MARCOS STECKERT PESSA

PROPOSTA DE UMA INFRA-ESTRUTURA DE REDE

SEM FIO PARA AMBIENTES UNIVERSITRIOS
JOINVILLE SC
2007
ii
UNIVERSIDADE DO ESTADO DE SANTA CATARINA UDESC
CENTRO DE CINCIAS TECNOLGICAS DEPARTAMENTO DE
CINCIA DA COMPUTAO
MARCOS STECKERT PESSA
PROPOSTA DE UMA INFRA-ESTRUTURA DE REDE SEM FIO
PARA AMBIENTES UNIVERSITRIOS
Monografia apresentada s disciplinas de
Trabalho de Concluso de Curso TCCI
e II da Universidade do Estado de Santa
Catarina como requisito para obteno
do ttulo de Bacharel em Cincia da
Computao Integral.
Orientador: Ricardo Ferreira Martins
JOINVILLE SC
2007
iii
MARCOS STECKERT PESSA
PROPOSTA DE UMA INFRA-ESTRUTURA DE REDE
SEM FIO PARA AMBIENTES UNIVERSITRIOS
Monografia aprovada como requisito parcial para a obteno do grau de Bacharel, no
curso de graduao de Cincia da Computao Integral da Universidade do Estado de
Santa Catarina UDESC.
Banca Examinadora:
Orientador: _____________________________________________
Ricardo Ferreira Martins
Membro: _____________________________________________
Cinara Menegazzo
Membro: _____________________________________________
Dbora Cabral Nazrio
J oinville, 06/06/2009.
iv
Dedico este trabalho a todas as
pessoas que acreditaram na eficcia
do ensino e nos que buscam a auto-
realizao e a felicidade, como
sentido para suas vidas.
v
AGRADECIMENTOS
Este trabalho s foi possvel devido a minha vontade de crescer e querer aprender
sempre mais, alm da contribuio de algumas pessoas, agradeo:
Nelson Saldanha Pessa, meu pai, pelo apoio e confiana depositados em mim durante
o longo caminho j trilhado.
Eliane Steckert Pessa, minha me, pelas tordilhas e agrados.
Lucas Steckert Pessoa, meu irmo, pelas ligaes gratuitas de Santa Maria e rpida
adaptao em minha residncia.
Matheus Steckert Pessoa, meu irmo, apenas para constar nos autos do inqurito.
TasaRegiane Rodrigues da Silva, por estar ao meu lado, acreditar e ter f em mim e em
meu trabalho.
Ricardo Ferreira Martins, orientador, por acreditar na realizao deste trabalhomesmo
que o tempo corressemais do que o desejado.
vi
RESUMO
Este Trabalho de Concluso de Curso tem por finalidade a realizao de um estudo
focado nos principais conceitos pertinentes a redes de computadores sem fio (SF),
aplicado s caractersticas e necessidades de um ambiente universitrio. Tendo como
objetivo, propor uma infra-estrutura de rede que atenda as exigncias de aplicabilidade
para cenrios universitrios. Assim, sero avaliados os temas: tecnologias, topologias e
dispositivos relacionados definio de uma infra-estrutura SF, cenrios SF, servios,
necessidades e caractersticas universitrias, e mecanismos de segurana. A fim de
apresentar, ao trmino deste trabalho, uma proposta de infra-estrutura sem fio para
universidades. Entretanto, devido o fato do campus CCT ser o ambiente utilizado para
as validaes dos estudos, a escolha dentre as diferentes tecnologias e servios a serem
disponibilizados, e mecanismos de segurana adotados para a validao do projeto,
devero ser obtidos atravs de uma anlise considerando o melhor desempenho, dentre
os equipamentos disponveis para composio da rede, quando aplicados ao cenrio do
campus.
Palavras-chave: Redes sem Fio, wireless e Redes Universitrias.
vii
ABSTRACT
This final work aims to accomplish a study focused on the main concepts related to the
wireless computer networks, applied to the characteristics and needs of universitary
environments. The main objective of this study is to propose a network infrastructure
which supplies the applicability demands to universitary scenarios. Thus the themes to
be analysed are: technologies, topologies and devices related to the definition of a
wireless network infrastructure, wireless scenarios, services, needs and universitary
characteristics, and security devices. A proposal of a wireless network infrastructure to
universities will have been presented at the end of this work. Nevertheless, due to the
fact the campus is the environment used to validate studies, the choices among the
different technologies and services to be offered, and security devices adopted to
validate the project might be obtained through an analysis considering the best
performance, among the available equipment to the network composition, when applied
to the campus scenario.
Keywords: wireless network, wireless, universitary networks
viii
LISTA DE TABELAS
Tabela 1: Quadro Comparativo: padres 802.11a/b/g/n [Adaptao de Stallings, 2002]. ........18
Tabela 2: Quadro comparativo entre os padres 802.16/b/a/REVd/e, da famlia IEEE............ 21
Tabela 3: Quadro comparativo: pades WEP, WPA e WPA-2/802.11i.......................................39
Tabela 4: Quadrocomparativo das ferramentas para virtualizao dos servios de rede.........46
Tabela 5: Quadro comparativo das ferramentas de firewall avaliadas. .....................................47
ix
LISTA DE FIGURAS
Figura 1: Topologia Ad-Hoc A Piconet, B Piconet Multi-Slave C Scatternet, geralmente
usadas com os padres IEEE 802.15. ..........................................................................................22
Figura 2: Topologia de Infraestrutura e suas classificaes BSS (1 AP) e ESS (2 ou mais APs). . 23
Figura 3: Topologia de Rede em Malha (Mesh)..........................................................................24
Figura 4: Exemplo de AP aplicado com o objetivo de aumentar o permetro da rede guiada.
