Escolar Documentos
Profissional Documentos
Cultura Documentos
r
i
o
C
a
t
e
g
o
r
i
a
No Sim Sim Sim Sim Software
Linux No No Sim No No Software
No No Sim No Sim Software
No No Sim No Sim Software
Linux No Sim Sim No No Software
Linux No Sim Sim No Sim Software
S
i
s
t
e
m
a
O
p
e
r
a
c
i
o
n
a
l
F
r
o
n
t
e
n
d
v
i
a
W
e
b
F
i
l
t
r
o
P
a
c
o
t
e
e
/
o
u
A
p
l
i
c
a
o
P
o
r
t
a
l
d
e
C
a
p
t
u
r
a
Q
o
S
/
V
P
N
PFSense FreeBSD
IPTabl es
IPFw FreeBSD
IPFi l ter FreeBSD
IPCop
Untugl e
48
adicionais a implementao. Tambm foi avaliado o aplicativo no proprietrio
FreeRadius v.2.1.4 [FreeRadius, 2009], uma ferramenta open source que por meio de
pesquisas, mostrou-se amplamente usado para disponibilizar acesso a rede SF atravs
dos servios de autenticao, autorizao e contabilizao dos usurios da rede
[FreeRadius, 2009].
O FreeRadius diferencia-se dos demais sistemas por operar em diferentes
plataformas gratuitas como: Linux, FreeBSD, OpenBSD, OSF/Unix e Solaris alm do
S.O. proprietrio Windows. Oferece inmeros mtodos de autenticao como: Eap,
Chap, Ms-Chap, Ldap etc, controle de conexes simultneas e requisies a banco de
dados remoto. Outra qualidade foi observada na segurana da comunicao entre
servidores externos, atravs de criptografia TLS (Transport Layer Security) [RFC 4346,
2006] e SASL (Simple Authentication and Security Layer) [RFC 4422, 2006]. Estas
caractersticas levaram a escolha do software FreeRadius como servidor RADIUS usado
na validao da rede universitria. As configuraes realizadas neste servidor referem-
se a comunicao com o cliente NAS, mquina que requisita a autenticao a rede,
apndice D, e a ativao do modulo Ldap como base de dados, apndice C.
6.1.4. OpenLdap
Um dos principais desafios encontrados na implementao de redes SF em
ambientes universitrios consiste no fato de existir um grande fluxo de clientes,
dificultando o controle e centralizao das informaes pertinentes a cada usurio.
Buscando uma alternativa para solucionar esta dificuldade, optou-se por autenticar
usurios atravs do servio de diretrio baseado no protocolo Ldap [RFC2251, 1997].
Com este protocolo, torna-se possvel o cadastro das informaes dos usurios em uma
rvore de dados unificada, possibilitando que as mesmas informaes sejam usadas
facilmente em inmeros servios da instituio, como: e-mail, login em S.O, logins em
rede SF etc.
Por meio de pesquisa web encontrou-se o software OpenLdap, de cdigo aberto,
baseado no padro mais antigo do protocolo Ldap X.500 [RFC1487, 19993]. Como
principais caractersticas atribudas ao servidor tm-se:
49
Cadastrar usurios atravs da arquitetura baseada em rvores;
Procurar por entradas ou recuperar dados nos diretrios (Ns);
Comunicao com a TLS;
Forte movimento de documentao e desenvolvimento por partes pblicas.
Tambm foi utilizado o software PHPLdapAdmin, objetivando facilitar a
manipulao da base de dados. A ferramenta permite uma maior facilidade na
visualizao e gerenciamento da base de dados, uma vez que sua manipulao ocorre
viafrontend web. Os dados cadastrados na base Ldap, durante a validao, referem-se
s VLANs Professor e Aluno, usadas como teste, alm de dois usurios fictcios em cada
VLAN, podendoser visualizados atravs dosapndicesE e F.
Figura 13: Servios virtualizados atravs da ferramenta VMWare Server.
A figura acima representa os componentes auxiliares utilizados na etapa de
validao da infraestrutura proposta no captulo 5. Como citado anteriormente, a
virtualizao foi utilizada para alocar os servios pertinentes ao gateway da rede SF em
um nico dispositivo fsico. Para realizar o controle do acesso aos servios da rede
optou-se pelo sistema PFSense, a autenticao dos usurios realizada atravs do
servidor FreeRadius. Como base de dados, unificada, para o cadastro das informaes
de acesso de cada usurio, foi utilizado o servidor Ldap.
50
6.2. Componentes fsicos
Os dispositivos utilizados para validar a rede foram cedidospelo CCT UDESC
e constituem o total de seis equipamentos, sendo: dois roteadores Cisco 2600, AP
Linksys WRT54G, switch Cisco SRW2024, computador Pentium 4, 2.8GHz de
processador usado como gateway e computador Celeron 2.5GHz de processador
equipado com placa de rede SF, esteusado como cliente teste. Tambm foi utilizado um
notebook adicional, de propriedade pessoal, como um segundo cliente auxiliando na
execuo dos testes. Abaixo, pode-se perceber as caractersticas de cada componente da
rede validada.
