Winsec.org Winsec.org Winsec.org
Winsec.org


Registro |

 

 

 

 

 

 

 

 

 

 

 
Winsec.org
Winsec.org
Detalhes do Artigo
Network Policy Server - Métodos de Autenticação Baseados em Senha

Neste quinto artigo da série, falarei do método de autenticação baseados em senha

Métodos de Autenticação Baseados em Senha

Cada método de autenticação possui vantagens e desvantagens em termos de segurança, capacidade de utilização e extensão do suporte. Entretanto, os métodos de autenticação baseados em senha não fornecem uma segurança rígida e seu uso não é recomendado. É recomendável que seja utilizado um método de autenticação baseado em certificado para todos os métodos de acesso à rede que oferecem suporte ao uso de certificados. Isso deve ser observado especialmente em conexões sem fio, para as quais o uso de PEAP-MS-CHAP v2 ou PEAP-TLS é recomendável.

O método de autenticação a ser usado é determinado pela configuração do servidor de acesso à rede, pelo computador cliente e pela diretiva de rede no servidor que executa o Servidor de Diretivas de Rede (NPS). Consulte a documentação do servidor de acesso para determinar para quais métodos de autenticação existe suporte.

É possível configurar o NPS para aceitar vários métodos de autenticação. É possível também configurar os servidores de acesso à rede, também chamados de clientes RADIUS, para tentar negociar uma conexão com computadores cliente solicitando o uso do protocolo mais seguro primeiro, e depois o próximo mais seguro e assim por diante, até o menos seguro. Por exemplo, o serviço Roteamento e Acesso Remoto tenta negociar uma conexão usando primeiro o EAP, depois o MS-CHAP v2, depois o MS-CHAP, depois o CHAP, depois o SPAP e depois o PAP. Quando o EAP é escolhido como o método de autenticação, a negociação do tipo de EAP ocorre entre o cliente de acesso e o servidor NPS.

MS-CHAP versão 2

A versão 2 do protocolo MS-CHAP (MS-CHAP v2) fornece maior segurança para conexões de acesso à rede que seu predecessor, o MS-CHAP. O MS-CHAP v2 soluciona alguns dos problemas da versão 1 do MS-CHAP, conforme descrito na tabela a seguir.

Problema no MS-CHAP versão 1

Solução no MS-CHAP versão 2

A codificação com LAN Manager da resposta usada para compatibilidade retroativa com clientes anteriores de acesso remoto da Microsoft é criptograficamente fraca.

O MS-CHAP v2 não permite mais respostas codificadas com LAN Manager.

A codificação com LAN Manager de alterações de senha é criptograficamente fraca.

O MS-CHAP v2 não permite mais alterações de senha codificadas com LAN Manager.

Somente a autenticação unidirecional é possível. O cliente de acesso remoto não pode verificar que está discando para o servidor de acesso remoto da organização ou um servidor de acesso remoto de representação.

O MS-CHAP v2 fornece autenticação bidirecional, também conhecida como autenticação mútua. O cliente de acesso remoto recebe a verificação de que o servidor de acesso remoto para o qual está discando tem acesso à senha do usuário.

Com a criptografia de 40 bits, a chave criptográfica é baseada na senha do usuário. Cada vez que o usuário se conectar com a mesma senha, a mesma chave criptográfica será gerada.

Com o MS-CHAP v2, a chave criptográfica é sempre baseada na senha do usuário e em uma seqüência arbitrária de desafio. Cada vez que o usuário se conectar com a mesma senha, uma chave criptográfica diferente será usada.

Uma única chave criptográfica é usada para dados enviados em ambas as direções na conexão.

Com o MS-CHAP v2, chaves criptográficas separadas são geradas para dados transmitidos e recebidos.

