7/25/2019 Controle de Acesso a Rede Com PacketFenc
1/105
FACULDADE DE TECNOLOGIA SENAI DE DESENVOLVIMENTOGERENCIAL - FATESG
CURSO SUPERIOR DE TECNOLOGIA EM REDES DECOMPUTADORES
Andr Luiz Ramos de SouzaDiego de Souza Lopes
Controle de Acesso Redecom
PacketFence
GOINIA
2011
7/25/2019 Controle de Acesso a Rede Com PacketFenc
2/105
Andr Luiz Ramos de SouzaDiego de Souza Lopes
Controle de Acesso Rede
com
PacketFence
Trabalho de concluso de curso apresen-tado Faculdade de Tecnologia SENAIde Desenvolvimento Gerencial - FATESG,para obteno do ttulo de Graduado emTecnologia em Redes de Computadores.
Orientador:
Prof. MSc. Maurcio Severich
GOINIA2011
7/25/2019 Controle de Acesso a Rede Com PacketFenc
3/105
i
Andr Luiz Ramos de SouzaDiego de Souza Lopes
Controle de Acesso Rede
com
PacketFence
Trabalho de concluso de curso apresentado Faculdade de Tecnologia SENAI de
Desenvolvimento Gerencial - FATESG, para obteno do ttulo de Graduado em
Tecnologia em Redes de Computadores.
Aprovada em de de 2011.
Banca Examinadora
Prof. MSc. Maurcio SeverichOrientador
Prof. MSc. Rafael Leal MartinsFaculdade de Tecnologia SENAI - FATESG
Prof. MSc. Diogo Nunes de Oliveira
Faculdade de Tecnologia SENAI - FATESG
7/25/2019 Controle de Acesso a Rede Com PacketFenc
4/105
ii
DEDICATRIA
Aos nossos pais, esposas, filhos e
todos aqueles que nos deram apoio
sempre que necessrio.
7/25/2019 Controle de Acesso a Rede Com PacketFenc
5/105
iii
AGRADECIMENTOS
Agradecemos a Deus em primeiro lugar, que nos deu a oportunidade de ini-
ciar este curso e foras para conclu-lo. Aos nossos pais, sem os quais no podera-
mos estar onde estamos hoje.
Aos professores Maurcio Severich e Maurcio Lopes pela confiana dada a
ns, orientao e pacincia. Tambm ao Wagner Kuramoto e Fernando Tsukahara
por nos ajudar com recursos necessrios para a realizao desse trabalho.
A todos aqueles que contriburam de forma direta e indireta na concluso
deste trabalho.
7/25/2019 Controle de Acesso a Rede Com PacketFenc
6/105
iv
Epgrafe
"As pessoas que so loucas o
suficiente para achar que podem
mudar o mundo so aquelas que o
mudam."
Comercial Pense Diferente da Apple,
1997
7/25/2019 Controle de Acesso a Rede Com PacketFenc
7/105
v
Resumo
Este trabalho tem como escopo demonstrar atravs de implementao a utilizaodo softwarePacketFence para controlar o acesso de novos dispositivos (Notebook,Desktop) infraestrutura de rede de computadores utilizando conexesEthernetca-beadas. Para fazer esse controle o PacketFence faz uso de tecnologias open source,entre elas, o Nessus, ferramenta utilizada para fazer varreduras de computadores aprocura de vulnerabilidade desoftwaresque comprometa a segurana dos dados queesto armazenados no dispositivo, o FreeRadius aplicativo que faz autenticao e au-torizao de usurio e dispositivo para acesso a rede de computadores, banco dedados MySQL, utilizado para armazenar dados, o Snort, aplicativo que detecta ten-tativas de intruso a rede, ServidorwebApache HTTPD para fornecer pginas webe Captive portal. Tambm sero abordados os protocolos 802.1x, 802.1q, SimpleNetwork Manager Protocol (SNMP) e Dynamic Host Configuration Protocol (DHCP).Nesse documento o leitor ir encontrar breve descrio das aplicaes e protocoloscitados e tambm o detalhamento da instalao, configurao e funcionalidades doPacketFence em redes cabeadas.
7/25/2019 Controle de Acesso a Rede Com PacketFenc
8/105
vi
Abstract
This work aims to demonstrate by means of the use of the software implementa-tion PacketFence. It is used to control the access of new devices (notebooks, desk-tops) to the network infrastructure of computers using wired Ethernet connections. Tomake this control PacketFence uses open source technologies, including the Nessusscanning tool. It is used to make searches about computer software vulnerability thatcompromise the security of data that is stored on the device. It include FreeRadiusapplication that makes authentication and authorization and user access device to thecomputer network, MySQL database used to store data, Snort application that detectsintrusion attempts to the network, Apache HTTPD web server to provide web pagesand Captive portal. It also will be discussed 802.1x protocol, 802.1q,Simple NetworkManager Protocol (SNMP) andDynamic Host Configuration Protocol (DHCP). In thisdocument the reader will find brief description of applications and protocols mentionedearly as well the details of the installation, configuration and functionality of Packet-Fence in wired networks.
7/25/2019 Controle de Acesso a Rede Com PacketFenc
9/105
vii
Sumrio
Lista de Figuras xi
Lista de Siglas xiv
1 INTRODUO 11.1 OBJETIVOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.2 METODOLOGIA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2 FERRAMENTAS, PADRES, PROTOCOLOS E TECNOLOGIAS 5
2.1 O QUE NETWORK ACCESS CONTROL ? . . . . . . . . . . . . . . . . . 5
2.1.1 Tipos de NAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62.1.2 NAC: Primeira Gerao . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.1.3 NAC: Segunda Gerao . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2.1.4 O que Network Access Protection ? . . . . . . . . . . . . . . . . . . . 8
2.1.5 O que Network Admission Control ? . . . . . . . . . . . . . . . . . . 8
2.2 DYNAMIC HOST CONFIGURATION PROTOCOL . . . . . . . . . . . . . . 9
2.2.1 DHCP Fingerprint . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.2.1.1 Como Funciona . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.3 CAPTIVE PORTAL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.4 RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.5 IEEE 802.1X . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2.5.1 Extensible Authentication Protocol . . . . . . . . . . . . . . . . . . . . 17
2.6 SIMPLE NETWORK MANAGEMENT PROTOCOL . . . . . . . . . . . . . . 19
7/25/2019 Controle de Acesso a Rede Com PacketFenc
10/105
Sumrio viii
2.6.1 Arquitetura. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
2.6.2 Gerente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
2.6.3 Agente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2.6.4 MIB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2.6.5 Verses. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
2.7 NETFLOW / IPFIX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
2.8 IEEE 802.1Q . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
2.9 INTRUSION DETECTION SYSTEM . . . . . . . . . . . . . . . . . . . . . . 24
2.9.1 Snort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
2.10 NESSUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
3 INTRODUO AO PACKETFENCE 28
3.1 O QUE PACKETFENCE ?. . . . . . . . . . . . . . . . . . . . . . . . . . . 28
3.1.1 Viso Geral . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
3.1.2 Modos PacketFence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
3.1.3 Integrao Wireless . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
3.1.4 Registro de Dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . 30
3.1.5 Deteco de Atividade Anormal . . . . . . . . . . . . . . . . . . . . . . 31
3.1.6 Remediao de Dispositivos . . . . . . . . . . . . . . . . . . . . . . . . 31
3.1.7 Gerenciamento Baseado em Linha de Comando e Web . . . . . . . . 313.1.8 Gerenciamento Flexvel de VLAN . . . . . . . . . . . . . . . . . . . . . 32
3.1.9 Tipos de Violao. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
3.1.10 Registro Automtico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
3.1.11 Expirao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
3.1.12 Acesso a Visitantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
4 IMPLEMENTAO E CONFIGURAO 35
7/25/2019 Controle de Acesso a Rede Com PacketFenc
11/105
Sumrio ix
4.1 CONFIGURAO DE HARDWARE . . . . . . . . . . . . . . . . . . . . . . 35
4.2 MODELO DE TOPOLOGIA . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
4.3 CONFIGURAES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
4.3.1 Interface de Rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
4.3.2 SELinux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
4.3.3 MySQL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
4.3.4 PacketFence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
4.3.4.1 pf.conf. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
4.3.4.2 networks.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
4.3.4.3 switches.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
4.3.5 Configurao do Switch . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
4.3.5.1 Modo Access. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
4.3.5.2 Modo 802.1x . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
4.3.6 Autenticao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
4.3.6.1 Local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
4.3.6.2 RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
4.3.7 Acesso Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
4.3.8 Habilitando o Snort. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
4.3.9 Habilitando o Nessus . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
5 RESULTADOS OBTIDOS 62
5.1 Traduo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
6 CONSIDERAES FINAIS 72
Referncias 74
Apndice A -- Instalando o PacketFence 77
7/25/2019 Controle de Acesso a Rede Com PacketFenc
12/105
Sumrio x
A.1 Procedimentos para Instalao . . . . . . . . . . . . . . . . . . . . . . . . . 77
Anexo A -- Traduo da Documentao do PacketFence 86
7/25/2019 Controle de Acesso a Rede Com PacketFenc
13/105
xi
Lista de Figuras
FIGURA 1 Etapas envolvidas em uma comunicao entre o cliente e o
servidor DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
FIGURA 2 Pacote do tipo DHCP Discover . . . . . . . . . . . . . . . . . . 12
FIGURA 3 Lista de parmetros de um DHCP Discover. . . . . . . . . . . 12
FIGURA 4 EAPOL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
FIGURA 5 EAPOL Relay . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
FIGURA 6 EAPOL Termination . . . . . . . . . . . . . . . . . . . . . . . . 16
FIGURA 7 EAP Supplicant . . . . . . . . . . . . . . . . . . . . . . . . . . 18
FIGURA 8 VLAN Tag. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
FIGURA 9 Diagrama PacketFence . . . . . . . . . . . . . . . . . . . . . . 29
FIGURA 10 Topologia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