6.2.1. Ponto de Acesso
Foi disponibilizado um dispositivo Linksys WRT54G (Wireless-G Broadband
Router), fabricadopela Cisco, caracterizadopor [Linksys, 2009]:
4 portas RJ 45 10/100 Mbit/s e 1 porta RJ 45 10 Mbit/s;
Conectividade IEEE 802.11g;
Taxas de transferncia de 54 Mbps;
Suporte a criptografia TKIP e AES;
2 antenas (2,4 GHz ).
As configuraes aplicadas a estes equipamentos limitam-se ao padro IEEE
802.11g para comunicao com cliente e utilizao de criptografia WPA-2 TKIP. Nos
AP`s destinados a VLAN professor, foi habilitado o filtro por endereos MAC, de forma
a garantir um nvel extra na restrio de acesso aos servios pertinentes ao perfil
professor.
51
6.2.2. Switch
O equipamento consiste em um Switch Cisco SRW2024 e oferece como
caractersticas relevantes ao trabalho as apresentadas a seguir [Cisco, 2009].
24 portas Eth 10/100;
Suporte aVLANs
Durante o captulo 3, estudos mostraram que uma universidade caracteriza-se
por possuir diferentes grupos de usurios, classificados por suas necessidades de acesso
e servio. Baseado nestas caractersticas, o switch foi agregado infraestrutura por
oferecer suporte a redes locais virtuais VLANs criadas com o objetivo de
proporcionar a segmentao dofluxo de dados para diferentes grupos de usurios. Outro
fator importante refere-se facilidade em adicionar novos AP`s a rede, caso a mesma
necessite ser expandida.
Para validao deste projeto foramutilizados, como exemplo, dois perfis de
usurios: professor e aluno. O objetivo consiste emdemonstrar as possveis formas de
tratar as permisses de acesso e diferenciar os canais de comunicao de acordo com
cada perfil. Assim, as configuraes do dispositivo referem-se criao de duas VLANs,
apenas no sentido de atribuir portas do switch a um segmento de broadcast. Opadro de
VLANs 802.1q com truncking e tags, no foi aplicado, uma vez que o equipamento
roteador disponibilizado no suporta tal padro. O reflexo desta vulnerabilidade acarreta
na necessidade de uma interface conectada ao roteador para cada grupo VLAN
identificado. Para a infra-estrutura validada foram organizadas as portas da seguinte
forma: 5,6,7 e 8 a VLAN Professor e 17,18,19 e 20 para a VLAN Aluno.
6.2.3. Roteador
Conforme identificado anteriormente, a limitao observada no equipamento de
roteador cedido para a validao reflete ao fato do dispositivo no possuir suporte ao
padro 802.1q, acarretando na necessidade de dedicar uma interface do switch para cada
grupo de acesso identificado. Para rotear os dados das VLANs professor e aluno at a
52
interface do Captive Portal foram necessrios 3 interfaces de rede. Assim, foram
disponibilizados dois roteadores Cisco 2600 com as seguintes caractersticas relevantes
ao trabalho [Cisco, 2009]:
2 interfaces eth;
1 interface serial;
As configuraes realizadas nestes dispositivos referem-se apenas as tabelas de
roteamento, de forma a direcionar os dados das VLANs at a interface Captive Portal do
servidor FPSense, sendo melhor avaliadas no tpico 6.3, deste captulo.
6.2.4. Computadores Gateway e Cliente
Foram disponibilizados dois computadores: Pentium 4, utilizado para operar
como gateway da infra-estrutura e uma segunda mquina Celeron equipada com placa
de rede SF, utilizada para simular o acesso dos clientes finais a rede. Abaixo so
listadas as caractersticas dos mesmos:
Gateway:
S.O. Ubuntu 8.0.4;
2.8GHz de Processamento
2MB Ran e 60 GB HD;
3 placas eth .
Cliente:
S.O. Ubuntu 8.0.4;
2.5 GHz de Processamento
512MB Rane 40 GB HD;
2 placas eth e 1 placa SF.
53
As configuraes aplicadas ao dispositivo Pentium 4 so pertinentes as
funcionalidades do gateway, ou seja, alocar os servidores virtuais: PFSense, FreeRadius
e Ldap, conforme discutido nos tpicos anteriores. No dispositivo Celeron no foram
realizadas configuraes adicionais, apenas a inseroda chave Tkip a placa de rede SF
para que o mesmopudesse se conectar ao AP e obter autenticao rede.
6.3. Topologia da Rede
Com o objetivo de facilitar a visualizao da infra-estrutura validada, bem como
a organizao de endereamento IP, foi elaborada a figura 14. Nela, percebe-se o
dispositivo de gateway a disponibilizar trs servidores virtuais: Ldap, FreeRadius e
PFSense, estes conectados a rede interna, Udesc, atravs do endereo de rede
192.168.0.0/24. A interface Lan localizada no servidor PFSense conecta-se as VLANs
atravs dos roteadores router1 e router2 configurados com tabelas de roteamento, figura
14, de forma a encaminhar todo o trfego das VLANs aluno e professor, destinadoa rede
externa, at a interface Lan do servidor PFSense, uma vez que este servio captive
portal pode ser habilitado para apenas uma interface de rede. O switch foi agregado
topologia e configurado de forma a disponibilizar quatro portas para cada VLAN.
54
Figura 14: Configuraes e endereamento da rede.
Outro ponto relevante a ser observado na figura acima consiste na aplicao do
conceito de sub-rede com IP`s demscara /26 [Sub-Rede, 1999]. Os clientes localizados
nas VLANs recebem endereamento IP atravs do servio de DHCP habilitado junto a
cada AP. A faixa de endereamento distribuda utiliza endereos de sub-rede da
interface Lan do servidor PFSense. Desta forma, possvel solucionar a segunda
limitao apresentada peloservio de captive portal que, por default, aceita requisies
apenas de endereos IP`s da mesma interface a qual est gerenciando, em nosso caso, a
interface Lan 192.168.10.0/24.
Dentre os desafios destacados durante a apresentao da proposta ideal a ser
validada, buscou-se garantir o acesso restrito as VLANs, ou seja, permitir que os
usurios acessem apenas a rede a qual seu perfil pertence. Para isto foram aplicadostrs
nveis de segurana, destacados na figura 15, prxima pgina.
55
Figura 15: Topologia lgica validada e os Nveis de controle de acesso a rede.
A posse da chave Tkip consiste no primeiro nvel de segurana, e determina em
quais pontos de acesso o usurio pode se conectar, portanto, a que perfil ele deve
pertencer. O segundo nvel, consiste no filtro de endereo MAC habilitado somentenos
AP's designados a V'Lan professor. Este mtodo, assim como a chave Tkip, oferece
pouca segurana, pois descobrir as chaves ou obter endereos MAC's na rede SF e
alterar a prpria configurao so operaes fceis de serem realizadas. Outra questo a
ser observada consiste na quantidade de endereos que o AP capaz de filtrar de modo
a no afetar a escalabilidade da rede.
Como ltimo nvel de segurana, destaca-seo desenvolvimento de uma soluo
aplicado ao servio de Captive Portal, objetivando identificar o endereo da rede em
que o usurio est conectado. Assim, com base nas informaes de login: username,
password e IP da rede, torna-se possvel determinar se o usurio possui acesso aos
servios destinados a determinado perfil/VLAN. A soluo mais adequada para este
cenrio consiste criar um atributo (endereo de rede) s informaes enviadas ao
servidor de autenticao FreeRadiuse, consequentemente, conta do usurio no Ldap.
No entanto, asoluo adotadana validao, consiste em concatenar o endereo
de rede ao username fornecido pelo usurio. Este mtodo implica na necessidade de
cadastrar, no servidor Ldap, uma conta para cada rede a qual o cliente possui o direito
56
de acesso, alm de cadastrar o username concatenado ao endereo de rede para cada
usurio da rede SF.
6.4. Autenticao a rede
Como avaliado anteriormente, pode-se representar o processo de autenticao
por sete passos, sendo caracterizados atravs da figura 16, abaixo.
Figura 16: Etapas da autenticao a rede SF.
1. AP verificao MAC do requisitante e pede a chave Tkip;
2. Usurio fornece a chave Tkip;
3. Se a chave estiver correta, o usurio recebe IP e se conecta ao AP;
4. Tentativa de acesso a um servio de rede, ex. web;
5. O PFSense, com o auxilio do Captive Portal, requisita os dados de
Login;
6. Usurio fornece username e password e no PFSense ocorre a
concatenao username+iprede;
57
7. O PFsense encaminha os dados at o FreeRadius que utiliza o mdulo
Ldap para requisitar os servios do servidor Ldap e caso os dados
estejam corretos o usurio recebe a permisso de acesso.
Para facilitar a compreenso, na figura 17, demonstrado um exemplo de
autenticao onde o usurio mauricio, atravs da pgina default do Captive Portal
fornece seus dados de login (Username e Password). Abaixo, tambm possvel
observar a concatenao do atributo username com e IP da rede (
mauricio192.168.10.64), realizada no servidor PFSense.
Figura 17: Pgina de logindefault CaptivePortal, status do servio de captura e base Ldap.
Outro fator interessante a ser observado na figura 17, so os grupos alunos e
professores criados no servidor Ldap, visualizados atravs da ferramenta
PHPLdapAdmin. Os clientes foram cadastrados em grupos, professor e aluno, onde o
nome de acesso consiste no username concatenado com o endereo de rede a qual o
usurio poder obter acesso, exemplo o grupo ou=Professor com o cliente
mauricio192.168.10.64.
58
6.5. Vulnerabilidades
Ao longo da validao da infraestruturarealizaram-se vrios testes objetivando
identificar possveis vulnerabilidades na rede. Foram utilizadas duas ferramentas
auxiliares: o sistema Mozilla Firefox v. 3.0.10 para realizar autenticao e prover acesso
aos servios web e o software Wireshark v.1.0.7 que funcionou como ferramenta de
captura de pacotes - sniffer.
