td fabianomarcelino 2007 2

SOCIEDADE EDUCACIONAL DE SANTA CATARINA - SOCIESC

INSTITUTO SUPERIOR TUPY - IST

FABIANO MARCELINO SOUZA

AUTENTICAÇÃO DE USUÁRIOS NO ACTIVE DIRECTORY UTILIZANDO RADIUS ATRAVÉS

DO SERVIÇO DE AUTENTICAÇÃO DA INTERNET

Joinville

2007/2




Este trabalho de conclusão de curso será apre-sentado ao Instituto Superior Tupy como requisitoparcial para a obtenção de grau de Bacharel deSistemas de Informação sob orientação do pro-fessor Eduardo da Silva.

Joinville

2007/2

SOUZA, FABIANO. AUTENTICAÇÃO DE USUÁRIOS NO ACTIVE DIRECTORY

UTILIZANDO RADIUS ATRAVÉS DO SERVIÇO DE AUTENTICAÇÃO DA IN-

TERNET

Joinville: SOCIESC, 2007/2.




Esse trabalho foi julgado e aprovado emsua forma final pela banca examinadoraabaixo assinada.

Prof. Eduardo da Silva

Prof. MSc. Mehran Misaghi

Prof. Rodrigo Curvello

Aos meus pais João da Silva Souza e Te-

rezinha Marcelino Souza,

Meu irmão Cristiano Marcelino Souza e Mi-

nha namorada Eliza Natália da Rosa.

AGRADECIMENTO

À Deus que possibilitou não só esta obra,

bem como a realização da Faculdade de

Sistemas de Informação;

À minha mãe Terezinha que tanto me

deu força durante toda esta trajetória,

reanimando-me e dando força nos obstá-

culos a serem enfrentados;

Ao meu pai João pelo esforço realizado ao

meu lado para a realização do Curso;

À minha madrinha Ana Santa que me dire-

cionou a SOCIESC;

À minha namorada Eliza que tanto me in-

centivou para a realização deste trabalho;

Ao professor Eduardo pela sua dedicação

e paciência na orientação deste trabalho;

Ao amigo Edson Machado de Souza pela

força neste trabalho;

À Professora Cláudia Franceschette, que

tanto me incentivou a não desistir nunca;

A todos que não foram mencionados mas

que direta ou indiretamente ajudaram para

a finalização deste trabalho.

Se nós quisermos atingir resultados nunca antes atingidos, de-

vemos utilizar métodos nunca antes utilizados.

SIR FRANCIS BACON

RESUMO

Este trabalho de conclusão apresenta os conceitos devidos para estruturar um ambiente derede sem fio seguro por meio do protocolo RADIUS, integrando a autenticação com o ActiveDirectory, implementado através do Serviço de Autenticação da Internet. Tem como principalobjetivo fornecer acesso sem fio de uma forma segura através de redes corporativas. Dentre osconceitos apresentados estão uma introdução aos protocolos de acesso sem fio e autenticação,bem como as vantagens de cada protocolo. Também apresenta esclarecimentos sobre o ActiveDirectory, domínio, Serviço de Autenticação da Internet, RADIUS e redes sem fio. Além destes,explica ainda o funcionamento de todo o processo de autenticação de uma forma conceitual,demonstrando cada tecnologia apresentada. O trabalho contempla além da teoria, o caminhopara implementação, descrevendo também a função de cada ferramenta inclusa no processo,finalizando com os testes realizados para idealização deste trabalho.

Palavras-chave: RADIUS. Active Directory. IAS. Protocolo. Autenticação. Mobilidade.

ABSTRACT

This paper presents the concepts to structure a secure wireless environment through the RA-DIUS protocol, integrating authentication with Active Directory, implemented by Serviço de Au-tenticação da Internet - Internet Authentication Service (IAS). It objective is to integrate theaccess WiFi through a secure corporate network. Among the presented concepts there is an in-troduction to wireless access protocols and authentication and, the advantages of each protocol.Also presents information about the Active Directory, domain the Internet Authentication Service,RADIUS and WiFi. In addition still, explains the operation of the whole authentication proccessusing a conceptual way, demonstrating each technology presented. The paper includes besidesthe theory the way to implementing it also describing each tool’s inclused in the process, endingwith the tests for idealization of this work.

Keywords: RADIUS. Active Directory. IAS. Protocol. Authentication. Mobility.

LISTA DE ILUSTRAÇÕES

-Figura 1 Estrutura do pacote RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

-Figura 2 Acesso de um usuário remoto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

-Figura 3 Acesso ao servidor de proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

-Figura 4 Acesso via RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

-Figura 5 Autenticação RADIUS através da base de dados do AD . . . . . . . . . . . . . . . . . . . 23

-Figura 6 Conectividade de ativos de rede sem fio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

-Figura 7 Processo de autenticação sem fio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

-Figura 8 Distribuição de uma rede WiMax . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

-Figura 9 Autenticação sem fio sem RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

-Figura 10 Elementos Faltantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

-Figura 11 Autenticação em um Domínio com RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

-Figura 12 Componentes de um Domínio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

-Figura 13 Controlador de Domínio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

-Figura 14 Solicitação de Autenticação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

-Figura 15 Envio da Solicitação ao Controlador de Domínio . . . . . . . . . . . . . . . . . . . . . . . . . . 40

-Figura 16 Validação das Informações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

-Figura 17 Descrição do Domínio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

-Figura 18 Active Directory Users and Computers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

-Figura 19 Tela de Configuração do IAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

-Figura 20 Descrição do Servidor IAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

-Figura 21 Tela de configuração do log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

-Figura 22 Propriedades do arquivo de log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

-Figura 23 Propriedades do cliente RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

-Figura 24 Tipo de Diretiva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

-Figura 25 Escolha dos usuários com permissão para acesso sem fio . . . . . . . . . . . . . . . . 50

-Figura 26 Escolha do dispositivo de segurança . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

-Figura 27 Comando para Geração do Certificado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52

-Figura 28 Formato do certificado para exportação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

-Figura 29 Caminho para exportar o certificado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

-Figura 30 Informações do Certificado Digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

-Figura 31 Criptografia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

-Figura 32 Registro do Servidor IAS no Controlado de domínio . . . . . . . . . . . . . . . . . . . . . . . 55

-Figura 33 Configuração do cliente RADIUS no Windows XP . . . . . . . . . . . . . . . . . . . . . . . . . 56

-Figura 34 Configuração EAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

-Figura 35 Configuração do Ponto de acesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

-Figura 36 Dados para conexão no domínio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

-Figura 37 Preparação de rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

-Figura 38 Teste de Conectividade com o Servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

-Figura 39 Domínio com o Serviço de Autenticação da Internet . . . . . . . . . . . . . . . . . . . . . . . 60

LISTA DE TABELAS

Tabela 1 Tipos de pacotes RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Tabela 2 RFC’s que descrevem o RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

Tabela 3 Exemplos de protocolos sobre TCP/IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Tabela 4 Tecnologias para transmissão de dados sem fio . . . . . . . . . . . . . . . . . . . . . . . . . 30

Tabela 5 Configuração de IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

Tabela 6 Portas RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

Tabela 7 Descrição dos comandos para geração do certificado . . . . . . . . . . . . . . . . . . . 52

LISTA DE SIGLAS

AAA Autenticação, Autorização e Contabilização - Authentication, Authorization and

Accounting

AD Diretório Ativo - Active Directory

ATM Modo de Transferência Assíncrono - Asynchronous Transfer Mode

DC Controlador de Domínio - Domain Controllers

DER Codificação de Regras Distingüidas - Distinguished Encoding Rules

DHCP Protocolo de Configuração Dinâmica de Hosts - Dynamic Host Configuration Protocol

EAP Protocolo de Autenticação Extensível - Extensible Authentication Protocol

FTP Protocolo de Transferência de Arquivos - File Transfer Protocol

TCC Trabalho de Conclusão de Curso

IAS Serviço de Autenticação da Internet - Internet Authentication Service

IETF Internet Engineering Task Force

LDAP Protocolo de Leve Acesso a Diretórios - Lightweight Directory Access Protocol

NPS Servidor de Políticas de Rede - Network Policy Server

NTLM Administração de Rede NT - NT LAN Manager

OSI Interconexão de Sistemas Abertos - Open Systems Interconnection

PEAP Protocolo de Autenticação Extensível Protegido - Protected Extensible Authentication

Protocol

QOS Qualidade de Serviço - Quality of Service

RFC Request for Comments

SQL Linguagem de Consulta Estruturada - Structured Query Language

SSL Camada de Soquete Seguro - Secure Sockets Layer

SSO Autenticação Única - Single Sign On

TCP/IP Protocolo de Controle de Transmissão/Protocolo de Internet - Transmission Control

Protocol/Internet Protocol

TKIP Protocolo de Integridade de Chave Temporária - Temporal Key Integrity Protocol

TLS Camada de Transporte Seguro - Transport Layer Security

UO Unidades Organizacionais

VPN Rede Virtual Privada - Virtual Private Network

WEP Privacidade Equivalente a Redes com Fio - Wired Equivalent Privacy

WiFi Wireless Fidelity

WIMAX Interoperabilidade Mundial para Acesso por Microondas - World Interoperability for

Microware Access

WLAN Redes locais sem fio - Wireless Local Area Network

WPA Acesso Protegido Wi-Fi - Wi-Fi Protected Access

IEEE Institute of Electrical and Electronics Engineers

SSID Service Set Identifier

RADIUS Remote Authentication Dial In User Service

SUMÁRIO

1 INTRODUÇÃO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

2 PROTOCOLOS DE REDE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

2.1 RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

2.1.1 RADIUS em Redes sem Fio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

2.1.2 Pacote de Dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

2.1.3 Processo de Autenticação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

2.2 CONCLUSÃO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

2.3 MODELO EM CAMADAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

2.4 PROTOCOLOS DE AUTENTICAÇÃO . . . . . . . . . . . . . . . . . . . . . . . . . 26

2.4.1 Tipos de Autenticação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

2.5 PROTOCOLOS DE ACESSO SEM FIO . . . . . . . . . . . . . . . . . . . . . . . . 27

2.5.1 Tecnologia de comunicação sem fio . . . . . . . . . . . . . . . . . . . . . . . . . 28

2.6 TIPOS DE TRANSMISSÃO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

2.6.1 Redes locais sem fio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

2.6.2 Redes metropolitanas sem fio . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

2.6.3 Bluetooth . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

3 TECNOLOGIAS UTILIZADAS PARA AUTENTICAÇÃO VIA RADIUS . . . . . . . . . 34

3.1 ACTIVE DIRECTORY . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

3.1.1 Domínio de Rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

3.1.2 Controlador de Domínio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

3.2 SERVIÇO DE AUTENTICAÇÃO DA INTERNET (IAS) . . . . . . . . . . . . . . . . 41

4 AUTENTICAÇÃO DE USUÁRIOS NO Diretório Ativo - Active Directory (AD) UTILI-

ZANDO RADIUS VIA IAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

4.1 CRIAÇÃO DE UM DOMÍNIO NO ACTIVE DIRECTORY . . . . . . . . . . . . . . . . 43

4.1.1 AMBIENTE DE TESTES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

4.2 INSTALAÇÃO DO SERVIÇO DE AUTENTICAÇÃO DA INTERNET PARA AUTENTICA-

ÇÃO VIA RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

4.3 CONFIGURAÇÃO DA FERRAMENTA MICROSOFT IAS . . . . . . . . . . . . . . . 46

4.3.1 Diretivas de Acesso Remoto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

4.3.2 Geração do Certificado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

4.4 REGISTRO NO ACTIVE DIRECTORY . . . . . . . . . . . . . . . . . . . . . . . . 55

4.5 CONFIGURAÇÃO DO CLIENTE SEM FIO . . . . . . . . . . . . . . . . . . . . . . 56

4.6 AJUSTES NO PONTO DE ACESSO . . . . . . . . . . . . . . . . . . . . . . . . . 57

4.7 CONEXÃO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

4.8 RESULTADOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

5 CONCLUSÃO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

REFERÊNCIAS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

17

1 INTRODUÇÃO

Atualmente, as corporações necessitam cada vez mais de acessos facilitados aos dados de

seus sistemas, de forma rápida e segura, geralmente, proporcionado através da mobilidade das

redes sem fio, cada vez mais presentes em nosso dia a dia. Acessar aos dados da corporação

através de sua residência, de clientes, aeroportos ou dos mais variados locais, não é mais um

luxo, mas sim uma necessidade.