O MS-CHAP v2 é um processo de autenticação mútua, de senha criptografada unidirecional que funciona da seguinte maneira:

  1. O autenticador (o servidor de acesso à rede ou o servidor NPS) envia o desafio ao cliente de acesso que consiste em um identificador de sessão e uma seqüência arbitrária de desafio.
  2. O cliente de acesso envia uma resposta que contém:
    • O nome do usuário.
    • Uma seqüência arbitrária de desafio de mesmo nível.
    • Uma criptografia unidirecional da seqüência de desafio recebida, a seqüência de desafio de mesmo nível, o identificador da sessão e a senha do usuário.
  3. O autenticador verifica a resposta do cliente e envia de volta uma reposta contendo:
    • Uma indicação do sucesso ou da falha da tentativa de conexão.
    • Uma resposta autenticada baseada na seqüência de desafio enviada, a seqüência de desafio de mesmo nível, a resposta criptografada do cliente e a senha do usuário.
  4. O cliente de acesso verifica a resposta de autenticação e, se estiver correta, usa a conexão. Se a resposta de autenticação não estiver correta, o cliente de acesso encerrará a conexão.

Habilitando o MS-CHAP v2

Para habilitar a autenticação baseada em MS-CHAP v2, você deve fazer o seguinte:

  1. Habilitar o MS-CHAP v2 como um protocolo de autenticação no servidor de acesso à rede.
  2. Habilitar o MS-CHAP v2 na diretiva de rede apropriada.
  3. Habilitar o MS-CHAP v2 no cliente de acesso.

Considerações adicionais

  • O MS-CHAP (versões 1 e 2) é o único protocolo de autenticação baseado em senha que oferece suporte à alteração de senha durante o processo de autenticação.
  • Verifique se o servidor de acesso à rede oferece suporte ao MS-CHAP v2 antes de habilitá-lo em uma diretiva de rede em um servidor NPS. Para obter mais informações, consulte a documentação do NAS.

MS-CHAP

O protocolo MS-CHAP, também conhecido como MS-CHAP versão 1, é um protocolo de autenticação por senha criptografada, não reversível. O processo de handshake de desafio funciona da seguinte maneira:

  1. O autenticador (o servidor de acesso à rede ou o servidor NPS) envia o desafio ao cliente de acesso que consiste em um identificador de sessão e uma seqüência arbitrária de desafio.
  2. O cliente de acesso envia uma resposta que contém o nome do usuário e uma criptografia não reversível da seqüência de desafio, o identificador da sessão e a senha.
  3. O autenticador verifica a resposta e, se for válida, as credenciais do usuário são autenticadas.

Se você usar o MS-CHAP como o protocolo de autenticação, poderá usar a criptografia MPPE (Criptografia Ponto a Ponto da Microsoft) para criptografar os dados enviados na conexão PPP ou PPTP.

O MS-CHAP versão 2 fornece uma segurança mais rígida para conexões de acesso à rede que o MS-CHAP. Você deve considerar o uso do MS-CHAP versão 2 em vez do MS-CHAP.

Habilitando o MS-CHAP

Para habilitar a autenticação baseada em MS-CHAP, você deve fazer o seguinte:

  1. Habilitar o MS-CHAP como um protocolo de autenticação no servidor de acesso à rede.
  2. Habilitar o MS-CHAP na diretiva de rede apropriada no NPS.
  3. Habilitar o MS-CHAP no cliente de acesso.

Considerações adicionais

  • Por padrão, esta implementação do MS-CHAP v1 não oferece suporte à autenticação com LAN Manager. Se desejar permitir o uso da autenticação com LAN Manager com MS-CHAP v1 para sistemas operacionais mais antigos como o Windows NT 3.5x e o Windows 95, você deverá definir o seguinte valor do Registro como 1 no servidor NPS:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RemoteAccess\Policy\Allow LM Authentication
  • Se o MS-CHAP v1 for usado como o protocolo de autenticação, uma conexão criptografada de 40 bits não poderá ser estabelecida se a senha do usuário for maior que 14 caracteres. Este comportamento afeta o acesso remoto baseado em VPN e o acesso dial-up e as conexões de discagem por demanda.