Em um dos testes, foi identificado uma vulnerabilidade que ocorria durante a
autenticao dos usurios, figura 18. Observou-se nos pacotes capturados que a troca
dos dados envolvendo os usurios (ex. 10.1.11.99) e o servio de Captive Portal
(10.1.11.1) ocorria em texto claro, possibilitando a captura dos dados username e
password, permitindo que os mesmos sejam utilizados posteriormente no acesso
indevido rede[Farias, 2006].
Figura 18: Pacote capturado atravs da ferramenta Wireshark.
A soluo para esta vulnerabilidade foi obtida atravs da opo disponvel no
prprioPFSense, que permite reforar a segurana nacomunicao habilitando a funo
https - RFC 2818, uma implementao do protocolo http que aplica uma camada
criptografada com certificado SSL ou TLS nas informaes de logon impedindo a leitura
dos mesmos quando capturados. A figura 19, na prxima pgina, apresenta a
configurao feita no servidor PFSense, habilitando os certificados para uso do
protocolo https.
59
Figura 19: Frontendweb do captive portal - habilitao https.
Outra vulnerabilidade foi identificada atravs dos testes aplicados a
infraestrutura, consiste na configurao do prprio Captive Portal que por default
realiza o filtro dos clientes autenticados atravs do endereo MAC. Os testes mostraram
que toda a mquina que estiver atrs de umroteador podeacessar os servios da rede
aps um nico usurio realizar a autenticao, esta vulnerabilidade ocorre devido o
captive portal autenticar o MAC da interface do roteador, autenticando o roteador e no
o cliente. Este mtodo deve ser desabilitado para a infraestrutura aqui apresentada pelo
fato da topologia utilizar um roteador para gerenciar as rotas das V`Lans.
60
7. Concluso
O motivo do desenvolvolvimento deuma proposta de redes SF para ambientes
universitrios foi observar as caractersticas dispostas nestecenrio e emseus usurios,
de forma a compreender e atender suas necessidades. Inicialmente, buscoufamiliarizar-
se com as redesatravs de umestudo dos principais conceitos pertinentes as redes SF, e
posteriormente iniciar a avaliao do ambientee solues.
Pode-se identificar como implementao ideal a validada atravs da
infraestrutura a segmentao da rede SF, a fim de atender os diferentes grupos de
usurios. Possibilitar que dispositivos switch sejam acrescentados topologia
objetivando facilitar a adio de novos AP's e auxiliar na segmentao dos grupos de
usurios, tendo as redes virtuais (VLANs) como melhor soluo. Utilizao do padro
WPA-2/802.11i na segurana atravs de AP`s para comunicao e autenticao por
RADIUS. Oferecer uma base de dados centralizada, atravs do servio Ldap, que
permita o cadastro e consulta em um nico sistema efinalizando a segurana, o sistema
deve restringir o acesso dos servios aos usurios, atravs de firewall, representado na
validao pelo sistemaPFSense.
Pode-se citar as tarefas de traar o perfil dos usurios e organiz-los em grupos
de forma adequada, as atividades que exigirammaior esforo e tempo na busca por
solues. Destaca-se as alternativas apresentadas ao longo deste trabalho como o
servidor Ldap para atender o grande fluxo de clientes sem afetar a escalabilidade e
gerenciamento da rede, desenvolvido da topologia segmentada emV Lan que permitiua
distino de diferentes grupos ou perfis de usurios. Buscou-se, tambm, reduzir os
custos com a implementao onde alm da preferncia por aplicativos gratuitos
destacou-se a virtualizao deservidores, como: RADIUS, PFSense e Ldap atravs da
ferramenta VMWare, que eliminou a necessidade da aquisio de mquinas fsicas para
a realizao dos mesmos. Outra soluo importante apresentada na proposta e
posteriormente desenvolvida na validao foi o controle dos servios oferecidos a cada
grupo/perfil de usurio atravs das regras de firewall e o desenvolvimento da uma
funo em php, para auxiliar no controle restrito as V`Lans concatenando os parmetros
username e endereo de rede.
61
Observou-se, tambm, que os esforos realizados na etapa de validao da
infraestrutura buscaram, principalmente, oferecer: segurana e escalabilidade a
autenticao dos clientes, sem avaliar o comportamento e qualidade do sinal ao longo
do possvel permetro da rede. Assim prope-se como estudos futuros, o estudo mais
profundorelacionado propagaodo sinal ao longo dos ambientes universitrio. Outro
fator a ser estudado e aprimorado, encontra-se na utilizao de parmetros adicionais
(IP de rede, endereo MAC etc) como dados necessrios para autenticao, de forma
que estes dados sejam passados como parmetros ao FreeRadius e Ldap, e no atravs
daconcatenao com username dos clientes, e desta forma, eliminar as mltiplas contas
de acesso para um mesmo usurio.
Assim, faz-se necessrio a continuao destes estudos, no sentido de
disponibilizar alm de segurana, um sinal com qualidade que nocomprometao limite
da redeou tornea mesma vulnervel. Deseja-se ento, que este trabalho se torne fonte
parafuturas pesquisas e melhorias emredes SF aplicadas asinstituies universitrias.
62
REFERNCIAS BIBLIOGRFICAS
Aboba, B., Calhoun, P. RADIUS (Remote Authentication Dial In User Service) Support
For Extensible Authentication Protocol (EAP). 2003. IETF Request for Coments 3579.
Almeida, Edson P. de. Um Fim na Baguna dos Cabos: As redes locais sem fio do
mobilidade ao usurio e permitem evitar os incmodos do cabeamento. Info Exame
- Especial Guia de Redes 2002. So Paulo - SP. Pag. 18 21.
Andrade, L. et al. Anlise das vulnerabilidades de segurana existentes nas redes
locais sem fio: um estudo de caso do projeto wlaca. 2003. Disponvel em:
<http://www.cci.unama.br/margalho/artigos/wlaca.pdf>. Acesso em: 29 out. 2007.
Angelo, Ludmila Aparecida.; Barbosa, Victor Antnio Mendona. Redes Wireless -
Conceitos, Projetos e Especficaes. 2003. 94 f. Tese (Dissertao E. Computao) -
Escola de Engenharia Eltrica e de Computao - Universidade Federal de Gois,
Goiania. 2003.
Amaral, Bruno Marques.; Maestrelli, Marita.Bonatto, Aurlio.; Canto, Diego Oliveira
do. Bluetooth technology (802.15): Bluetooth. 2007.
Amaral, Bruno Marques.; Maestrelli, Marita.Bonatto, Aurlio.; Canto, Diego Oliveira
do. Segurana em Redes Wireless 802.11. CBPF-NT-002/04. 2004.
Barcelos, Joo P. M. e Gonalves, Raphael Guimares e Nilton Alves Jr. O Padro
802.11. CBPF-NT-003/03. 2003.
Breuel, Cristiano Malanga. Redes em malha sem fios. 2004. Artigo defendido a
Universidade de So Paulo, So Paulo, dezembro de 2004. Disponvel em:
<http://grenoble.ime.usp.br/movel/Wireless_Mesh_Networks.pdf>. Acesso em: 22 mar.
2007.
Bulhman, Haroldo J os.; Cabiana, Luz Antnio. LAN / MAN Wireless: Padres
802.11 a, b e g. 2006. Disponvel em:
<http://www.teleco.com.br/tutoriais/tutorialrwlanman1/pagina_3.asp>. Acesso em: 15
out. 2007.
Carvalho, Leandro Ouriques M. de.; Cunha, Pablo Salino. Seminrio e Redes de
Computadores II, 802.15.4 e ZigBee. 2004.
CentOS. The Community Enterprise Operating System. Disponvel
em:<http://www.centos.org/>. Acesso em 25 jul. de 2009.
Choc, Ted.; Diamond, Tracey.; Holder, Maleika C.; Palekar, Mahesh. Wireless
Network Security The 802.11i Solutio. 2005. Disponvel em:
63
<http://www.cc.gatech.edu/classes/AY2005/cs4235_fall/presentations/WirelessSecPres.
pdf>Acesso em: 13 set. 2007.
Conceio, Arlindo Flvio. Voz e vdeo sobre redes sem Fio IEEE 802.11. 2006. 133
f. Tese (Doutorado em C. Computao) Institudo de Matemtica e Estatstica
Universidade Federal de So Paulo, So Paulo. 2006.
Duarte, L.O. Anlise de Vulnerabilidades e Ataques Inerentes a Redes Sem Fio
802.11x. 2003. 55 f. Tese (Monografia B. C. Computao) - So J os do Rio Preto, SP.
UNESP / IBILCE. 2003.
Emiter Technologies. Glossrio Tcnico. Disponvel em:
<http://www.emiter.com.br/paginas/glossario_o.asp>. Acesso em: 28 out. 2007.
Farias, Paulo Csar Bento. Redes Wireless - Partes 2, 9, 12, 13, 21 e 34 . 2006.
Disponvel em:<http://www.juliobattisti.com.br/tutoriais/paulocfarias/redeswireless003.
asp>. Acesso em: 19 set. 2007.
Ferreira, Pollyana do Amaral. Redes Sem Fio. I Workshop do POP-MG em
Administrao em redes. 2004.
Ganz, A. Z. G. K. W. Multimedia Wireless Networks: Technologies, Standards, and
QoS. Prentice Hall PTR. 2003.
Geier, J im. 802.11 Alphabet Soup. 2003. Disponvel em:
<http://www.wifiplanet.com/tutorials/article.php/10724_1439551_1>. Acesso em: 13
set. 2007.
Gimenes, Eder Coral. Segurana em Redes Wireless. 2005. Disponvel em:
<http://www.apostilando.com/download.php?cod=2129&categoria=Redes>. Acesso
em: 29 out. 2007.
GIMENES, Eder Coral. Segurana de Redes Wireless. 2005. 58 f. Tese (Monografia
em C. Computao) - Mau, SP- FATEC. 2005
Grnewald, Marcus Albert. Redes sem fio - Tecnologia, Segurana e Usabilidade.
2005. 103 f. Tese (Ps-graduao Lato Sensu em Gesto de Tecnologia da Informao)
Centro de Ps-Graduao - Faculdade de Informtica e Administrao Paulista, So
Paulo. 2005.
IEEE. Institute of Electrical and Electronic Engineers (Brasil). 2007. Disponvel em:
<Ahttp://www.ieee.org.br/conselho/organiza.htm>. Acesso em: 4 mar. 2007.
IEEEb. Institute of Electrical and Electronic Engineers (Oficial). 2007. Disponvel
em: <http://ieeexplore.ieee.org>. Acesso em: 05 mar. 2007.
J iWire. WiFi Hotspot Finder. Disponvel em: <http://www.jiwire.com>. Acesso em:
05 mar. 2007.
64
Karygiannis, T. e Owens, L. Wireless Network Security. 802.11, BluetoothTM and
Handheld Devices. Publicao 800-48. NIST National Institute of Standards and
Technology. 2006.
Lima, Luciana dos Santos; et al. WiMAX: Padro IEEE 802.16 para Banda Larga
Sem Fio. 2006. 58 f. Tese (Monografia em C. Computao) Departamento de
Informtica Pontfica Universidade Catlica, Rio de J aneiro. 2006.
Lindeberg B. de S. Redes de Computadores: Dados e voz. So Paulo: Editora Erica,
4 ed. 2001.
Linhares, Andr Guedes; Conalves, Paulo Andr da S. Uma Anlise dos Mecanismos
de Segurana de Redes IEEE 802.11: WEP, WPA, WPA2 e IEEE 802.11w*. 2005.
Malafaya, Hugo.; Toms, Lus.; Souza, J oo Paulo. Sensorizao Sem Fios sobre
ZigBee e IEEE 802.15.4. 2006.
Martins, Marcelo. Projetando Redes Wireless 802.11b. 2003..
Meiobit. Site e forun, Meio Bit. 2007. Disponvel em:
<http://www.meiobit.com/categoria/artigo>. Acesso em: 03 mar. 2007.
Menezes, Ricardo. Dicas de Segurana para sua rede Wireless. 2006. Disponvel em:
<http://www.mobilezone.com.br/artigo6.htm>. Acesso em: 15 ago. 2006.
Mikrotik . Mikrotik Router and Wireless. Disponvel em:
<http://www.mikrotik.com/>. Acesso em: 25 jul. de 2009.
Mobilezone. Glossrio de Termos Tcnicos e Acrnimos de Tecnologias Mveis e
Sem Fio. 2006. Disponvel em: <http://www.mobilezone.com.br/glossario.htm#UWB>.
Acessoem: 15 set. 2007.
Nakamura, Emilio Tissato.; Lima, Marcelo Barbosa. Rogue Access Point, um grande
risco para Wlan. 2003.
Oliveira, Ricardo Pais de; Campos, Rui Lopes. Projecto de Redes Locais Sem Fio
802.11b. 2003. 165 f. Projeto elaborado na Unidade de Telecomunicaes e Multimdia
da Faculdade de Engenharia da Universidade de Porto - Porto, Portugal. 2003.
Pessini, J uliano Zabeo. Anlise da Reduo dos Efeitos do Desvanecimento. 2001.
Disponvel em : <http://www.juliano.com.br/artigos/telecom/ex_radioenlace/>. Acesso
em: 19 set. 2007.
RFC 4346. The TLS Protocol. The Internet Engineering Task Force. Disponvel em:<
http://www.ietf.org/rfc/rfc4346.txt>. Acesso em: 25 jul. 2009.
RFC 4422. Simple Authentication and Security Layer rotocol. The Internet
Engineering Task Force. Disponvel em:<http://www.ietf.org/rfc/rfc4422.txt>. Acesso
em: 25 jul. 2009.
65
RFC 2251. LDAPv3. The Internet Engineering Task Force. Disponvel em:<
http://www.ietf.org/rfc/rfc2251.txt >. Acesso em: 25 jul. 2009.
802.1q. 802.1Q - Virtual LANs. Web Document. . Disponvel
em:<http://www.ieee802.org/1/pages/802.1Q.html>. Acesso em: 25 jul. 2009.
StarOS. Sistema Operacional para Redes Wireless. Disponvem
em:<http://staros.com.br/oproduto.htm>. Acesso em: 25 jul de 2009.
Rigney, C. RADIUS Accounting, IETF Request for Coments 2866. 2000.
Rodrigues, Raquel de Holanda Cato. Projeto de Interligao das Unidades de rea
Meio atravs de um Backbone em Fibra ptica e Rdio. 2005. Disponvel em:
<http://www.poli.br/portal/DOWNLOADS/RELAT%D3RIO%20DE%0ESTAGIO/EL
ETRONICA/Raquel%20de%20Holanda.doc>. Acesso em: 29 out. 2007.
ROSS, John. O livro de WI-FI: Instale, configure e use Redes Wireless (sem-fio). Rio de
Janeiro. Editora Alta Books, 2003. 246p.
Rufino, Nelson Murilo de Oliveira. Aprenda a Proteger suas Informaes em
Ambientes Wi-Fi e Bluetooth. 2005. Disponvel em:
<http://www.novateceditora.com.br/livros/seguranca2/capitulo9788575221327.pdf>.
