TCC Redes de Alta Densidade
-
Upload
anderson-de-souza-gomes -
Category
Documents
-
view
26 -
download
0
description
Transcript of TCC Redes de Alta Densidade
-
1
FACULDADE DE TECNOLOGIA DE CURITIBA FATEC- PR
ANDERSON DE SOUZA GOMES
GUILHERME ROBERTO MIRANDA STAMM
INFRAESTRUTURA DE REDES SEM FIO UTILIZANDO
AUTENTICAO RADIUS APLICADA EM LOCAL DE ALTA
DENSIDADE DE ACESSO.
CURITIBA
2013
-
2
ANDERSON DE SOUZA GOMES
GUILHERME ROBERTO MIRANDA STAMM
INFRAESTRUTURA DE REDES SEM FIO UTILIZANDO
AUTENTICAO RADIUS APLICADA EM LOCAL DE ALTA
DENSIDADE DE ACESSO.
Monografia apresentada na disciplina de Trabalho de Concluso de Curso (TCC) do Curso de Tecnologia em Redes de Computadores da Faculdade de Tecnologia de Curitiba (FATEC-PR), Coordenado pelo Mestre Gustavo hommerding Alt, para formao e como requisito Parcial Obrigatrio para elaborao do TCC, Orientado pelo Professor Esp. Fellipe Medeiros Veiga e Coordenado pelo Orlando Frizanco, Dr.
CURITIBA
2013
-
3
AGRADECIMENTO
Agradeo em primeiro lugar a Deus que iluminou o meu caminho durante
esta caminhada.
Agradeo tambm a minha futura esposa, Eretchusa, que de uma forma
indescritvel esteve do meu lado e por muitas vezes sendo meu norte nessa
jornada, me motivando e incentivando sempre.
Quero agradecer tambm meu filho Alyson, pela pacincia quando precisava da
minha ateno e soube aguardar eu estar disponvel e a todos os professores,
em especial o professor Fellipe Medeiros Veiga, pela dedicao e presena em
nossa orientao.
E no deixando de agradecer de forma grata e grandiosa meus pais, Ivan e
Neusa, a quem eu rogo todas as noites a minha existncia.
Anderson de Souza Gomes
Agradeo a Deus em primeiro lugar e em segundo lugar aos meus familiares que
direta ou indiretamente colaboraram para realizao deste trabalho, e em
especial a minha me Josmaira e meu Padrasto Marcio, pela compreenso apoio
e carinho durante esses anos de estudos.
Ao meu orientador Professor Fellipe Veiga que atravs de sua orientao sempre
oportuna durante os intervalos de aulas, esclarecendo minhas dvidas de forma
inteligente e incentivadora fazendo com que esse projeto pudesse ser realizado.
Ao Professor e mestre Dr. Frizanco pela sua orientao de como colocar esses
estudos nos padres ABNT assim com colocando sua experincia a nossa a
nosso dispor. Primeiramente ao meu colega que fez parceria comigo para que
esse trabalho fosse realizado e os colegas do curso que me ajudaram nos
trabalhos e por ter contribudo um descontrado ambiente de estudo que, por
conseguinte resultaram na motivao e concluso do curso, e a todo que de
forma direta ou indiretamente, contriburam para realizao dessa Monografia.
Guilherme Roberto Miranda Stamm
-
4
Se eu soubesse o que eu estava fazendo, no seria
chamada pesquisa.
(Albert Einstein).
"Pesquisar ver o que outros viram, e pensar o
que nenhum outro pensou".
(Albert Szent-Gyorgyi).
-
5
LISTA DE ILUSTRAES
Figura 1: Estrutura bsica de uma rede sem fio domstica...............................18
Figura 2: Estrutura de uma rede sem fio corporativa.........................................19
Figura 3: Padro 802.11....................................................................................25
Figura 4: Criptografia de rede sem fio...............................................................26
Figura 5: Servio RADIUS.................................................................................31
Figura 6: Active Directory - Servios de Diretrio..............................................37
Figura 7: Exemplo de importao e implementao de diretivas orientadas a
OU......................................................................................................................39
Figura 8: Demonstrao de Domnio.................................................................42
Figura 9: Demonstrao Florestas.....................................................................44
Figura 10: Esquema de um Controlador de Domnio........................................45
Figura 11: Exemplo de consulta DNS................................................................46
Figura 12: Rede em conformidade para implementao do servio RADIUS...48
Figura 13: Projeo da estrutura RADIUS na rede sem fio...............................50
Figura 14: Roteador Linksys E900 Face.........................................................52
Figura 15: Roteador Linksys E900 - Traseira (conectores e botes)................52
Figura 16: Pgina inicial E900...........................................................................53
Figura 17: Configurao de identificao de rede sem fio (SSID).....................54
Figura 18: Definies de segurana da rede sem fio........................................55
Figura 19: Servio de DNS................................................................................56
Figura 20: Servio de gerenciamento de certificados digitais............................57
Figura 21: Condies de meio de acesso para um cliente NAS........................57
Figura 22: Viso geral da tela do servidor NPS.................................................58
Figura 23: Tela de configurao do Cliente RADIUS........................................58
Figura 24: Configurao de solicitao de acesso servidor NAS......................59
-
6
Figura 25: Tela de configurao de segurana de acesso para o Cliente
NAS....................................................................................................................59
Figura 26: Tentativa de acesso rede TESTE_TCC........................................60
Figura 27: Aviso de ingresso em uma rede corporativa....................................60
Figura 28: Informaes de DHCP e DNS..........................................................61
Figura 29: Informaes de segurana...............................................................61
Figura 30: Testes de conexo a partir do dispositivo mvel..............................62
Figura 31: Testes de conexo em dispositivo mvel.........................................62
Figura 32: Frente Xirrus XR-1230H series.........................................................63
Figura 33: Frente Xirrus XR-1230H...................................................................63
Figura 34: Cisco Aironet 1552S.........................................................................64
-
7
LISTA DE TABELAS
Tabela 1: Comparao entre Cisco e Xirrus......................................................66
-
8
LISTA DE SIGLAS E ABREVIATURAS
AAA: Authentication, Authorization and Accounting
AD CS: Active Directory Certificate Services
AD: Active Directory
ADSL: Asymmetric Digital Subscriber Line
AES: Advanced Encyptation Standart
APs: Access Points
BDC: Backup Domain Controller
BSS: Basic Service Set
BYOD: Bring Your Own Device
CSMA/CA: Carrier Sense Multiple Access / Colision Avoidance
CSMA/CD: Carrier Sense Multiple Access / Collision Detection
CTS: Clear to Send
DC: Domain Controler
DES: Data Encryption Standard
DES: Data Encryption Standard
DHCP (Dynamic Host Configuration Protocol)
DHCP: Dynamic Host Configuration Protocol
DNS: Domain Name System
DS: Distribution System
EAP: Extensible Authentication Protocol
EAP-TLC: Extensible Authentication Protocol - Transport Layer Security
ESS: Extended Service Set
FQDN: Fully qualified domain name
GB: Gigabyte
HD: Hard Disk
HTTPS: HyperText Transfer Protocol Secure
IAS: Internet Authentication Service
IBSS: Independent Basic Sservice Set
IEEE: Institute of Electrical and Electronics Engineers
IETF: Internet Engineering Task Force
IP: Internet Protocol
IPSec: IP Security Protocol
-
9
ISP: Internet Service Provider
L2TP: Protocolo de encapsulamento de camada 2
LDAP: Lightweight Directory Access Protocol
LDS: Lightweight Directory Services:
MAC: Media Access Control
MD5: Message-Digest algorithm 5
MIMO: Multiple-input and multiple-output
MPPE: Microsoft point to point encryption
MSCHAP: Microsoft Challenge Handshake Authentication Protocol
MSFT: Microsoft
NAS: Network Access Server
NIST: Instituto Nacional de Padres e Tecnologia dos EUA
NPAS: Network Policy and Access Services
OU: Organizational Unity
PAP: Password Authentication Protocol
PAP-TLS: Password Authentication Protocol - Transport Layer Security
PDAs: Personal Digital Assistants
PPOP: Point-to-Point Protocol over Ethernet (PPPoE)
PPTP: Point to Point Tunneling Protocol
RADIUS: Remote Authentication Dial In User Service
RAM: Random Access Memory
RAS: Remote Access Server
RAS: Remote Access Server
RFC: Request for Comments
RMS: Rights Managenebte Services
RSA: Rivest-Shamir-Adleman
RSN: Robust Security Network
RTS: Request to Send
RTS/CTS: Request to Send / Clear to Send
SFP: Small Form-Factor Pluggable
SSID: Service Set IDentifier
STA: Station
TB: Terabyte
TKIP: Temporal Key Integrity Protocol
-
10
TLS: Transport Layer Security
UDP: User Datagram Protocol
UO: Unidades Organizacionais
UTP- Unshielded Twisted Pair
VPN: Virtual Private Network
WEP: Wired Equivalent Protection
WINS: Windows Internet Name Service
WLAN: Wireless Local Area Network
WPA: Wi-Fi Protect Access
WPA2: Wi-Fi Protect Access 2
XMS: Extended Messaging Service
-
11
RESUMO
O trabalho foi realizado com o objetivo de analisar a infraestrutura
tecnolgica da rede sem fio em ambiente de alta densidade de acesso com
autenticao por meio do Protocolo RADIUS consultando uma base no Active
Directory (AD), a importncia deste trabalho est em fazer conhecido, de forma
relevante, o tema e o procedimento da criao na prtica da infraestrutura de
redes sem fio utilizando autenticao RADIUS aplicada em local de alta
densidade, por ser um tema pouco aplicado, embora o foco deste seja alta
densidade o mesmo pode ser aplicado tambm em locais menores. Foi realizado
segundo uma metodologia de desenvolvimento que envolveu buscas, seleo e
o estudo das bibliografias, levantamento de ferramentas equipamentos para
construo da estrutura de redes, escolha de sistemas operacionais, protocolos
e bases utilizados; anlise comparativa com outros trabalhos, referente teoria
e a prtica utilizada no presente trabalho; e a concluso a que se chegou sobre
o melhor aproveitamento da rede sem fio em um ambiente com uma grande
massa de usurios. Assim, apresenta uma introduo, a metodologia, o
desenvolvimento, os resultados observados e a reviso bibliogrfica.