Quase na época em que surgiram os notebooks, muitas pessoas sonhavam com o dia em

que entrariam em um escritório e magicamente seu notebook conectar-se-ia à Internet (TA-

NENBAUM, 2003). A autenticação é a porta de entrada ao sistema, desta forma, deve possuir

diversos mecanismos de segurança, evitando acessos indevidos, uma vez que pode ser inter-

ceptado.

Há diversas possibilidades de proteger o processo de autenticação, mas na maioria dos

casos a proteção acaba dificultando o acesso, bem como o gerenciamento. A forma mais co-

erente com a maioria das corporações hoje, é uma autenticação única, integrada, que dispo-

nibilize acesso a variados serviços e com a segurança necessária, evitando desta forma, a

interceptação ou o roubo de informações, invasões.

O protocolo RADIUS, vem de encontro com essa necessidade, por ser um mecanismo de

segurança na autenticação via redes sem fio. Por ser multi-plataforma e de fácil integração

com servidores de logon, como o Active Directory, Protocolo de Leve Acesso a Diretórios -

Lightweight Directory Access Protocol (LDAP), pode ser utilizado de forma a garantir a integri-

dade dos dados a serem autenticados. Com a integração, mantém-se a facilidade no acesso,

com a segurança necessária e ainda através do mesmo logon utilizado habitualmente. Uma

única autenticação e diversas aplicações disponíveis com segurança e criptografia, pois diver-

sos tipos de criptografia são suportados via RADIUS.

Este trabalho apresenta um estudo baseado na implementação de mecanismos de segu-

rança para autenticação em redes sem fio, através do Active Directory, utilizando o protocolo

RADIUS, implementado no Windows Server pelo IAS, nativo do sistema operacional. Através

da tecnologia RADIUS, pode-se utilizar a base do AD, para prover os mesmos serviços, as

mesmas aplicações, através do processo Autenticação Única - Single Sign On (SSO), ou seja

autenticação única, através de um usuário e senha.

O capítulo 2 apresenta uma abordagem conceitual sobre protocolos, apresentando seu

funcionamento e formato, através do modelo de referência Interconexão de Sistemas Abertos -

Open Systems Interconnection (OSI). Posteriormente, são apresentados os protocolos de au-

tenticação e de acesso sem fio, através das tecnologias utilizadas atualmente. Este capítulo

18

demonstra ainda as facilidades da autenticação em redes sem fio, esclarecendo os conheci-

mentos apresentados e finalizando este capítulo.

O capítulo 3 demonstra as tecnologias utilizadas neste estudo de caso. Descreve-se os con-

ceitos sobre o Active Directory, noções de árvore e domínio. Após, explica-se o funcionamento

do IAS, sua função e formas de utilização. Prosseguindo na descrição das tecnologias, é deta-

lhado o protocolo RADIUS, sua utilização nas redes sem fio, características e sua importância

no processo de autenticação. Finalmente é apresentada toda a tecnologia WiFi, sua utilização

atualmente, frequência, e seus benefícios se utilizado com ferramentas que proporcionem ainda

mais comodidade e segurança, concluindo desta forma, o capítulo.

O capítulo 4, explica como será realizado o estudo de caso, através da integração das ferra-

mentas, explicando e ilustrando o conceito do estudo realizado. Posteriormente, demonstra-se

um estudo de caso através dos testes realizados no ambiente igualmente descrito no capítulo,

onde foi integrado o mecanismo de segurança RADIUS no Windows através do IAS, integrado

com o AD.

19

2 PROTOCOLOS DE REDE

Neste capítulo, são descritas as vantagens obtidas com o uso da tecnologia sem fio e

do benefício para várias aplicações, implementadas a partir da Integração do AD com Re-

mote Authentication Dial In User Service (RADIUS), onde os usuários, de um ponto de acesso,

utilizem-se de um Servidor RADIUS para autenticar-se em uma base de dados do AD, onde boa

parte das aplicações utilizadas no dia a dia poderão ser integradas a uma conta única existente.

Como a maior parte da utilização das redes hoje em dia faz-se através das redes Ethernet,

pelo Protocolo de Controle de Transmissão/Protocolo de Internet - Transmission Control Proto-

col/Internet Protocol (TCP/IP), proporcionando, por exemplo, acesso à Internet, serviços como o

DNS, Protocolo de Transferência de Arquivos - File Transfer Protocol (FTP), o próprio IP, dentre

milhares de serviços existentes. Para o acesso sem fio, existem protocolos específicos, assim

como para autenticação que conforme o serviço, pode variar ou ainda pode-se optar por um

método de autenticação, como o RADIUS.

A mobilidade, baixo custo de infra-estrutura de rede e suporte para administração, vêm

motivando cada vez mais as empresas a adotarem esta tecnologia. No caso das operadoras,

um novo mercado para acesso com alta velocidade à Internet em áreas públicas, como hotéis e

aeroportos, está se multiplicando de forma acelerada, no Brasil e no exterior, já existem vários

aeroportos oferecendo esse serviço (CARDOSO, 2007).

O entendimento deste capítulo, é fundamental para a idealização deste trabalho, tendo em

vista que o mesmo aborda conceitos básicos e iniciais. Precisa-se compreender o conceito de

protocolos, os processos de autenticação para só então poder definir a implementação de forma

consistente.

Antes de iniciar a abordargem sobre os tipos de protocolos de autenticação e acesso sem

fio, é importante entender o conceito e para que serve o termo protocolo. Protocolo é um con-

junto de regras que controlam a troca de dados entre computadores ou programas, permitindo a

detecção e a correção de erros(STALLINGS, 2005). Ele proporciona a união de um conjunto com

informações ou dados que passam por um preparo, a fim de tornarem os aplicativos do sistema

plenamente utilizáveis.

Basicamente, um protocolo é um acordo entre as partes que se comunicam, estabelecendo

como se dará a comunicação. Como uma analogia, quando uma mulher é apresentada a um

homem, ela pode estender a mão para ele que, por sua vez, pode apertá-la ou beijá-la, depen-

dendo, por exemplo, do fato de ela ser uma advogada americana que esteja participando de

uma reunião de negócios ou uma princesa européia presente a um baile de gala (TANENBAUM,

2003).

20

2.1 RADIUS

Quando se trata de um controle de acesso, sempre pensa-se em facilidade de administra-

ção, armazenamento, mas principalmente uso, para qualquer tipo de usuário, inclusive móveis,

como consultores, vendedores externos, dentre outros. A facilidade de uso, que o AD propor-

ciona, pode ser estendida a usuários que em vias normais possuiriam dificuldade de acesso,

isto porque com um controle efetivo e centralizado, basta a criação do usuário com as devidas

permissões, que o acesso será disponibilizado.

Através da tecnologia RADIUS, pode-se utilizar a base do AD, para prover os mesmos

serviços, as mesmas aplicações, através do processo SSO, ou seja autenticação única, através

de um usuário e senha. Uma outra opção é configurar a tecnologia em ativos como switch ou

roteadores, passando o controle de acesso a rede a camada de enlace, o que torna a conexão

ainda mais segura.

Poderá ser utilizado em qualquer filial ou em empresas parceiras que possuam acesso a

sua rede e possuam pontos de acesso configurados na abrangência que você se encontra. As

redes móveis, estão cada vez mais presente em nosso dia a dia e vem crescendo cada vez

mais, devido a mobilidade que proporciona.

As redes de acesso móveis usam o espectro de rádio para conectar um sistema final portátil

por exemplo, um notebook ou uma PDA (agenda digital) com modem sem fio a uma estação

base. Essa por sua vez, está conectada a um roteador de borda de uma rede de dados.(KUROSE,

2003)

2.1.1 RADIUS em Redes sem Fio

Os pontos de acesso sem fio devem exigir autenticação e autorização do nó sem fio antes

que os dados possam ser enviados e recebidos da rede que está conectada ao ponto de acesso

sem fio. Para fornecer sua própria autenticação e autorização, cada ponto de acesso sem fio

deve exigir um banco de dados de conta de usuário com credenciais de autenticação de cada

usuário e um conjunto de regras pelas quais a autorização é concedida. Como isso é difícil de

gerenciar, alguns pontos de acesso sem fio são clientes RADIUS que usam o protocolo RADIUS

padrão da indústria para enviar mensagens sobre contabilização e solicitação de conexão para

um servidor RADIUS central. O servidor RADIUS tem acesso a um banco de dados de conta de

usuário e a um conjunto de regras para conceder autorização. O servidor RADIUS processa a

solicitação de conexão do ponto de acesso sem fio e aceita ou rejeita a solicitação de conexão

(MICROSOFT, 2005d).

21

O RADIUS foi idealizado para centralizar as atividades de Autenticação, Autorização e Con-

tabilização, visto que o crescente número de sistemas independentes inviabiliza a administração

descentralizada.(SILVA, 2003)

2.1.2 Pacote de Dados

O protocolo RADIUS utiliza pacotes UDP para transmissão entre cliente e servidor. O proto-

colo comunica-se na porta 1812. A primeira revisão para a comunicação RADIUS era na porta

1645, porém a mesma estava gerando conflito com determinados serviços.(HASSEL, 2002). O

pacote de dados é composto pelo cabeçalho e o contéudo, conforme a figura 1.

Figura 1: Estrutura do pacote RADIUSFonte: Autor

O cabeçalho do pacote contém os campos código, identificação, tamanho e autenticador.

O campo código é composto por 1 octeto longo e serve para distinguir o tipo de mensagem

RADIUS, transmitido em um pacote. Nos pacotes com código inválido, os campos são jogados

fora sem notificação.(HASSEL, 2002).

O protocolo RADIUS envia e recebe uma resposta, que possibilita a confirmação do pacote,

através de um código de resposta, o qual indica o status do mesmo. A tabela 1 demonstra as

possíveis mensagens emitidas pelo RADIUS:

Tabela 1: Tipos de pacotes RADIUSMensagem Descrição

Access-Request Pacotes enviados ao servidor RADIUS pra verificar e após validá-losAccess-Accept Pacotes ao usuário, sinalizando que o RADIUS está pronto pra utilizaçãoAccess-Reject Se nenhum dos atributos recebidos for aceitável

Access-Challenge O Cliente emite um Access-Request e o RADIUS um Access-Challenge

2.1.3 Processo de Autenticação

O processo de autenticação de um usuário através do protocolo RADIUS, tem a participa-

ção das seguintes entidades:

22

a. Usuário: Na figura 2, realiza-se o acesso a um determinado serviço disponível na rede

através de um servidor. Como exemplo, um colaborador de uma corporação utilizando o

seu Notebook, desejando entrar na rede de sua empresa através de um ponto de acesso

sem fio;

Figura 2: Acesso de um usuário remotoFonte: Autor

b. Servidor de Acesso à Rede/Cliente RADIUS: Responsável por acessar o servidor RA-

DIUS, solicitando a autenticação do usuário remoto, de acordo com a figura 3;

Figura 3: Acesso ao servidor de proxyFonte: Autor

23

c. Servidor RADIUS: Realiza a identificação validando os dados do solicitante, como ilustra

a figura 4. Para a validação, utiliza a base de dados do AD, onde se encontram as

informações sobre o usuário;

Figura 4: Acesso via RADIUSFonte: Autor

d. Base de Dados: Possui as informações necessárias para o RADIUS identificar o usuário.