FIGURA 11 Tela dos termos de uso do PacketFence . . . . . . . . . . . . 40
FIGURA 12 Tela de configurao dos parmetros do banco de dados . . . 41
FIGURA 13 Tela de confirmao das configuraes do banco de dados. . 41
FIGURA 14 Tela compilao dos idiomas do PacketFence . . . . . . . . . 42
FIGURA 15 Tela gerao do certificado auto-assinado do PacketFence . . 42
FIGURA 16 Tela criao de usurio para acessar a administrao do Pac-
ketFence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
FIGURA 17 Tela pergunta para baixar as regras do snort . . . . . . . . . . 43
FIGURA 18 Tela pergunta para baixar as assinaturas fingerprint . . . . . . 43
FIGURA 19 Tela pergunta para baixar o arquivo OUI . . . . . . . . . . . . 44
FIGURA 20 Tela de execuo do script configurator.pl . . . . . . . . . . . . 45
FIGURA 21 Tela de escolha dos modos de configurao do PacketFence . 45
7/25/2019 Controle de Acesso a Rede Com PacketFenc
14/105
Lista de Figuras xii
FIGURA 22 Tela o nome do host do PacketFence . . . . . . . . . . . . . . 46
FIGURA 23 Tela o nome de domnio do PacketFence . . . . . . . . . . . . 46
FIGURA 24 Tela servidores DHCP a serem utilizados . . . . . . . . . . . . 46
FIGURA 25 Tela configurao da porta WebGUI do PacketFence . . . . . 46
FIGURA 26 Tela configurao de envio de notificao do PacketFence . . 47
FIGURA 27 Tela ativao de envio de notificao do PacketFence . . . . . 47
FIGURA 28 Tela monitoramento de servios do PacketFence. . . . . . . . 47
FIGURA 29 Tela registro do dispositivo no log do PacketFence . . . . . . . 47
FIGURA 30 Tela configurao de alta disponibilidade do PacketFence . . . 48
FIGURA 31 Tela configurao da interface do Snort do PacketFence . . . 48
FIGURA 32 Tela configurao do Nessus . . . . . . . . . . . . . . . . . . . 48
FIGURA 33 Tela configurao para ativar SSL do Nessus. . . . . . . . . . 49
FIGURA 34 Tela para ativar o escaneamento do Nessus . . . . . . . . . . 49
FIGURA 35 Tela configurao banco de dados do PacketFence . . . . . . 49
FIGURA 36 Tela finalizando a configurao do PacketFence . . . . . . . . 50
FIGURA 37 Log com trap indicando novo MAC que colocado na VLAN
de registro. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
FIGURA 38 Log demonstrando o DHCP Fingerprint . . . . . . . . . . . . . 63
FIGURA 39 Log demonstrando o redirecionamento para o Captive Portal . 63
FIGURA 40 Log demonstrando o registro do dispositivo . . . . . . . . . . . 64
FIGURA 41 Log demonstrando a alterao da VLAN de registro para a
VLAN normal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
FIGURA 42 Log demonstrando recebimento de trap . . . . . . . . . . . . . 65
FIGURA 43 Log demonstrando a comunicao do DHCP . . . . . . . . . . 65
FIGURA 44 Log demonstrando uma violao sendo adicionada . . . . . . 66
FIGURA 45 Log demonstrando o redirecinamento para o Captive Portal. . 66
7/25/2019 Controle de Acesso a Rede Com PacketFenc
15/105
Lista de Figuras xiii
FIGURA 46 Log demonstrando o envio do escaneamento para segundo
plano. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
FIGURA 47 Log demonstrando o escaneamento . . . . . . . . . . . . . . . 67FIGURA 48 Log demonstrando o fechamento da violao. . . . . . . . . . 68
FIGURA 49 Log demonstrando a alterao de VLAN aps o escaneamento
no registro. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
FIGURA 50 Autenticao Captive Portal. . . . . . . . . . . . . . . . . . . . 69
FIGURA 51 Scan do Nessus . . . . . . . . . . . . . . . . . . . . . . . . . . 69
FIGURA 52 Quarentena Estabelecida . . . . . . . . . . . . . . . . . . . . . 70
FIGURA 53 Tela do e-mail enviado ao membro do projeto. . . . . . . . . . 70
FIGURA 54 Tela do e-mail de resposta do membro do projeto . . . . . . . 71
FIGURA 55 Tela retorno ao e-mail de resposta do membro do projeto . . . 71
7/25/2019 Controle de Acesso a Rede Com PacketFenc
16/105
xiv
Lista de Siglas
AAA Authentication Authorization Accounting
AP Access Points
ATM Asynchronous Transfer Mode
BOOTP BOOTstrap Protocol
CentOS Community ENTerprise Operating System
CHAP Challenge Handshake Authentication Protocol
Cisco ACS Secure Access Control Server
Cisco NAC Cisco Network Admission Control
DHCP Dynamic Host Configuration Protocol
DNS Domain Name System
EAP Extensible Authentication Protocol
EAPOL Extensible Authentication Protocol over LAN
EAPOR Extensible Authentication Protocol over RADIUS
FQDN Fully Qualified Domain Name
GB Gigabyte
GPLv2 General Public License verso 2
GTC Generic Token Card
HD Hard Disk
HTTPD Hyper Text Transfer Protocol DaemonsIDS Intrusion Detection System
7/25/2019 Controle de Acesso a Rede Com PacketFenc
17/105
Lista de Siglas xv
IEEE Institute of Electrical and Electronics Engineers
IETF Internet Engineering Task Force
INC Incorporation
IP Internet Protocol
IPFIX Internet Protocol Flow Information Export
LAN Local Area Network
LDAP Lightweight Directory Access Protocol
MAC Media Access Control
MD5 Message-Digest Algorithm 5
MIB Management Information Base
MTU Maximum Transmission Unit
NAC Network Access Control
NAK Negative Acknowledgement
NAP Network Access Protection
NAS Network Authentication Server
NASL Nessus Attack Scripting Language
NIDS Network Intrusion Detection System
NMS Network Management Stations
OSI Open Systems Interconnection
OTP One-Time Password
P2P Peer-to-Peer
PAP Password Authentication Protocol
PDA Personal Digital Assistants
PEAP Protected Extensible Authentication Protocol
7/25/2019 Controle de Acesso a Rede Com PacketFenc
18/105
Lista de Siglas xvi
PPP Point-to-Point Protocol
QoS Quality of Service
RADIUS Remote Authentication Dial In User Service
RAM Random Access Memory
RFC Requests For Comments
RHEL Red Hat Enterprise Linux
SCTP Stream Control Transmission Protocol
SELinux Security-Enhanced Linux
SGBD Sistema de Gerenciamento de Banco de Dados
SLIP Serial Line Internet Protocol
SMI Structure of Management Information
SMS Short Message Service
SNMP Simple Network Manager Protocol
SQL Structured Query Language
SSL Secure Sockets Layer
TCG Trusted Computing Group
TCP/IP Transmission Control Protocol/Internet Protocol
TI Tecnologia da Informao
TLS Transport Layer Security
TTLS Tunneled Transport Layer Security
UDP User Datagram Protocol
UTP Unshielded Twisted Pair
VLAN Virtual LAN
VoIP Voz over Internet Protocol
7/25/2019 Controle de Acesso a Rede Com PacketFenc
19/105
Lista de Siglas xvii
VPN Virtual Private Network
WAN Wide Area Network
7/25/2019 Controle de Acesso a Rede Com PacketFenc
20/105
1
1 INTRODUO
O aumento do uso de tecnologias no ambiente corporativo contribui para a expan-
so das redes de computadores, isso gera a necessidade de disponibilizar comuni-
cao com todas as partes da empresa. Geralmente essas expanses so feitas deduas formas, atravs de cabos ou sem fio. Este ltimo utiliza-se de ponto de acesso
(Access Point), porm, se a organizao no possui polticas e ferramentas de segu-
rana para auxiliar no controle, extremamente difcil lidar com quem pode ou no
usar a rede.
Um aspecto pouco observado pelo departamento de tecnologia da informao (T.I)
dessas organizaes tanto pblicas quanto privadas, a falta de controle de uso dos
pontos de rede, principalmente quando aqueles que no so utilizados e so mantidos
ativos, assim permitindo o acesso infraestrutura. Desta forma, permitem o acesso
de pessoas com intenes consideradas inapropriadas ou prejudiciais - do ponto de
vista da poltica de segurana e de uso da rede corporativa - cujo objetivo poderia ser
explorar esses acessos para obter, por exemplo, dados sigilosos ou realizar ataques
aos servidores das organizaes.
Para exemplificar, imagine um aluno com interesse em ter acesso ao banco de
dados para alterar suas notas ou zerar os dbitos com a instituio na qual estuda,
e ao passear pelos corredores da administrao ele percebe que h um ponto de
rede (tomadas do tipo RJ-45 fmea) livre para uso na parede. Imediatamente o aluno
conecta um notebook para ver o que acontece, e se o ponto estiver ativado, ou seja,
ligado a equipamentos de acesso rede, somado a isso um servidor que fornece as
configuraes de acesso automaticamente ao notebook, isso dar a esse aluno total
liberdade para executar aplicativos maliciosos que, consequentemente, podero obter
informaes como usurio e senha do banco de dados. Com esses dados em mos,
o indivduo poder fazer as alteraes que pretender na base de dados.
A fim de reduzir tais falhas, que esto em contnuo crescimento e que demanda a
7/25/2019 Controle de Acesso a Rede Com PacketFenc
21/105
1 INTRODUO 2
cada dia maior controle de acesso infraestrutura de rede sujeita a novas ameaas e
vulnerabilidades, surgiu uma ferramenta desoftwarelivre, o PacketFence.
O PacketFence classificado como Network Access Control (NAC). Essa cate-goria de ferramentas tem como objetivo principal bloquear a conexo de dispositivos
e usurios desconhecidos ou sem permisso para acessar a rede de computadores
tanto cabeada quanto sem cabo (wireless), e pode ser utilizada em qualquer organi-
zao que queira implantar esses controles.
Para fazer esses bloqueios, o PacketFence utiliza um conjunto de tecnologias, tais
como: verificao de vulnerabilidade e deteco de atividade anormal na rede, ou
seja, verifica se no dispositivo h algum tipo de aplicao que comprometa a rede, por
exemplo: vrus,worms, entre outros tipos de pragas virtuais. Tambm so utilizadas
ferramentas e protocolos que fazem a autenticao de usurios. Esse conjunto de
tecnologias configurado de acordo com as polticas de segurana estabelecidas pela
organizao e definidas de acordo com as necessidades da organizao.
O bloqueio leva em considerao a anlise dos programas instalados - o hard-
waree o usurio. Se algum desses pontos analisados estiver fora da poltica de segu-
rana, o acesso rede principal da organizao ser bloqueado e desviado para outra
rede, na qual ser possvel corrigir os devidos problemas, por exemplo, atualizao de
software. Somente aps a correo do problema, o dispositivo ter permisso para
acessar a rede principal, ou seja, os recursos de uma forma geral.
verificado se o dispositivo j est cadastrado, caso no esteja o mesmo ser
redirecionado para uma rea diferente, para que seja possvel realizar o cadastro,
bem como sendo possvel de se realizar uma verificao deste dispositivo, antes de
liberar o registro do mesmo.