Palavras chave: Rede sem fio, Protocolo RADIUS, Active Directory, Unidades
Organizacionais, Autenticao via RADIUS.
-
12
ABSTRACT
The study was conducted with the objective of analyzing the
technological infrastructure of the wireless environment in high-density access
with authentication via RADIUS Protocol querying a base in Active Directory (AD),
the importance of it to make this known in a relevant theme and undeveloped
practice to be unusual, even though the focus of this density is high it can also be
applied to smaller locations. Was performed using a development methodology
involving search, selection and study of bibliographies, surveying equipment tools
for building the network structure, choice of operating systems, databases and
protocols used; comparative analysis with other studies concerning the theory
and practice used in this work, and the conclusion we reached on the best
utilization of the wireless network in an environment with a large mass of users.
Thus, presents an introduction, methodology, development, and the results
observed literature review.
Keywords: Wireless network, the RADIUS protocol, Active Directory,
Organizational Units, authentication via RADIUS.
-
13
SUMRIO 1.INTRODUO................................................................................................15
1.1 OBJETIVO GERAL............................................................................15 1.2 OBJETIVOS ESPECIFICOS..............................................................16 1.3 METODOLOGIA................................................................................17 1.4 JUSTIFICATIVA................................................................................17 2. REVISO BIBLIOGRAFICA...........................................................................18
2.1 CONCEITO SOBRE REDES SEM FIO..............................................18 2.2 HISTRICO.......................................................................................19 2.3 METODO DE ACESSO.....................................................................20 2.4 ALCANCE..........................................................................................21 2.5 SEGURANA....................................................................................23
2.6 PADRO 802.11................................................................................23 2.7 CRIPTOGRAFIA DE REDE SEM FIO................................................25
3. PROTOCOLO DE AUTENTICAO DE REDE SEM FIO..............................26 3.1 WEP WIRED EQUIVALENT PROTECTION...................................27 3.2 WPA WI-FI PROTECT ACCESS.....................................................27 3.3 WPA WI-FI PROTECT ACCESS 2..................................................28 3.4 WPA ENTERPRISE...........................................................................29 3.5 WPA2 PESSOAL E WPA2 ENTERPRISE......................................29 3.6 RADIUS REMOTE AUTHENTICATION DIAL IN USER SERVICE.31
3.6.1 RADIUS Em Rede sem Fio...................................................31 3.7 NAS NETORK ACCESS SERVER.................................................33
3.8 APLICAO......................................................................................33 3.9 AUTENTICAO..............................................................................34 4. SERVIDOR DE SERVIOS DE DIRETRIO.................................................36 4.1 ACTIVE DIRECTORY........................................................................36 4.1.1 Objetos do Active Directory..................................................37 4.1.2 Funes do Active Directory.................................................37 4.2 UNIDADES ORGANIZACIONAIS (UO).............................................38 4.2.1 As Unidades Organizacionais usadas para:.........................38
4.3 GRUPOS DE TRABALHO E DOMINIOS...........................................39 4.3.1 Grupos de Trabalho..............................................................39 4.4 DOMNIO...........................................................................................40 4.5 ARVORES E FLORESTAS................................................................43 4.5.1 Arvores.................................................................................43 4.5.2 Florestas..............................................................................44 4.6 CONTROLADOR DE DOMINIO........................................................45 4.7 DNS DOMAIN NAME SYSTEM.....................................................45 5. TECNOLOGIA PARA AUTENTICAO VIA RADIUS...................................47 5.1 AUTENTICAO DE USURIOS NO ACTIVE DIRECTORY...........47 5.2 NPS NETORK POLICY SERVER...................................................48 5.3. LOCAIS USURIOS DE ALTA DENSIDADE....................................49 6. DESENVOLVIMENTO...................................................................................50
6.1 ESTUDO DE CASO RADIUS.............................................................50 6.1.1 Problema..............................................................................50 6.1.2 Arquitetura Proposta............................................................50
6.1.3 Ambiente de Testes.............................................................50 6.2 FERRAMENTAS DE APOIO..............................................................50 6.2.1 Software...............................................................................50
-
14
6.2.2 VMware Workstation 9.0.0 Build-812388.............................50 6.2.3 Hardware.............................................................................50
6.2.4 Access Point........................................................................50 6.3 INSTALAO DE SERVIO PARA AUTENTICAO......................51
6.3.1 Preparao..........................................................................51 6.3.2 Configurao do Roteador...................................................51 6.3.3 Configurao do Servidor.....................................................52 6.3.4 Teste de Funcionamento......................................................59 7. EQUIPAMENTO DE REDE SEM FIO PROPOSTO........................................63 7.1 XIRRUS.............................................................................................63 7.2 CISCO...............................................................................................64 8. COMPARAO CISCO X XIRRUS................................................................66 CONCLUSO....................................................................................................67 REFERNCIAS.................................................................................................69 ANEXOS............................................................................................................72
-
15
1. INTRODUO
Atualmente tem crescido o interesse por tecnologias de Redes sem
fio em ambientes de alta densidade, tendo em vista os eventos que esto por vir
para o Brasil, como a Copa do Mundo e as Olimpadas que tornaro nosso pas
foco das atenes em todo o mundo. A crer que a aplicao destes
conhecimentos de grande importncia para demonstrar nosso potencial
tecnolgico. Esse documento tem como tema Infraestrutura de redes sem fio
utilizando autenticao RADIUS aplicada em local de alta densidade de acesso,
consiste em transmitir dados em uma determinada rea, utilizando
equipamentos de grande alcance e colocados em locais estratgicos para cobrir
essa rea com grande acumulo de pessoas e seus dispositivos mveis,
utilizando o protocolo RADIUS que prove a autenticao dessas conexes para
ter controle desses acessos, juntamente o Active Directory permitindo que os
dados dos usurios fiquem salvos em estrutura de banco de dados centralizado.
Existem algumas dificuldades na implementao e utilizao dessa
tecnologia, alguns listados a seguir como:
Encontrar equipamentos com alta performance para
suportar grande quantidade de usurios;
Analisar a infraestrutura dessa rede e determinar
onde os equipamentos de hardware sero estrategicamente posicionados para
que haja melhor cobertura do sinal;
Inserir autenticao da conexo para o controle de
acesso;
Prover acesso de qualidade aos usurios;
Devido a essas dificuldades, buscamos solues relevantes e
maneiras de resolver essas questes propondo uma forma para tal
implementao.
1.1. OBJETIVO GERAL
O Objetivo estudar e analisar a infraestrutura tecnolgica da rede
sem fio voltada para locais com grande volume de acesso (Estdios de futebol,
aeroportos, Shoppings Centers) que possibilite atender usurios enquanto
estejam no local, propiciando acesso internet para que esses usurios
acessem suas redes sociais e as mdias sociais/eletrnicas.
-
16
1.2. OBJETIVOS ESPECFICOS
Relatar o conhecimento na rea de rede sem fio de alta densidade,
mostrando seus conceitos bsicos e identificando o Hardware e Software
disponvel para utilizao dessa rede;
Apresentar uma avaliao terica das caractersticas dos equipamentos
de alta performance, bem como apresentao das caractersticas e
funcionamento do sistema de autenticao com a utilizao do protocolo
RADIUS juntamente o servio de diretrio;
Estudo da infraestrutura tecnolgica de locais de alta densidade,
levantamento de requisitos e definies de processo para anlise desse
ambiente, e identificar solues a serem adotadas;
Analisar um estudo comparativo entre a teoria e a prtica, apresentando
as concluses e consideraes, mostrando as concluses a que se
chegaram a respeito desse trabalho.
1.3. METODOLOGIA
O trabalho foi desenvolvido como uma pesquisa bibliogrfica e
aplicada ao estudo de caso, ou seja, a aplicao de uma teoria na prtica,
seguindo os passos e como foram desenvolvidos conforme destacados a seguir.
Seleo e o estudo da bibliografia;
Levantamento de ferramentas para apoiar na
arquitetura proposta para instalao do servio de autenticao
RADIUS em conjunto com servio de diretrios;
Estudo de um caso real prtico ou divulgado na
literatura especializada;
Anlise comparativa entre a teoria e a prtica utilizada
no caso de estudo;
Concluses e consideraes.
Cada uma das etapas est detalhada no item que trata sobre o
desenvolvimento do trabalho, conforme a seguir.
1.4. JUSTIFICATIVA
Este trabalho apresenta um estudo baseado na anlise de
infraestrutura de redes sem fio, atravs do Active Directory, utilizando o protocolo
-
17
RADIUS, implementado no Windows Server 2008, como sistema operacional.
Ser mostrada em escala diminuda essa infraestrutura que poder ser usada
em lugares como estdios de futebol, aeroportos, Shoppings Centers e nos
eventos que aconteceram aqui no Brasil.
O protocolo RADIUS um mecanismo de segurana na autenticao
via redes sem fio, de multi-plataforma e de fcil integrao com servidores de
logon, como o Active Directory. Pode ser utilizado de forma a garantir a
integridade dos dados a serem autenticados, podendo relatar a segurana de
dados como sendo uma justificativa da importncia deste trabalho, a fcil
integrao com servidores, a facilidade em relao ao acesso ao sistema
operacional original e a falta de trabalhos que relacionem protocolo RADIUS com
Active Directory para conhecimento dos acadmicos e profissionais da rea.
-
18
2. REVISO BIBLIOGRFICA
No mundo globalizado imprescindvel a convivncia e a utilizao
dos meios tecnolgicos, citando mais precisamente a Internet onde possvel
trocar informaes com o mundo todo. Para poder usufruir desse grande poder
de obteno de conhecimento necessrio pessoa estar ligada a uma rede,
seja ela com fio ou sem fio, e estar conectada a Internet, especificamente este
trabalho trata de redes sem fio.
Os sinais de redes sem fio, geralmente, so transmitidos por rdio
frequncia, sendo assim no necessitam de uma conexo fsica com
computadores, porm necessita-se apenas de uma antena para a comunicao.
Por meio desta rdio frequncia, forma-se uma rede sem fio onde ser possvel
transmitir dados por meio de ondas de rdio eletromagnticas (COMER, 2001).