Podendo essa base de dados ser um banco de dados, rodando na mesma máquina que

o RADIUS ou em outra máquina. A figura 5 ilustra a última etapa do processo.

Figura 5: Autenticação RADIUS através da base de dados do ADFonte: Autor

Para o perfeito funcionamento do protocolo RADIUS, os dados a respeito de cada usuário

da rede, devem estar cadastrados no sistema de autenticação. O RADIUS pode realizar a

autenticação de um usuário basicamente através de um usuário e senha, onde é informado o

24

usuário e a senha para serem validados. Podendo após esse passo, ser iniciado o challenge

incluindo mais uma etapa no processo e aumento a segurança da rede, caso seja necessário.

Um detalhe importante é que as mensagens RADIUS nunca são enviadas entre o cliente

do serviço de acesso e o servidor de acesso RADIUS(CONGDON, 2003)

O protocolo RADIUS é definido em várias RFC’s, os quais implementam, acrescentam, atu-

alizam serviços e funcionalidades, que facilitam a utilização em qualquer ambiente. Acompanhe

na tabela 2, as RFC’s referentes ao RADIUS:

Tabela 2: RFC’s que descrevem o RADIUSRFC Descrição2865 Protocolo RADIUS2866 RADIUS Accounting2548 Microsoft Vendor-specific RADIUS Attributes2607 Proxy Chaining and Policy Implementation in Roaming2618 RADIUS Authentication Client MIB2619 RADIUS Authentication Server MIB2620 RADIUS Accounting Client MIB2621 RADIUS Accounting Server MIB2809 Implementation of L2TP Compulsory Tunneling via RADIUS2867 RADIUS Accounting Modifications for Tunnel Protocol Support2868 RADIUS Attributes for Tunnel Protocol Support2869 RADIUS Extensions2882 Network Access Servers Requirements: Extended RADIUS Practices3162 RADIUS and IPv63575 IANA Considerations for RADIUS3576 Dynamic Authorization Extensions to RADIUS3579 RADIUS Support for EAP3580 IEEE 802.1X RADIUS Usage Guidelines4014 RADIUS Attributes Suboption for the DHCP Relay Agent Information Option

O grupo IEEE, possui um comitê do qual estuda diversos aspectos a fim de proporcionar

um modelo de utilização sem fio cada vez mais seguro, rápido e funcional. Quando lida-se

com acesso sem fio, diversas terminologias são utilizadas para definição de procedimentos,

situações e configurações. Todas são padrões para a plataforma IEEE 802.11, e em alguns

caso é válido para redes 802.16 Interoperabilidade Mundial para Acesso por Microondas - World

Interoperability for Microware Access (WIMAX) e Bluetooth.

2.2 CONCLUSÃO

Neste capítulo, foram apresentadas todas as ferramentas e tecnologias utilizadas para ide-

alização da autenticação RADIUS integrada ao AD. Demonstrou-se as funconalidades, facilida-

25

des, e características de cada tecnologia ou ferramenta, possibilitando nos próximos capítulos

uma explanação prática das ferramentas técnicas conceituadas neste capítulo.

Pode-se concluir que as ferramentas apresentadas, em conjunto com a tecnologia sem fio,

pode contribuir para evolução do acesso sem fio mais seguro, unificado com o controlador do

domínio e fácil de gerenciar.

2.3 MODELO EM CAMADAS

A comunicação entre protocolos pode ser representada utilizando o modelo de referência

OSI, definido em sete camadas. São elas: camada física; camada de enlace de dados; ca-

mada de rede; camada de transporte; camada de sessão; camada de apresentação e camada

de aplicação. O OSI é um modelo usado para entender como os protocolos de rede funcio-

nam(TORRES, 2007).

Modelo de referência serve praticamente para estudo e melhor entendimento do funciona-

mento de um protocolo de rede, tendo em vista a riqueza de detalhes, e a divisão em sete

camadas que atuam em cada nível. Por ser um modelo conceitual, cada camada possui uma

função específica, sendo possível um entedimento das partes do processo de comunicação

entre redes.

Na prática, o modelo que é amplamente utilizado é o TCP/IP, sendo um método mais funci-

onal e não tão detalhado, comparando-se com o OSI, que acabou tornando-se um modelo de

referência para estudos. A utilização do protocolo TCP/IP é praticamente uniforme e padrão.

As aplicações de rede hoje basicamente são projetadas para este padrão de comunicação.

Através dele, várias aplicações em rede, por meio de dispostivos móveis e de fácil locomoção

tornaram-se populares e em alguns casos até indispensáveis.

A tabela 3, apresenta alguns dos protocolos TCP/IP, que são executados em cada camada:

Tabela 3: Exemplos de protocolos sobre TCP/IPCamada ProtocoloAplicação HTTP, FTPTransporte UDP, TCP

Rede IP, ARPFísica/Enlace ETHERNET, WiFi, PPP, NETBIOS

Os protocolos permitem que seja observada ou compreendida a comunicação, sem se co-

nhecerem os detalhes de um hardware de interligação em redes de um fornecedor específico.

Eles representam para a comunicação computadorizada o que a linguagem de programação é

para a computação (COMER, 2001). Toda a comunicação em uma rede é realizada através de

26

camadas que interagem entre si provendo uma comunicação de forma padrão independente da

tecnologia utilizada.

A comunicação é idealizada através de camadas, que executam diversos protocolos, for-

mando a pilha de protocolos TCP/IP, executado pela maioria dos dispositivos que possuem

interface de rede, possibilitando a comunicação entre redes distintas.

Os protocolos divididos em camadas são projetados de modo que a camada n de destino

receba exatamente o mesmo objeto enviado pela camada n de origem (COMER, 2001).

2.4 PROTOCOLOS DE AUTENTICAÇÃO

A autenticação é um aspecto fundamental na segurança do sistema. Ela confirma a identi-

dade de qualquer usuário que esteja tentando fazer logon em um domínio ou acessar recursos

da rede (MICROSOFT, 2005c).

Os usuários que utilizam uma conta de domínio não vêem a autenticação de rede, uma

vez que se autenticam ao ligar a estação, efetuando assim um logon único. Por outro lado,

os usuários que utilizam uma conta de computador local devem fornecer credenciais, nome de

usuário e senha toda vez que acessarem um recurso de rede.

2.4.1 Tipos de Autenticação

Existem diversos tipos de autenticação, como kerberos, Camada de Soquete Seguro - Se-

cure Sockets Layer (SSL)/Camada de Transporte Seguro - Transport Layer Security (TLS), Ad-

ministração de Rede NT - NT LAN Manager (NTLM), LDAP, RADIUS, dentre muitos outros. Os

protocolos de autenticação, possuem características para cada situação ou forma de autentica-

ção, seja via redes sem fio, Windows ou Linux. Ao tentar autenticar um usuário, vários tipos de

autenticação padrão existentes no mercado podem ser usadas, dependendo de uma série de

fatores.(MICROSOFT, 2005c)

a. A autenticação kerberos: é utilizada através de uma senha ou em alguns casos com car-

tão inteligente. Verifica a identidade do usuário solicitante com o servidor que fornece a

autenticação solicitada. Essa verificação bidirecional é conhecida também como autenti-

cação mútua;

b. Autenticação SSL/TLS: implementada praticamente em servidores web seguros. Con-

trola quais codificações ou algoritmos criptografados são permitidos por padrão;

c. Autenticação : Este protocolo fornece uma inoperabilidade, presente em versões antigas

do Windows, como NT4 ou inferior;

27

d. Autenticação RADIUS: protocolo de Autenticação, Autorização e Contabilização - Authen-

tication, Authorization and Accounting (AAA) para aplicações que necessitam acesso à

rede de computadores e mobilidade através da rede IP.

Um protocolo de autenticação bastante utilizado, e que fará parte deste trabalho é o 802.1x

ou Protocolo de Autenticação Extensível - Extensible Authentication Protocol (EAP), criado pelo

comitê de padrões Institute of Electrical and Electronics Engineers (IEEE). Este protocolo for-

nece diferentes mecanismos para o transporte com segurança das credenciais dos usuários

até um servidor de autenticação. O acesso é permitido unicamente após autorização de um

servidor de autenticação, como o RADIUS, por exemplo.

A vantagem desta tecnologia, é a integração de diferentes protocolos para autenticação,

como será demonstrado, onde integraremos o AD e o servidor de autenticação remoto RADIUS.

2.5 PROTOCOLOS DE ACESSO SEM FIO

Os protocolos de autenticação sem fio proporcionam uma mobilidade muito grande, pois

utilizam as ondas de rádio, no lugar dos cabos. Com o avanço das tecnologias, as redes popu-

larmente conhecidas como WiFi, estão cada vez mais freqüentes.

A rede WiFi consiste em milhões de dispostivos pequenos e portáteis, prontamente dispo-

níveis sempre e onde quer que um usuário necessite de informações, conforme ilustra a figura

6. Computadores de mão, telefones inteligentes e dispositivos similares estão se tornando cada

vez mais disponíveis com opções de conectividade sem fio (RISCHPATER, 2001). Nota-se, que

os dispositivos demonstrados na figura 6, geralmente possuem alguma forma de acesso sem

fio, seja via rádio infravermelho ou qualquer outro meio, que os conecte na Internet ou ainda

uma rede local.

Vários são os dispositivos que vêm se tornando mais presentes e acessíveis as pessoas

dia a dia:

a. Celulares: Equipados com acesso à Internet, transferência entre dois aparelhos, dentre

outras funcionalidades;

b. Notebooks: Praticamente todo notebook fabricado hoje, possui acesso à rede sem fio, ou

qualquer outra tecnologia;

c. Sistema de Bilhetagem Automática: Transporte Coletivo onde as catracas são eletrônicas

controladas via rádio em várias cidades do País;

d. Sistemas de Rastreamento: Sistemas antifurto, ou para acompanhamento de frotas, veí-

culos, dentre outros.

28

e. Acesso à Internet: Tecnologia via Rádio, presente em várias cidades.

Figura 6: Conectividade de ativos de rede sem fioFonte: O Autor

Muitos outros equipamentos e situações podem ser descritos, pois já estão se transfor-

mando em hábitos, a exemplo dos celulares.

2.5.1 Tecnologia de comunicação sem fio

A tecnologia mais utilizada para autenticação via redes sem fio é o padrão IEEE 802.1x,

que define diferentes mecanismos no transporte seguro das credenciais dos usuários até um

servidor de autenticação. O acesso é permitido somente após autorização de um servidor de

autenticação.

A tecnologia das redes sem fio permite a utilização de recursos computacionais distribuídos

sem a utilização de fios entre o dispositivo cliente e o servidor dos recursos. Atualmente, esta

tecnologia tem se mostrado um grande negócio para as empresas principalmente de comunica-

ção (I-WEB, 2003).

O acesso a tecnologias móveis no país vem crescendo muito rapidamente. Em todo o país,

estima-se que existem entre 800 a 3000 pontos dotados de antenas WiFi para acesso público à

Internet, os chamados hotsposts públicos(DEMARCHI, 2004).

A grande vantagem desta tecnologia é permitir a integração de diferentes protocolos de

autenticação. Na figura 7, é descrito o funcionamento do processo de autenticação sem fio. Os

maiores usuários de WiFi são os executivos, que sempre precisam se conectar à rede através

de notebooks e handhelds para a realização de seus negócios.

29

A popularização do acesso sem fio, proporciona inúmeros benefícios, além da mobilidade,

porém a segurança deve ser redobrada, uma vez que os dados podem ser interceptados a

qualquer momento. Desconsiderando os mecanismos de segurança necessários em uma rede

sem fio, o processo de autenticação para o estabelecimento da comunicação móvel é realizado,

conforme ilustra a figura 7:

Figura 7: Processo de autenticação sem fioFonte: O Autor

Para que um usuário tenha acesso autorizado aos recursos da rede, é necessário validar

as suas credenciais. Para este processo de autenticação existem três peças funcionais: Um

usuário, conectado através de um aplicativo cliente instalado em seu sistema, os ponto de

acessos, que funcionam como autenticadores e um servidor de autenticação, como o AD, por

exemplo.