O usurio tambm ser verificado nesse inicio de comunicao, se ele no for
cadastrado, ser necessrio realizar esse cadastro para ingressar na rede e utilizar
os recursos como acesso Internet e programas corporativos, consulta em banco de
dados, entre outros de acordo com as polticas estabelecidas.
Para reforar; para se obter o acesso rede principal necessrio que usurio
e dispositivos estejam de acordo com as polticas de segurana, se uma das partes
falhar o acesso ser negado.
7/25/2019 Controle de Acesso a Rede Com PacketFenc
22/105
1.1 OBJETIVOS 3
1.1 OBJETIVOS
Este trabalho demonstrar como preencher a falha de segurana que os pontos
de redes sem utilizao apresentam. Devido ao uso de um servio de configurao
automtica dos dispositivos na corporao, o atacante pode facilmente obter as con-
figuraes referentes infraestrutura da corporao, tais como: endereo Internet
Protocol (IP); mscara de rede;gatewayeDomain Name System (DNS), deixando
facilmente acessvel infraestrutura de rede com a obteno destas informaes, o
que possibilita ataques originado de dispositivos no autorizados na rede.
Ser realizado uma demonstrao por meio de uma implementao do Packet-
Fence em ambiente isolado de interferncias externas, pois se a implementao for
realizada em rede com vrias mquinas, essas outras podem ser prejudicas com o
andamento da implementao.
tambm parte do escopo deste trabalho apresentar uma traduo, dentro dos
limites permissivos, para a lngua portuguesa da documentao dos manuais dosoft-
warePacketFence.
1.2 METODOLOGIA
A fim de atingir os objetivos propostos, foi realizada uma pesquisa exploratria em
material escrito, como, por exemplo, artigo publicado pelos prprios desenvolvedores
do sistema para coleta e seleo de contedo pertinente ao escopo deste trabalho.
Para a realizao e desenvolvimento da parte prtica, pode-se apontar a seguintes
aes:
- Configurao do servidor que faz as autenticaes dos computadores e outros
ativos de redes para utilizar a rede, sendo que esse servidor o ponto central
da rede, todas as conexes passam por esse equipamento. Foram habilitadas
as funcionalidades dosoftwarePacketFence de deteco de atividade anormal e
verificao de vulnerabilidade (IDS Snort, Nessus) e RADIUS para autenticao;
- O servidor trabalha juntamente com o switch para realizar o controle dos novos
dispositivos que sero conectados rede;
7/25/2019 Controle de Acesso a Rede Com PacketFenc
23/105
1.2 METODOLOGIA 4
- Tais configuraes foram realizadas com base na documentao original da fer-
ramenta PacketFence, que um dos principais documentos de pesquisa.
7/25/2019 Controle de Acesso a Rede Com PacketFenc
24/105
5
2 FERRAMENTAS, PADRES, PROTOCOLOS ETECNOLOGIAS
2.1 O QUE NETWORK ACCESS CONTROL ?
Network Access Control (NAC) uma abordagem unificada de tecnologias a fim
de prover aes de segurana em uma rede de computadores, tais como: antivrus,
deteco de intruso e avaliao de vulnerabilidades, entre outras.
O conceito NAC antigo, ou seja, surgiu desde os primrdios da telecomunicao.
O conceito foi idealizado atravs da patente de [Harris, Jackson e Petty 1987].
Inicialmente, o padro definido pelo Institute of Electrical and Electronics Engineers
(IEEE) 802.1X tambm foi pensado como um NAC.
Existia uma disputa que gerava a falta de padronizao quanto s solues NAC,
pois cada fornecedor/empresa implementava recursos e desenvolvia suas prprias
solues agregadas as suas prprias ferramentas, no estendendo para outros fa-
bricantes, pois no existia um padro a ser seguido como modelo, a fim de garantir
compatibilidade entre solues distintas.
Com o pensamento de acabar com a disputa das solues NAC, o Internet En-
gineering Task Force (IETF) aprovou 2 padres propostos pelo Trusted ComputingGroup (TCG), a partir de ento considerados como dois padres NAC a serem im-
plementados pela indstria. Tais padres esto definidos nas Requests For Com-
ments (RFC) de nmeros 5792 [Sangster e Narayan 2010]e5793[Sahita et al. 2010].
NAC pode ser definido como um conjunto de tecnologias de redes de computado-
res cujo objetivo fornecer segurana e controle de acesso rede, permitindo ou no
o acesso de dispositivos. Esses dispositivos devero estar em conformidade com as
polticas de segurana e de controle definidas pela organizao, como, por exemplo,para antivrus com um nvel de proteo, para configurao e para a atualizao do
sistema.
7/25/2019 Controle de Acesso a Rede Com PacketFenc
25/105
2.1 O QUE NETWORK ACCESS CONTROL ? 6
De acordo com [INTEROP LABS 2006] NAC definida como sendo um controle
genrico de acesso rede que autentica e autoriza o trfego. Tal controle de acesso
simplesmente poderia ser implementado com o uso de polticas de acesso ou defi-
nindo regras no firewall1.
Como o NAC um sistema de controle diferente, ele possui ferramentas dispon-
veis para fornecer o controle de acesso focado no usurio, ao contrrio do firewall, cujo
controle definido por regras aplicadas sobre o cabealho e/ou dados de um pacote.
Atravs do NAC possvel verificar a sade dos dispositivos, ou seja, verificar se
possuem vrus ou outras pragas virtuais, tais como spyware e malware. Um benefcio
importante ao se utilizar um NAC a reduo e a preveno de ataqueszero-daye
outros similares [Edwards 2008].
Ataqueszero-dayso ataques que tentam explorar as vulnerabilidades de aplica-
tivos que so desconhecidos pelos prprios desenvolvedores, ou seja, pelo prprio
criador do aplicativo.
Ataques zero-daypodem destruir ou devastar uma rede, pois este um ataque
que explora uma falha desconhecida ao qual no existe um patch para a correo do
problema. Ao explorar uma falha desta magnitude, os atacantes podem entrar em uma
rede para execuo de cdigo ou obter o controle total do computador da vtima.
2.1.1 Tipos de NAC
Segundo [Edwards 2008], pode-se apontar os seguintes tipos de NAC:
Agent-based:Este tipo de NAC conta com um softwareque requer ser instalado
nos dispositivos dos usurios. Esta uma abordagem simples, porm inflexvelrequerendosoftwareespecial a ser instalado;
Agentless: Este tipo de NAC no requer a instalao de agentes nos dispositi-
vos dos usurios.
Inline:Neste tipo de NAC, todo o trfego do cliente passa pela ferramenta NAC.
Esta abordagem pode gerar gargalos de throughputem redes maiores, alm
1
Firewall um dispositivo de rede que tem por objetivo aplicar polticas de segurana, verificandoinformaes da camada de enlace (camada 2 do modelo Open Systems Interconnection (OSI) e dacamada de rede (camada 3 do modelo OSI). Aplicando polticas de filtragem de pacotes TransmissionControl Protocol/Internet Protocol (TCP/IP) e portas.
7/25/2019 Controle de Acesso a Rede Com PacketFenc
26/105
2.1 O QUE NETWORK ACCESS CONTROL ? 7
de aumentar os custos j que mais dispositivos podem ser agregados, tambm
se agrega a funo de firewall na qual se aplica as polticas de segurana na
camada de rede.
Out-of-Band: Neste tipo de NAC possvel controlar uma infraestrutura em
escala geogrfica, ou seja, em espaos fsicos diferentes, desde que utilize a
tecnologia certa, como a porta de segurana e que haja comunicao entre as
redes.
2.1.2 NAC: Primeira Gerao
As organizaes esto a cada dia querendo controlar o acesso rede com o uso
de tecnologias que melhor atenda e proteja as redes e dados delas.
A primeira verso NAC trouxe um modelo defeituoso, pois no atendeu aos di-
ferentes grupos que compem as infraestruturas tecnolgicas em uma organizao,
pois crescia a demanda por proteger os dispositivos mveis2, por grandes quantidades
de dispositivos, levando falta de agilidade em termos de segurana.
As ameaas e vulnerabilidades cresciam constantemente e o modelo NAC 1.0
(primeira gerao) no conseguiu se adaptar as regras de negcio, pois, com o sur-
gimento de novas ferramentas antivrus e anti-malwares, no geral, no foi possvel
agregar melhores gerenciamentos do NAC com estas. Desta forma, tornou-se uma
ameaa e riscos aos dispositivos gerenciados. Devido aos riscos, poderia ocasionar
em perdas de dados devastadores nos dispositivos gerenciados.
De acordo com [Manlio 2009], a gerao NAC 1.0 falhou devido ao foco em blo-
queio de clientes e a falta de agilidade, pois as ocorrncias de ameaas novas e
constantes, alm das vulnerabilidades que surgiam se somavam a um problema muito
maior em termos de segurana de uma organizao.
Desta forma, os fornecedores (fabricantes) de softwareslanavam constantemente
atualizaes para detectar e limpar as ameaas. Como resultado desta situao, te-
mos um problema de segurana, cujo modelo NAC de primeira gerao no conseguiu
acompanhar.
2So computadores de bolso. Os dispositivos mveis mais comuns so: Smartphone, Personal
Digital Assistants (PDA), Celular, Palmtop, Laptop (Notebook).
7/25/2019 Controle de Acesso a Rede Com PacketFenc
27/105
2.1 O QUE NETWORK ACCESS CONTROL ? 8
2.1.3 NAC: Segunda Gerao
A segunda gerao NAC ou NAC 2.0 surgiu devido necessidade de uma abor-
dagem para o ambiente de novas ameaas e vulnerabilidades, j que este mudava
constantemente - surgimento de novas pragas virtuais. Desta forma, tornava-se ne-
cessrio criar solues com a capacidade de abranger as necessidades de segurana.
2.1.4 O que Network Access Protection ?
Network Access Protection (NAP) uma tecnologia da Microsoft R de controle de
acesso rede introduzida pela primeira vez no Windows Server 2008. Atravs destatecnologia possvel reforar a segurana na rede do usurio, criando diretivas per-
sonalizadas para verificar o computador antes de permitir o acesso, a fim de garantir
melhor conformidade, associando aqueles dispositivos que no esto em conformi-
dade a uma rede restrita.