Cuidado

A edição incorreta do Registro pode danificar gravemente o sistema. Antes de alterar o registro, faça um backup de todos os dados importantes que estiverem no computador.

CHAP

O protocolo CHAP é um protocolo de autenticação de desafio/resposta que usa o esquema de hash MD5 de padrão da indústria para criptografar a resposta. O CHAP é usado por diversos provedores de servidores e clientes de acesso remoto. Um servidor que execute o Roteamento e Acesso Remoto oferece suporte ao CHAP para que os clientes de acesso que necessitam de CHAP sejam autenticados. Como o CHAP requer o uso de uma senha criptografada de maneira reversível, considere o suo de outro protocolo de autenticação, como o MS-CHAP versão 2.

Para habilitar a autenticação baseada em CHAP, você deve fazer o seguinte:

  1. Habilitar o CHAP como um protocolo de autenticação no servidor de acesso à rede.
  2. Habilitar o CHAP na diretiva de rede apropriada no NPS.
  3. Habilitar o armazenamento de uma forma criptografada reversível da senha do usuário.

    É possível habilitar o armazenamento por conta de usuário ou para todas as contas em um domínio.
  4. Force a redefinição da senha do usuário de forma que a nova senha esteja em uma forma criptografada reversível.

    Ao habilitar que as senhas sejam armazenadas em uma forma criptografada reversível , as senhas atuais não estão em uma forma criptografada reversível e não são alteradas automaticamente. É preciso alterar manualmente as senhas de usuário ou definir que as senhas de usuário sejam alteradas da próxima vez que o usuário fizer logon.

    Se você definir que as senhas de usuário sejam alteradas da próxima vez que o usuário fizer logon, ele deverá fazer logon usando uma conexão de LAN e alterar a senha antes de tentar fazer logon com uma conexão de acesso remoto usando CHAP. Não é possível alterar senhas durante o processo de autenticação usando CHAP; ocorre falha na tentativa de logon. Uma solução alternativa para o usuário de acesso remoto é fazer logon temporário usando MS-CHAP para alterar a senha.
  5. Habilite o CHAP no cliente de acesso.

Considerações adicionais

  • Quando as senhas dos usuários expiram, o CHAP não permite que os usuários alterem as senhas durante o processo de autenticação.
  • Verifique se o servidor de acesso à rede oferece suporte ao CHAP antes de habilitá-lo em uma diretiva de rede em um servidor que execute NPS. Para obter mais informações, consulte a documentação do NAS.
  • Não é possível usar a criptografia ponto a ponto da Microsoft (MPPE) com CHAP.

PAP

O protocolo PAP usa senhas com texto não criptografado e é o protocolo de autenticação menos seguro. Normalmente, ele é negociado quando o cliente de acesso e o servidor de acesso à rede não podem negociar um método de autenticação mais seguro.

Para habilitar a autenticação baseada em PAP, você deve fazer o seguinte:

  1. Habilitar o PAP como um protocolo de autenticação no servidor de acesso à rede.
  2. Habilitar o PAP na diretiva de rede apropriada no NPS.
  3. Habilitar o PAP no cliente de acesso.

Importante

Quando você habilita o PAP como um protocolo de autenticação, as senhas de usuários são enviadas em texto não criptografado. Qualquer um que capture os pacotes do processo de autenticação poderá facilmente ler a senha e usá-la para obter acesso não autorizado à intranet. O uso do PAP é altamente desaconselhado, especialmente para conexões VPN.

Considerações adicionais

  • Se você implantar um servidor dial-up, ao desabilitar o suporte para PAP no servidor de acesso à rede, você impede que senhas de texto não criptografado sejam enviadas por clientes dial-up. Ao desabilitar o suporte ao protocolo PAP, você aumenta a segurança de autenticação, mas os clientes de acesso remoto que oferecem suporte apenas ao protocolo PAP não poderão se conectar.
  • Quando as senhas dos usuários expiram, o PAP não permite que os usuários alterem as senhas durante o processo de autenticação.
  • Verifique se o seu servidor de acesso à rede oferece suporte ao PAP antes de habilitá-lo em uma diretiva de rede de um servidor NPS. Para obter mais informações, consulte a documentação do NAS.
  • Não é possível usar a criptografia ponto a ponto da Microsoft (MPPE) com o protocolo PAP.

Acesso não autenticado

Com o acesso não autenticado, as credenciais de usuário (um nome de usuário e uma senha) não são necessárias. Embora existam situações nas quais o acesso não autenticado seja útil, na maioria dos casos, ele não é recomendado na rede da sua organização.

Quando você habilita o acesso não autenticado, os usuários têm permissão para acessar a sua rede sem enviar credenciais de usuário. Além disso, os clientes de acesso não autenticado não negociam o uso de um protocolo comum de autenticação ao tentar estabelecer a conexão, nem enviam um nome de usuário ou uma senha ao NPS.

Quando for necessário usar o acesso não autenticado, você poderá utilizar uma das seguintes soluções:

  • Autorização DNIS
  • Autenticação ANI/CLI
  • Autenticação de convidado

Autorização DNIS

O DNIS (Serviço de Identificação de Número Discado) permite a autorização de uma tentativa de conexão pelo NPS com base no número que o computador cliente chamou para inicializar a conexão. O DNIS identifica o número chamado para o destinatário da chamada e é fornecido pela maioria das companhias telefônicas. Por exemplo, você pode permitir todas as conexões que sejam feitas através de um número gratuito especificado. Para identificar conexões baseadas em DNIS e aplicar as configurações de conexão apropriadas, você deve fazer o seguinte:

  1. Habilitar o acesso não autenticado no servidor de acesso à rede.
  2. Criar uma diretiva de rede no servidor NPS para autorização baseada em DNIS com a condição ID de Estação Chamada definida como o número de telefone que os computadores cliente devem chamar para iniciar a conexão.
  3. Habilitar o acesso não autenticado na diretiva de rede no NPS para autorização baseada em DNIS.

Considerações adicionais

  • Se o serviço telefônico ou o hardware não oferecer suporte ao DNIS, você poderá definir manualmente o número de telefone da porta.
  • O NPS não oferece suporte a solicitações de acesso do DNIS com proxy.

Autenticação ANI/CLI

A autenticação ANI/CLI (Identificação Automática de Número/Identificação de Linha Chamadora) é a autenticação de uma tentativa de conexão baseada no número de telefone do chamador. O serviço ANI/CLI retorna o número do chamador para o destinatário da chamada e é fornecido pela maioria das companhias telefônicas.

A autenticação ANI/CLI é diferente da autorização de ID de chamador. Na autorização de ID de chamador, o chamador envia um nome de usuário e uma senha válidos. A ID do chamador configurada para a propriedade de discagem na conta do usuário deve corresponder à tentativa de conexão, do contrário, a tentativa de conexão será rejeitada. Com a autenticação ANI/CLI, um nome de usuário e uma senha não são enviados.

Para identificar conexões baseadas em ANI/CLI e aplicar as configurações de conexão apropriadas, você deve fazer o seguinte:

  1. Habilitar o acesso não autenticado no servidor de acesso à rede.
  2. Habilitar o acesso não autenticado na diretiva de rede apropriada no NPS para autorização baseada em ANI/CLI.
  3. Criar uma conta de usuário nos Serviços de Domínio Active Directory® (AD DS) ou no banco de dados SAM (Gerenciador de Contas de Segurança) local no servidor NPS para cada número que irá chamar e para o qual você deseje fornecer autenticação ANI/CLI. O nome da conta de usuário deve corresponder ao número do qual o usuário está discando. Por exemplo, se um usuário estiver discando de 555-0100, crie uma conta de usuário "5550100". Além disso, a senha para a conta de usuário deve ser nula.
  4. Defina o próximo valor do Registro como 31 no servidor NPS:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RemoteAccess\Policy\User Identity Attribute

    Esta configuração do Registro informa ao servidor de autenticação para usar o número chamador (atributo RADIUS 31, ID de Estação Chamadora) como a identidade do usuário chamador. A identidade do usuário é definida como o número chamador somente quando não houver nome de usuário fornecido na tentativa de conexão.