O acesso é disponibilizado da seguinte maneira:

a. O usuário realiza a solicitação de acesso (autenticação), quando liga a máquina ou loga

na rede, para o autenticador, que nas redes sem fio são os pontos de acessos;

b. O ponto de acesso por sua vez, redireciona a solicitação para o servidor de autenticação;

c. O servidor de autenticação confirma a validade das credenciais solicitadas numa tabela

local em base de dados externa, AD por exemplo e devolve uma resposta ao autenticador,

através do ponto de acesso;

30

d. Caso a autenticação tenha sido bem sucedida, o ponto de acesso deixa o usuário esta-

belecer uma conexão no aparelho;

e. Caso o servidor de autenticação negue as informações, a solicitação é descartada. Por

exemplo: Quando se digita uma senha incorreta.

Desta maneira, tem-se um servidor que centraliza todas as informações de aplicações,

fazendo com que a autenticação seja somente com um único usuário e uma única senha. Para

gerenciar desta forma, basta optar no ponto de acesso, a configuração via RADIUS e colocar

o endereço do Servidor de Autenticação, que deve estar habilitado, tanto para RADIUS, quanto

para gerenciamento de acesso, como o AD, por exemplo, utilizado neste trabalho.

2.6 TIPOS DE TRANSMISSÃO

Diversas são as formas de transmissão de dados pela rede sem fio, mas sua utilização hoje

em dia, restringe-se em sua maioria no padrão WiFi, que é bastante difundido. As principais

tecnologias existentes são dispostas em diversas freqüências para transmissão, conforme a

tabela 4.

Tabela 4: Tecnologias para transmissão de dados sem fioTecnologia Freqüência Utilização

WiFi 2.400 Ghz Interligação de Redes Locais - LANWiMax 2,45 Ghz Utilização em redes WMAN

Ondas de Rádio 104 a 107 Hz Utilização em aplicações móveis como CelularesBluetooth 2,45 Ghz Comunicação entre dispostivos móveis

Atualmente, encontram-se no padrão 802.11g, que disponibiliza pontos de acesso em ae-

roportos, faculdades, dentre outros, atraindo a cada dia usuários que se enquadram nesta mo-

dalidade de acesso. Ainda assim outras formas de transmissão vêm ganhando forças, como o

Bluetooth, presentes em vários celulares e as antenas WiMax, presente em algumas cidades.

Todas as tecnologias citadas na tabela 4, são utilizadas hoje em dia, porém cada uma

possui sua utilização específica, não chegando a concorrerem entre si.

2.6.1 Redes locais sem fio

Para se ter acesso à Internet ou uma Rede Local WiFi, deve-se estar na abrangência de um

ponto de acesso, também conhecidos como hotspot, ou um local público que forneça acesso

sem fio, através da utilização de dispositivos móveis, como um computador portátil, ou qualquer

dispositivo com capacidades de comunicação sem fio. Desde sua homologação, a tecnologia

31

WiFi, passou por diversos padrões existentes até hoje. O padrão utilizado com mais freqüência

atualmente é o IEEE 802.11g, que foi precedido por outros padrões, conforme demonstrado a

seguir.

a. IEEE 802.11a: Opera em uma freqüência de 5 Ghz, suportando até 64 utilizadores por

Ponto de Acesso com velocidades de até 54 Mbps dentro dos padrões da IEEE. Sua

maior desvantagem é a inoperabilidade com padrões 802.11b e g, no que refere-se a

Access Points.

b. IEEE 802.11b: Alcança uma velocidade de 11 Mbps padronizada pelo IEEE, operando em

uma freqüência de 2.4 Ghz, suportando 32 pontos de acesso. Sua principal desvantagem

é a alta interferência tanto na transmissão como na recepção de sinais, uma vez, que

opera na mesma freqüência de Telefones Móveis e Microondas.

c. IEEE 802.11g: Funciona na frequência de 2,4 GHz e oferece uma velocidade de 54 Mbps.

Baseia-se praticamente na compatibilidade com os dispostivos 802.11b, possui os mes-

mos incovenientes, porém possui mais segurança através das implementações Privaci-

dade Equivalente a Redes com Fio - Wired Equivalent Privacy (WEP) e Acesso Protegido

Wi-Fi - Wi-Fi Protected Access (WPA), que não detalharemos neste trabalho.

Os padrões 802.11x não param por aí, existem vários padrões que em sua maioria visam

adicionar alguma correção, funcionalidade ou ainda corrigir vulnerabilidades, tão presentes nas

Redes WiFi, devido a sua exposição.

2.6.2 Redes metropolitanas sem fio

As redes WiMax, são parecidas com o WiFi, porém sua utilização é basicamente para

Redes Metropolitanas, ou seja, de grandes distâncias, chegam a alcançar até 50 Km e capa-

cidade de banda de até 70 Mbps, oscilando conforme os equipamentos utilizados e os obstá-

culos existentes, como montanhas edifícios dentre outros. A tecnologia WiMax é composta por

um grupo de padrões, definidos pelo IEEE. Estes padrões juntos formam esta tecnologia sem

fio.(BEPPLER, 2006)

O padrão IEEE 802.16-2004 pode servir como substituição da tecnologia DSL, amplamente

difundida no momento, ou para prover acesso básico de voz e banda larga em áreas remotas

onde há restrições de infra-estrutura de acesso, de acordo com a figura 8.

WiMax é o nome popular dado ao padrão IEEE 802.16 para redes metropolitanas sem

fio, também conhecido como IEEE WirelessMAN ou ainda Air Interface for Fixed Broadband

Wireless Access Systems. Esse padrão tem como proposta inicial disponibilizar o acesso banda

32

larga sem fio para 10 novas localizações cobrindo distâncias maiores, sem a necessidade de

investimento em uma infra-estrutura de alto custo (como ocorre com uma rede de acesso banda

larga cabeada) e sem as limitações de distância das tecnologias DSL. Entre as promessas

associadas ao 802.16 figura a solução para o problema da última milha, através da redução

do custo de implantação e do tempo necessário para se conectar residências e escritórios aos

troncos das linhas de comunicação(LIMA, 2004).

Figura 8: Distribuição de uma rede WiMaxFonte: O Autor

Trata-se de uma tecnologia de rede metropolitana sem fio, com suporte à cobertura na or-

dem de quilômetros e taxas de transmissão de até 74 Mbit/s, além de Qualidade de Serviço -

Quality of Service (QOS) e interfaces para redes IP, Modo de Transferência Assíncrono - Asyn-

chronous Transfer Mode (ATM), E1/T1 e Ethernet (DUARTE, 2005).

Devido ao longo alcance, as redes WIMAX, tem um grande espaço a ser ocupado para

garantir não só a popularização do acesso sem fio, como a inclusão digital de áreas até então

excluídas da vida digital.

A utilização da tecnologia de rede sem fio nas redes locais, vem de encontro com a neces-

sidade da obtenção de maior comodidade, mobilidade e resolve alguns problemas enfrentados

na indefinição da estrutura adotada nas redes.(BEPPLER, 2006)

33

2.6.3 Bluetooth

A tecnologia Bluetooth é, basicamente, um padrão para comunicação sem-fio de baixo

custo e de curto alcance. Através dele, é possível conectar facilmente vários tipos de dispositi-

vos de comunicação, tais como PCs, notebooks, palmtops, handhelds, impressoras, scanners,

telefones celulares (telemóveis) enfim, qualquer aparelho que possua um chip Bluetooth (ALE-

CRIM, 2006).

Dispositivos Bluetooth comunicam-se entre si e formam uma rede denominada "piconet",

na qual podem existir até oito dispositivos interligados, sendo um deles o mestre (master) e os

outros dispositivos escravos (slave); uma rede formada por diversos "masters"(com um número

máximo de 10) pode ser obtida para maximizar o número de conexões. A grande desvantagem

desta tecnologia é seu alcance que não chega a er muito longo, se comparado com outras

tecnologias.

34

3 TECNOLOGIAS UTILIZADAS PARA AUTENTICAÇÃO VIA RADIUS

Este trabalho propõe-se a demonstrar uma forma de autenticação, conforme ilustra a figura

9, onde o cliente sem fio, de uma forma segura, com sua senha, possa obter acesso aos seus

dados que estão na rede local.

Com um domínio configurado e funcionando para a rede Ethernet, o usuário da rede sem

fio acaba ficando sem possibilidade de acesso, uma vez que não há nenhuma implementação

de acesso para as redes sem fio.

Desta forma, a comunicação com a empresa, fica impossibilitada, ou ainda, possibilitada,

mas de forma ineficiente e indevida do ponto de vista de segurança, além de muitas vezes não

obter acesso ao domínio, através da WEP, por exemplo, como demonstra a figura 9.

Figura 9: Autenticação sem fio sem RADIUSFonte: Autor

Para amenizar esta dificuldade e facilitar a comunicação corporativa, propõe-se este traba-

lho que visa principalmente a segurança ao usuário, mantendo a comodidade de uma rede sem

fio. Para isso, conforme a figura 10, deve-se adicionar um ponto de acesso e um Servidor RA-

DIUS, pois estes são os elementos faltantes na figura 9 para que a autenticação seja possível

e segura.

Figura 10: Elementos FaltantesFonte: Autor

35

Através da implementação de um servidor RADIUS na rede, consegue-se uma autentica-

ção, autorização e contabilização, ou seja, sabe-se quem está tentando se autenticar, autoriza

ou nega-se e ainda existe a possibilidade de conferir os respectivos acessos, tempo de dura-

ção, ou mesmo eventuais comprovações que por ventura façam-se necessárias, referentes aos

acessos que foram realizados. Como uma ferramenta, o AD, gerencia usuários e computado-

res em um domínio e o protocolo RADIUS, disponibiliza recursos necessários e importantes

para segurança de uma rede, criou-se o IAS, uma ferramenta, no qual é a implementação da

Microsoft para um Servidor RADIUS.

Desta forma, será configurado o IAS, de forma que o mesmo disponibilize acesso a clientes

sem fio interna ou externamente da rede local de forma física, permitindo o acesso de forma

virtual, caso um fornecedor ou mesmo consultor necessite acessar o domínio da empresa, de

acordo com a figura 11. Para facilitar o gerenciamento, o IAS será registrado no AD, de forma

que para liberar o acesso ao funcionário da rede sem fio, seja necessário somente um usuário

e senha, independentemente da localização do usuário, liberando as devidas permissões no

domínio, como ilustra a figura 11.

Figura 11: Autenticação em um Domínio com RADIUSFonte: Autor

Para esta integração, será necessário a configuração do Servidor RADIUS, neste caso o

Serviço de Autenticação da Internet, configurar as policies, criar um Certificado Digital com a

ferramenta SelfSSL, inclusa no IIS 6.0 resource kit da Microsoft, além da configuração do Ac-

cess Point para encaminhar solicitações para o Servidor RADIUS e ainda configurar os clientes

de forma que consigam se comunicar.

Esta autenticação segura também é possível em outras plataformas, como o Linux, por

exemplo, sendo possível neste caso integrar a base de dados do LDAP com o Servidor RADIUS

36

do Linux, através da ferramenta FreeRadius, por exemplo. O Windows Server 2008, está tes-

tando a configuração de um servidor RADIUS através de uma nova ferramenta, o Servidor de

Políticas de Rede - Network Policy Server (NPS).

3.1 ACTIVE DIRECTORY

O Active Directory é um serviço de diretórios muito utilizado atualmente. Um Serviço de

Diretório é um serviço de rede, o qual identifica todos os recursos disponíveis em uma rede,

mantendo informações sobre estes dispositivos (contas de usuários, grupos, computadores,

recursos, políticas de segurança etc.) em um banco de dados e torna estes recursos disponíveis

para usuários e aplicações (VIDAL, 2006).