A infraestrutura composta por um NAP inclui computadores com NAPclient, pon-
tos de aplicao NAP, servidores de polticas NAP. Componentes opcionais podem
ser utilizados, por exemplo, servidores para remediao e servidores para verificar o
estado de sade dos computadores, ou seja, se os computadores esto em perfeito
estado de sade, longe de vrus, falhas de segurana e vulnerabilidades.
2.1.5 O que Network Admission Control ?
Network Admission Controlou simplesmente NAC a verso da Cisco referente
a Network Access Control. Cisco Network Admission Control trabalha restringindo
o acesso rede e no estado de segurana, ou seja, verificado a autenticao dousurio ou do dispositivo antes do mesmo obter acesso rede.
Cisco Network Admission Control(Cisco NAC) permite aos roteadores Cisco impor
privilgios de acesso quando determinado dispositivo tenta se conectar a uma rede,
ou seja, verificado se o dispositivo est em conformidade, antivrus, definies de
vrus e mecanismos de verificao atualizados. Os dispositivos que estiverem fora de
conformidade so negados de acessarem os recursos da rede, sendo colocados em
uma rea de quarentena, ou seja, ter acesso restrito aos recursos da rede, mantendoos outros ns (dispositivos da rede) livres de infeco.
7/25/2019 Controle de Acesso a Rede Com PacketFenc
28/105
2.2 DYNAMIC HOST CONFIGURATION PROTOCOL 9
O principal componente do Cisco NAC o Cisco Trusted Agent. Este reside nos
dispositivos, coletando informaes referentes ao estado de segurana e enviando as
informaes para os roteadores Cisco. Posteriormente, as informaes so enviadas
para o CiscoSecure Access Control Server (Cisco ACS). Neste decide-se o que deve
ser feito em relao a determinado dispositivo, orientando o roteador Cisco a restringir
o acesso deste dispositivo.
2.2 DYNAMIC HOST CONFIGURATION PROTOCOL
Dynamic Host Configuration Protocol (DHCP) um protocolo Dinmico de Con-
figurao de Host [Droms 1997], ou seja, um protocolo baseado no modelo cli-
ente/servidor que possibilita aos computadores em uma rede obterem configuraes
Transmission Control Protocol/Internet Protocol (TCP/IP), tais como: endereo IP,
DNS,gateway, mscara de rede, entre outros de forma automtica.
O protocolo DHCP uma evoluo do antigo protocolo BOOTstrap Protocol (BO-
OTP), este bastante utilizado em sistemas Unix. O BOOTP permitia a configurao
automtica de dispositivos em uma rede, como impressoras e mquinas clientes.
No incio da dcada de 90, a Internet Engineering Task Force (IETF) trabalhou
para desenvolver um protocolo que superasse as limitaes do BOOTP com adies
de novos recursos, surgindo assim o DHCP. O protocolo DHCP est definido na RFC
2131 [Droms 1997].
O DHCP permite o envio de vrios parmetros por meio de um campo existente
no cabealho do protocolo, de nome"option". Entretanto, possvel alm de enviar as
configuraes, receber determinadas informaes referente ao cliente, por exemplo,
sistema operacional e outros.
Para se obter as informaes do cliente como, por exemplo: o sistema operacional,
necessrio que se ative o uso da"option code 61", as opes so definidas na RFC
2132 [Alexander e Droms 1997]. Atrves do uso deste parmetro, possvel receber
a informao do cliente referente a qual sistema operacional o mesmo est utilizando,
essa tcnica conhecida comoDHCP Fingerprint, sendo explanado a seguir.
7/25/2019 Controle de Acesso a Rede Com PacketFenc
29/105
2.2 DYNAMIC HOST CONFIGURATION PROTOCOL 10
2.2.1 DHCP Fingerprint
DHCP Fingerprint um identificador quase nico para um determinado sistema
operacional especfico ou dispositivo[FingerBank 2011]. Atravs desse identificador
possvel saber o sistema operacional do cliente.
Esse identificador a ordem em que o cliente solicita as opes referente s con-
figuraes, comogateway, mscara de rede, DNS, entre outras. Atrves dessa ordem
de opes, possvel reconhecer o sistema operacional do cliente, pois cada sistema
operacional possui um identificador nico.
Devido difuso do protocolo DHCP, essa a maneira mais simples de se obter
informao referente ao cliente. Como definido na RFC 2132, obter a identificao do
cliente possvel com o uso da opo"Option Code 61 - Client Identification".
Atualmente, existe um projeto[FingerBank 2011]que disponibiliza esses identifi-
cadores capturados pelo projeto. Estes identificadores esto disponveis atrves de
um arquivo contendo vrios identificadores, chamados de assinaturas fingerbank.
A maioria das ferrramentas de anlise de rede, comosniffersde rede, analisadores
de protocolo, e solues NAC fazem uso destas assinaturas.
2.2.1.1 Como Funciona
O protocolo DHCP possui alguns tipos de mensagem utilizadas para a realiza-
o dos procedimentos de comunicao entre o cliente e o servidor para obteno
das informaes. Estas mensagens possuem um tipo especfico na comunicao
entre o cliente e o servidor DHCP, os tipos de mensagem so: DHCPDISCOVER,
DHCPOFFER, DHCPREQUEST, DHCPACK, DHCPNAK, DHCPDECLINE, DHCPRE-LEASE e DHCPINFORM. Alguns dos tipos de mensagem no sero abordados no
teor de nosso trabalho.
O cliente envia uma mensagem em difuso, ou seja, em broadcastna rede, con-
tendo uma mensagem do tipo DHCPDISCOVER. O servidor ao receber essa men-
sagem, retorna com uma mensagem do tipo DHCPOFFER , ou seja, ofertando as
informaes necessrias para a configurao do cliente, estas embutidas na mensa-
gem. Posteriormente, o cliente envia uma mensagem do tipo DHCPREQUEST, a fim
de iniciar a negociao, a partir de ento, o cliente aguarda pela confirmao. Esta
confirmao enviada pelo servidor contendo a mensagem do tipo DHCPACK, esta
http://www.fingerbank.org/http://www.fingerbank.org/7/25/2019 Controle de Acesso a Rede Com PacketFenc
30/105
2.2 DYNAMIC HOST CONFIGURATION PROTOCOL 11
para confirmar o recebimento, a partir deste momento, o cliente passa a ter endereo
IP e todas as configuraes referentes solicitao. Desta forma, finalizam-se as
etapas para a obteno dos parmetros de configurao, inicialmente solicitados pelo
cliente.
Conforme demonstrado na Figura1:
FIGURA1 Etapas envolvidas em uma comunicao entre o cliente e o servidor DHCP
Fonte: Autoria prpria
A partir do momento que o cliente envia uma mensagem do tipo DHCPDISCOVER,
possvel obter algumas informaes do cliente, tais como: Host Name;Vendor Class
(classe referente ao sistema operacional);Fully Qualified Domain Name (FQDN);Cli-
ent Identification; e outros. Atravs deste tipo de mensagem, o cliente solicita uma lista
de parmetros de configuraes, na qual existe uma ordem do pedido dos parmetros,
a partir dessa ordem de parmetros possvel saber qual o sistema operacional do
cliente. Essa tcnica conhecida como DHCP Fingerprint.Na Figura2, apresentado uma mensagem do tipo DHCPDISCOVER na qual o
cliente envia e solicita informaes, sendo que, atravs da opo "Option 12 - Host
Name", possvel saber o nome dohost. Existe uma opo "Option 55 - Parameter
Request List"que utilizada para solicitar os parmetros de configurao, ou seja, a
lista dos parmetros.
Com a lista dos parmetros identificada a assinatura do sistema operacional.
Essa identificao realizada atravs da ordem dos parmetros na lista, e atravsdesta possvel reconhecer qual sistema operacional o cliente est utilizando, por
exemplo: Microsoft Windows 7, Linux Ubuntu, entre outros, como mostra a Figura3.
7/25/2019 Controle de Acesso a Rede Com PacketFenc
31/105
2.3 CAPTIVE PORTAL 12
FIGURA2 Pacote do tipo DHCP DiscoverFonte: Autoria prpria
FIGURA3 Lista de parmetros de um DHCP DiscoverFonte: Autoria prpria
A Figura3, representa os parmetros capturados de um pedido de DHCPDIS-
COVER; a lista de parmetros representa a identificao da assinatura do sistema
operacional Linux Ubuntu 10.10.
2.3 CAPTIVE PORTAL
Captive portal o nome de um software responsvel por gerenciar o acesso
Internet em redes pblicas, por exemplo, em locais como restaurantes, aeroportos,
provedores de Internet sem-fio, entre outros. Captive portalconsiste de um aplicativo
de firewall que captura os pacotes do cliente e redireciona o trfego para uma pgina
Web que solicita uma autenticao. Atrves do uso do Captive portal permitido
limitar ou restringir o acesso rede.
Quando um usurio tenta acessar qualquer pgina da Webcom o uso de um na-
7/25/2019 Controle de Acesso a Rede Com PacketFenc
32/105
2.4 RADIUS 13
vegador, ele automaticamente redirecionado para o Captive portal, pedindo uma
autenticao. Aps fornecer as crednciais como usurio, senha ou certificado digital,
o Captive portalcomunica com o servidor de autenticao enviando as credenciais
digitadas pelo usurio. Caso as crednciais sejam validadas pelo servidor de auten-
ticao, o mesmo retorna para o Captive portala mensagem como sendo vlidas as
crednciais, autorizando o acesso rede peloCaptive portal.
Um Captive portal consiste de um roteador, ou seja, sendo o gateway padro
da rede ou subrede que est a proteger. Captive portal comumente utilizado para
proteger redes sem-fio, sendo tambm possvel ser utilizado para prover a segurana
da rede cabeada.
A patente de [Zampiello et al. 2007], implementa um sistema e mtodo escalvel
deCaptive Portal.
2.4 RADIUS
Remote Authentication Dial In User Service (RADIUS) um protocoloAuthentica-
tion Authorization Accounting (AAA), ou seja, um protocolo que trata os procedimen-
tos de autenticao, autorizao e auditoria (registro, contabilizao, gerenciamento e
etc.) [UFRJ 2011]. A autenticao verifica a identidade de um usurio, enquanto que
a autorizao garante que um usurio autenticado somente ter acesso aos recursos
autorizados, e a auditoria coleta as informaes referentes ao uso dos recursos de
rede pelo usurio, por exemplo, gerenciamento, planejamento e cobrana.
RADIUS baseado no modelo cliente/servidor, definido na RFC 2865 [Rigney et
al. 2000] . Alm de ser um sistema utilizado para prover autenticao centralizada, ele
utilizado em redesdial-up,Virtual Private Network (VPN) e redes sem-fio. Existem
solues RADIUS proprietrias, ou seja, solues pagas, a exemplo do DIAMETER.
Tambm existem solues gratuitas, como o FreeRADIUS.
O FreeRADIUS umsoftwaredesenvolvido sob a licenaGeneral Public License
verso 2 (GPLv2). Ele est em constante desenvolvimento e atualizao, ao qual so
acrescentadas melhorias medida que surge a necessidade.
Em uma rede de computadores, que utiliza RADIUS, existem funes especifica-
mente distintas de equipamentos, por exemplo, Cliente, Network Authentication Ser-
ver (NAS) e Servidor RADIUS, sendo que:
7/25/2019 Controle de Acesso a Rede Com PacketFenc
33/105
2.5 IEEE 802.1X 14
Cliente- umhostque tenta utilizar um recurso da rede;
NAS- umhostque recebe uma solicitao de autenticao de um cliente e
autentica esse pedido no Servidor RADIUS.
Servidor RADIUS- ohostque validar o pedido NAS. A resposta referente ao
pedido poder ser positiva ou negativa.
Os dados que so transmitidos entre o cliente (usurio) e o servidor RADIUS so
autenticados atravs do uso da shared secret (segredo compartilhado). Este nunca
enviado pela rede, desta forma se faz necessrio o conhecimento prvio do shared
secrettanto entre o NAS quanto no servidor RADIUS, para que seja possvel haver a
autenticao entre eles.
As senhas do usurio so criptografadas, garantindo que nenhum usurio malici-
oso que esteja a escutar a rede, ou seja"sniffer", possa descobrir a senha do usurio.
RADIUS um protocolo flexvel, pois suporta vrios mtodos de autenticao do
usurio, tais como: Password Authentication Protocol (PAP); Challenge Handshake
Authentication Protocol (CHAP);loginUnix; e outros mecanismos de autenticao.
RADIUS extensvel, pois permite adicionar novos atributos de tamanho variveissem que haja a possibilidade de dificultar a implementao do protocolo, estendendo
aos novos mecanismos de autenticao.
2.5 IEEE 802.1X
O protocoloInstitute of Electrical and Electronics Engineers (IEEE) 802.1X foi pro-
posto pelo IEEE 802 LAN/WAN, e utilizado em redes Ethernet como um mecanismode controle de porta de acesso [H3C Technologies 2011].
Quando conectado um dispositivo a um ativo de rede por exemplo, um switch,
e se esse switch estiver com 802.1x habilitado em sua porta fsica, o acesso dos
recursos da rede s poder ser feito aps a autenticao. Deste modo possvel
controlar quem pode acessar a rede cabeada.
De acordo com[H3C Technologies 2011], o funcionamento do protocolo a arqui-
tetura cliente/servidor tpica, nesse caso so definidas trs entidades: Cliente, Dispo-
sitivo e o Servidor, como demonstrado na Figura4,a seguir:
7/25/2019 Controle de Acesso a Rede Com PacketFenc
34/105
7/25/2019 Controle de Acesso a Rede Com PacketFenc
35/105
2.5 IEEE 802.1X 16
FIGURA5 EAPOL RelayFonte: http://www.h3c.com
FIGURA6 EAPOL TerminationFonte: http://www.h3c.com
7/25/2019 Controle de Acesso a Rede Com PacketFenc
36/105
2.5 IEEE 802.1X 17
Os conceitos bsicos envolvidos no 802.1X so: porta controlada/porta no con-
trolada; estado autorizada/no autorizada; e direo de controle.
Porta controlada e no controlada quando um dispositivo fornece porta para osclientes acessarem a rede, cada porta fsica pode ser considerada como duas portas
lgicas, que seria uma porta controlada e uma porta no controlada. Todos os dados
que chegam porta fsica so visveis para ambas as portas lgicas.
Uma porta no modo no controlada est aberta em ambas as direes de entrada
e sada, isso permite a passagem de pacotes do protocolo EAPOL. Desse modo, o
cliente pode enviar e receber pacotes de autenticao.
Quando a porta est no modo aberta controlada, ela permite o trfego de dadossomente quando ela est no estado autorizado, ou seja, aps autenticao.
Estado autorizado e no autorizado a porta controlada que pode estar em qual-
quer estado, autorizado ou no autorizado. O estado depende do resultado da auten-
ticao, com sucesso a porta fica no estado autorizado, seno, ela ficar no estado
no autorizado.
De acordo com[H3C Technologies 2011], o estado de autorizao da porta pode
ser controlado de trs formas: forar autorizao - permite o acesso de clientes noautenticados -; Forar a no autorizada - a porta fica no estado no autorizada e ne-
gando todos os pedidos de acesso dos clientes -; e, por ltimo, o modo auto - nesse
modo a porta fica inicialmente no estado autorizada para permitir apenas pacotes EA-
POL para permitir a autenticao de clientes, aps a autenticao, o estado da porta
passa o estado autorizada. Est escolha mais comum, pois permite que qualquer
cliente utilize a porta para autenticao.
Controle de direo indica o estado da porta controlada e no autorizada que podeser configurada para negar o trfego de e para o cliente ou apenas o trfego do cliente.
2.5.1 Extensible Authentication Protocol
OExtensible Authentication Protocol (EAP) um conjunto de padres definidos
pelo IETF e descrito na RFC3478[Leelanivas, Rekhter e Aggarwal 2003] e revisado
na RFC5247 [Aboba, Simon e Eronen 2008].
Esse protocolo comumente utilizado em redes sem fio (WiFi) mas tambm pode
ser utilizado para autenticar clientes em redes cabeada. Ele padroniza a troca de men-
7/25/2019 Controle de Acesso a Rede Com PacketFenc
37/105
2.5 IEEE 802.1X 18
sagens para que o servidor autentique o cliente utilizando mtodos de autenticao
suportado por ambas as partes.
No EAP so definidos quatro tipos de pacotes: request,response,successe fai-lure[JANET 2011]. Ao conectar um dispositivo em uma porta com o 802.1x habilitado,
acontece o procedimento descrito na Figura7.
FIGURA7 EAP SupplicantFonte: http://www.ja.net
So especificados trs tipos de autenticao: EAP (MD5-Challenge,Generic To-
ken Card (GTC) eOne-Time Password (OTP) ) e trs de no autenticao (Identity,
Negative Acknowledgement (NAK) eNotification). O tipoIdentity utilizado pelo au-tenticador para solicitar ao suplicante o nome de usurio. O NAK utilizado pelo par
(suplicante) para indicar que o protocolo proposto pelo autenticador no suportado,
o autenticador pode tentar outro protocolo que seja suportado pelo suplicante. O tipo
Notification usado para retornar mensagem que ser apresentada ao usurio.
De acordo com [JANET 2011], o EAP faz uso do pass-through, ou seja, permite
que o autenticador repasse as respostas, usando o protocolo RADIUS para o servidor
EAP. A partir desse momento, o servidor assume o papel de autenticador para o res-
tante da sesso EAP, e tenta fazer a autenticao do suplicante, no caso da Figura 7,
utilizando um banco de dados centralizado para autenticao.
Alm dos trs tipos de autenticao citados, tambm pode ser usado o Transport
Layer Security (TLS) ,Tunneled Transport Layer Security (TTLS) e oProtected Ex-
tensible Authentication Protocol (PEAP). O EAP-TLS baseado noTLSe usa um
certificado de usurio para autenticar o suplicante. O EAP-TTLS tambm utiliza o
TLS, mas diferente do primeiro o EAP-TLS no utiliza um certificado de usurio para
fazer a autenticao. O PEAP tambm utiliza TLS mas difere dos demais, pois spode proteger outros tipos de EAP.
7/25/2019 Controle de Acesso a Rede Com PacketFenc
38/105
2.6 SIMPLE NETWORK MANAGEMENT PROTOCOL 19
2.6 SIMPLE NETWORK MANAGEMENT PROTOCOL
Com o crescimento das redes de computadores, de pequenas redes domsticas
para grandes redes espalhadas geograficamente e somado a isso vrios equipamen-
tos de fabricantes diferentes, a gerncia dessas infraestruturas fica cada vez mais
complexa. O protocoloSimple Network Manager Protocol (SNMP) traz para os admi-
nistradores de redes a minimizao dessas complexidades.
O SNMP comeou a ser desenvolvido no incio da dcada de 80 pelo IETF com
o objetivo de simplificar a gerncia de redes. Com esse protrocolo possvel ge-
renciar switches, roteadores,softwaresou qualquer dispositivo que permita recuperar
informaes de SNMP [Douglas e Kevin 2001].
2.6.1 Arquitetura
Softwarede gerncia de redes no segue o modelo de cliente/servidor, modelo em
que somente o cliente faz requisio ao servidor, e sim o conceito de gerente e agente
[Douglas e Kevin 2001]. Nesse modelo, as requisies podem ser feitas pelo gerente
ao agente (operaes GET e SET) ou pelo agente ao gerente (operao TRAP).Por padro, a comunicao entre as duas entidades feita atravs do protocolo
User Datagram Protocol (UDP). So utilizadas as portas 161 para enviar e receber
solicitaes e 162 para que os agentes envie traps ao gerente.
2.6.2 Gerente
A aplicao gerente responsvel pelo monitoramento e gerenciamento dos dis-positivos gerenciados e tambm por fornecer a interface para o gerente humano. O
gerente tambm conhecido comoNetwork Management Stations (NMS), respon-
svel pelas operaes depull(oupulling) e recebertraps[Douglas e Kevin 2001].
Pull ao realizada pela NMS para ler dados na base de dados dos agentes
etrap a ao realizada pelos agentes para enviar dados (eventos) dos dispositivos
gerenciados para o gerente ou NMS. No necessrio que a NMS envie algum tipo de
solicitao para que o agente envie uma trap. Esse processo assncrono, ou seja,
o agente informa ao gerente automaticamente quando algo acontece no dispositivo
gerenciado.
7/25/2019 Controle de Acesso a Rede Com PacketFenc
39/105
2.6 SIMPLE NETWORK MANAGEMENT PROTOCOL 20
2.6.3 Agente
A aplicao que armazenada nos dispositivos gerenciados responsvel em
coletar eventos e informar ao gerente o que acontece no dispositivo. Para coletar es-
sas informaes, o agente faz a varredura do disposito monitorado, por exemplo, se
colocar um agente para monitorar um servidor de banco de dados, e se o uso do pro-
cessador desse servidor aumentar alm do que foi configurado como quantidade limite
de operao, o agente imediatamente envia umatrappara o gerente NMS, sendo que
ela seria tratada, informando-o do evento que est acontecendo, e a NMS pode, se
estiver configurado, enviar um email avisando o responsvel pelo servidor sobre o que
est acontecendo com aquele servidor.