2.1. CONCEITO SOBRE REDES SEM FIO
Redes sem fio so redes de computadores que permitem interligar,
ao menos, dois equipamentos utilizando-se de ondas eletromagnticas, sem a
necessidade de uma estrutura fsica de cabeamento. Elas esto, cada vez mais,
presentes no mundo devido necessidade constante de conexo a rede dos
vrios equipamentos mveis como notebooks e Personal Digital Assistants -
PDAs existentes no mercado (CARLESSI e MARTINS, 2012).
Na sequncia tem-se duas figuras exemplo de redes sem fio
exemplificando uma rede domstica (conexo simples) e uma corporativa
(conexo complexa)
Figura 1: Estrutura bsica de uma rede sem fio domstica. Fonte: UFRJ
-
19
Figura 2: Estrutura de uma rede sem fio corporativa. Fonte: Microsoft
2.2. HISTRICO
As redes wireless (como so conhecidos os padres de acesso rede
sem fio) tm criado novas prticas e novos usos do espao urbano que vo,
pouco a pouco, constituindo-se como lugares centrais da era da conexo. Vrias
cidades no mundo esto oferecendo Wi-Fi aos seus cidados, constituindo uma
verdadeira cidade desplugada. Cidades ao redor do mundo esto colocando
redes Wi-Fi em metrs, nibus, barcos, no meio rural, nos centros das cidades
(LEMOS e VALENTIM, 2013).
No Brasil comeam a aparecer experincias em pequenas cidades do
Rio de Janeiro, Cear e So Paulo, alm de aeroportos, cafs, hotis e
restaurantes de vrias capitais. A era da conexo est alterando a relao prtica
e imaginria do espao. Como afirma Steven Levy, Quando a geografia digital
trabalhar com a tecnologia wireless e web, o mundo tomar novas dimenses
(LEVY, 2004, p. 56).
No Brasil, o Wi-Fi ainda est comeando. Os nmeros sobre o
potencial do mercado Brasileiro ainda so controversos, mas h um bom espao
para o uso do Wi-Fi crescer entre as empresas nacionais e h possibilidade de
que ele passe a constituir-se como forma de oferta de acesso populao.
A tecnologia de redes locais sem fio (Wireless LAN ou WLAN) vem se
tornando componente crucial das redes de comunicao de computadores e
-
20
observa-se um crescimento a largos saltos de sua utilizao. Graas
aprovao do padro IEEE 802.11 em 1997, a tecnologia wireless saiu de um
ambiente de implementao restrito para se tornar uma soluo ampla e aberta
de provimento de mobilidade em todo tipo de cenrio. Desta forma, empresas
esto investindo alto em redes wireless para tirar vantagem da facilidade de
acesso mvel em tempo real s informaes. Com a diminuio do custo,
aumento da confiabilidade e praticidade da implantao de redes sem fio, em
relao s estruturas fixas cabeadas, crescente a utilizao dessa tecnologia
nas redes de comunicao de dados.
2.3. MTODO DE ACESSO
Utilizam um meio totalmente diferente de redes convencionais, o ar.
Devido a isso, preciso utilizar-se de tecnologias especficas para garantir uma
conexo eficiente entre os equipamentos da rede. Essas tecnologias devem
compensar a impossibilidade de proteo fsica do meio utilizado nas redes
wireless, fazendo com que estas obtenham um bom desempenho e estabilidade
mesmo em ambientes de meio de acesso poludo. (RUFINO, 2005). A faixa de
frequncia 2.4 GHz utilizada por uma vasta quantidade de equipamentos e
servios, por isso se diz que poluda ou suja, por isso se diz que poluda ou
suja, por ser usada tambm por aparelhos de telefone sem fio, Bluetooth, forno
de micro-ondas, babs eletrnicas e pelos padres 802.11b e 802.11g, Ibidem.
Um ponto muito importante a ser considerado em uma rede o meio
de comunicao, o meio atravs do qual os equipamentos da rede trocam
mensagens entre si.
No caso das redes sem fio, o meio o ar, isto faz com que os
equipamentos que tem a capacidade de se conectar a redes sem fio necessitem
um controle especfico de acesso ao meio.
Nas redes convencionais as estaes escutam o meio para saber se
existe outra estao transmitindo dados, caso exista outra estao utilizando o
meio, ela espera, caso o meio (neste caso, o cabo) no esteja sendo ocupado a
estao inicia sua transmisso. Este mtodo conhecido como CSMA/CD
(Carrier Sense Multiple Access/Collision Detection). Nas redes sem fio no
possvel que uma estao envie dados e ao mesmo tempo escute o meio, neste
caso um mtodo utilizado nas redes sem fio o CSMA/CA (Carrier Sense
-
21
Multiple Access/Colision Avoidance) que tenta evitar colises ao invs de
detect-las. Juntamente com o CSMA/CA um protocolo conhecido com o
RTS/CTS (Request to Send/Clear to Send) utilizado, sempre que uma estao
desejar enviar um pacote, ela ir primeiramente enviar um RTS (Request to
Send), uma estao que receber o RTS e no for a estao a qual a mensagem
se destina ir aguardar um tempo (enviado no mesmo pacote RTS) para tentar
acessar o meio. A estao que receber o RTS e for a destinatria da mensagem
RTS ir responder com uma mensagem CTS (Clear to Send), aps o emissor
receber a resposta da sua mensagem, ele poder enviar seu pacote de dados
propriamente dito. (SANTOS. C.J.M.2011)
Apesar de minimizar o problema das colises, este protocolo
acrescenta muito overhead e consome boa parte da banda disponvel, causando
uma diminuio no throughput da rede.
2.4. ALCANCE
Diante deste crescimento acelerado, considera-se que a implantao
de tecnologia de comunicao wireless uma boa alternativa para locais em que
a paralisao das atividades em virtude de obras durante o perodo de
implantao de redes fixas cabeadas torna-se impossvel. Alm disso, redes
wireless so ideais para empresas e instituies onde a verba que custeia o
projeto e a aquisio do material a ser utilizado limitada. Perante a limitao
de recursos, se faz necessrio desenvolver alternativas de distribuio de pontos
de transmisso que, em um cenrio ideal, atenda a uma determinada demanda
de usurios garantindo-lhes um sinal de qualidade.
O planejamento adequado da localizao dos pontos de acesso
tambm conhecidos como Access Points, ou simplesmente APs e antenas
transmissoras de sinal so vitais para assegurar o funcionamento adequado do
sistema de comunicao. Contudo, as variveis envolvidas para tomada desta
deciso tornam o problema complexo. Segundo Najnudel (2004), para garantir o
bom funcionamento de uma rede wireless em um ambiente fechado (indoor)
deve-se levar em considerao, de forma geral, as seguintes variveis de
deciso: o posicionamento e a quantidade de concentradores para escoar o
trfego de utilizao, a frequncia de funcionamento dos dispositivos, a
-
22
interferncia exercida pelos obstculos encontrados no local, a polarizao e a
diversidade das antenas. (CAMPDEVILLE e VIANNA, 2013).
De acordo com o objetivo desejado, duas grandes classes de
problemas de localizao podem ser definidas: a classe dos problemas de
cobertura que foca na distncia mxima entre qualquer cliente e a facilidade
designada para atendimento e a classe dos problemas de localizao de
medianas que trata da minimizao de distncias mdias ou totais entre os
clientes e os centros de atendimento (facilidades). Em ambas as classes,
decises so tomadas sobre onde localizar facilidades, considerando clientes
que devem ser servidos de forma a otimizar um certo critrio.
Ao se planejar uma rede WLAN, necessrio levar em considerao
alguns conceitos bsicos de rdio transmisso como: ganho, frequncia,
polarizao do sinal, diversidade de antenas e interferncias; alm disso,
importante observar outros dois fatores importantes para propagao do sinal:
quantidade e posicionamento de concentradores para garantir a qualidade do
sinal e o escoamento do trfego pretendido.
Uma das grandes dvidas ao se montar uma rede wireless o alcance
do sinal, um fator que varia imensamente em funo dos obstculos encontrados
pelo caminho e a qualidade das antenas utilizadas. De acordo com os
fabricantes, o alcance pretendido para as redes wireless de 30 metros em
ambientes fechados e de 150 metros em ambientes abertos. No entanto, estes
so valores estimados obtidos atravs de testes padronizados, o que no
garante um cenrio real correspondente, pois neste h influncia de fatores
importantes como: o ganho das antenas instaladas no ponto de acesso e no
cliente, a potncia dos transmissores, os obstculos e fontes de interferncia
presentes no ambiente.
A cobertura de uma rea diz respeito ao estabelecimento de
comunicao entre os vrios pontos que funcionam sob um mesmo sistema de
telecomunicaes. No caso de redes sem fio, a comunicao ocorre atravs de
APs (Access Points) que emitem sinais por meio de um canal pr-determinado
para que seja feita a comunicao entre ele e os demais equipamentos dos
usurios que podem ser estaes de trabalho desktop, notebooks, tablets ou
celulares.
-
23
2.5. SEGURANA
As Redes sem fio tem se popularizado nos ltimos anos, e com isso
adquiriu grande destaque pelas suas caractersticas de mobilidade, flexibilidade,
simplicidade de instalao e pelo seu baixo custo. Contudo essa facilidade traz
risco segurana dessa rede devido a um dos principais problemas que a
instalao de equipamentos inadequada, entre outros fatores como, por
exemplo, o prprio meio de transmisso que deixam as redes expostas porque
seus dados so transmitidos atravs de ondas pelo ar, e por isso deixa redes
domsticas ou corporativas com vulnerabilidades. Por causa disso deve-se
adotar as medidas necessrias para dificultar ao mximo o acesso de possveis
invasores na rede.
2.6. PADRO 802.11
O IEEE 802.11 foi definido pelo Institute of Electrical and Electronics
Engineers (IEEE) para padronizar as camadas fsicas e de controle de acesso
ao meio (MAC) nas redes sem fio, o padro compe uma srie de normas para
equipamentos que utilizam a tecnologia de redes sem fio, atravs do qual
possvel, equipamentos de diferentes fabricantes interoperarem sem problemas
de compatibilidade.