Um diretório nada mais é do que um cadastro ou, melhor ainda, um banco de dados com

informações sobre usuários, senhas e outros elementos necessários ao funcionamento de um

sistema, quer seja um conjunto de aplicações no Mainframe, um grupo de servidores da rede

local, o sistema de e-mail ou outro sistema qualquer (VIDAL, 2006).

Qualquer tipo de informação para acesso a um sistema, que se refira a usuário, é denomi-

nado diretório. A maioria das autenticações ocorrem através de listas de serviços de diretórios,

tais como LDAP, AD, dentre outros.

O AD é organizado de uma forma hierárquica, com o uso de domínios. Caso uma rede

utilize o AD, poderá conter vários domínios. Um domínio é nada mais do que um limite admi-

nistrativo e de segurança, ou seja, o administrador do domínio possui permissões somente no

domínio, e não em outros domínios. As políticas de segurança também se aplicam somente ao

domínio, e não a outros domínios (SANTANA, 2003).

O AD possui várias ferramentas para administração de suas funcionalidades. Mesmo assim

é possível que outros desenvolvedores criem outras que possam ser mais maleáveis e que aten-

dam a seus requisitos, afinal, o AD foi projetado sobre o protocolo LDAP, assim teoricamente é

possível trabalhar seus dados (SOUZA, 2004)

Para administração, o AD possui diversas ferramentas corporativas, que englobam concei-

tos importantes hoje, tais como Domínios, Grupos de usuário e máquina, Unidades Organizacionais

(UO), Sites, Árvores de domínios, Florestas de árvores de domínio e Políticas de grupo.

3.1.1 Domínio de Rede

Todo controle e gerenciamento existentes hoje nas redes de computadores parte dos con-

troladores de domínio, uma vez que todos os recursos e funcionalidades partem dele, só se

consegue acessar ou utilizar algum serviço através de uma autenticação por meio de usuário e

senha cadastrados no AD.

37

Um domínio é apenas um grupo de servidores e estações de trabalho que concordam em

centralizar os nomes de conta de usuário e máquina em um banco de dados compartilhado. Isso

é muito útil - em uma rede de qualquer tamanho, pois permite que um usuário tenha apenas um

nome de conta e senha e os utilize em dezenas, centenas ou milhares de máquinas dentro do

domínio de uma organização (MINASI, 2003).

Por meio de um domínio, controla-se máquinas e contas de usuários, independentemente

do local físico do servidor, que possui o controlador do domínio instalado, conforme a figura

12. Por exemplo, usuários da filial de uma grande empresa, não necessitam necessariamente

de um controlador de domínio no local, este acesso pode ser autenticado pelo controlador de

domínio, situado na matriz, ou seja, através de um domínio todas as informações da máquina e

da autenticação são centralizadas, facilitando o gerenciamento e a administração.

As principais funcionalidades de um domínio, bem como, os benefícios que proporcionam

aos usuários e grandes corporações são inúmeros:

a. Mantém uma lista de usuários e senhas.

b. Fornecem um conjunto de servidores que funcionam como servidores de autenticação ou

servidores de logon, conhecidos como controladores de domínio.

c. Mantém um índice a ser consultado daquilo que está no domínio facilitando o encontro de

recursos.

d. Permitem a criação de usuários com diferentes níveis de poder, desde contas guest me-

nos poderosas até as contas regulares dos todo-poderosos administradores do domínio.

Da mesma forma, possibilitam também a criação de contas de subadministradores com

algum poder no domínio, mas não todos eles.

e. Permitem que subdivida o domínio em subdomínios, chamados unidades organizacionais

ou UOs. Assim, é possível atribuir quantidades de controle e poder atribuir variáveis

por meio dessas UOs a determinados indivíduos. Isso torna possível a criação do que

se poderia chamar de administradores departamentais, usuários com muito poder, mas

apenas sobre um pequeno grupo de máquinas ou usuários.

Na plataforma Microsoft, diante das inúmeras funções fornecidas pelo Active Directory, sua

utilização, é praticamente uniforme, facilitando o suporte e a documentação, ainda que em maior

parte disponibilizada de forma centralizada. Cada rede com determinado tipo de segurança

precisa manter uma lista de informações relacionadas com seus usuários - os nomes, senhas e

outras informações a respeito das pessoas autorizadas a usar o sistema. Em um sistema com

um servidor, essa lista fica em algum lugar no único servidor (MINASI, 2003).

38

A figura 12 ilustra um domínio, onde controla-se basicamente computadores, usuários e

grupos, através de senhas, registro dos computadores e notebooks no domínio. Pode-se utilizar

diversas ferramentas para administração do domínio.

Figura 12: Componentes de um DomínioFonte: O Autor

A vantagem de um domínio é que se escolhem alguns servidores para conter um banco

de dados de usuários e senhas e fornecem um serviço para o restante da rede em que por

meio de um sistema poderá confirmar o usuário, liberando acesso aos recursos disponíveis. Os

domínios do AD permitem que seja configurado um grande lote de arquivos baseados nos siste-

mas operacionais da Microsoft e servidores de impressão de forma a centralizar a autenticação

(MINASI, 2003).

3.1.2 Controlador de Domínio

Responsável por gerenciar e administrar as informações de computadores e usuários de

um domínio, é implementado através de aplicativos. Na plataforma Microsoft, é gerenciado pelo

Active Directory. Os controladores de domínio fornecem aos usuários e computadores da rede

o serviço de diretório do Active Directory, que armazena e replica dados do diretório e gerencia

interações do usuário com o domínio, incluindo processos de logon do usuário, autenticação e

pesquisas de diretório.

39

Cada domínio deve conter, pelo menos, um controlador de domínio (MICROSOFT, 2005b).

Através da criação do controlador de domínio, automaticamente cria-se o domínio, que é cha-

mado de raiz, conforme demonstra a figura 13. Um controlador de domínio fornece o serviço

de autenticação em que outros computadores poderão confiar para conectar usuários, possi-

bilitando que o usuário seja autenticado em qualquer máquina do domínio ainda que remota-

mente. Outro fator relevante de um controlador é a integridade e a consistência das informações

no caso de vários Controlador de Domínio - Domain Controllers (DC), qualquer alteração será

replicada de forma que a informação seja a mesma.

Figura 13: Controlador de DomínioFonte: O Autor

O acesso ao sistema e os recursos da rede pelo usuário, é realizado através da autenti-

cação, conforme ilustra a figura 14, que no AD funciona basicamente através de credenciais

inseridas em uma máquina cliente do domínio.

Além da administração de usuários, o controlador de domínio também gerencia os com-

putadores do domínio. Um computador somente poderá usar os DCs de um domínio para

autenticação se aquele computador "juntar-se"a um domínio a fim de tornar-se um "membro do

domínio"(MINASI, 2003).

Uma vez que a máquina esteja no domínio, independentemente do local físico, a mesma

poderá autenticar-se no domínio e ter acesso aos recursos da rede, conforme as permissões

que possuir.

O cadastro do usuário e senha, é realizado pelo administrador da rede, liberando assim o

acesso. Primeiramente, o usuário irá informar seu usuário e senha já cadastrada no AD em

qualquer máquina que esteja no domínio.

40

Figura 14: Solicitação de AutenticaçãoFonte: O Autor

Informando usuário e senha, como ilustra a figura 15 controlador irá receber uma solicitação

com as informações, para verificar se o usuário existe no domínio.

Figura 15: Envio da Solicitação ao Controlador de DomínioFonte: O Autor

O próximo passo, de acordo com a figura 16, será verificar no DC se o usuário realmente

existe, liberando assim o acesso, caso contrário, rejeitará o acesso, fazendo com que o usuário

tente autenticar-se novamente, reiniciando o processo.

Figura 16: Validação das InformaçõesFonte: O Autor

41

3.2 SERVIÇO DE AUTENTICAÇÃO DA INTERNET (IAS)

O IAS, nada mais é que a implementação da Microsoft de um servidor RADIUS, no qual

centraliza as autenticações proporcionando um alto nível de segurança e confiabilidade, preser-

vando a mobilidade necessária em uma rede sem fio.

Windows Server 2003 utiliza políticas de acesso remoto para determinar quem está e quem

não está com acesso ao servidor remoto permitido. Windows Server 2003 pode usar RADIUS

para fornecer políticas de acesso remoto centralizado para um grupo de servidores de acesso

remoto para permitir que o Windows Server 2003 gerencie as políticas de acesso remoto em

máquinas não Windows (DANSEGLIO, 2004).

Como um servidor RADIUS, o IAS cuida da autenticação, autorização e contabilização de

conexões centralizadas para vários tipos de acesso à rede, incluindo conexões sem fio, switch

de autenticação, acesso remoto através de conexões discadas e Rede Virtual Privada - Virtual

Private Network (VPN) e conexões roteador a roteador. Como um proxy RADIUS, o IAS encami-

nha mensagens de autenticação e sobre contabilização para outros servidores RADIUS. O IAS

oferece suporte aos padrões da Internet Engineering Task Force (IETF) para RADIUS descritos

nas RFCs 2865 e 2866 (MICROSOFT, 2005a).

O IAS apresenta reais vantagens quando integrado com o Active Directory, ou seja com a

estrutura de autenticação central disponibilizada pelos serviços de diretoria do Windows. Para

implementação do IAS, são necessárias algumas etapas, as quais asseguram o funcionamento

de forma segura da comunicação do RADIUS com o IAS.

a. Ter conhecimento dos conceitos de RADIUS e IAS é fundamental para configuração de

toda a tecnologia, pois em diversos momentos é necessário para definir o tipo de confi-

guração a ser efetuada no caso.

b. Instalar o IAS nos servidores a serem usados como servidores IAS primários e de backup.

c. Adicionar os pontos de acesso sem fio como clientes RADIUS no servidor IAS primário,

necessário para disponibilizar o acesso. Existe a possibilidade de configurar os pontos de

acesso como Protocolo de Configuração Dinâmica de Hosts - Dynamic Host Configuration

Protocol (DHCP), o que possibilita ue qualquer notebook conecte-se na rede, de acordo

com as configurações existentes no AD.

d. Configurar os métodos de autenticação através do protocolo Protocolo de Autenticação

Extensível Protegido - Protected Extensible Authentication Protocol (PEAP), também cha-

mada de PEAP-EAP-MS-CHAP v2, na diretiva de acesso remoto.

42

e. Copiar a configuração do IAS do servidor IAS primário para o servidor IAS de backup,

quando for o caso de haver uma replicação para evitar paradas.

f. Registrar os servidores IAS primário e de backup nos domínios apropriados do AD.

Ainda existem configurações opcionais, que aumentam a segurança, tais como instalar

certificados nos clientes, para autenticação em conexões sem fio e Ethernet. Para os clientes

geralmente, instalar certificados acaba não sendo muito utilizado, pois em certos casos, os

certiicados teriam que ser instalados em cada cliente. O IAS executa autenticação, autorização

e cálculos estatísticos de conexão centralizados para muitos tipos de acesso a redes, incluindo

conexões sem fio e VPN.

O IAS também pode ser utilizado para aumentar a segurança e comfigurar uma VPN. Além

da VPN, outros serviços podem ser configurados através do IAS, tais como acesso sem fio,

acesso remoto à organização por conexão dial-up ou VPN, acesso tercerizado via conexão

discada ou sem fio, acesso à Internet, acesso autenticado a recursos de extranet para parceiros

comerciais.

Quando um servidor IAS é membro de um domínio do AD, ele usa o serviço de diretório

como banco de dados de contas de usuários e faz parte de uma solução de início de sessão

universal. O mesmo conjunto de credenciais é usado para controlar o acesso à rede (acesso a

uma rede via autenticação e autorização) e para fazer logon em um domínio do AD(MICROSOFT,

2005a).

43

4 AUTENTICAÇÃO DE USUÁRIOS NO AD UTILIZANDO RADIUS VIA IAS

Este capítulo tem como função implementar um mecanismo de segurança para autentica-

ção em redes sem fio, através do AD, utilizando o protocolo RADIUS, por meio da ferramenta

IAS, possibilitando uma administração centralizada no gerenciamento de acessos sem fio, por

meio de uma documentação concisa de fácil acesso e simples interpretação para implementa-

ção em qualquer ambiente.

Este tipo de configuração no servidor restringe-se a plataforma Windows, de forma que caso

necessite ou deseje utilizar a plataforma Linux, esta configuração será realizada na ferramenta

Freeradius, de forma diferente, podendo ser utilizada a parte conceitual deste trabalho para im-

plementação na plataforma. As principais ferramentas utilizadas para realização deste trabalho

são: o Sistema Operacional Windows Server 2003 R2, Active Directory, Serviço de Autentica-

ção da Internet, Internet Infomation Services Resources Kit 6.0 e Windows XP Professional nos

clientes.

4.1 CRIAÇÃO DE UM DOMÍNIO NO ACTIVE DIRECTORY

Como já visto anteriormente, antes de mais nada, precisa-se obter um dómínio plenamente

configurado e em funcionamento. Efetuou-se todas as configurações necessárias para imple-

mentação de um domínio, o qual não será detalhado neste trabalho. O Active Directory Users

and Computers é instalado automaticamente em todos os sistemas operacionais Microsoft Win-

dows 2003 R2 que tenham o serviço do Active Directory habilitado. Desta forma toda a rede

será gerenciada pelo Active Directory, onde foi criado o domínio, chamado de TCC, conforme a

figura 17, o qual será o Controlador do domínio.

Figura 17: Descrição do DomínioFonte: Sistema Operacional Windows 2003 Server R2

44

4.1.1 AMBIENTE DE TESTES

A configuração de IP para os clientes pode ser de forma dinâmica através do DHCP ou fixa,

recomendada, caso sejam poucos usuários ou ainda seja de vital importância a segurança dos

acessos.

Sendo assim, neste trabalho o cliente terá IP fixo definido pelo Servidor, como demonstra a

tabela 5, caso o cliente esteja com outro IP, o IAS negará o acesso. A configuração de IP deste

trabalho será da seguinte forma:

Tabela 5: Configuração de IPDescrição Nome EndereçoDomínio tcc.com.br 192.168.0.xServidor sociesc.tcc.com.br 192.168.0.126Estação souza.tcc.com.br 192.168.0.128

Para adicionar mais clientes sem fio é necessário configurar no IAS cada cliente, uma vez

que se está configurando os IPs dos clientes de forma manual, como ilustra a figura 18. Este

servidor será o responsável por armazenar a base de dados do Active Directory, será dele

que o IAS irá pesquisar e encaminhar as solicitações de usuário e senha, portanto qualquer

modifcação, criação de usuário, visualização das máquinas no domínio, será gerenciada através

do Active Directory Users and Computers.

Figura 18: Active Directory Users and ComputersFonte: Sistema Operacional Windows 2003 Server R2

45

Estando o domínio plenamente configurado, no AD basta gerenciar os usuários e conceder

permissão aqueles que precisarem de acesso remoto. Desta forma, o acesso será contemplado

tanto na rede Ethernet, quanto via WiFi. Existe a possibilidade de replicar o Servidor para uma

filial por exemplo, de forma que os usuários da filial consigam acessar a rede da matriz.

4.2 INSTALAÇÃO DO SERVIÇO DE AUTENTICAÇÃO DA INTERNET PARA AUTENTICAÇÃO

VIA RADIUS

O protocolo RADIUS, na plataforma Microsoft é implementado através da ferramenta Ser-

viço de Autenticação da Internet. Para instalá-lo, deve-se selecionar → Adicionar ou remover

programas→ Remover componentes do Windows. Então, deve ser selecionado o item Servi-

ços de Rede e após clicar no botão Detalhes. Finalmente, deve-se selecionar o item Serviço

de Autenticação da Internet. Após a instalação o ícone da ferramenta é criado em Painel de

Controle→ Ferramentas Administrativas.

Ao executar a ferramenta, tem-se a tela de configuração, apresentada na figura 19, onde

será selecionado as portas de configurações, as formas de acesso, os registros, e todos os

detalhes necessários ao bom funcionamento do servidor RADIUS/IAS.

Figura 19: Tela de Configuração do IASFonte: Sistema Operacional Windows 2003 Server R2

46

4.3 CONFIGURAÇÃO DA FERRAMENTA MICROSOFT IAS

Uma vez instalado corretamente o IAS, é necessário, configurá-lo de forma que ele pro-

cesse as solicitações de acesso sem fio, gerando os registros, ajustando as configurações,

emitindo o certificado. Com toda configuração devidamente regularizada, deve-se registrá-lo no

AD, para integração e centralização da administração, conforme já descrito.

O primeiro passo para iniciar a configuração do servidor IAS é definir as políticas que re-

gerão os acessos e conexões, como ilustra a figura 20. Deve-se clicar com o botão direito em

Serviço de Autenticação da Internet → propriedades. Na tela de configuração, define-se um

nome para o servidor IAS, também existe a possibilidade se habilitar as opções para demons-

trar as solicitações de autenticações rejeitadas e bem-sucedidas, além dos erros que já são

registrados atomaticamente no registro de eventos, segundo a figura 20.

Figura 20: Descrição do Servidor IASFonte: Sistema Operacional Windows 2003 Server R2

Nesta janela, ainda há a opção de configurar as portas de comunicação onde o RADIUS

receberá e enviára as solicitações, através da aba portas. Por padrão, as portas que já vem

previamente configuradas são as que correspondem ao RADIUS de acordo com as Request for

Comments (RFC) correspondentes, de acordo com a tabela 6.

Tabela 6: Portas RADIUSServiço Portas RFC

Autenticação 1812, 1645 2865Contabilização 1813, 1646 2866

47

Será demonstrado a configuração dos registros necessários para verificação de acesso,

geração de contabilização e solcitações rejeitadas, ilustradas na figura 21. Seleciona-se→ Log

de acesso remoto, o subitem → Arquivo local, onde devem ser selecionado os 3 itens, que

correspondem respectivamente a solitações de contabilização, autenticação e status.

Figura 21: Tela de configuração do logFonte: Sistema Operacional Windows 2003 Server R2

Na aba arquivo local, demonstrada na figura 22, deve-se definir o formato do arquivo, ca-

minho, bem como o período, onde um novo arquivo de log é gerado. Neste caso, como um

único cliente sem fio está sendo configurado, recomenda-se que o registro seja mensal, por

conter poucas informações. No caso do uso em massa, é altamente recomendável limitar pelo

tamanho, ou ainda gerar um arquivo diário, que é mais comum.

Figura 22: Propriedades do arquivo de logFonte: Sistema Operacional Windows 2003 Server R2

Há ainda a possibilidade de configurar os arquivos de log para serem gerados e armaze-

nados no banco de dados Linguagem de Consulta Estruturada - Structured Query Language

48

(SQL), sendo possivel importar em algum programa específico, para geração de relatórios, por

exemplo.

Em seguida é necessário adicionar o cliente RADIUS no servidor IAS. Na configuração do

servidor IAS, um cliente RADIUS é o ponto de acesso, o qual redireciona as mensagens para

estação e vice-versa. No caso da configuração RADIUS ser para uma VPN, o cliente RADIUS

neste caso, passa a ser um roteador, assim como se o acesso a ser utilizado for em uma rede

comum, o switch é quem será o respectivo cliente.

Na figura 23, deve-se selecionar com o botão direito→ Cliente RADIUS,→ Novo Cliente

RADIUS.

Figura 23: Propriedades do cliente RADIUSFonte: Sistema Operacional Windows 2003 Server R2

Nesta tela, os seguintes procedimentos devem ser realizados:

a. O nome do dispositvo para fácil identificação,

b. O endereço do Cliente RADIUS, que é o ponto de acesso, responsável por disponibilizar

o acesso sem fio.

c. Posteriormente, é necessário colocar o nome do fornecedor do cliente, ou seja o fabri-

cante do ponto do acesso,

49

d. Caso o ponto de acesso que esteja sendo utilizado não estiver na lista, o que é bastante

comum, seleciona-se a opção RADIUS Standard.

e. É preciso ainda uma senha, que também será configurada no ponto de acesso posterior-

mente.

4.3.1 Diretivas de Acesso Remoto

É necessário ajustar as diretivas para o acesso remoto, onde é definido:

a. O tipo de acesso,

b. Os usuários com permissão a utlizar os recursos sem fio, ou seja, quem estará com

permissão para autenticar-se na rede sem fio, através do protocolo RADIUS.

c. Nesta etapa, é definido o certificado, onde contém as principais informações do domínio,

do acesso e criptografia utilizada.

Nesta etapa, deve-se definir um nome para a diretiva, a título de identificação, nesta tela

também será escolhido o método de configuração, que pode ser através do assistente, o qual é

auto explicativo ou a opção mais avançada. Como, em ambas as opções, o conhecimento sobre

o protocolo RADIUS, e a própria ferramenta IAS é indispensável, qualquer uma das opções pode

ser escolhida. Para a configuração, colocou-se o nome "WiFi access".

Na figura 24, será escolhido o tipo de diretiva, neste caso sem fio, porém, outros tipos de

acesso são suportados pela ferramenta como VPN, rede discada para conexões tradicionais via

telefone, ou ainda Ethernet, com a possibilidade de utilizar um switch que suporte RADIUS.

Figura 24: Tipo de DiretivaFonte: Sistema Operacional Windows 2003 Server R2

50

É necessário definir quem deverá obter o acesso sem fio, escolhendo no domínio, as pes-

soas ou os grupos que terão o respectivo acesso. O recomendado é que seja escolhido no

AD:

a. Os usuários do domínio,

b. E os computadores do domínio,

Desta forma, o acesso é liberado a qualquer usuário que esteja no domínio. Em caso bem

específicos, recomenda-se que se escolha somente o usuário, ou no caso de algumas pessoas,

criar um grupo. Desta vez , será selecionado todos os usuários e computadores do domínio, a

opção mais comum na maioria dos casos, conforme a figura 25. Após realizar a configuração

descrita na figura 24, deve-se clicar em Avançar→ Adicionar→ Avançado→ Localizar agora.

Então, como ilustra a figura 25, selecionam-se as opções → Computadores do domínio e →Usuários do domínio, após clique em→ Ok→ Ok novamente→ Avançar.

Figura 25: Escolha dos usuários com permissão para acesso sem fioFonte: Sistema Operacional Windows 2003 Server R2

O próximo passo, é a escolha do tipo de mecanismo para a segurança da autenticação,

para proteger as Redes locais sem fio - Wireless Local Area Network (WLAN), que neste caso

será o PEAP. LANs sem fio com PEAP e senhas, usa senhas e o protocolo PEAP para clientes

sem fio de autenticação. Principalmente para organizações de pequeno e médio porte. No

51

entanto, o uso do PEAP não está limitado a pequenas organizações. Grandes organizações e

organizações empresariais também podem usar autenticação de senha e PEAP para proteger

suas WLANs (MICROSOFT, 2004).

Na figura 26, será escolhido, como método de autenticação, o item Protected EAP (PEAP)

→ configurar. Assim, será configurado e ajustado o certificado de segurança, necessários para

assegurar a segurança do acesso.

Figura 26: Escolha do dispositivo de segurançaFonte: Sistema Operacional Windows 2003 Server R2

4.3.2 Geração do Certificado

Para configurar o dispositivo de segurança PEAP, é necessário a criação de um certificado.