2.6.4 MIB
AManagement Information Base(MIB) a base de informao do objeto gerenci-
ado. na MIB que esto as informaes coletadas pelos agentes [UFRJ 2011].
Quando uma NMS consulta informaes de um dispositivo gerenciado, na MIB
que so consultadas essas informaes.
So definidas trs tipos de MIBs padro: MIB II, MIB Experimental e MIB Privada.
MIB II:Evoluo da MIB I, descrita pela RFC 1213 [McCloghrie e Rose 1991];
MIB Experimental: utilizada para desenvolvimento e testes de novas funcio-
nalidades de gerenciamento;
MIB Privada:Fornece informaes especficas dos dispositivos gerenciados.
Todos os agentes contm a MIB II, pois essa MIB implementa os recursos neces-
srios para monitoramento do protocolo TCP/IP, porm o agente pode implementar os
vrios tipos de MIBs.
Alm dessas MIBs padro, existem outras especficas para determinados tipos de
servios, por exemplo, DNS Server MIB definida na RFC 1611 [Austein e Saperia 1994]
especfica para servidores que executam servios DNS.
A construo da estrutura das MIBs baseada em regras descritas atravs daStructure of Management Information (SMI) - Estrutura de Informaes de Gerencia-
7/25/2019 Controle de Acesso a Rede Com PacketFenc
40/105
2.7 NETFLOW / IPFIX 21
mento. Segundo [Douglas e Kevin 2001], SMI define os objetos gerenciados e a MIB
a juno desses objetos.
2.6.5 Verses
O protocolo SNMP contm trs verses: SNMPv1; SNMPv2; e SNMPv3.
A verso 1 definida pela RFC 1157[Case et al. 1990]. verso mais simples
do protocolo. Sua segurana baseada emstringde texto puro, ou seja, o nome da
comunidade implementada no agente. Esse mtodo permite que qualquersoftware
que interprete dados SNMP consiga ter acesso s informaos de gerenciamento do
dispositivo.
A verso 2 definida pela RFC 1905 [Case et al. 1996], 1906 [Case et al. 1996] e
1907 [Case et al. 1996]. Essa verso implementou melhorias de desempenho, gern-
cia distribuda e bulk, mas continuou com o problema da segurana que foi resolvido
na verso 3.
J a verso 3, a comunicao entre o gerente e agente (nessa verso so deno-
minados como entidades do SNMP) criptografada. Tambm necessrio configurar
usurio e senha no agente e os mesmos no gerente. Essa verso descrita pela RFC
1905, 1906, 1907, 2572, 2573, 2574 e 2575.
2.7 NETFLOW / IPFIX
Netflow um protocolo de rede desenvolvido pela Cisco Systems para executar
no Cisco IOS, ou seja, para funcionar com o sistema operacional Cisco IOS nos equi-
pamentos de rede fabricados por esta como, por exemplo: switches, roteadores e
outros.
Netflow um protocolo que captura o fluxo de rede nos equipamentos, este de-
finido na RFC 3954 [Claise 2004]. Atravs dessa coleta de informaes possvel
gerar grficos para demonstrar o nvel de uso de um determinado equipamento, por
exemplo, consumo de banda; distribuio dos protocolos (porta, protocolo e endereo
IP); mapeamento de aplicativos, ou seja, saber quais aplicativos esto em uso na
rede. Desta forma possvel ajustar as polticas de Quality of Service (QoS), pois,
atravs destes mapeamentos possvel saber qual trfego a ser priorizado de um
7/25/2019 Controle de Acesso a Rede Com PacketFenc
41/105
2.8 IEEE 802.1Q 22
determinado aplicativo na organizao.
Fluxo de rede uma sequncia unidirecional de pacotes passando por um ponto
de observao na rede durante um determinado intervalo de tempo. Todos os pacotesem um fluxo possuem propriedades comuns, tais como: endereo IP de origem e
destino; porta de origem e destino; e outros.
Os equipamentos da Cisco com o servio NetFlowpodero exportar os paco-
tes coletados por meio do protocolo UDP ou Stream Control Transmission Proto-
col (SCTP), este ltimo definido na RFC 4960 [Stewart 2007].
NetFlow um servio flexvel e extensvel, a verso 9 em especfico est sendo
utilizada como base para a criao de um novo padro. Este padro est sendopadronizado pelo IETF, sendo chamado deInternet Protocol Flow Information Export
(IPFIX) [Claise 2004].
O padro IPFIX, est definido nas seguintes RFCs: 3917, 5101, 5102, 5103, 5153,
5470, 5472, 5473, 5474, 5610, 5655, 5815, 5982, 6183, 6235, 6313.
O IPFIX um protocolo para exportar informao de fluxo do trfego observado
de um dispositivo, tais como, roteador, switch e outros. Com base na verso 9 do
protocolo Cisco NetFlow, o IPFIX est prestes a se tornar o padro da indstria[Leinen 2004]. Desta forma, todos os fabricantes podero utilizar o IPFIX como o
protocolo para a gravao e coleta de informaes de fluxo, para anlise posterior.
Atravs destas informaes, possvel utilizar para gerao de grficos.
2.8 IEEE 802.1Q
Em alguns ambientes corporativos pode haver a necessidade de criar segmentosdistintos em uma rede local, isso pode ser feito atravs de redes fsicas distintas ou
Virtual LAN (VLAN).
De acordo com [Prado 1998], para controle de pacotes em VLANs so utilizados
trs modelos bsicos: VLAN baseada em portas; em endereo MAC; e em protocolos,
sendo:
- VLAN baseada em porta: cada porta Ethernet do dispositivo pode ser associadoa uma VLAN, exemplo de dispositivo switch;
7/25/2019 Controle de Acesso a Rede Com PacketFenc
42/105
2.8 IEEE 802.1Q 23
- VLAN baseada em MAC: Nesse modelo a VLAN associada ao endereo MAC
do dispositivo cliente;
- VLAN baseada em protocolo: Nesse caso a VLAN definida por protocolos (IP,IPX, ...) e endereos da camada 3 do modelo OSI.
Como as abordagens iniciais eram baseadas em portas e endereos MAC, as
VLANs estavam restritas a um nico switchou um empilhamento comswitchcontro-
lador.
Para estabelecer VLANs que atravessam o limite fsico de um switchfoi criado o
padro IEEE 802.1Q.A especificao IEEE 802.1Q define os padres, operao, administrao da topo-
logia de VLAN dentro da infraestrutura LAN. A norma descreve como quebrar grandes
redes em partes menores para trfegobroadcastemulticast, tambm ajuda a fornecer
um maior nvel de segurana para a estrutura de VLAN.
As funes descritas anteriores so possveis graas stagsdo 802.1Q, conforme
a Figura8. Portas compatveis com 802.1Q so configuradas para transmitir quadros
identificados ou no. O campo tagcontm a identificao da VLAN, pois cada VLANtem uma identificao (ID). Ao conectar um equipamento (switch) em uma porta, am-
bos compatveis com 802.1Q, os quadros transmitidos entre os equipamentos con-
tm informaes da VLAN que os originou. Isso faz com que a VLAN abranja vrios
segmentos de redes. possvel configurar para que no sejam transmitidas essas
informaes, isso necessrio por que h alguns equipamentos, por exemplo impres-
soras, que no tm suporte ao 802.1Q, estes equipamentos devem estar conectados
a portas semtag, ou seja,untagged.
FIGURA8 VLAN Tag
Fonte: http://www.h3c.com
7/25/2019 Controle de Acesso a Rede Com PacketFenc
43/105
2.9 INTRUSION DETECTION SYSTEM 24
2.9 INTRUSION DETECTION SYSTEM
Intrusion Detection System (IDS) - Sistema de Deteco de Intruso abrange
ferramentas utilizadas para identificar ataques (tentativas de acesso sem autorizao)
aos sistemas. Esses ataques podem ser originados de usurios que no fazem parte
da organizao ou por usurios legtimos da organizao.
As ferramentas de IDS identificam essas tentativas de acesso e informam ao ad-
ministrador sobre o ocorrido. Essas identificaes podem ser feitas atravs de assina-
turas ou aprendendo o comportamento da rede ou sistemas e, atravs dessa aprendi-
zagem, identificar aes fora do padro.
Os sistemas de IDS so compostos de sensores que so responsveis por monito-
rar o comportamento da rede e de sistemas. Os sensores estticos so configurados
inicialmente de acordo com a poltica de segurana da empresa, essa contm as as-
sinaturas de ataques j conhecidas. Os sensores inteligentes so responsveis por
identificar mutao de ataques existentes de acordo com as assinaturas conhecidas.
Tambm conseguem aprender (analisar) como uma determinada rede ou sistema se
comporta em um determinado perodo de tempo. Essa anlise fica armazenada para
comparaes futuras, pois, se for identificada alguma ao fora do comportamentoanalisado, o IDS qualifica essa ao como sendo um ataque.
A console de monitoramento apresenta ao administrador de redes os eventos e
alertas do IDS. atravs dessa que o administrador controla todos os sensores, po-
dendo aplicar novas assinaturas, instalar novos sensores e configurar os j existentes.
Como ferramenta de IDS o PacketFence utiliza o Snort, esta ser descrita a se-
guir.
2.9.1 Snort
O Snort um Sistema de Deteco de Intruso de Rede (Network Intrusion De-
tection System (NIDS)), open sourcedesenvolvido inicialmente por Martin Roesch,
e mantida por colaboradores espalhados pelo mundo. A comunidade dosoftware
composta de vrios tipos de contribuintes, desde usurios comuns at desenvolvedo-
res que mantm osoftwaresempre atualizado [Roesch 1999].Entre outras caractersticas da ferramenta esto: vasta quantidade de assinaturas;
7/25/2019 Controle de Acesso a Rede Com PacketFenc
44/105
2.9 INTRUSION DETECTION SYSTEM 25
cdigo fonte pequeno e atualizaes freqentes tanto no cdigo fonte como as assina-
turas que, consequentemente, fazem o Snort aceito entre os administradores de redes
e utilizado em conjunto com outras aplicaes como, por exemplo, o PacketFence.
