Este documento descreve políticas de segurança para aplicações de rede. Resume os processos de autenticação com certificados digitais, incluindo a criação de uma autoridade de certificação interna e a emissão de certificados para clientes e servidores. Também explica o processo de autenticação em redes Windows, dividido em autenticação interativa de usuário e autenticação de rede, listando vários protocolos de autenticação suportados.
2. Introdução
Neste trabalho vamos mostrar-vos processos
de segurança existentes nas redes.
3. 1 - Processo de autenticação com
certificados
O processo de autenticação e comunicação vai utilizar criptografia
assimétrica. Este tipo de criptografia surgiu para resolver dois
grandes problemas da criptografia simétrica: a distribuição de
chaves e as assinaturas digitais.
Neste tipo de cifragem são utilizadas duas chaves relacionadas
matematicamente, para cada entidade. São elas a chave pública,
que é divulgada, e a chave privada, que é mantida em segredo.
A sua principal utilização prende-se com o facto de, não só garantir
a autenticação e o não repudio do emissor, mas também a garantia
e confidencialidade e integridade das mensagens.
4. 2 - Criação de uma CA e de
certificados
Para a realização do cenário demonstrativo da autenticação com
certificados é necessária a existência de certificados tanto para os
clientes que se pretendem autenticar no servidor como para o
servidor Apache para se autenticar nos clientes. Para isso optou-se
por criar uma CA privada.
O OpenSSL tem um script que permite a criação de uma CA, o
CA.sh que se encontra na da diretoria misc do OpenSSL. Utilizando
este script basta adicionar o parâmetro -newca para que seja criada
a CA.
5. 2 - Criação de uma CA e de
certificados
Este script irá criar um certificado que permitirá assinar os
certificados dos clientes e do servidor. Será este certificado que
iremos mais tarde importar para o browser na parte das CA em que
confiamos e colocaremos na configuração do apache para verificar
os certificados dos clientes.
6. 3 - Processo de autenticação
A autenticação na família Windows Server 2003 consiste em duas
partes: um processo de início de sessão interativo e um processo
de autenticação de rede. Uma autenticação de utilizador bem
sucedida depende destes dois processos.
7. 3.1 -Processo de início de sessão
interativo
O processo de início de sessão interativo confirma a identificação
do utilizador perante uma conta de domínio ou um computador
local. O processo de início de sessão interativo difere de acordo
com o tipo de conta de utilizador:
Com uma conta de domínio, o utilizador inicia sessão na rede com uma
palavra-passe ou um cartão Smart Card utilizando credenciais de início
de sessão único armazenadas no Active Directory. Ao iniciar sessão
com uma conta de domínio, um utilizador autorizado pode aceder aos
recursos do domínio e de todos os domínios fidedignos. O protocolo
Kerberos V5 é utilizado na autenticação, se for utilizada uma palavra-
passe para iniciar sessão numa conta de domínio. A autenticação
Kerberos V5 com certificados é utilizada, se for utilizado um cartão
Smart Card.
Com uma conta de computador local, o utilizador inicia sessão num
computador local utilizando as credenciais armazenadas no Gestor de
contas de segurança (SAM, Security Accounts Manager), que é a base
de dados de contas de segurança local. Qualquer estação de trabalho
ou servidor membro pode armazenar contas de utilizadores locais.
8. 3.2 - Processo de autenticação de
rede
A autenticação de rede confirma a identificação do utilizador
perante qualquer serviço de rede a que o utilizador tente aceder.
Para fornecer este tipo de autenticação, são suportados muitos
mecanismos, incluindo Kerberos V5, camada segura de
sockets/segurança da camada de transporte (SSL/TLS, Secure
Socket Layer/Transport Layer Security) e, para compatibilidade com
o Windows NT 4.0, o LAN Manager.
Os utilizadores que utilizam uma conta de domínio não vêm o
processo de autenticação de rede. Os utilizadores que utilizam uma
conta de computador local têm de fornecer credenciais (tais como
um nome de utilizador e uma palavra-passe) sempre que acederem
a um recurso de rede. Ao utilizar a conta de domínio, o utilizador
fica com credenciais que são automaticamente utilizadas para o
início de sessão único.
9. 3.2 - Processo de autenticação de
rede
As Ligações de rede permitem Protocolo de autenticação
utilizar os seguintes métodos e Challenge handshake da
protocolos de autenticação: Microsoft (MS-CHAP)
PAP (Password Authentication protocolo de autenticação
Protocol) Challenge Handshake da
Protocolo de autenticação Microsoft versão 2 (MS-CHAP
Challenge Handshake (CHAP, v2)
Challenge Handshake Protocolo de autenticação
Authentication Protocol) extensível (EAP, <i>Extensible
protocolo de autenticação de Authentication Protocol</i>)
palavras-passe para Shiva Smart card e outras
(SPAP) autenticações de certificados