Caso não tenha um certificado gerado, ao clicar no botão para configurar o PEAP, conforme a

figura 26. O IAS emitirá uma mensagem de erro, o qual indica a inexistência de um certificado

no Servidor. Para a geração do certificado, existem diversas ferramentas e formas de criar o

mesmo. Para este estudo de caso, foi utilizado a ferramenta Selfssl, que faz parte do pacote do

Internet Information Services 6.0 Resource Kit Tools da Microsoft.

No momento da instalação do Internet Information Services 6.0 Resource Kit Tools, é neces-

sário selecionar somente o aplicativo SelfSSL, pois é o único aplicativo do pacote que será utili-

zado. Para geração do certificado, são necessários os seguintes passos no aplicativo SelfSSL:

a. Inicialmente é necessário abrir o prompt de comando

b. Após é necessário acessar a pasta de instalação que foi selecionado quando foi instalado

o Internet Information Services 6.0 Resource Kit Tools, que por padrão, é no c: program

files IIS Resources SelfSSL

52

c. Estando dentro da pasta no prompt de comando, é necessário executar o comando da

figura 27:

1 s e l f s s l /N:CN=sociesc . t cc . com. br /K:1024 /V:1825 /S:1 /P:443

Figura 27: Comando para Geração do Certificado

A tabela 7 explica a função de cada parte do comando da figura 28, para geração do certi-

ficado.

Tabela 7: Descrição dos comandos para geração do certificadoComando Descrição

/N:CN Nome do Servidor e o Domínio/K: Bits alocados para a chave de encriptação RSA/V: Validade do certificado, 1825 dias são 5 anos/S: É o número do IIS, padrão/P: Porta TCP utilizada, neste caso 443, SSL

As descrições /S: e /P: são irrelevantes para autenticação, mas necessárias para geração

do certificado pela ferramenta SelfSSL.

Após este procedimento, é necessário acessar a console do seu servidor através do co-

mando MMC. Com a console aberta, selecione a opção Arquivo→ Adicionar ou remover Snap-

in. Na tela que segue, basta clicar no botão adicionar, em seguida é necessário selecionar a

opção certificados e clicar em adicionar. Então é mostrada uma caixa, onde deve ser selecio-

nado o que o snap-in irá gerenciar, neste caso, a opção conta de computador. Por fim, basta

selecionar computador local e clicar em Concluir.

Em seguida, é necessário exportar o certificado para adicionar ao IAS posteriormente. Na

console, deve ser expandida a opção certificados, selecionar a pasta pessoal → a subpasta

certificados→ botão direito no certificado gerado "‘sociesc.tcc.com.br"’→ todas as tarefas→exportar.

Na janela que segue, basta clicar em avançar para iniciar o processo de exportação do

certificado, posteriormente, há a opção de escolher se deseja exportar a chave particular ou

não. Neste estudo, seleciona-se a segunda opção, "‘Não"’, não exportar a chave particular.

É necessário escolher o formato do arquivo a ser exportado, sendo que o recomendado é a

primeira opção X.509 binário codificado por Codificação de Regras Distingüidas - Distinguished

Encoding Rules (DER)(*.cer), como ilustra a figura 28. Isto porque a tecnologia DER possui uma

boa compatibilidade com o sistema operacional Windows e suporta ainda o Windows Mobile

device.

53

Figura 28: Formato do certificado para exportaçãoFonte: Sistema Operacional Windows 2003 Server R2

Enfim, o próximo passo, de acordo com a figura 29, é o local onde se deseja salvar o

certificado, recomenda-se salvar na raiz, porém o local pode ser escolhido pelo administrador,

sem maiores problemas.

Figura 29: Caminho para exportar o certificadoFonte: Sistema Operacional Windows 2003 Server R2

É necessário adicionar o certificado na configuração do IAS, pois foi por este motivo que o

certificado foi gerado. Na figura 30, será configurado nas diretivas de acesso remoto, o certifi-

cado para o protocolo PEAP. Após ter selecionado o método da autenticação PEAP, conforme

54

a figura 26 e clicando no botão configurar, aparecerá a figura 30 onde, estarão descritas as

principais configurações do certificado emitido, tais como:

a. Nome do certificado;

b. Data de validade;

c. Emissor.

Após verificar as informações, basta concluir a configuração clicando em ok para prosseguir

com a configuração.

Figura 30: Informações do Certificado DigitalFonte: Sistema Operacional Windows 2003 Server R2

Nas diretivas, ainda é necessário realizar alguns ajustes de configuração. Na tela principal

do IAS, deve-se selecionar o quarto item diretivas de acesso remoto, após clicar com o botão

direito sobre o item WiFi access previamente criado, conforme descrito e selecionar a opção

propriedades.

Na tela que surgirá, será necessário clicar no botão Editar Perfil, além de deixar a op-

ção conceder permissão de acesso remoto habilitada. Posteriormente, na caixa Editar o perfil

de discagem, a aba restriçoes de discagem possui diversas opções que regulam e limitam o

acesso, caso deseje. Não será colocado nenhuma restrição de discagem nesta simulação.

Na aba Criptografia, importante para a segurança do processo, conforme a figura 31, é es-

sencial selecionar uma criptografia forte. Neste trabalho será selecionada a Criptografia máxima

de 128 bits.

55

Na aba Autenticação, basta clicar no botão Métodos EAP e selecionar a opção EAP pro-

tegido (PEAP), que utilizará todas as informações do certificado digital, desprezando qualquer

configuração manual para o método de autenticação.

Figura 31: CriptografiaFonte: Sistema Operacional Windows 2003 Server R2

Concluindo esta etapa a configuração do servidor RADIUS IAS está concluída.

4.4 REGISTRO NO ACTIVE DIRECTORY

É primordial para o funcionamento do gerenciamento via AD que o Servidor IAS, seja regis-

trado no controlador de domínio, como ilustra a figura 32, onde está instalado o Active Directory.

Para isso, basta executar o IAS, clicar com o botão direito em Serviço de autenticação da Inter-

net e selecionar a opção Registrar servidor no Active Directory.

Figura 32: Registro do Servidor IAS no Controlado de domínioFonte: Sistema Operacional Windows 2003 Server R2

56

Desta forma, o servidor IAS já está em funcionamento em conjunto com o AD, agora basta

configurar o Ponto de acesso e o cliente sem fio.

4.5 CONFIGURAÇÃO DO CLIENTE SEM FIO

Agora que o servidor está ativo e em funcionamento, pode-se configurar o acesso a rede

sem fio no cliente, de forma que solicite acesso a um AP que também será configurado para

encaminhar as solicitações ao servidor RADIUS/IAS.

Nas propriedades de Conexão de rede sem fio do cliente, figura 33, seleciona-se a aba

Redes sem fio, após basta clicar sobre o botão Propriedades. Na tela que segue, no campo

Autenticação de rede, é necessário selecionar WPA e em criptografia de dados, deve-se colocar

Protocolo de Integridade de Chave Temporária - Temporal Key Integrity Protocol (TKIP).

Figura 33: Configuração do cliente RADIUS no Windows XPFonte: Sistema Operacional Windows XP Professional

Na mesma tela, na aba Autenticação, é configurado as configurações para autenticação via

o protocolo PEAP que foi configurado no servidor. Para isso, será clicado no botão Proprieda-

des. Na caixa de diálogo Propriedades EAP protegidas que surgirá, deve-se selecionar a opção

Validar certificado do servidor e no método de autenticação o item a ser selecionado é o Senha

segura (EAP-MSCHAP v2), conforme ilustra a figura 34.

57

Figura 34: Configuração EAPFonte: Sistema Operacional Windows XP Professional

4.6 AJUSTES NO PONTO DE ACESSO

Para realização deste trabalho utlizou-se o Roteador Wireless da marca D-link, modelo DI-

524. Ele será o responsável em enviar e receber solicitações de autenticação. Após entrar

na interface do Ponto de acesso, basta selecionar a opção Wireless para entrar na tela de

configuração da forma de acesso do mesmo.

É necessário configurar o acesso para autenticar via RADIUS, o Service Set Identifier

(SSID) escolhido é Trabalho de Conclusão de Curso (TCC), lembrando que qualquer nome

pode ser inserido, uma vez que serve somente para identificação da rede. O canal pode ser o

padrão que está no ponto de acesso, geralmente 7, no item Ssecurity, é necessário selecionar

WPA, no campo Encryption, a opção TKIP deve ser selecionada.

No item RADIUS Server IP, da figura 35, basta informar o IP do servidor IAS, neste caso

192.168.0.126, a porta a ser inserida é a 1812, que corresponde ao protocolo RADIUS, con-

forme visto no capítulo 3 e por fim no campo RADIUS Shared Key, deve-se colocar uma senha,

neste caso a mesma que foi inserida quando adiciona-se um cliente RADIUS no IAS. Após

basta aplicar e aguardar que o ponto de acesso reinicie.

58

Figura 35: Configuração do Ponto de acessoFonte: Interface web do Dlink DI-524

4.7 CONEXÃO

Com todas as configurações realizadas corretamente, é preciso conectar, com o usuário/-

senha da rede, conforme a figura 36.

Figura 36: Dados para conexão no domínioFonte: Sistema Operacional Windows XP Professional

Ao clicar no botão conectar, tem-se uma caixa de diálogo, onde solicitará usuário, senha e o

domínio de logon, conforme a figura 37, após, basta informar os campos e aguardar a conexão.

59

Figura 37: Preparação de redeFonte: Sistema Operacional Windows XP Professional

4.8 RESULTADOS

Uma vez conectado, os recursos necessários estarão disponíveis, bem como as aplicações

que dependem do funcionamento da rede, com os devidos controles de acesso necessários a

uma rede WiFi. Na figura 38, tem-se um teste de conectividade com o servidor, onde qualquer

cliente sem fio habilitado no ambiente de testes poderá comunicar-se de uma forma segura.

Figura 38: Teste de Conectividade com o ServidorFonte: Sistema Operacional Windows XP Professional

Realizado toda a implementação descrita neste capítulo, pode-se realizar a autenticação de

usuários do Active Directory de forma segura, como demonstra a figura 39, com gerenciamento

facilitado e obter o ambiente proposto no início deste capítulo.

Com as implementações descritas, é possível verificar que um ambiente de acesso sem fio

necessita de proteção e integração ao domínio, a exemplo de um cliente Ethernet. Por meio do

Serviço de Autenticação da Internet, o acesso e o ingresso em um domínio, torna-se facilitado

ao usuário para utilização no dia a dia. Através do controle de acesso realizado via IAS, o

domínio torna-se mais seguro e confiável.

Até mesmo acesso externo ao domínio é possível, pois o IAS pode liberar o acesso ao

domínio integrando-se ao AD, bastando ao usuário informar seu usuário e senha.

60

Figura 39: Domínio com o Serviço de Autenticação da InternetFonte: Autor

Vários são os benefícios proporcionados com a utilização de clientes WiFi em instituições

e corporações.

a. Centralização: Todo o controle de usuários e permissões é realizado pelo Controlador de

Domínio, inclusive de dispositivos WiFi;

b. Segurança: A utilização do Protocolo RADIUS, funciona como um grande mecanismo de

segurança;

c. Custo: O Serviço de Autenticação da Internet, faz parte do Windows Server 2003, desta

forma, pode ser implementado sem nenhum custo adicional;

d. Mobilidade: Através de um bom dimensionamento dos pontos de acesso existentes, é

possível fornecer uma grande abrangência com segurança por meio de acessos sem fio.

Estender a utilização do domínio a usuários de redes sem fio, com segurança, controle e

praticidade, é o foco principal deste trabalho. Pode ser aplicado em hotéis, hospitais, universi-

dades, corporações, dentre outros.

61

5 CONCLUSÃO

Este trabalho apresentou inicialmente o conceito de Protocolos de rede, detalhando o mo-

delo em camadas, a fim de um entendimento necessário para implementação e compreensão,

possibilitando uma administração posterior tranqüila, e centralizada. Seguindo nesta linha, fo-

ram apresentados os termos, conceitos, bem como os diversos tipos de protocolos de auten-

ticação,os protocolos de acesso sem fio, detalhando o acesso via WiFi, tipos de transmissão,

uma noção sobre as redes locais sem fio, metropolitanas e até mesmo, o Bluetooth.

Ainda no capítulo 2, foram demonstradas as vantagens da autenticação das redes sem fio,

como mobilidade, baixo custo de infra-estrutura de rede, rapidez na instalação, fatores estes

que vêm motivando empresas a adotarem esta tecnologia. Na parte conceitual foi evidenciada

e ressaltada de uma forma auto-explicativa, uma vez que a mesma se faz muito necessária

para o entendimento deste trabalho. Sendo assim, os capítulos 2 e 3 abordam as tecnologias

utilizadas, conceituando-as de forma a esclarecer a função de cada tecnologia no processo, uma

vez que várias ferramentas serão utilizadas, porém com finalidades diferentes no processo. Por

este motivo, explicou-se de forma detalhada os conceitos de domínio de rede, controlador de

Domínio, no que diz respeito ao Active Directory. No mesmo capítulo, se explica a função do

Serviço de autenticação da Internet, que é a implementação Microsoft de um Servidor Radius,

que foi descrito e conceituado igualmente na seqüência, abordando inclusive, os conceitos do

protocolo em redes sem fio, e o funcionamento do processo de autenticação, focando desta

forma, para o trabalho. Finalizando este capítulo, descreveu-se sobre a tecnologia Wireless

Fidelity (WiFi), pois este será o meio de comunicação e acesso utilizado.

Com os conceitos devidamente definidos, esclarecidos foram analisadas, implementadas e

testadas as ferramentas que permitem a autenticação de usuários no Active Directory, utilizando

Radius através do Serviço de Autenticação da Internet.

No capítulo 4, toda a parte prática da implementação foi descrita e esclarecida de forma,

que seja possível a implementação por um administrador de rede devidamente qualificado. A

parte conceitual definida no capítulos 2 e 3 foi fundamental para que fosse implementado este

trabalho, que engloba várias tecnologias que se integram.

Geralmente, os acessos sem fio não são devidamente controlados, sendo completamente

alheia ao domínio, tendo dificuldade para o acesso a rede, necessitando de senhas específicas

para liberar o acesso, dificultando desta forma, o dia a dia destes clientes sem fio. Desta forma, a

utilização de um Servidor Radius, implementado através do Serviço de autenticação da Internet,

vem de encontro aos administradores e gestores que possuem o gerenciamento de máquinas

e usuários através do Active Directory, na plataforma Windows Server, uma vez, que se pode

62

gerenciar este cliente através do AD, bem como aumentar significativamente a segurança do

meio de acesso sem fio, que é passível de interceptação.

Para o futuro, existe a proposta de realizar este mesmo trabalho, porém em uma plataforma

livre, através da integração do servidor LDAP, com a Ferramenta Freeradius, por exemplo, pois

nem todos os ambientes são administrados e gerenciados através da plataforma Microsoft.

Existe ainda, a possibilidade de implementar a autenticação Radius com todas as máquinas do

domínio, independentemente do tipo de acesso, WiFi, Ethernet, discada, através de uma VPN,

dentre outros.

Outra proposta seria adicionar serviços integrados ao AD, como o squid, para o controle de

acesso a Internet e o postfix, para os e-mails, além de outras ferramentas, possibilitando assim,

um gerenciamento centralizado e sob controle de diversas aplicações, inclusive em clientes de

acesso sem fio, permitindo uma total integração dos mesmos através do protocolo Radius.

Outro ponto interessante a ser abordado, é a configuração do protocolo Radius na pla-

taforma Windows Server 2008, que passará a ser gerenciado pela ferramenta NPS, Network

Policy Server.

63

REFERÊNCIAS

ALECRIM, E. Tecnologia Bluetooth. 2006. InfoWester. Disponível em: http://www.infowester.com/bluetooth.php. Acesso em: 08 ago. 2007.

BEPPLER, A. F. Princípios e Fundamentos das Redes Sem-Fio utilizando WI-MAX. 2006. SOCIESC. Disponível em: http://ist.sociesc.com.br/cursos/bsi/TrabalhoDeDiplomacao/TD-AmarildoFranciscoBeppler-2006-1.pdf. Acesso em: 08set. 2007.

CARDOSO, R. Wireless LAN´s são seguras? 2007. Sibra. Disponível em: www.sibra.com.br/ArtigoWireless.pdf. Acesso em: 09 out. 2007.

COMER, D. E. Redes de Computadores e Internet. Porto Alegre: Bookman, 2001.

CONGDON, P. A. IEEE 802.1X Remote Authentication Dial In User Service (RADIUS)Usage Guidelines. United States of América: IETF - RFC 3580, 2003.

DANSEGLIO, M. Securing Windows Server 2003. United States of America: O’Reilly, 2004.

DEMARCHI, C. Rede em Ebulição. 2004. Época. Disponível em: http://epoca.globo.com/especiais/2004/tecnatal/internet.htm. Acesso em: 07 set. 2007.

DUARTE, O. C. M. B. e. a. IEEE 802.16 - WiMAX. 2005. UFRJ. Disponível em:http://www.gta.ufrj.br/grad/05_1/wimax/html/. Acesso em: 06 set. 2007.

HASSEL, J. Radius Securing Public Access to Private Resources. United States of América:O’Reilly, 2002.

I-WEB. Wireless. 2003. I-Web. Disponível em: http://www.iweb.com.br/iweb/pdfs/20031008-wireless-01.pdf. Acesso em: 07 set. 2007.

KUROSE, J. F. Redes de Computadores e a Internet - Uma Nova Abordagem. São Paulo:Pearson, 2003.

LIMA, L. d. S. WiMAX: Padrão IEEE 802.16 para Banda Larga Sem Fio. 2004. PUC.Disponível em: http://www-di.inf.puc-rio.br/~endler/paperlinks/TechReports/MCC29-06.pdf. Acesso em: 05 set. 2007.

MICROSOFT, C. Usando PEAP na empresa. 2004. Centro de orientações de segurançaMicrosoft. Disponível em: http://www.microsoft.com/brasil/security/guidance/lans/peap_a.mspx. Acesso em: 11 nov. 2007.

MICROSOFT, C. Apresentando o IAS. 2005. Microsoft TechNet. Disponível em:http://www.microsoft.com/technet/prodtechnol/windowsserver2003/pt-br/library/ServerHelp/0cd57a07-285d-4777-9120-5a021f6b2b11.mspx?mfr=true.Acesso em: 16 out. 2007.

MICROSOFT, C. Instalando um controlador de domínio. 2005. Microsoft Technet. Disponívelem: https://thesource.ofallevil.com/technet/prodtechnol/windowsserver2003/pt-br/library/ServerHelp/8b6b5d4d-1fe5-47ae-8773-7d47b2c47ac1.mspx?mfr=true. Acesso em: 16 out. 2007.

http://www.infowester.com/bluetooth.php

http://www.infowester.com/bluetooth.php

http://ist.sociesc.com.br/cursos/bsi/TrabalhoDeDiplomacao/TD-AmarildoFranciscoBeppler-2006-1.pdf

http://ist.sociesc.com.br/cursos/bsi/TrabalhoDeDiplomacao/TD-AmarildoFranciscoBeppler-2006-1.pdf

www.sibra.com.br/ArtigoWireless.pdf

www.sibra.com.br/ArtigoWireless.pdf

http://epoca.globo.com/especiais/2004/tecnatal/internet.htm

http://epoca.globo.com/especiais/2004/tecnatal/internet.htm

http://www.gta.ufrj.br/grad/05_1/wimax/html/

http://www.iweb.com.br/iweb/pdfs/20031008-wireless-01.pdf

http://www.iweb.com.br/iweb/pdfs/20031008-wireless-01.pdf

http://www-di.inf.puc-rio.br/~endler/paperlinks/TechReports/MCC29-06.pdf

http://www-di.inf.puc-rio.br/~endler/paperlinks/TechReports/MCC29-06.pdf

http://www.microsoft.com/brasil/security/guidance/lans/peap_a.mspx

http://www.microsoft.com/brasil/security/guidance/lans/peap_a.mspx

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/pt-br/library/ServerHelp/0cd57a07-285d-4777-9120-5a021f6b2b11.mspx?mfr=true

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/pt-br/library/ServerHelp/0cd57a07-285d-4777-9120-5a021f6b2b11.mspx?mfr=true

https://thesource.ofallevil.com/technet/prodtechnol/windowsserver2003/pt-br/library/ServerHelp/8b6b5d4d-1fe5-47ae-8773-7d47b2c47ac1.mspx?mfr=true



64

MICROSOFT, C. Introdução à autenticação. 2005. Microsoft. Disponível em: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/pt-br/library/ServerHelp/a52dce1c-5613-44ec-a132-5bd37000f2e4.mspx?mfr=true. Acesso em: 16mar. 2007.

MICROSOFT, C. Novos Recursos do IAS. 2005. Microsoft Technet. Disponí-vel em: http://technet2.microsoft.com/WindowsServer/pt-BR/Library/58429446-79c2-4fe5-ab08-e2777d7b54bc1046.mspx. Acesso em: 10 set. 2007.

MINASI, M. Dominando o Windows Server 2003: A Bíblia. São Paulo: Pearson, 2003.

RISCHPATER, R. Desenvolvimento para Redes Wireless. São Paulo: Makron Books, 2001.

SANTANA, F. Active Directory. 2003. Juliobattisti. Disponível em: http://www.juliobattisti.com.br/fabiano/artigos/activedirectory.asp. Acesso em: 01 nov.2007.

SILVA, L. A. F. d. Radius em Redes sem Fio. UFRJ, Rio de Janeiro, 2003.

SOUZA, E. M. d. Implementação de um Serviço de Diretórios utilizando o protocoloLDAP. 2004. SOCIESC. Disponível em: http://ist.sociesc.com.br/cursos/bsi/TrabalhoDeDiplomacao/TD-EdsonMachadodeSousa-2004-2.pdf. Acesso em: 20 dez.2007.

STALLINGS, W. Redes e Sistemas de Comunicação de Dados. Rio de Janeiro: Campus,2005.

TANENBAUM, A. S. Redes de Computadores. Rio de Janeiro: Elsevier, 2003.

TORRES, G. O modelo de referência OSI para protocolos de rede. 2007. Clube doHardware. Disponível em: http://www.clubedohardware.com.br/artigos/1349/. Acessoem: 01 jun. 2007.

VIDAL, J. Entendendo Active Directory. 2006. Imasters. Disponível em: http://www.imasters.com.br/artigo/4735/servidores_windows/entendendo_active_directory. Acesso em: 10 set. 2007.

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/pt-br/library/ServerHelp/a52dce1c-5613-44ec-a132-5bd37000f2e4.mspx?mfr=true



http://technet2.microsoft.com/WindowsServer/pt-BR/Library/58429446-79c2-4fe5-ab08-e2777d7b54bc1046.mspx

http://technet2.microsoft.com/WindowsServer/pt-BR/Library/58429446-79c2-4fe5-ab08-e2777d7b54bc1046.mspx

http://www.juliobattisti.com.br/fabiano/artigos/activedirectory.asp

http://www.juliobattisti.com.br/fabiano/artigos/activedirectory.asp

http://ist.sociesc.com.br/cursos/bsi/TrabalhoDeDiplomacao/TD-EdsonMachadodeSousa-2004-2.pdf

http://ist.sociesc.com.br/cursos/bsi/TrabalhoDeDiplomacao/TD-EdsonMachadodeSousa-2004-2.pdf

http://www.clubedohardware.com.br/artigos/1349/

http://www.imasters.com.br/artigo/4735/servidores_windows/entendendo_active_directory



td fabianomarcelino 2007 2

Documents