O Snort utilizado para realizar varreduras em redes de computadores, coletando
e analisando pacotes TCP/IP. Ao ser executada, a ferramenta coloca a placa de rede
do computador em modo promiscuo, ou seja, captura todos os dados que por ela pas-
sar. H trs formas de executar a ferramenta: Sniffer: esse modo faz a captura de
pacotes TCP/IP e mostra o resultado na tela do computador, j no modo Packet Log-
gero resultado no aparece na tela e sim so gravados em forma de log no disco. O
terceiro modo,Network Intrusion Detection System, a juno dos dois ltimos modos
e mais, pois a ferramenta analisa os pacotes TCP/IP capturados a procura de carac-tersticas que sinalizam ataque. Os dados do cabealho do pacote so comparados
com as assinaturas, caso seja encontrado indcio de ataque, ou seja, a assinatura
igual aos dados do cabealho, o Snort capaz de executar aes configuradas pelo
administrador da rede nas regras da aplicao.
Para realizar essas tarefas, o Snort tem em sua arquitetura trs subsistemas: De-
codificador de pacote; Engenharia de Deteco; e Subsistema de login e alerta.
O decodificador de pacote trabalha nas camadas dois, trs e quatro da pilha do
protocolo TCP/IP, fazendo a classificao dos dados coletados, colocando marcao
nos pacotes que posteriormente sero utilizados pelo subsistema Engenharia de
Deteco. O decodificador trabalha com dados do tipo Ethernet, Serial Line Internet
Protocol (SLIP),Point-to-Point Protocol (PPP) eAsynchronous Transfer Mode (ATM).
O subsistema Engenharia de Deteco armazena as regras do Snort. Essas re-
gras so mantidas em duas listas: Chain Headers(Cadeia de Cabealhos) e Chain
Options(Cadeia de Opes). NaChain Headersesto armazenados os atributos co-muns de uma regra, por exemplo, endereo de IP de origem e destino, porta. OChain
Optionsarmazena padres de ataques, esses padres sero pesquisados nos paco-
tes capturados, e se o ataque for detectado essa Chaincontm as aes que sero
tomadas.
O Subsistema delogin/alerta grava o que est ocorrendo na rede e gera os alertas
para o administrador em tempo real.
A opo delogingrava os dados em arquivos de texto que pode ser utilizado pormulti-plataformas (Windows, Mac, etc.) ou envia essas informaes para o syslog
7/25/2019 Controle de Acesso a Rede Com PacketFenc
45/105
2.10 NESSUS 26
(programa responsvel por gerar e armazenarlogsnos sistemas Linux/Unix). A opo
de login tambm pode ser configurada para armazenar pacotes decodificados, em
formato legvel para ser humano.
De acordo com [Roesch 1999], a criao do arquivo texto de alerta pode ser feito
de trs maneiras. A primeira a criao desse arquivo com informaes completas
do alerta, essas informaes registradas so passadas pelo protocolo do nvel de
transporte. A segunda registra um subconjunto condensado de informaes, fazendo
com que o desempenho seja maior do que a primeira e a terceira utilizada para
desconsiderar alertas, essa utilizada quando a rede est passando por testes de
segurana.
2.10 NESSUS
O Nessus um scanner robusto de vulnerabilidade. O projeto da ferramenta Nes-
sus teve incio em 1998, com Renaud Deraison. No incio do projeto a ferramenta
eraopen source. Com o lanamento do Nessus 3, em Dezembro de 2005, a Tenable
Network Security Inc., empresa por trs do Nessus, passou a cobrar por atualizaes,
ou seja, o software em si permanece livre, mas as atualizaes sobre vulnerabilidades
tm um custo [Deraison 2004].
O Sistema modular, ideal para grandes redes de computadores, pois o administra-
dor de redes tem a liberdade de escolher qual modo quer usar. Esses mdulos esto
na forma depluginsque so adicionados ao Nessus.
As atualizaes da ferramenta so mantidas pela comunidade, isso traz ao Nessus
atualizaes frequentes de vulnerabilidades.
A arquitetura dosoftware composta pelo servidor (nessusd), cliente, os plugins
e a base de conhecimento. A base de conhecimento ajuda o Nessus a aprender
com os scanners j realizados, ou seja, ela guarda informaes de vulnerabilidades
j detectadas pelo Nessus. Ospluginssoscriptsescritos na linguagem prpria do
Nessus, aNessus Attack Scripting Language (NASL) e so programados para execu-
tar determinada tarefa, como por exemplo, varrer a rede a procura de computadores
que estejam com vrus.
A arquitetura Cliente/Servidor est presente no Nessus, isso traz ferramenta a
flexibilidade de ser executada em quase todos os Sistemas Operacionais, basta que
7/25/2019 Controle de Acesso a Rede Com PacketFenc
46/105
2.10 NESSUS 27
este tenha o cliente para conectar ao servidor.
7/25/2019 Controle de Acesso a Rede Com PacketFenc
47/105
28
3 INTRODUO AO PACKETFENCE
3.1 O QUE PACKETFENCE ?
PacketFence umsoftwaregratuito e uma soluoopen sourcepara Controle deAcesso Rede [INVERSE INC. 2011]. PacketFence desenvolvido sob tecnologias e
padres abertos, ou seja, nenhuma empresa fechar estes padres utilizados, garan-
tindo assim maior confiabilidade no desenvolvimento da ferramenta. PacketFence
desenvolvida e mantida pela INVERSE INC, cujos desenvolvedores esto localizados
na Amrica do Norte. Por ser umsoftwaregratuito, a comunidade poder, caso tenha
interesse, contribuir com o projeto da ferramenta.
PacketFence tem a responsabilidade de garantir que qualquer dispositivo ou usu-rio somente ter acesso rede aps ser registrado. Desta forma, garante-se uma
maior segurana rede e dados de uma organizao. Atravs do PacketFence pos-
svel centralizar o gerenciamento das redes tanto com fio quanto sem-fio, sendo este
utilizado para garantir a segurana desde uma rede pequena uma rede muito grande
e heterognea.
3.1.1 Viso Geral
O PacketFence conta com:
- Captive portal: este sendo bastante utilizado para o registro e remediao dos
dispositivos, ele possui: suporte ao padro IEEE 802.1X, suporte a Voz over In-
ternet Protocol (VoIP), isolamento de dispositivos problemticos na camada 2
do modeloOpen Systems Interconnection (OSI), ou seja, dispositivos que pos-
suem vrus em geral, falhas de segurana e vulnerabilidades, possui integrao
com o Snort;
- Snort: este utilizado para detectar diferentes tipos de ataques ou atividades
7/25/2019 Controle de Acesso a Rede Com PacketFenc
48/105
3.1 O QUE PACKETFENCE ? 29
anormais na rede;
- Nessus: este ltimo sendo utilizado para scanner de vulnerabilidades, ou seja,
verifica se o dispositivo possui falhas de segurana ou vulnerabilidades.
Conforme a Figura9a seguir, um fluxograma demonstrando a integrao das
tecnologias, equipamentos e softwares ao PacketFence.
FIGURA9 Diagrama PacketFenceFonte: PacketFence Administration Guide
7/25/2019 Controle de Acesso a Rede Com PacketFenc
49/105
3.1 O QUE PACKETFENCE ? 30
3.1.2 Modos PacketFence
Out-of-Band: PacketFence uma soluo totalmente Out-of-Band (fora de li-
nha), ou seja, permite uma soluo de escala geogrfica e mais resistente sfalhas, quando usado de forma correta com a tecnologia porta de segurana
(port-security). Atravs deste modo, um nico servidor PacketFence pode ser
usado para gerenciar switches e muitos ns (dispositivos) conectados a ele.
Inline: O modo Inline (em linha) suportado pelo PacketFence para agregar
equipamentos de rede com fio e sem-fio que no so gerenciveis, ou seja, o
PacketFence no consegue gerenciar estes dispositivos, tal como: mudar de
VLAN; aplicar o recurso de porta de segurana (port-security); entre outros.Neste modo, todo o trfego direcionado ao PacketFence. O modoInlinepode
muito bem coexistir com o modoOut-of-Band.
3.1.3 Integrao Wireless
PacketFence integra perfeitamente com redes sem-fio atravs do modulo FreeRa-
dius. Este permite segurana em redes com fio e sem-fio, alm de fazer uso de uma
mesma base de dados para fornecer autenticao tanto em redes com fio quanto em
redes sem-fio atravs doCaptive portal, deixando, desta forma, a autenticao cen-
tralizada. A integrao suporta vriosAccess Points (AP) e controladores sem-fio de
diferentes fabricantes, tornando o ambiente heterogneo.
3.1.4 Registro de Dispositivos
PacketFence utiliza uma soluo similar ao Captive portalpara realizar o registrodos dispositivos. Diferentemente de solues comuns deCaptive portal, a soluo
do PacketFence recorda os usurios previamente registrados, pois este verifica se o
usurio est devidamente registrado juntamente com o dispositivo na base de dados
do PacketFence. Caso exista o registro do dispositivo, o mesmo no ser interceptado
peloCaptive portale consequentemente no ser pedido para se registrar novamente.
Desta forma, o usurio consegue acesso sem outra autenticao. Contudo, os usu-
rios no podero ter acesso rede sem primeiramente aceitar a Poltica de Uso.
7/25/2019 Controle de Acesso a Rede Com PacketFenc
50/105
3.1 O QUE PACKETFENCE ? 31
3.1.5 Deteco de Atividade Anormal
O PacketFence capaz de identificar e bloquear atividades maliciosas na rede,
tais como: computador com vrus; worms; spyware e outras pragas virtuais. Isso
possvel devido a integrao com o Snort. Estas atividades maliciosas podem ser
detectadas com a execuo local do Snort, ou seja, no mesmo servidor do Packet-
Fence ou remotamente, este ltimo sendo executado em outro servidor diferente do
PacketFence.
A base de assinaturas do Snort, este possui vrios tipos de assinaturas de ata-
ques e outros, tais como: ataques ao Shell; ataques Web; ataques de vrus; entre
outros tipos de ataques. Tornando assim uma ferramenta de extrema necessidadepara manter a segurana da rede.
3.1.6 Remediao de Dispositivos
PacketFence realiza a remediao dos dispositivos atravs do Captive portal. Ini-
cialmente, todo o trfego do dispositivo interceptado e finalizado e, redirecionado
para oCaptive portal. A remediao realizada com base no status do dispositivo, ou
seja, no registrado, violao, etc.
Se o dispositivo est com o status de no registrado, o usurio ser redirecio-
nado para oCaptive portale, atravs deste, o usurio poder registrar o dispositivo.
Entretanto, se o dispositivo est com o status de violao, o mesmo tambm ser redi-
recionado para oCaptive portal, porm no sendo demonstrada a opo para registro
e sim, informaes para a correo da situao do dispositivo em particular e, atravs
destes, reduzindo os custos e intervenes da parte deHelp Desk.