Acesso em: 28 jul. 2007.
Santos, Ricardo Luiz. Segurana em Redes Sem Fio: Wlan. 2003. 67 f. Tese (Ps-
Graduao Latu Sensu em Redes de Computadores) Universidade Estadual de
Londrina Londrina, PR. 2003.
Schiller, Felipe Ortigo Sampaio Buarque. Redes em Malha. 2006. Disponvel em:
<http://www.gta.ufrj.br/ensino/eel879/trabalhos_vf/felipe/index.htm>. Acesso em 16
set. 2007.
Schweitzer, Christiane M. Tecnologias de redes sem fio: WPANs, WLANs E
WMANs Desafios de Segurana, Vulnerabilidades e Solues. 2004.
Silva, Mnica F. da.; Cmara, J eferson.; Abelm, Antnio J . G.; Stanton, Michael A.
Redes Sem Fio Metropolitanas Baseadas no Padro 802.16: Um Estudo de Caso
Para Belm-PA. 2005. XXV Congresso da Sociedade Brasileira de Computao.
Soares, Alcemir Barbosa. Anlise da Qualidade de servio de VPN Redes Privadas
Virtuais- Utilizando redes SF. 2004. 64 f. (Monografia em B. S. de Informao)
Faculdade de Cincias Aplicadas de Minas UNIMINAS Uberlndia, MG. 2004.
Stahlke, Ronald Fernand. Anlise e Estudo da Influncia dos Efeitos Atmosfricos
na Propagao de Ondas Eletromagnticas na Faixa SHF: Estudo de Caso e
Aplicao a um Enlace operando em 23Ghz. 2006. 112 f. (Dissertao de Mestrado
em Telecomunicaes) Universidade Federal do Paran Curitiba, PR. 2006
Strobel, R. E. Uma infra-estrutura de Rede Sem Fio para Ambientes Clnico-
Hospitalares. 2006. (Monografia em B. C. Computao) Centro de Cincias
66
Tecnolgicas Universidade do Estado de Santa Catarina UDESC J oinville, SC.
2006.
Utzig , J . T. Wireless, uma tendncia em comunicao e transporte de informaes.
2006.
Verssimo, Fernando. O Problema de Segurana em Redes Baseadas no Padro
802.11. 2003. Disponvel em:
<http://www.lockabit.coppe.ufrj.br/rlab/rlab_textos?id=82>. Acesso em: 29 out. 2007.
Xia, H., Brustolini, J. (2004), Virtual Prepaid Tokens for Wi-Fi Hotspot Access. Local
Computer Networks. 29th Annual IEEE International Conference on 16-18 No. 2004.
67
APNDICE A
Questionrio Aplicado aos Professores, Servidores e Alunos do
Campus CCT.
Este questionrio qualitativo tem a finalidade de traar a posio de estudantes,
professores e servidores do campus CCT, sobre o tema redes de computadores sem fio
em ambientes universitrios. Com o objetivo de traar o perfil de possveis usurios de
uma rede sem fio a este cenrio. As informaes coletadas sero analisadas e usadas
como fonte de estudo e anlise para o desenvolvimento do Trabalho de Concluso de
Curso de Marcos Steckert Pessoa, orientado pelo Prof. Ricardo Ferreira Martins.
Nome: __________________________. Servidor ( ).
Data: __ / __ / ____. Professor ( ).
Aluno ( ).
1. J utilizou algum servio oferecido atravs de uma rede sem fio (Resposta nica)
[ ] Sim [ ] No
2. Importncia das redes wireless em campus universitrio? (Resposta nica)
[ ] Desnecessrio [ ] Necessrio [ ] Indispensvel
3. Segurana dos dados que trafegam na rede wireless? (Resposta nica)
[ ] Desnecessrio [ ] Necessrio [ ] Indispensvel
4. Possveis servios a serem oferecidos em uma rede sem fio? (Resposta mltipla)
[ ] E-Mail [ ] Messenger [ ] Internet [ ] Vdeo/Voz
[ ] _______________., _____________, ______________.
5. Principal insegurana quanto s redes wireless em ambientes universitrios?
(Resposta nica)
[ ] Qualidade Sinal [ ] Velocidade [ ] Segurana
6. Uma infra-estrutura wireless no campus CCT? (Resposta nica)
[ ] Desnecessrio [ ] Necessrio [ ] Indispensvel
7. Possvel localizao da rede wireless no campus CCT? (Resposta nica)
[ ] Refeitrio [ ] Ginsio de esportes [ ] Blocos/Salas de aula
[ ] Auditrio [ ] _________________.
68
APNDICE B
Polticas de Segurana Corporativa
Uma instituio que planeja fazer uso de uma WLAN deve criar documentos
que anunciem polticas desegurana corporativas, baseando-se nos riscos de introduzir
uma rede SF na infra-estrutura guiada existente especificando algumas aes a serem
tomadas. Estas polticas tm por objetivo, quando usadas em conjunto com os
mecanismos de segurana citados durante o captulo 5, tornem a rede SF mais segura.
