Otto, eu agradeço muito pelo tempo dedicado que vc sedeu a lista, muito obrigado mesmo
Otto Fuchshuber Filho escreveu:
Explicando rapidamente o padrão IEEE 802.1X, existem basicamente 3 entidades (termos definidos no padrão):
- Autenticador (authenticator): entidade na extremidade de um
segmento de LAN ponto-a-ponto que facilita a autenticação da entidade conectada na outra extremidade. 2. Servidor de autenticação (authentication server): Entidade que provê serviço de autenticação para o autenticador. Este serviço determina, a partir das credenciais de acesso providas pelo suplicante, se ele está autorizado a acessar os serviços providos pelo autenticador. 3. Suplicante (supplicant): Entidade na extremidade de um segmento de LAN ponto-a-ponto que está sendo autenticada por um autenticador conectado na outra extremidade.
Esclarecendo melhor:
- O autenticador é um switch nas redes cabeadas ou um access point
802.11 nas redes wireless, com suporte a 802.1X. 2. O servidor de autenticação é um servidor Radius. 3. O suplicante é um micro, notebook, PDA (Palm, IPaq, ...), etc, com um software-cliente 802.1X instalado.
De maneira bem simplificada, o funcionamento na rede cabeada é o seguinte: as portas do switch estão sempre bloqueadas, não permitindo que qualquer tráfego ethernet passe por elas, a menos dos pacotes de autenticação. Ao perceber a conexão de um micro em uma de suas portas (logon, presença do sinal link do ethernet, etc), o switch pede ao micro que se identifique (ou o próprio micro inicia o processo de autenticação). O micro então informa suas credenciais de acesso as quais o switch repassa ao servidor Radius. Se as credenciais forem válidas, o servidor Radius informa ao switch que por sua vez libera a porta. Se as credenciais não forem válidas, o servidor Radius informa ao switch o qual mantém a porta bloqueada. Ao se fazer logoff no micro, desligá-lo ou desconectar seu cabo de rede, a porta do switch volta a ser bloqueada. Se você tentar enganar o switch colocando dois micros em uma mesma porta através de um hub e autenticando apenas um deles, a porta bloqueia assim que mais de um endereço MAC tentar trafegar por ela (em alguns switches, a quantidade de endereços MAC permitida é configurável).
Existem implementações proprietárias (por exemplo, as arquiteturas UPN da Enterasys e IBNS da Cisco) que, a partir do 802.1X, permitem associar um perfil à porta em função das credenciais de acesso apresentadas, permitindo coisas do tipo limitar/especificar a banda, especificar que serviços podem ser utilizados, que servidores podem ser acessados, qual VLAN se conectar.
As credenciais de acesso podem ser desde a velha dupla username/password até certificados digitais, vai depender do mecanismo de autenticação que se deseja utilizar (EAP-MD5, LEAP, PEAP, EAP-MSCHAPv2, EAP-TLS, EAP-TTLS), em função do nível de segurança requerido.
Então, para implementar um ambiente IEEE 802.1X em rede cabeadas, você precisa de switches que tenham suporte a 802.1X, um servidor Radius (ou mais de um para alta disponibilidade) e clientes 802.1X instalados nos micros. Micros que não tenham clientes 802.1X simplesmente não conseguem trafegar absolutamente nada na rede, sequer conseguem obter endereço pelo DHCP.
O switch, só comprando. Cisco, Nortel e Enterasys são as opções tradicionais (e mais caras), mas pode ser que já existam switches "genéricos" (Planet, Encore, etc) que ofereçam suporte a 802.1X. Teria que pesquisar.
O software Radius Server pode ser adquirido (por exemplo, Cisco ACS, Microsoft IAS) ou implementado em uma máquina Linux com o FreeRadius (http://www.freeradius.org). É possível inclusive em certas implementações, configurar o Radius para pesquisar as credenciais de acesso em um Active Directory ou LDAP.
Já o cliente 802.1X para os micros:
- Para o Linux tem o Open1X (http://open1x.sourceforge.net) e WIRE1x
(http://wire.cs.nthu.edu.tw/wire1x).
- Para o Win2K-SP2 e XP, existe suporte nativo para alguns mecanismos
de autenticação (EAP-MSCHAPv2 e EAP-TLS, se não me engano).
- Para outros Windows e/ou outros mecanismos de autenticação, existem
os clientes "pagos" Odyssey Client da Funk Software (http://www.funk.com/radius/wlan/wlan_c_radius.asp) e Aegis Client da Meetinghouse (http://www.mtghouse.com/products/aegis_solutions.asp).
- Para outros SO's (outros Unix-like, MAC OS X, etc) tem que pesquisar.
Para o caso dos demais dispositivos ethernet tais como impressoras, já estão aparecendo no mercado alguns com suporte a 802.1X (algumas impressoras da HP, se não me engano) mas por enquanto acho que a solução ainda é o velho filtro por MAC Address e investir em segurança física para eles de tal forma que minimize o risco de seus pontos de rede serem utilizados por pessoas não autorizadas.
Enfim, a solução 802.1X é extremamente robusta e altamente escalável mas, por isto, sua implementação não é trivial, requer ajustes de configuração que precisam ser determinados em um ambiente de teste antes de colocar em produção, pois são muitas opções e o que funciona em uma rede pode não funcionar em outra. Algumas das considerações que expus já testei e implementei, outras não.
Finalmente, como leitura, achei este HOW-TO para implementação com FreeRadius e Open1X: http://www.tldp.org/HOWTO/html_single/8021X-HOWTO. Não o li, só passei os olhos, mas parece ser bem completo. Só que é em inglês.
Bem, tentei dar uma geral no 802.1X para você, espero ter ajudado.
Sds, Otto Fuchshuber Filho o2to2f@gmail.com
Adere - Levi / Suporte Linux wrote:
existiria algum manual passo a passo pra mim tentar implantar o protocolo 802.1X, explicasse melhor, em português?
Otto Fuchshuber Filho escreveu:
É possível fazendo bloqueio por MAC ou implementando o protocolo IEEE 802.1X.
Em ambos os casos seu switch precisa ter suporte a estas features e no caso do 802.1X você ainda precisará de servidores Radius.
Sds, Otto Fuchshuber Filho o2to2f@gmail.com
Adere - Levi / Suporte Linux wrote:
Pessoal uso DHCP na minha rede, mas as vezes chegam algumas pessoas com notebook, espetam seus notebook na minha rede e logo em seguinda eles ja adquiriram um numero ip, dns primario, secundario, gateway, entre outras coisas, queria saber se tem como barrar isso, quando a pessoa colocar o notebook na rede, não vai conseguir fazer nada, não vai obter ip, nada, teria como?
-- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br
-- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br
-- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br
-- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br