Adaptao [Farias, 2006].............................................................................................................25
Figura 5: Exemplo de a comunicao entre dois hosts atravs de dois APsconfigurados no
modo Bridge. Adaptao [Farias, 2006]...................................................................................... 25
Figura 6: Mostra a conexo internet de duas redes conectadas ao router wireless...............26
Figura 7: Antena Omnidirecionail e seu diagrama de irradiao 360 - Horizontal e 3-20 -
Vertical. ....................................................................................................................................... 27
Figura 8: Exemplo de antenas A - Yagi, B Helicoidal e C1 e C2 Parablica, e o diagrama de
irradiao para as antenas Direcionais. ...................................................................................... 28
Figura 9: Exemplo de antena Semi-Direcional (Setorial) e seu diagrama de elevao...............28
Figura 10: Uma classificao para as principais formas de ataque as redes W'Lan [Amaral,
2004]. ..........................................................................................................................................35
Figura 11: Linha evolutiva dos padres de segurana IEEE e WiFi Alliance................................39
Figura 12: Exemplo de rede SF com o padro IEEE 802.11i e centralizador (gateway)..............44
Figura 13: Servios virtualizados atravs da ferramenta VMWare Server. ................................49
Figura 14: Configuraes e endereamento da rede.................................................................. 54
Figura 15: Topologia lgica validada e os Nveis de controle de acesso a rede.......................... 55
Figura 16: Etapas da autenticao a rede SF............................................................................... 56
Figura 17: Pgina de logindefault CaptivePortal, status do servio de captura e base Ldap.... 57
Figura 18: Pacote capturado atravs da ferramenta Wireshark................................................. 58
Figura 19: Frontend web do captive portal - habilitao https...................................................59
x
LISTA DE SIGLAS
AES Advanced Encryption Standard
Anatel Agncia Nacional de Telecomunicaes
AP Access Point
BSS Basic Service Set
BWA Broadband Wireless Access
CBC Cipher-Block Chaining
CCMP Counter mode Cipher block Chaining protocol
CRC Cyclic Redundancy Check
DCS Escolha Dinmica de Canal
DoS Denial of Service
DSSS Espectro de Difuso de Seqncia Direta
EAP Extensible Authentication Protocol
ESS Extende Service Set
FHSS Frequency Hopping Spread Spectrum
GPS Global Position Systems
IAPP Inter-Access-Poin Protocol
xi
ICV Valor de Verificao de Integridade
IEEE Institute of Electrical and Electronics Engineers
LBS Location Based Services
MIC Message Integrety Check
MIMO Multiple-Input Multiple-Output
OFDM Multiplexao por diviso de freqncia
PHY Physical Layer
PSK Chave Pr-Compartilhada
QoS Qualidade de servio
RF Rdio Freqncia
RSN Robust Security Network Protocol
SF Sem Fio
SIG Bluetooth Special Interest Group
SIP Session Initiation Protocol
SMS Short Message
SSID Service Set ID
TKIP Temporal Key Integrity Protocol
TPC Controle de Emisso de Energia
TXOP Transmission Oportunity
UWB Ultra Wideband
VOIP Voz sobre IP
WEP Wired Equivalent Privacy
WI-FI Wireless Fidelity
WLAN Redes de rea Local
WMAN Redes de rea Metropolitana
xii
WMN Wireless Mesh Networking
WPA Wi-Fi Protected Access
WPAN Redes de rea Pessoal
WRAP Wireless Robust Authenticated Protocol
xiii
SUMRIO
1. Introduo.......................................................................................................................... 13
1.1. Metodologia ................................................................................................................... 14
2. Conceitos e Tecnologias Referentes Redes Sem Fio.................................................... 16
2.1. Padres Referentes Comunicao Sem Fio.............................................................. 16
2.1.1. Padro IEEE 802.11.................................................................................................. 16
2.1.2. Padro IEEE 802.15.................................................................................................. 19
2.1.3. Padro IEEE 802.16.................................................................................................. 20
2.2. Topologias para Redes Sem Fio ...................................................................................22
2.3. Ponto de Acesso em Redes SF ...................................................................................... 24
2.4. Dispositivos para Irradiao de RF.............................................................................26
2.5. Consideraes Parciais ................................................................................................. 28
3. Desafios em Ambientes Universitrios ............................................................................29
3.1. Propagao de Ondas de Rdio Frequncia ...............................................................29
3.2. Ambientes Universitrios .............................................................................................30
3.3. Servios de Redes Sem Fio............................................................................................31
3.4. Consideraes Parciais ................................................................................................. 32
4. Segurana em Redes SF....................................................................................................34
4.1. Principais Tcnicas de Ataques as Redes Sem Fio.....................................................34
4.2. Padro WEP ..................................................................................................................36
4.3. Padro 802.11i ............................................................................................................... 36
4.3.1. