExemplo com uma entrada referenciando
um arquivo externo
34
version: 1dn: cn=Horatio Jensen, ou=Product Testing, dc=airius, dc=comobjectclass: topobjectclass: personobjectclass: organizationalPersoncn: Horatio Jensen
cn: Horatio N Jensensn: Jensenuid: hjensentelephonenumber: +1 408 555 1212jpegphoto:< file:///usr/local/directory/photos/hjensen.jpg
![Page 35: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/35.jpg)
LDIF
• Representação gráfica de um arquivo LDIF:
35
![Page 36: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/36.jpg)
Operação do protocolo LDAP
• Recebimento de uma única entrada:– Caso o LDAP Server ache apenas um valor para a operação
de Search realizada, esse valor é retornado.– Na requisição, o cliente envia um ID único (msgid). Esse ID
é usado nas respostas para identificar as mensagens.
36
![Page 37: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/37.jpg)
Operação do protocolo LDAP• Recebimento de várias entradas:– Caso o LDAP Server ache diversos valores para a operação
de Search realizada, eles são retornados em mensagens separadas.
– Cada entrada retornada tem um nome único chamado de distinguished name (DN).
37
![Page 38: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/38.jpg)
Operação do protocolo LDAP
• Requisição de várias operações:– Como o LDAP é orientado a mensagem, é possível realizar
diversas operações ao mesmo tempo.– Isto torna o protocolo mais flexível e eficiente, pois não há
a necessidade de esperar uma resposta do server antes de realizar outra operação, como no HTTP.
38
![Page 39: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/39.jpg)
Operação do protocolo LDAP
• Tipos de operações do LDAP, divididas em 3 classes:– Operações de pergunta:
• Search• Compare
– Operações de atualização:• Add• Delete• Modify• Modify DN (Rename)
– Operações de autenticação e controle:• Bind (Cliente se autentica com o Servidor)• Unbind (Cliente termina sessão com o Servidor)• Abandon (Cliente não está mais interessado nas respostas da
requisição anteriormente enviada)39
![Page 40: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/40.jpg)
Operação do protocolo LDAP
• Troca completa de mensagens entre Cliente e Servidor:
40
![Page 41: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/41.jpg)
Operação do protocolo LDAP
• A combinação de simples operações podem realizar tarefas complexas, exemplo:
41
![Page 42: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/42.jpg)
A Segurança no LDAP
• Protegendo informações de acessos indevidos:– Autenticação.
• LDAP, só autenticação simples (texto aberto)• LDAPv2, autenticação simples e pode utilizar Kerberos v4 e
v5• LDAPv3, utiliza framework SASL (Simple Authentication and
Security Layer) – múltiplos mecanismos de autenticação
– Transmissão de dados segura (criptografia).– Modelos de controle de acesso.
42
![Page 43: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/43.jpg)
Métodos de Autenticação
• LDAPv3: métodos de autenticação definidos na RFC 2829 (Authentication Methods for LDAP).
• Nessa RFC, os servidores foram quebrados em 3 grupos:– Servidores LDAP públicos Somente-leitura (permitem login
anônimo, sem senha).– Servidores com autenticação usando senhas (usa
mecanismo SASL DIGEST-MD5).– Servidores com autenticação e criptografia de dados (usa
StartTLS para camada de transporte segura e certificados com chaves públicas para autenticação de ambos os lados).
43
![Page 44: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/44.jpg)
Método de Criptografia
• Transport Layer Security (TLS)• TLS proporciona:
– Autenticidade, Integridade e Criptografia de dados
• Clientes que usam TLS na comunicação:– Suas mensagens não serão decifradas caso sejam capturadas. – Suas mensagens não serão alteradas (homem do meio)– Podem autenticar o servidor (usando certificados com chaves
públicas)– Podem verificar a autenticidade de servidores nos quais ele já
está conectado (usando certificados com chaves públicas)
44
![Page 45: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/45.jpg)
Método de Criptografia
• LDAP usando SASL com SSL/TLS
45
![Page 46: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/46.jpg)
Método de Criptografia
46
![Page 47: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/47.jpg)
Modelo de Controle de Acesso
• Define os direitos de acesso as informações do diretório para cada usuário ou grupo:– Ex:
• Somente leitura de nomes para usuário Administrator;• Alteração de descrição para todos os usuários;• Leitura de informações básicas do diretório para usuário
Anônimo;
• Não foi padronizado pela IETF (ainda estão definindo um padrão).– Cada fabricante tem um padrão distinto muito trabalho
de migração caso seja necessário mudar de fabricante.