    Para sempre usar o número chamador como a identidade do usuário, defina o seguinte valor do Registro como 1 no servidor de autenticação:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RemoteAccess\Policy\Override User-Name

    Entretanto, se você definir Override User-Name como 1 e User Identity Attribute como 31, o servidor de autenticação só poderá realizar autenticação baseada em ANI/CLI. A autenticação normal através de protocolos de autenticação como MS-CHAP, CHAP e EAP é desabilitada.

Observação
As alterações nas configurações do Registro não terão efeito até que o serviço Roteamento e Acesso Remoto ou o serviço Servidor de Diretivas de Rede seja reiniciado.

Cuidado
A edição incorreta do Registro pode danificar gravemente o sistema. Antes de alterar o registro, faça um backup de todos os dados importantes que estiverem no computador.

Autenticação de convidado

O AD DS inclui uma conta de usuário chamada Convidado, desabilitada por padrão. Se você desejar fornecer acesso não autenticado, poderá habilitar a conta Convidado. Com a autenticação de convidado, durante o processo de autenticação, o usuário não fornece um nome de usuário ou uma senha. Se o acesso não autenticado estiver habilitado, por padrão, a conta Convidado é usada como a identidade do chamador.

Para habilitar o acesso da conta Convidado, você deve fazer o seguinte:

  1. Habilitar o acesso não autenticado no servidor de acesso à rede.
  2. Habilitar o acesso não autenticado na diretiva de rede apropriada no NPS.
  3. Habilitar a conta Convidado em Usuários e Computadores do Active Directory.
  4. Definir a permissão de acesso à rede na conta Convidado como Permitir acesso ou Controlar o acesso por meio da Diretiva de Rede do NPS, dependendo do modelo administrativo da sua diretiva de rede.

Se você desejar habilitar uma conta Convidado que não seja denominada Convidado, crie uma conta de usuário e defina a permissão de acesso remoto como Permitir acesso ou Controlar o acesso por meio da Diretiva de Rede do NPS. Em seguida, defina o seguinte valor do Registro no servidor de autenticação (o servidor de acesso remoto ou o servidor NPS) para o nome da conta:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RemoteAccess\Policy\Default User Identity

Observação

As alterações nas configurações do Registro não terão efeito até que o serviço Roteamento e Acesso Remoto ou o serviço Servidor de Diretivas de Rede seja reiniciado.

Links Relacionados
http://www.microsoft.com/windowsserver2008/default.mspx

Tire suas dúvidas no site abaixo. Muitos profissionais qualificados tentarão lhe ajudar da melhor forma possível:

http://forums.microsoft.com/technet-br
 
Conclusão
É isso pessoal, espero que este artigo seja útil para todos. Em caso de dúvidas sobre o conteúdo deste artigo, ou para enviar sugestões sobre novos tutoriais que você gostaria de ver publicados neste site, entre com contato através do e-mail: fabiano@winsec.org ou vitor@winsec.org
Espero que essas informações sejam úteis no dia-dia e aguarde o próximo artigo.

Vitor Nakano atua a 10 anos na área de infra-estrutura e segurança voltada à plataforma Microsoft e mentor do site www.winsec.org.
Atualmente é o coordenador do Setor de Segurança da Informação e Arquitetura do Grupo EcoRodovias, responsável pela implantação de importantes projetos de infra-estrutura e segurança e possui certificações Microsoft deste 2002. Em 2008 foi nomeado MVP na categoria Windows Security.
Você pode entrar em contato através do e-mail vitor@winsec.org
Escrito Por: vinakano
Data de Envio: 25/10/2008
Número de Acessos: 4812


Comentários
Você deve estar logado para postar um comentário.
Retornar