O primeiro padro IEEE 802.11 foi aprovado em 1997, em 1999 dois
novos padres foram aprovados, o 802.11a e o 802.11b utilizando as frequncias
de 5GHz e 2,4GHz respectivamente. De 1999 at 2009 vrias novas features
foram incorporadas ao padro, at que foi aprovada a verso IEEE 802.11n.
Segundo descrito na norma IEEE, 2007 as redes sem fio diferem das
redes tradicionais (cabeadas) nas seguintes caractersticas.
Apesar de no ser uma regra, nas redes convencionais um endereo
MAC geralmente implica em um endereo fsico da estao que possui tal
endereo.
Em uma rede sem fio o endereo MAC no implica em um endereo
fsico, uma vez que as estaes so mveis. A interface da estao com o meio
(uma porta ethernet, por exemplo) em uma rede cabeada protegida de outros
sinais que no sejam provenientes de outra estao da mesma rede, enquanto
que em uma rede wireless isto no ocorre, sinais de estaes ou pontos de
-
24
acesso de outras redes podem interferir. Alm disso, o meio utilizado nas redes
wireless consideravelmente menos confivel.
O padro IEEE 802.11 prev que as redes sem fio suportem estaes
mveis e no apenas portteis, uma estao porttil pode sair de um ponto e
atuar em outro ponto fsico, porm ela ir apenas funcionar em um dos pontos,
enquanto que uma estao mvel deve seguir conectada rede enquanto se
move de um ponto ao outro.
Ainda, baseando-se no que descreve a norma IEEE 802.11 os
seguintes componentes fazem parte de uma arquitetura de rede sem fio.
BSS (Basic Service Set): Pode ser descrita como uma
clula ou a rea de cobertura de uma rede sem fio. Existe ainda outro tipo de
BSS, conhecido por IBSS (Independent BSS), que nada mais do que duas
estaes conectadas entre si atravs de uma rede ad hoc.
STA (Station): Estaes que se conectam a rede sem
fio, podem ser PC`s, notebooks, PDA`s, smartphones, tablets, etc. Uma estao
um membro dinmico de uma BSS, para se tornar membro de uma BSS uma
estao passa por um processo de sincronizao, s ento possvel que a
estao tenha acesso aos servios da BSS.
DS (Distribution System): O DS uma interconexo
entre as BSS`s, geralmente ligando um AP (Access point) a outro.
ESS (Extended Service Set): Uma rede com mais de
uma BSS interligadas atravs de um DS chamada de ESS, ou seja, o conjunto
de BSS`s que compem uma rede wireless uma ESS, vale lembrar que um DS
no considerado como parte integrante de uma ESS. Estaes conectadas a
uma BSS de uma ESS podem transitar na rea de cobertura de toda a ESS
(independente de qual BSS essa estao esteja conectada) de modo
transparente s outras camadas da rede.
AP (Access Point): Equipamento utilizado para
interligar as STA com as BSS.
Ex: roteadores wireless.
-
25
Figura 3 contm informaes do padro IEEE 802.11 Fonte: Site PPLWare
2.7. CRIPTOGRAFIA DE REDE SEM FIO
Tcnicas de criptografia tm sido amplamente utilizadas para proteger
as comunicaes de dados. Por meio dessas tcnicas, os dados so cifrados de
forma que podem ser lidos somente pelo destinatrio da mensagem. Os dados
cifrados so protegidos contra o acesso, a leitura e a modificao no
autorizadas. Todas as operaes criptogrficas dependem de chaves de
criptografia.
A manuteno das chaves e de todo o material criptogrfico
relacionado conhecida como gerenciamento de chaves. Esquemas de
gerenciamento de chaves devem considerar a gerao, armazenamento,
distribuio, proteo e revogao das chaves, bem como devem garantir que
elas estejam disponveis aos ns autnticos. Os sistemas de criptografia, ou
criptossistemas, podem ser classificados em simtricos e assimtricos,
dependendo da forma com a qual as chaves criptogrficas so criadas, mantidas
e utilizadas.
Segundo (Lima, et~al. 2003) a criptografia simtrica utiliza uma nica
chave secreta para cifrar e decifrar mensagens. A criptografia assimtrica,
tambm conhecida como criptografia de chaves pblicas, utiliza um par de
chaves para cada n: uma chave pblica e outra privada. A chave pblica
distribuda livremente na rede, enquanto a chave privada conhecida apenas
pelo seu proprietrio. Uma mensagem cifrada com a chave pblica pode ser
decifrada somente com a sua respectiva chave privada e vice-versa. Essa
-
26
tcnica criptogrfica garante a confidencialidade das mensagens trafegadas,
como tambm a autenticidade do emissor e receptor.
Assinatura Digital muito usada com chaves pblicas. Trata-se de um
meio que permite provar que um determinado documento eletrnico de
procedncia verdadeira. Quem recebe um documento assinado digitalmente usa
a chave pblica fornecida pelo emissor para se certificar da origem. Alm disso,
a chave integrada ao documento, isso implica que qualquer alterao realizada
nas informaes vai invalidar o documento. Ao procurar-se pelo entendimento
tem-se que assinatura digital firmar com seu nome digitalmente, sendo uma
identificao composta por nmeros. um mtodo que garante a chegada de
uma mensagem sem ter sido alterada no seu caminho at seu destino final.
(SOUZA e SILVA, 2013)
Figura 4: Criptografia de rede sem fio.
Fonte: Culturamix
3. PROTOCOLOS DE AUTENTICAO DE REDE SEM FIO
Para se comunicar os pacotes podem ser enviados em texto puro pelo
ar ou serem criptografados. Existem vrios esquemas criptogrficos, como o
WEP, WPA e WPA2. Cada um ser discutido com detalhes a frente.
-
27
3.1. WEP - WIRED EQUIVALENT PROTECTION
O Wired Equivalent Protection, mais conhecido simplesmente como
WEP, um protocolo de segurana presente no primeiro padro IEEE 802.11 e
pretende proteger o trfego contra escuta de pacotes e impedir que clientes no
autorizados se conectem a pontos de acesso. Desde a sua introduo em 1999,
diversas falhas foram descobertas no WEP que levaram a sua depreciao em
2004, com a introduo do WPA2. Todos os ns de uma rede que utilize WEP
devem saber uma chave WEP de 64 bits ou 128 bits. Normalmente essa chave
representada em dgitos hexadecimais. Uma rede WEP pode estar configurada
com dois mtodos de autenticao: Open System ou Shared Key (MORAIS,
2013).
Quando um cliente tenta se associar a um ponto de acesso, caso a
rede utilize o mtodo Open System, a autenticao sempre bem sucedida (a
menos que existam filtros por endereos MAC) e o cliente consegue associar-se
sem provar que sabe chave WEP. Porm, assim que ele tentar enviar algum
pacote, se no possuir a chave correta, falhara, pois o AP vai gerar um
keystream diferente e o pacote no ser descriptografado corretamente. Se a
rede utiliza o mtodo Shared Key, aps receber um Authentication Request o AP
envia um desafio consistindo de uma sequncia aleatria de bits em texto puro.
O cliente criptografa este desafio com a chave WEP e envia de volta para o AP.
Se aps descriptografar o AP conseguir obter de volta o mesmo desafio, a
autenticao aceita.
3.2. WPA - WI-FI PROTECT ACCESS
O protocolo WPA (Wi-Fi Protect Access), um protocolo posterior ao
WEP, trouxe algumas modificaes como autenticao de usurios, para isto faz
uso do padro 802.1x e EAP (Extensible Authentication Protocol), podendo
tambm ser utilizado com chaves compartilhadas, dessa forma se comporta
exatamente como o WEP. Oferece segurana para diferentes tipos de redes,
atendendo desde pequenas redes domesticas at grandes corporaes. O WPA
apresenta dois grupos de chaves so elas:
Pairwise Key: utilizado para que haja comunicao direta entre duas estaes
ou entre o Access Point e uma estao. Este tipo de comunicao denomina-se
-
28
unicast, sendo necessrio que exista uma chave conhecida apenas pelas duas
partes da comunicao. (CARAA e PENNA, 2009)
Group Key: Utilizado para comunicao quando uma estao deseja comunicar-
se com todas as outras estaes da rede, denomina-se broadcast. Neste caso,
utilizada uma chave que conhecida por todas as estaes. O Group Key
tambm utilizado para comunicaes do tipo multicast, onde uma estao
deseja se comunicar com um grupo especfico de estaes.
O funcionamento do WPA, como dito anteriormente destinado a
ambientes residenciais e ambientes corporativos. (CARAA e PENNA, 2009)
3.3. WPA2 WI-FI PROTECT ACCESS 2
Como o WPA, o WPA2 proporciona para empresas e usurios de Wi-
Fi um alto nvel de garantia para que seus dados permaneam protegidos e que
somente usurios autorizados tenham acesso as suas redes sem fios. O WPA2
est baseado no IEEE final 802.11i, emenda do padro 802.11, ratificado em
junho de 2004. Segundo muitos analistas esse padro 802.11i era exatamente
o que faltava para estimular implementaes seguras de redes wireless nas
empresas.
A principal mudana entre o WPA2 e o WPA o mtodo criptogrfico
utilizado. O WPA2 utiliza o Advanced Encyptation Standart (AES) em conjunto
com o TKIP com chave de 256 bits, que um mtodo muito mais poderoso da
mesma forma que o WPA, o WPA2 usa tecnologia de autenticao IEEE
802.1X/EAP (DUARTE, 2010).
O WPA2 oferece proteo avanada de ataques de rede sem fios
baseado em um padro de autenticao mtua mais forte e criptografia
avanada para proteger a rede sem fios de uma variedade de ameaas e
ataques.
-
29
3.4. WPA ENTERPRISE
No modo enterprise, cada usurio possui uma chave nica para
acessar a WLAN. Fornecendo assim um nvel alto de privacidade individual. O
WPA utiliza o TKIP que emprega um padro de criptografia que calcula e emite
chaves de criptografia para cada pacote de dados comunicado em cada sesso
de cada usurio, tornando extremamente difcil quebrar essa barreira. No WPA2,
o padro de criptografia usado o AES que mais forte que TKIP, provendo
ento uma proteo adicional de rede.
3.5. WPA2-PESSOAL E WPA2-ENTERPRISE
WPA2 teve uma significativa melhora na srie de padres 802.11 de
segurana em redes sem fio e apareceram recentemente nos padres WPA2-
Pessoal e WPA2-Enterprise, que aperfeioaram as tcnicas de segurana
correspondente proteo dos dados e aos acessos e autenticaes dos
usurios dos dois padres anteriores. Utiliza o algoritmo de criptografia
denominado AES (Advanced Encription Standard, ou Padro Avanado de
Criptografia). Em Criptografia, o Advanced Encryption Standard (AES, ou
Padro de Criptografia Avanada, em portugus), tambm conhecido por
Rijndael, uma cifra de bloco adotada como padro de criptografia pelo governo
dos Estados Unidos. Espera-se que seja utilizado em todo o mundo e analisada
extensivamente, assim como foi seu predecessor, o Data Encryption Standard
(DES). O AES foi anunciado pelo NIST (Instituto Nacional de Padres e
Tecnologia dos EUA) como U.S. FIPS PUB (FIPS 197) em 26 de Novembro de
2001, depois de 5 anos de um processo de padronizao. Tornou-se um padro
efetivo em 26 de Maio de 2002. Em 2006, o AES j um dos algoritmos mais
populares usados para criptografia de chave simtrica.
3.6. RADIUS - Remote Authentication Dial In User Service
O RADIUS um protocolo utilizado para disponibilizar acesso a redes
utilizando a arquitetura AAA (AAA, Authentication, Authorization, and
Accounting). Inicialmente foi desenvolvido para uso em servios de acesso
discado. Atualmente tambm implementado em pontos de acesso sem fio e
outros tipos de dispositivos que permitem acesso autenticado a redes de
computadores. (CHAVES, 2010) O desenvolvimento do RADIUS comeou de
-
30
fato em 1994, quando Steve Willens e Carl Rigney da Livingston Enterprise (hoje
conhecida como Lucent) abriram o cdigo fonte do servidor RADIUS para que
outros desenvolvedores da Merit Networks, uma pioneira em criao de solues
para Internet na poca, pudessem ajudar na construo do que hoje um dos
servios mais utilizados na rede.
O RADIUS foi construdo para atender uma necessidade de mercado
da poca. Naquele tempo, precisava-se de um produto que autenticasse,
autorizasse e fizesse acompanhamento e monitoramento do uso de recursos de
rede usado pelos usurios. Depois de uma primeira reunio entre os
desenvolvedores dessas duas empresas, nasceu uma verso muito superficial
do RADIUS.
Hoje em dia, tanto a Lucent quanto a Merit Networks oferecem
servios de Internet ao pblico baseado no RADIUS sem nenhum tipo de
cobrana.
Remote Authentication Dial In User Service - RADIUS um protocolo
de rede que prov gerenciamento centralizado de autenticao, autorizao e
contas para que outros computadores se conectem e utilizem servios de rede.
Foi desenvolvido em 1991 pela Livingston Enterprises, Inc., em 1991 como um
protocolo de acesso, autenticao e contas a servidores, e mais tarde virou um
dos padres da Internet Engineering Task Force (IETF).
Devido ao amplo suporte e ubiquidade do protocolo RADIUS,
frequentemente usado por provedores de Internet e empresas para gerenciar
acesso Internet ou redes internas, redes sem fio e servios integrados de E-
mail.
O RADIUS um protocolo cliente/servidor que funciona na camada
de aplicao, usando UDP como o protocolo de transporte. O servidor de acesso
remoto, o servidor de VPN (Virtual Private Network, ou rede virtual privada), o
switch de rede com autenticao baseada em portas, o servidor de acesso
rede (Network Access Server, NAS), todos eles so gateways que controlam o
acesso rede, e todos possuem um componente cliente do RADIUS que se
comunica com o servidor RADIUS, que normalmente um processo rodando em
background em um servidor Windows ou UNIX. (SANTOS, 2012)
O protocolo RADIUS desempenha trs funes, autenticar usurios
e/ou dispositivos antes de conceder acesso rede, autorizar usurios e/ou
-
31
dispositivos a determinados servios de rede e manter um registro de uso destes
servios (accounting).
Fase de Autenticao: quando um servidor recebe uma chamada
atravs de uma identificao do usurio, o servidor verifica se as informaes do
cliente conferem com os requisitos do usurio. Essa verificao ser efetuada
no banco de dados do servidor, se for validada passar para prxima etapa de
autorizao, caso contrrio o servidor RADIUS envia a negao do acesso.
Fase de Autorizao: nesta fase pode-se destacar os direitos,
privilgios e restries que clientes e usurios possuiro, de acordo com a tabela
criada no banco de dados. Esta etapa importante porque normal que hajam
usurios com privilgios diferentes e assim devem ser tratados de maneira
distinta.
Fase de Contabilizao: Esta a fase que a partir que o usurio ou o
cliente j esteja autenticado, todo e qualquer tipo de acontecimentos, referentes
aos seus usurios, registrado para que possam ser analisados e processados
futuramente em uma base de dados. Isso numa corporao que fornece acesso
aos seus funcionrios rede local, esta funo, importante para fins de
auditoria e verificao dos tempos de utilizao.
Figura 5: Servio RADIUS Fonte: Technet.Microsoft
3.6.1. RADIUS em Rede sem Fio
O RADIUS muito disponibilizado em redes sem o porqu simples,
eficiente e suportado por diversos dispositivos, o que facilita a implantao de
autenticao em redes sem o em malha. O funcionamento do RADIUS e
baseado na arquitetura cliente-servidor. Normalmente o cliente RADIUS e
-
32
caracterizado por representar roteadores, switches, pontos de acesso ou
qualquer outro dispositivo que seja um intermediador entre os dispositivos
existentes em um ambiente de rede. J o servidor RADIUS e executado em um
servidor que centraliza a comunicao a com os clientes RADIUS.
(DONATANGELO, 2006)
Durante o funcionamento do RADIUS, diversos pacotes so
transmitidos nas atividades de a autenticao e autorizao e contabilizao.
Alm disso, os pacotes so utilizados para atender diferentes estados, de
requisio e de resposta, da entidade autenticadora. Todos so definidos no
dicionrio e biblioteca do RADIUS, o que simplifica a sua utilizao.
(DONATANGELO, 2006)
Mesmo j possuindo uma gama de recurso, possvel que sejam
implementadas novas funes ou at modificaes na estrutura dos pacotes,
possibilitando assim, que o RADIUS consiga suprir necessidades especficas. O
fato de ser possvel se fazer modificaes no RADIUS possibilitou que diferentes
aplicaes fossem desenvolvidas para atender as necessidades de certos
sistemas operacionais e servios de diretrios utilizados em um ambiente de
comunicao. Esta flexibilidade foi a responsvel pela expanso e utilizao,
principalmente para autenticao em redes sem fio. (DONATANGELO, 2006)
Os pontos de acesso sem fio devem exigir autenticao e autorizao
do n sem fio antes que os dados possam ser enviados e recebidos da rede que
est conectada ao ponto de acesso sem fio. Para fornecer sua prpria
autenticao e autorizao, cada ponto de acesso sem fio deve exigir um banco
de dados de conta de usurio com credenciais de autenticao de cada usurio
e um conjunto de regras pelas quais, a autorizao concedida. Como isso
difcil de gerenciar, alguns pontos de acesso sem fio so clientes RADIUS que
usam o protocolo RADIUS padro da indstria para enviar mensagens sobre
contabilizao e solicitao de conexo para um servidor RADIUS central. O
servidor RADIUS tem acesso a um banco de dados de conta de usurio e a um
conjunto de regras para conceder autorizao (SOUZA, 2007).
O servidor RADIUS processa a solicitao de conexo do ponto de
acesso sem fio e aceita ou rejeita a solicitao de conexo. O RADIUS foi
idealizado para centralizar as atividades de Autenticao, Autorizao e
-
33
Contabilizao, visto que o crescente nmero de sistemas independentes
inviabiliza a administrao descentralizada (SOUZA, 2007).
3.7. NETWORK ACCESS SERVER - NAS
O NAS (roteador wireless, por exemplo) considerado um cliente
para o servidor RADIUS. O cliente responsvel por enviar todas as informaes
dos usurios que querem utilizar o seu servio ao servidor RADIUS, que ir
verificar a autenticidade dos usurios finais e informar a sua validade para o
NAS, que por sua vez envia uma resposta aos usurios finais. O NAS apenas
recebe alguns parmetros do servidor RADIUS para controlar o uso dos recursos
disponveis, como por exemplo, qual o tempo mximo que o usurio dever
ficar conectado e quais so os limites de acesso para este usurio (SANTOS
J.P. 2011).
3.8. APLICAO
O Protocolo RADIUS Baseado no modelo cliente/servidor, que
forma um sistema de gerenciamento que contm o Network Access Server
(NAS), que funciona como cliente e o RADIUS como servidor, e eles trocam
mensagens entre si para prover a autenticao da rede.
O utilizador, o NAS e o servidor trocam mensagens entre si quando o
utilizador pretende se autenticar para utilizar um determinado servidor de rede.
Uma mensagem RADIUS consiste num pacote contendo um cabealho RADIUS
com o tipo de mensagem, podendo ainda ter atributos associados mensagem,
cada atributo RADIUS especfica uma parte de informao sobre a tentativa de
ligao. Por exemplo, existem atributos RADIUS para o nome de utilizador, para
a palavra passe do utilizador, para o tipo de servio pedido pelo utilizador e para
o endereo Internet Protocol - IP do servidor de acesso.
Os atributos RADIUS so utilizados para transmitir informaes entre
clientes RADIUS, proxies RADIUS e servidores RADIUS. Quando um utilizador
da rede deseja utilizar um servio ele envia os seus dados para o NAS.
O NAS responsvel por adquirir todos os dados do utilizador, que
normalmente so o nome de utilizador e a respectiva palavra passe (no envio do
NAS para o servidor a palavra passe cifrada de modo a prevenir possveis
ataques) e envi-los para o servidor RADIUS atravs de um pedido de acesso
-
34
que se designa de AccessRequest. Este tambm responsvel por processar
respostas vindas do servidor RADIUS. O servidor ao receber um pedido de
acesso tenta a autenticao do utilizador, enviando em seguida a resposta para
o NAS contendo um Access Reject caso o acesso seja negado, Access
Accept, caso o acesso seja aceito, ou Access Challenge, caso seja pedida uma
nova confirmao.
Aps autenticao, so comparados e verificados alguns dados do
pedido de modo que o servidor determine qual o grau de acesso pode ser dado
a este utilizador que foi autenticado. O servidor RADIUS pode tambm ser
configurado em proxy. Neste caso, o servidor funcionar como cliente que
redireciona os pedidos de acesso para outro servidor, ou seja, passa a ser
responsvel pela troca de mensagens entre o NAS e o servidor remoto.
3.9. AUTENTICAO
O usurio ou estao manda uma requisio para um Servidor de
Acesso Remoto (Remote Access Server - RAS) buscando obter acesso a um
determinado recurso da rede, utilizando credenciais de acesso. As credenciais
so passadas ao RAS via protocolo da camada de enlace (por exemplo,
protocolo ponto-a-ponto, no caso de alguns provedores de Internet), ou postado
em um formulrio seguro HTTPS.
Em seguida, o RAS manda uma RADIUS Access Request (requisio
de acesso) para o servidor RADIUS, solicitando autorizao para garantir o
acesso via protocolo RADIUS. Essa requisio inclui credenciais de acesso,
tipicamente em forma de nome de usurio e senha, ou certificado de segurana
provido pelo usurio. Alm disso, a requisio pode conter outras informaes
conhecidas pelo RAS sobre o usurio, como o seu endereo na rede ou nmero
de telefone, e informaes a respeito da conexo fsica com o RAS.
O servidor RADIUS verifica se a informao est correta usando
algum esquema de autenticao conhecido como o PAP (Password
Authentication Protocol, protocolo de autenticao por senha). A identificao do
usurio verificada, juntamente outras informaes relacionadas requisio
(opcional).
Historicamente, os servidores RADIUS verificam a informao de
usurio usando um banco de dados, local de arquivo nico. Servidores RADIUS
-
35
mais modernos podem usar o arquivo simples ou referir-se a fontes externas,
como bancos de dados relacionais ou servidores LDAP para verificar as
credenciais dos usurios.
O servidor RADIUS ento retorna uma de trs respostas para o RAS:
Access reject o usurio tem seu acesso negado a todos os recursos
de rede. As razes incluem falha na autenticao (identificao invlida) ou uma
conta desconhecida ou inativa.
Access challenge demanda informao adicional do usurio como
uma segunda senha, nmero PIN, token ou carto de segurana. Access
challenge tambm usada em autenticaes mais complicadas onde um tnel
seguro estabelecido entre a mquina do usurio e o servidor RADIUS de uma
maneira que as credenciais de aceso ficam escondidas do RAS.
Access accept o usurio recebe acesso. Uma vez que esteja
autenticado, o servidor RADIUS checar periodicamente se o usurio tem
autorizao para usar o servio de rede requisitado. Um usurio pode usar a
rede wireless de uma empresa, mas no a sua VPN, por exemplo. Essa
informao tambm pode ser armazenada localmente em um arquivo simples,
ou em uma fonte externa como um servidor LDAP ou banco de dados.
Cada uma dessas trs respostas, pode incluir uma mensagem de
resposta que pode conter a razo para rejeio do acesso, demandar outras
informaes, ou mensagem de boas-vindas. O texto pode ser mostrado ao
usurio em uma pgina web.
Atributos de autorizao so adequados aos termos de acesso
estipulados pelo RAS. Por exemplo, os seguintes atributos de autorizao
podem estar includos em um Access-Accept:
Endereo de IP que ser atribudo ao usurio, conjunto de endereos
IP de onde ser escolhido o endereo do usurio, tempo limite que o usurio
dever permanecer conectado e/ou lista de acesso, fila de prioridades ou outras
restries ao acesso do usurio.
-
36
4. SERVIDOR DE SERVIOS DE DIRETRIO
4.1. ACTIVE DIRECTORY
O Active Directory (AD) um servio de diretrio nas redes Windows
2000 e 2003. Servio de diretrio um conjunto de atributos sobre recursos e
servios existentes na rede, isso significa que uma maneira de organizar e
simplificar o acesso aos recursos de sua rede centralizando-os. Bem como,
reforar a segurana e dar proteo aos objetos da database contra intrusos, ou
controlar acessos dos usurios internos da rede. O Active Directory mantm
dados como contas de usurios, impressoras, grupos, computadores,
servidores, recursos de rede, etc. Ele pode ser totalmente escalonvel,
aumentando conforme a nossa necessidade. Esse servio de diretrio
composto por objetos, ou seja, todo recurso da nossa rede representado como
um objeto no AD. Esses objetos possuem propriedades o que so chamados de
atributos dos objetos. A base de dados do AD um arquivo chamado NTDS.dit,
onde todos os recursos so armazenados no mesmo (Losano,2003).
Seu desenvolvimento trouxe vrias vantagens para os
administradores de rede. Antes de a soluo ser apresentada, os usurios nas
empresas tinham um srio problema relacionado a sistemas, o esquecimento de
suas inmeras senhas para diversas aplicaes diferentes. Com a
implementao do AD, os usurios passaram a ter apenas uma senha
sincronizada com as mais diversas aplicaes utilizadas na empresa. A ideia de
centralizao de recursos funciona no AD com um banco de dados que possui
as principais informaes, como usurios, grupos, membro dos grupos, senhas,
etc. Assim, o acesso informao fica vivel e de simples conferncia, tanto
para manuteno dos recursos quanto para administrao do AD.
-
37
Figura 6: Active Directory - Servios de Diretrio Fonte: SiteConceptDraw
4.1.1. Objetivos do Active Directory
Contas de usurios: um objeto do AD, as principais informaes que
encontramos nesse objeto so o primeiro nome, ltimo nome, descrio,
usurio, senha entre outros.
Contas de Computador: todo o computador que faz parte da rede, assim
que adicionado no domnio, automaticamente criado a sua conta no
AD, no importa se um computador de um colaborador ou um servidor
da empresa.
Grupos de usurios: sua principal funo facilitar o gerenciamento e as
atribuies de permisses de acesso a recursos. (RADECK, 2012)
4.1.2. Funes do Active Directory
Funo Servios de Domnio no AD: mantem em seu banco de dados
informaes dos usurios, computadores e outros servios que pode ser
encontrado na rede. A facilidade de gerenciamento auxilia o responsvel pela
rede a verificar e manter a integridade das informaes nele cadastradas, entre
elas, o compartilhamento de recursos e a colaborao entre os usurios. Para
um correto funcionamento dessa funo, faz-se necessria a sua instalao na
rede para que outros aplicativos possam sincronizar os seus recursos de
dependncia do AD.
Funo AD\RMS (Rights Management Services): sua principal funo
a proteo da informao. Os aplicativos, que possuam esse recurso, tero
-
38
sua garantia de que apenas os usurios com as respectivas permisses iro ter
acesso a eles, deixando a informao persistente e segura.
Funo Servios AD\LDS (Lightweight Directory Services): servio
utilizado para aplicativos que esto habilitados em um diretrio. Fornece
armazenamento de recuperao de dados, sendo otimizados para leitura.
Funo Servios de Federao do AD: pode ser utilizado em diversas
plataformas diferentes e ser utilizado via web.
Funo Servios de Certificado do AD (AD CS): o gerenciamento de
segurana presente nessa funo baseia-se em certificados de chaves pblicas,
que podem ser vinculados a uma chave privada aos aplicativos correspondentes.
Active Directory esto armazenados todos os componentes de uma
rede, Domnios, rvores, Florestas, relaes de confiana, Objetos do Active
Directory, Unidades Organizacionais e Schema. (RADECK, 2012)
4.2. UNIDADES ORGANIZACIONAIS (UO)
A Unidade Organizacional uma diviso que pode ser utilizada para
organizar os objetos de um determinado domnio em um agrupamento lgico
para efeitos de administrao. (ALEXANDRE et~al,2008)
As Unidades Organizacionais so uma maneira mais fcil de delegar
tarefas administrativas. Isso permite que voc divida objetos com base em locais
fsicos ou departamento. So itens encontrados no AD onde o administrador
pode adicionar usurios, grupos, computadores e criar novas unidades
organizacionais, sendo que, uma unidade organizacional no pode conter
objetos que se encontram em outros domnios. Cada domnio possui a sua
prpria estrutura de unidade organizacional, no preciso, necessariamente,
que todos possuam a mesma estrutura. Um domnio pode ser dividido em vrias
unidades organizacionais. Com a utilizao deste recurso possvel restringir o
acesso dos usurios para que no tenham acesso a todos os objetos do domnio.
Estes, quando formam uma rvore, no precisam ter a mesma estrutura
hierrquica de unidades organizacionais. (ALEXANDRE et~al,2008)
4.2.1. As Unidades Organizacionais so usadas para:
Aplicar configuraes de Diretiva de Grupo: as
configuraes de Diretiva de Grupo podem ser associadas a uma UO. Nesse
-
39
caso, a diretiva se aplicar a todas as contas de usurio e de computador dentro
da UO.
Delegar gerenciamento: Podem ser atribudas
permisses para gerenciar objetos do Active Directory a uma UO. As permisses
concedidas a uma UO so herdadas para objetos dentro dela. (Almeida, 2010).
Figura 7: Exemplo de importao e implementao de diretivas orientadas a OU Fonte: technet.microsoft
4.3. GRUPOS DE TRABALHO E DOMNIOS
4.3.1. Grupos de Trabalho
Existem duas formas de configurar um servidor na rede: fazer parte
de um domnio ou de um grupo de trabalho.
Na Rede Baseada no Modelo de Workgroups, todos os servidores que
compem uma rede baseada no modelo de Workgroups possuem sua prpria
base (lista) de usurios, senhas e grupos. Por isso, so chamados de servidores
independentes. Para que um usurio acesse um recurso em algum servidor da
rede necessrio que ele tenha uma conta. O administrador quem faz este
cadastro do usurio. Este modelo vivel para redes pequenas, que possuem
no mximo dez usurios e um nico servidor. Por isso fcil de implementar e
o administrador consegue ter todo o controle da rede. Porm, em uma rede de
grandes propores que possui muitos servidores e funcionrios este modelo de
Workgroups, se torna insustentvel porque cada usurio teria vrias senhas,
uma para cada servio da rede. Isto poderia causar grandes confuses para eles
como por exemplo, esquec-las. (ALEXANDRE et~al,2008)
Na Rede Baseada no Conceito de Diretrio - Domnio, em uma rede
baseada em diretrio todos os servidores compartilham a mesma base de
-
40
usurios, ou seja, o mesmo diretrio. As atualizaes efetuadas em um servidor
so repassadas para os demais para que todos fiquem com uma cpia idntica
da base de dados do diretrio. Este modelo fcil de administrar e permite a
implementao de redes de grandes propores tanto geogrficas quanto em
nmero de usurios.