47
![Page 48: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/48.jpg)
• Replicação do serviço de diretórios Conceito de prover mecanismos de tolerância a falhas afim que manter o acesso as informações dos usuário sempre integra.
• Diretórios distribuídos Conceito que visa reduzir os pontos de falhas , alem de prover menor consumo de banda e tempo quando uma consulta é realizada. O principal benefício é a possibilidade de redução de custos com hardware
48
Tipos de OtimizaçõesTipos de Otimizações
![Page 49: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/49.jpg)
Replicação de Diretório• Problema: Muitos computadores acessando
um servidor ponto de falha.
49
![Page 50: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/50.jpg)
Replicação de Diretório• Solução: Usar o conceito de Diretórios
Replicados para usar uma redundância quando for necessário.
50
![Page 51: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/51.jpg)
Replicação de Diretório• Quando temos uma falha no serviço o outro
servidor entra em operação de forma automática.
51
![Page 52: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/52.jpg)
Diretórios Distribuídos• Problema: Muitos Computadores acessando o
local que reside a informação. ( Tempo elevado e utilização do hardware para consulta)
52
![Page 53: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/53.jpg)
Diretórios Distribuídos• Solução: Utilização de vários computadores na
formação na arvore de Diretórios.
53
![Page 54: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/54.jpg)
Exemplo Prático – Windows • Conceitos e Nomenclaturas:– Forest Root Principal Servidor da Floresta.– Global Catalog Arquivo que reúne todas as
informações sobre os Componentes do Domínio computadores, usuários , impressoras e seus atributos.
– Member Server : Servidor membro, roda aplicações (Banco de Dados, Controle de Versões, Servidor de Arquivos etc)
– Domain Controler Controlador do Domínio, controla os objetos do domínio.
54
![Page 55: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/55.jpg)
Exemplo Prático – Windows - Cenário
55
![Page 56: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/56.jpg)
Exemplo Prático – Windows - Cenário
• Nesta parte do Exemplo temos o Forest Root , onde fica armazenado o Global Catalog(Arquivo de Diretórios) principal da Floresta. 56
![Page 57: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/57.jpg)
Exemplo Prático – Windows - Cenário
57www.microsoft.com
![Page 58: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/58.jpg)
58
![Page 59: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/59.jpg)
Active Directory – Considerações
• Interface LDAP para Windows Atualmente ADFS
• Cada Domain Controler tem o Active Directory Instalado para controlar os objetos do seu Domínio.
• As informações são replicadas de tempos em tempos
para manter a consistência dos dados. Informações Urgentes são replicadas no momento da alteração.
59
![Page 60: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/60.jpg)
Ferramentas Linux
• php LDAP admin– Módulo Web para administração do servidor
LDAP– Visualização hierárquica da árvore LDAP– Intuitivo, fácil e LIVRE!– Funciona também em outros SOs– Suporte internacional (8 línguas)– Mais informações: http://phpldapadmin
.sourceforge.net/
60
![Page 61: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/61.jpg)
phpLDAPadmin - Criação
61
![Page 62: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/62.jpg)
phpLDAPadmin - Edição
62
![Page 63: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/63.jpg)
phpLDAPadmin - Buscas
63
![Page 64: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/64.jpg)
Conclusão• Protocolo leve – não necessita de muitos recursos
computacionais;
• Padrão aberto – é possível a construção de produtos para várias plataformas (OpenLDAP);
• Expansível – podem ser adicionadas novas funcionalidades para atender às necessidades dos serviços de diretório e de segurança (framework SASL);
• Porém não é a solução para todos os problemas, pois não substitui tão eficientemente serviços como Servidores FTP, Servidores WEB ou Sistemas de Arquivos, por exemplo.
64
![Page 65: IEEE 802.1X 1. Introdução O padrão IEEE 802.1X define o controle de acesso à rede baseado em porta, que é utilizado para fornecer acesso autenticado a](https://reader035.vdocuments.mx/reader035/viewer/2022062307/552fc12a497959413d8ce264/html5/thumbnails/65.jpg)
Bibliografia • http://www.microsoft.com/technet/columns/cableguy/
cg0302.as• http://www.microsoft.com/windows2000/technologies/
communications/wifi/default.asp• Timothy A. Howes Ph.D., Mark C. Smith, Gordon S. Good,
Understanding and Deploying LDAP Directory Services, 2nd Edition, 2003, Ed. Addison Wesley
• http://www.ldap.org.br/• http://penta2.ufrgs.br/~mfiorese/tutorial_quipu/x500.htm• http://www.openldap.com• http://www.rnp.br/newsgen/0203/
processamento_dinamico.html#ng-2-2• http://phpldapadmin.sourceforge.net/• http://www.microsoft.com
65