3.1.7 Gerenciamento Baseado em Linha de Comando e Web
O PacketFence oferece dois modos de gerenciamento da ferramenta, gerencia-
mento baseado em linha de comando e baseado na Web.
Independentemente do modo de gerenciamento, todas as tarefas do PacketFence
podem ser realizadas em linha de comando quanto no ambiente Web. A administrao
Websuporta diferentes nveis de permisso para autenticao de usurios, sendopossvel usar autenticaoLightweight Directory Access Protocol (LDAP) ouMicrosoft
7/25/2019 Controle de Acesso a Rede Com PacketFenc
51/105
3.1 O QUE PACKETFENCE ? 32
Active Directory.
3.1.8 Gerenciamento Flexvel de VLAN
O PacketFence faz uso da tcnica de VLAN definido no padro IEEE 802.1Q. Esta
tcnica bastante utilizada para segmentao de uma rede de maneira mais eficaz,
pois, com o uso desta tcnica, possvel segmentar uma rede em vrias VLANs,
podendo segmentar um switch em VLANs diferentes, ou seja, vrias redes distintas
em um mesmo equipamento.
PacketFence possui um gerenciamento flexvel de VLAN, pois sua topologia de
VLAN poder ser mantida da forma que est e apenas duas novas VLANs tero de
ser adicionadas em toda a sua rede. As VLANs que tero de serem adicionadas so:
VLAN de Registro e VLAN de Isolamento.
A VLAN de Registro ser utilizada para o registro de dispositivos e usurios. Essa
VLAN est separada das demais, no possuindo acesso rede principal e Internet.
A VLAN de Isolamento utilizada para isolar dispositivos que estejam com problemas,
sejam estes problemas de segurana, vrus ou at um software Peer-to-Peer (P2P)
que est em execuo no dispositivo. Desta forma, atribui-se a VLAN de Isolamentopara a correo dos problemas, alm de isolar estes dispositivos problemticos da
rede principal.
3.1.9 Tipos de Violao
O PacketFence poder usar o Snort e Nessus como fonte de informaes para
bloquear dispositivos em sua rede de computadores. Para realizar estes bloqueios,
o PacketFence poder usar uma combinao dos mecanismos de deteco, ou seja,
dos tipos de violao, tais como: DHCPFingerprint,User-Agente MACAddress.
Com o uso do DHCPFingerprint possvel saber qual o sistema operacional do
dispositivo. Essa assinatura nica, ou seja, cada dispositivo possui a sua identifi-
cao; este mecanismo ser explanado posteriormente. Ento, o PacketFence po-
der bloquear os dispositivos baseando-se em sua assinatura. Atravs do mecanismo
User-Agent, o PacketFence bloqueia o dispositivo com base no navegador de Internet,
por exemplo: Safari, Internet Explorer, Mozilla Firefox, entre outros. J o bloqueio pelo
mecanismo de MAC Address, o PacketFence bloqueia os dispositivos com base no
7/25/2019 Controle de Acesso a Rede Com PacketFenc
52/105
3.1 O QUE PACKETFENCE ? 33
fabricante do dispositivo de rede.
3.1.10 Registro Automtico
O PacketFence tem vrias formas para registrar um cliente ou dispositivo de forma
automtica. Estas formas ou mecanismos para registrar um cliente ou dispositivo so:
DHCP Fingerprint, User-Agente MAC Address. O DHCPFingerprintbaseia-se na
assinatura do dispositivo,User-Agentbaseia-se no tipo de navegador de Internet e o
MACAddressbaseia-se no endereo dehardwaredo dispositivo.
3.1.11 Expirao
O tempo de acesso rede poder ser controlado com o PacketFence, com os
parmetros de configurao. A durao do tempo de acesso poder ser uma data
absoluta (por exemplo, Ter 15 Nov 2011), um perodo de tempo (por exemplo, 4 sema-
nas a contar a partir do primeiro acesso) ou assim que o dispositivo se tornar inativo
na rede. Aps a expirao os dispositivos que estiverem registrados estes passaram
para status de dispositivos no registrados.
Ser apresentado o seguinte exemplo:
Um Consultor est a visitar a sua empresa, ele precisar utilizar os recursos da sua
rede de computadores para acessar a Internet e este ficar em sua empresa somente
por um perodo mximo de 8 horas, ou seja, uma jornada de trabalho. Ao se passar o
perodo de 8 horas, o cadastro do Consultor expirar e da, prxima vez que este estiver
em sua empresa, no conseguir acessar os recursos da sua rede de computadores,
pois o status aps a expirao passa a ser de no registrado. Desta forma, sua rede
se torna mais segura, sendo que o Consultor precisar de autorizao, ou seja, de
registro para acessar os recursos da sua rede de computadores.
3.1.12 Acesso a Visitantes
Atualmente, as empresas precisam fornecer aos seus Consultores acesso Inter-
net, pois estes requerem o acesso para a realizao de seus trabalhos. Alm disso, di-
ficilmente necessria a eles terem acesso a infraestrutura corporativa interna. Destaforma, evita-se encargos administrativos como, por exemplo, auditoria, pois ao regis-
7/25/2019 Controle de Acesso a Rede Com PacketFenc
53/105
3.1 O QUE PACKETFENCE ? 34
trar um usurio na infraestrutura corporativa interna, este passa por auditoria, uma vez
que cada recurso alocado gera despesas, tendo ento, que justificar este registro em
uma auditoria interna.
O PacketFence suporta acesso a visitante ou convidado, sendo este gerenciado
em uma VLAN especial para convidado, a qual somente ter acesso Internet. O
convidado ou visitante somente ir para Internet depois que este estiver registrado.
Para isso, o PacketFence utiliza uma VLAN de Registro e um Captive Portal, sendo
este ltimo utilizado para explicar aos clientes, ou seja, convidados ou vistantes, como
se registrar para o acesso Internet e como funciona o seu acesso.
Para registrar um convidado, existem vrias possibilidades, tais como: registro ma-
nual, auto-registro, acesso ao visitante com ativao por email e ativao por telefone
celular viaShort Message Service (SMS).
7/25/2019 Controle de Acesso a Rede Com PacketFenc
54/105
35
4 IMPLEMENTAO E CONFIGURAO
Este captulo descreve os passos necessrios para implementar a ferramenta Pac-
ketFence para o controle de acesso rede cabeada. O ambiente proposto dever
migrar dispositivos para diferentes VLANs de acordo com as polticas adotadas, quesero descritas no tpico4.2.
4.1 CONFIGURAO DE HARDWARE
A implementao e configurao da ferramenta foi realizada utilizando-se de tec-
nologia para virtualizao1, ou seja, fazendo uso de mquina virtual para a realizao
de todos os procedimentos, a fim de obter os resultados esperados pela proposta daferramenta. A seguir, a configurao utilizada pela mquina virtual:
- Processador: Intel;
- Memria: 1,5 GB de RAM;
- Hard Disk:20GB;
- Rede: 2 interfaces, sendo uma para gerenciamento e outra para monitoramento.
4.2 MODELO DE TOPOLOGIA
Na Tabela1, demonstrado as informaes propostas, referentes topologia a
ser implementada.
1 uma tcnica que separa a Aplicao e Sistema Operacional dos componentes fsicos, ou seja,do hardware. Em uma definio livre, virtualizao capacidade de executar diferentes sistemas ope-
racionais em um nico hardware.
7/25/2019 Controle de Acesso a Rede Com PacketFenc
55/105
4.2 MODELO DE TOPOLOGIA 36
VLAN Descrio PacketFence Rede Interface1 Gerenciamento 10.0.10.1 10.0.10.0/24 eth02 Registro 192.168.2.10 192.168.2.0/24 eth0.23 Isolao 192.168.3.10 192.168.3.0/24 eth0.3
10 Normal 192.168.1.10 192.168.1.0/24 eth0.10
TABELA1 Dados da Topologia
A Figura10 uma representao grfica da topologia apresentada na Tabela 1,
e a seguir, uma breve descrio dos tipos de VLAN adotadas para a implementao
desta topologia:
FIGURA
10TopologiaFonte: Autoria Prpria
7/25/2019 Controle de Acesso a Rede Com PacketFenc
56/105
4.3 CONFIGURAES 37
- VLAN 1 - Gerenciamento: a VLAN utilizada para o gerenciamento do Pac-
ketFence aos switches, ou seja, nesta que esto todos os dispositivos que o
PacketFence gerencia;
- VLAN 2 - Registro: a VLAN utilizada para o registro dos dispositivos que no
esto registrados na base de dados do PacketFence, atravs desta VLAN os
clientes somente tero acesso aoCaptive Portalpara a realizao do registro;
- VLAN 3 - Isolao: a VLAN utilizada para isolar dispositivos que estejam com
problemas, ou seja, vulnerabilidades, vrus, execuo desoftwareP2P. A fim de
re-mediar estes dispositivos, ou seja, corrigir estes problemas, sendo utilizado
oCaptive Portalpara apresentar informaes aos clientes de como resolver osproblemas, em particular para cada dispositivo;
- VLAN 10 - Normal: a VLAN na qual est toda a rede corporativa, ou seja, a
rede na qual esto os servidores e estaes dos funcionrios, sendo possvel
acessar todos os servios fornecidos pela empresa.
4.3 CONFIGURAES
O sistema operacional utilizado para a implementao e configurao da ferra-
menta PacketFence foi oCommunity ENTerprise Operating System (CentOS) 6. Este
foi escolhido por ser open source, ou seja, de uso gratuito, no sendo necessrio
realizar algum tipo de pagamento para utilizar o sistema operacional.
A ferramenta PacketFence suportada pelos seguintes sistemas operacionais:
Red Hat Enterprise Linux (RHEL) e CentOS nas verses 5.x/6.x, respectivamente,
nas arquiteturas i386 e x86_64, ou seja, 32bits e 64bits [Inverse 2011].
A instalao do PacketFence no ser abordada nesta parte do trabalho, porm
consulte a seo ApndiceApara saber como instalar a ferramenta.
4.3.1 Interface de Rede
Os arquivos de configurao das interfaces de rede, esto localizados dentro de
/etc/sysconfig/network-scripts/, este local poder mudar dependendo do sistema ope-racional a ser utilizado. A seguir, a descrio dos parmetros a serem utilizados nas
configuraes das interfaces de rede:
7/25/2019 Controle de Acesso a Rede Com PacketFenc
57/105
4.3 CONFIGURAES 38
- DEVICE: Identifica o dispositivo de rede, ou seja, a i
Top Related