Grupo de Trabalho, ou Workgroup, o modo utilizado quando
optamos pela mquina ser administrada localmente (ponto a ponto), ou seja,
para um usurio usufruir dos recursos (arquivos, impressoras, etc.) ter que
possuir uma conta na base de dados local do sistema. Agora, por exemplo, se o
mesmo usurio utilizar dois ou mais sistemas de um Workgroup ter que ter duas
ou mais contas, uma em cada mquina. Nesse caso, no h uma administrao
central para os acessos e utilizao dos recursos, gerando uma falta de
segurana
. Portanto, esse tipo de configurao recomendado para o caso de
existncia de uma rede com poucas maquinas, onde o fator da segurana no
de tanta importncia. Para configurao de Workgroup no requer a instalao
do Windows 2000 Server, pois uma rede descentralizada.
4.4. DOMNIO
O domnio do Windows uma estrutura lgica onde compartilha uma
central de servios e diretrios. A base de dados do diretrio contm contas de
usurios e segurana da informao do domnio. No Windows 2000/2003, a base
de dados do diretrio conhecida como uma parte ativa do AD. No Domnio
compe computadores configurados no Domain Controllers. Com uma nica
conta, os usurios podem validar-se no domnio a partir de qualquer mquina
(Onde se tenha autorizao), a partir da, usufruir dos recursos da rede para os
quais o administrador do domnio lhes der permisses. O AD criado quando
estamos instalando o Domnio, pois no possvel criar um domnio antes e
depois instalar o AD, esse processo ocorre junto.
A nomenclatura domnio usada pelo Windows 2000 no tem nada a
ver com o mesmo termo que usado na Internet e no mundo Unix. Nos sistemas
operacionais Microsoft, domnio significa uma autenticao centralizada de
usurios e grupos, isto , um agrupamento lgico de mquinas, usurios e
-
41
recursos. Um controlador de domnio , portanto, uma mquina responsvel por
autenticar usurios e grupos que pertenam a um mesmo domnio.
Essa autenticao chamada logon, ou seja, o ato de um usurio se
conectar a recursos da rede usando um nome de acesso (login) e uma senha. A
administrao de usurios feita no controlador de domnios.
Em redes com mais de um servidor Windows 2000 Server, os demais
servidores podem ser configurados de duas maneiras: como controladores de
domnio ou como servidores participantes. No primeiro caso, os servidores se
comunicam e compartilham as suas bases de usurios e as polticas de
segurana adotadas. Qualquer mudana ou criao nessas bases de dados
replicada para os demais controladores de domnio. Por exemplo, se o
administrador criar um novo usurio em um controlador de domnio, as
informaes sobre esse usurio sero replicadas para os demais controladores
de domnio, permitindo que a autenticao de tal usurio possa ser efetuada em
qualquer um dos controladores de domnio.
claro que os recursos que esse usurio ter acesso dependem de
como a sua conta foi configurada, isto , dependendo da poltica de segurana
adotada.
J nos servidores participantes, a base de usurios e polticas de
segurana so vlidas apenas localmente. Assim, um usurio que se autentique
nesse servidor, ter suas polticas de segurana vlidas somente para aquele
servidor e no para o domnio inteiro.
Existem dois tipos de controlador de domnio: controlador de domnio
primrio (PDC, Primary Domain Controller) e controlador de domnio backup
(BDC Backup Domain Controller). Em redes onde seja implementado o
controlador de domnio backup, caso o controlador de domnio primrio saia do
ar, o controlador backup entra em seu lugar automaticamente, de modo que o
servio de controle de domnio continue existindo.
Um Domnio fornece muitos benefcios:
Objetos Organizados: O administrador pode organizar os objetos no
domnio dentro das unidades organizacionais. Os Objetos, so representaes
dos componentes fsicos atuais que existem em uma rede da organizao. Eles
so associados com um ou mais domnios, assim como usurios, grupos
especficos de usurios, computadores, aplicaes, servios, arquivos e
-
42
distribuio de listas. Por exemplo, considere um domnio na rede de uma
companhia. Para simplificar o gerenciamento de todos os recursos na rede da
companhia, os recursos de cada departamento na companhia podem ser
organizados dentro de uma unidade organizacional. Cada unidade
organizacional pode ser gerenciada por qualquer um naquele departamento. Da
mesma maneira, cada departamento na companhia constitui uma unidade
organizacional, e o administrador de rede pode gerenciar redes de unidades
organizacionais ao invs de recursos adicionais.
Localizao fcil de informaes: Publicar um recurso se refere a
torn-lo disponvel em uma lista de objetos de domnio, tornando fcil para os
usurios localizarem e usarem os recursos. Por exemplo, se uma impressora
instalada em um domnio publicada, os usurios podem localiz-la a partir de
uma lista de objetos do domnio e acess-la. Se a impressora no publicada,
os usurios podem ainda acess-la, mas eles tm que saber sua localizao
para ser capaz de fazer isto.
Acesso Dinmico: Aplicar uma poltica para o domnio estabelecer
como os usurios podem acessar, configurar, e usar recursos de domnio, que
consolidam o gerenciamento de recursos e segurana. Estas polticas so
aplicadas somente dentro do domnio, e no atravs da rede.
Autoridade Delegada: Os domnios permitem determinar permisses
para um administrador gerenciar objetos em um domnio inteiro ou em uma ou
mais unidades organizacionais dentro do domnio. Isto elimina a necessidade
para um nmero de administradores com larga srie de autoridades
administrativas e sobrepondo responsabilidade.
Figura 8: Demonstrao de Domnio
Fonte: Technet.Microsoft
-
43
4.5. RVORES E FLORESTAS
O primeiro domnio do Windows 2000 Server criado chamado
Domnio Raiz da Floresta. Domnios adicionais so adicionados ao domnio raiz
para formar a estrutura da rvore ou a estrutura da floresta, dependendo dos
requisitos de nome do domnio.
4.5.1. rvores
rvores so estruturas de hierarquia de um ou mais Domnios,
entretanto, voc pode criar um namespace para trabalhar com mltiplos
domnios em uma estrutura hierrquica.
A rvore criada quando criamos o nosso domnio, sendo o nome da
nossa rvore o mesmo nome que configuramos para o nosso domnio. Pode-se
estar criando mais de um domnio para departamentos diferentes na empresa,
por exemplo. Porm, se o mesmo administrador for administrar os domnios,
precisamos no somente de mais um domnio, como tambm um subdomnio
(child domain).
Subdomnio o um domnio que est abaixo de outro domnio na
hierarquia da rvore. Todos os domnios compartilham na rvore, informaes e
recursos, onde as funes so nicas.
Os domnios em uma rvore so unidos atravs de relaes de
confiana transitiva Kerberos bidirecional. Uma confiana significa que se o
Domnio A confia em B, e o domnio B confia em C, ento o domnio A confia no
B, e o B confia no C, e ento A confia no C. Ou seja, um domnio pertencente a
uma arvore estabelece relaes de confiana com cada domnio da arvore,
disponibilizando todos os objetos e atributos de todos os domnios da arvore.
Relaes de confiana transitivas bidirecionais so as relaes de
confiana padro nos domnios do Windows 2000. Uma confiana transitiva
bidirecional uma combinao de uma confiana transitiva e uma confiana
bidirecional.
Uma confiana transitiva significa que a relao de confiana
estabelecida para um domnio automaticamente entendida para todos os
outros domnios que confiam neste domnio. Por exemplo, o domnio
-
44
aluno.fatec.msft confia diretamente em fatec.msft. O domnio diretoria.fatec.msft
tambm confia diretamente em fatec.msft. Por ambas as confianas serem
transitivas, aluno.fatec.msft confia indiretamente em diretoria.fatec.msft.
Uma confiana bidirecional significa que existem dois caminhos de
segurana em direes opostas entre dois domnios. Por exemplo, o domnio
aluno.fatec.msft confia em fatec.msft em uma direo e fatec.msft confia em
aluno.fatec.msft na direo oposta. A vantagem das confianas transitivas
bidirecionais nos domnios do Windows 2000 que existe uma confiana
completa entre todos os domnios em uma hierarquia de domnios do Active
Directory. rvores vinculadas por relaes de confiana formam uma floresta.
4.5.2. Florestas
Este agrupamento hierrquico de rvores designado por floresta. As
florestas tm grande importncia na concepo e implementao fsica de
sistemas complexos, pois tratam-se de estruturas que ainda fazendo parte da
mesma organizao, possuem necessidades de segurana completamente
diferentes e cuja organizao interna igualmente diferente. Contudo, nem
todas as organizaes tm a necessidade destas estruturas lgicas complexas.
De uma forma geral quanto maior for o grau de complexidade
estrutural da organizao, maior ser a complexidade lgica da AD a
implementar e maior ser a necessidade de existncia de rvores de domnios
e florestas.
Figura 9: Demonstrao Florestas Fonte: technet.microsoft
-
45
4.6. CONTROLADOR DE DOMNIO
Um controlador de domnio um computador executando o Windows
2000 Server que armazena uma rplica do diretrio. Um controlador de domnio
tambm gerencia as alteraes s informaes do diretrio e replica estas
alteraes a outros controladores de domnio no mesmo domnio. Os
controladores de domnio armazenam dados do diretrio e gerenciam processos
de logon do usurio, autenticao e buscas no diretrio (FERREIRA, 2003).
Um domnio pode ter um ou mais controladores de domnio. Uma
pequena empresa que utiliza uma rede local pode precisar de apenas um
domnio com dois controladores de domnio para fornecer disponibilidade e
tolerncia a falhas, enquanto uma grande organizao com muitas localidades
geogrficas precisa de um ou mais controladores de domnio em cada
localizao para fornecer disponibilidade e tolerncia falhas.