Pode-se citar como polticas corporativas as seguintes aes:
Alterao de senhas Default dos dispositivos de rede;
Utilizao de senhas fortes (ex. utilizar letras e nmeros na senha);
Distribuio de inventrios de hardware da WLAN;
Uso de Firewall pessoal e anti-vrus atualizados;
Aplicar as ltimas correes e atualizaes em softwares (ex. sistema
operacional, aplicativos etc.);
Desligar o compartilhamento de pastas e perifricos;
Desligar os dispositivos de ponto de acesso quando no estiverem sendo
usados;
Alterar o SSID (Server Set ID) padro dos dispositivos da rede;
Desabilitar o broadcast de SSID;
Proteger fisicamente os pontos de acesso contra a manipulao de pessoas
no autorizadas;
Os benefcios de implantar e manter uma poltica de segurana corporativa
grande, e tem por objetivo dificultar a perda e roubo de dados alm de auxiliar na
proteger a rede contra ataques de sabotagem e espionagem.
69
APNDICE C
Arquivos de FreeRadius
radiusd.conf: modulo ldap
ldap {
server =192.168.0.76
port =389
identity ="cn=admin,dc=gradis,dc=joinville,dc=udesc,dc=br"
password =etilicos
basedn ="dc=gradis,dc=joinville,dc=udesc,dc=br"
filter ="(uid=%u)"
base_filter ="(objectclass=radiusprofile)"
#start_tls =yes
#tls_cacertfile =/path/to/cacert.pem
#tls_cacertdir =/path/to/ca/dir/
#teste descinebtada oara ssl
#tls_certfile =/path/to/radius.crt
#tls_keyfile =/path/to/radius.key
#tls_randfile =/path/to/rnd
#teste descomentada para ssl
#tls_require_cert ="demand"
#default_profile ="cn=admin,ou=Usuarios,o=gradis"
#profile_attribute ="radiusProfileDn"
#access_attr ="uid"
#directory attributes.
dictionary_mapping =${raddbdir}/ldap.attrmap
ldap_connections_number =5
#password_header ="{clear}"
#password_attribute =nspmPassword
password_attribute =userPassword
#edir_account_policy_check=yes
#groupmembership_filter ="(|(&(objectClass=GroupOfNames)(member=%{Ldap-
UserDn}))(&(objectClass=GroupOfUniqueNames)(uniquemember=%{Ldap-
UserDn})))"
timeout =4
timelimit =4
net_timeout =1
#compare_check_items =yes
#access_attr_used_for_allow =yes
#allowed values: {no, yes}
#set_auth_type =yes
}
70
APNDICE D
Arquivos de FreeRadius
client.conf: cliente NAS
#clients.conf - client configuration directives
################################################################
################################################################
#Definition of a RADIUS client (usually a NAS).
#
#The information given here over rides anything given in the
#'clients' file, or in the 'naslist' file. The configuration here
#contains all of the information from those two files, and allows
#for more configuration items.
#
#The "shortname" is be used for logging. The "nastype", "login" and
#"password" fields are mainly used for checkrad and are optional.
#
client 192.168.0.140/24{
secret =etilicom
shortname =pfsense
nastype =other
}
71
APNDICE E
Arquivos de Ldap
rvore de dados Alunos.ldif
version: 1
#Exportao LDIF para: ou=Alunos,dc=gradis,dc=joinville,dc=udesc,dc=br
#Geradopelo phpLDAPadmin no J une 8, 2009 6:57 pm
dn: ou=Alunos,dc=gradis,dc=joinville,dc=udesc,dc=br
ou: Alunos
objectClass: top
objectClass: organizationalUnit
dn: uid=marcos192.168.11,ou=Alunos,dc=gradis,dc=joinville,dc=udesc,dc=br
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
objectClass: radiusprofile
cn: marcos
sn: pessoa
uidNumber: 1001
gidNumber: 1001
homeDirectory: /home/marcos
loginShell: /bin/bash
gecos: Marcos Pessoa
shadowLastChange: 12862
radiusPasswordRetry: marcondes
userPassword: {MD5}TbHGIujX0ZGDEh4GnT/PDw==
uid: marcos192.168.11
72
APNDICE F
Arquivos de Ldap
rvore de dados Professor.ldif
version: 1
#Exportao LDIF para: ou=Professores,dc=gradis,dc=joinville,dc=udesc,dc=br
#Gerado pelo phpLDAPadmin no J une 8, 2009 6:57 pm
dn: ou=Professores,dc=gradis,dc=joinville,dc=udesc,dc=br
objectClass: top
objectClass: organizationalUnit
ou: Professores
dn: uid=ricardo192.168.10,ou=Professores,dc=gradis,dc=joinville,dc=udesc,dc=
br
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
objectClass: radiusprofile
cn: ricardo
sn: martins
uidNumber: 1001
gidNumber: 1001
homeDirectory: /home/ricardo
loginShell: /bin/bash
gecos: Ricardo Martins
shadowLastChange: 12862
radiusPasswordRetry: marcondes
uid: ricardo192.168.10
userPassword: {MD5}SWQPisHODqJ cVYI5TWyW4w==