Figura 10: Esquema de um Controlador de Domnio Fonte: Dynamic Business Sollutions, 2008
4.7. DOMAIN NAME SYSTEM - DNS
No sistema DNS, trabalhamos com nomes de domnio em vez de
endereos IP. Exemplos de nomes de domnio so: ufrn.br, yahoo.com,
dominio.com.br, pop-rn.rnp.br,etc. Como as comunicaes na Internet utilizavam
endereos IP, os nomes de domnio sero traduzidos em endereos IP, atravs
de DNS, sempre que necessrio. (COSTA, 2006).
-
46
Figura 11: Exemplo de consulta DNS Fonte: Revista Eletrnica PC Magazine
-
47
5. TECNOLOGIAS PARA AUTENTICAO VIA RADIUS
A autenticao atravs do protocolo MSCHAP v2 uma atualizao
do MS-CHAP que prov um mecanismo forte de segurana para troca de nome
de usurio e senha e na determinao de chave criptogrfica.
Com o MS-CHAP v2 o NAS envia um desafio, para o cliente, que
consiste em um identificador de sesso e um desafio arbitrrio, o cliente
responde com o nome de usurio, resposta o desafio, o desafio recebido
criptografado, um desafio par, o identificador de sesso e a senha do usurio em
formulrio criptografado, com o desafio recebido pelo servidor. J o EAP permite
um mtodo de autenticao arbitrrio, j que no faz autenticao efetivamente,
na fase 2 o EAP apenas negocia o uso do mtodo comum de autenticao.
A autenticao, efetivamente, feita apenas aps a fase 2, Durante a
fase 2 o NAS coleta os dados de autenticao e valida na sua base de dados ou
numa base central de autenticao, como um DC (Domain Controller) ou um
RADIUS. O PAP-TLS utilizado em ambiente com base em certificados digitais,
esse mtodo prov autenticao mtua, negociao de criptografia e
determinao de chave de criptografia entre o cliente e o servidor.
Criptografia para PPTP (somente est disponvel se utilizar MS-
CHAP, MS-CHAP V2 ou EAP-TLC), j o L2TP com IPSec no requer
autenticao baseada em PPP. O MPPE (Microsoft point to point encryption)
baseado no Rivest-Shamir-Adleman (RSA) e disponvel apenas para PPTP.
(Point to Point Tunneling protocol) que e o protocolo de encapsulamento de
ponto.
5.1. AUTENTICAO DE USURIOS NO ACTIVE DIRECTORY
Este subttulo tem como funo implementar um mecanismo de
segurana para autenticao em redes sem fio, atravs do AD, utilizando o
protocolo RADIUS, por meio da ferramenta IAS, possibilitando uma
administrao centralizada no gerenciamento de acessos sem fio, por meio de
uma documentao concisa de fcil acesso e simples interpretao para
implementao em qualquer ambiente.
Este tipo de configurao no servidor restringe-se a plataforma
Windows, de forma que caso necessite ou deseje utilizar a plataforma Linux, esta
configurao ser realizada na ferramenta Freeradius, de forma diferente,
-
48
podendo ser utilizada a parte conceitual deste trabalho para implementao na
plataforma. As principais ferramentas utilizadas para realizao deste trabalho
so: o Sistema Operacional Windows Server 2003 R2, Active Directory, Servio
de Autenticao da Internet, Internet Information Services Resources Kit 6.0 e
Windows XP Professional nos clientes.
Figura 12: Rede em conformidade para implementao do servio RADIUS Fonte: Site Fortinet
5.2. NETWORK POLICY SERVER (NPS)
Servidores e clientes com tecnologias compatveis com Network
Access Protection (NAP) e Network Policy Server (NPS) agregaro proteo
dinmica aos hosts que tentem ingressar na rede Federativa. Os hosts sero
avaliados com base nos critrios de integridade ditados pelo NPS, a fim de se
decidir sobre a liberao de acesso rede ou isolamento para possveis
remedies, a exemplo de atualizaes crticas de segurana.
Servidor NPS (Network Policy Server) que contm recursos tais como
assinaturas de antivrus e atualizaes de software. Estes recursos so usados
para manter os computadores em conformidade com as polticas de segurana
e fornecer remediao para os computadores no conformes. (FEITOSA,
SOUTO e SADOK, 2008)
-
49
5.3. LOCAIS USURIOS DE ALTA DENSIDADE
Swan e Dolphin Resort conhecida por fornecer uma experincia
superior aos hspedes, por isso no surpresa que uma rede sem fio robusta e
confivel foi adicionada como parte de sua renovao completa. Depois de
avaliar vrios produtos sem fio, o Swan e Dolphin Resort descobriu que o array
wireless Xirrus poderia cobrir os os 2.265 quartos de hspedes e oferecer a alta
qualidade, atendendo as exigncias de seus clientes e usando 75% menos
dispositivos, portas de switch, e lances de cabo do que qualquer outra oferta no
mercado.
O Colgio de Charleston um nacionalmente reconhecida pblica
universidade de artes liberais e cincias, localizado no corao da histrica
Charleston, Carolina do Sul. Fundado em 1770, o Colgio est entre as melhores
universidades do pas que atende alunos de todos os 50 estados os EUA e 71
outros pases. Habitantes do campus incluem 500 ilustres professores-
acadmicos, 10.000 alunos de graduao e 1.500 alunos de ps-graduao.
6. DESENVOLVIMENTO
6.1. ESTUDO DE CASO RADIUS
Neste captulo sero descritos os procedimentos experimentais
realizados para implementao de uma infraestrutura de rede sem fio em
ambiente de alta densidade de acesso com autenticao por meio do Protocolo
RADIUS consultando uma base no Active Directory (AD).
6.1.1. Problema
Escolher o Sistema Operacional a ser utilizado.
Determinar quais configuraes so apropriadas em termos de segurana e
confiabilidade.
6.1.2. Arquitetura Proposta
Abaixo tem-se uma viso geral da aplicao do servio em conjunto
com os servios de domnio e dispositivos, bem como algumas possveis
aplicaes de restrio e/ou permisso no ambiente.
-
50
Figura 13: Projeo da estrutura RADIUS na rede sem fio Fonte: Xirrus 2013
6.1.3. Ambiente de Testes
Configurada uma mquina virtual como segue:
1 processador utilizando 2 ncleos
1GB de RAM
40Gb de disco rgido
Placa de rede customizada no ambiente host para dedicar o uso do
hardware para a mquina virtual, mantendo somente o servio de protocolo de
ponte VMware na placa de rede, esse procedimento evita que haja
compartilhamento entre o sistema hospedeiro e a mquina virtual.
6.2. FERRAMENTA DE APOIO
6.2.1. Softwares
Windows:
Windows 8.1
Windows Server 2008 Standard Service Pack 2
6.2.2. VMware Workstation 9.0.0 build-812388
Android:
Gtech net tools
Fing
-
51
6.2.3. Hardware
Notebook Megaware modelo 4129
Processador i5
4GB RAM
1TB HD
Samsung S4 I9505 Android v4.3
6.2.4. Access Point
Linksys E900
6.3. INSTALAO DE SERVIO PARA AUTENTICAO RADIUS
Neste subttulo foi abordado os procedimentos experimentais
utilizados para implementao de uma rede sem fio com autenticao
centralizada usando o protocolo RADIUS.
6.3.1. Preparao
Procedimentos a serem executados no Roteador Wireless Linksys
E900:
Fazer acesso interface de configurao do roteador
Configurao do DHCP (Dynamic Host Configuration
Protocol) do Equipamento
Configurao do SSID (Service Set IDentifier) conforme
determinado no projeto
Configurao do tipo de segurana a ser utilizado nesta
rede.
Teste comunicao entre roteador e servidor de servio
Assim que executados esses procedimentos, o roteador estar pronto
para prxima etapa.
6.3.2. Configurao do Roteador
Est apresentado a seguir as fotos do roteador utilizado nos testes de
laboratrio.
-
52
Figura 14: Roteador Linksys E900 Face Fonte: Linksys
Figura 15: Roteador Linksys E900 - Traseira (conectores e botes) Fonte: Linksys
Para configurar o roteador, basta conect-lo a um computador usando
um cabo de rede comum (UTP- Unshielded Twisted Pair). No computador, basta
abrir o navegador de internet e digitar o endereo padro do roteador conforme
manual, em anexo, incluso na aquisio do produto ou disponvel no site do
fabricante.
-
53
Aps acessar o endereo exibido os campos para configurao do ISP
(Internet Service Provider), dados esses relativos ao servio de internet e a
configurao de DHCP como abaixo apresentada na figura 16.
Figura 16: Pgina inicial E900 Fonte: Autor
-
54
Foi utilizado o padro PPPoE para configurao de autenticao do
servio ADSL, tambm o servio DHCP do roteador visto que o servidor na
mquina virtual possui um servio de DNS (Domain Name System) e DC que
segundo orientao da Microsoft no deve ter seu uso simultneo em um mesmo
servidor. Segundo o site da Technet (http://technet.microsoft.com), quando o
servio DHCP instalado em um controlador de domnio, a configurao do
servidor DHCP com as credenciais da conta de usurio dedicada impedir de o
servidor de herdar, e, possivelmente, um mau uso do controlador de domnio.
Quando instalado em um controlador de domnio, o servio DHCP herda as
permisses do controlador de domnio de segurana e tem a autoridade para
atualizar ou excluir qualquer registro DNS que est registrado em uma zona
segura integrada ao Active Directory (isso inclui registros que foram registrados
por segurana outros computadores com o Windows 2000 ou um sistema
operacional Windows Server 2003, incluindo controladores de domnio).
Mudamos para a aba sem fios onde foi inserido os dados referentes s
definies da rede sem fio, como nome, tipo, canal, propagao.
Figura 17: Configurao de identificao de rede sem fio (SSID) Fonte: Autor
-
55
Figura 18: Definies de segurana da rede sem fio Fonte: Autor
6.3.3. Configurao do Servidor
Foi utilizado o Sistema Operacional Windows Server 2008 Standard e
nele habilitado os seguintes servios:
AD (Active Directory Domain Services)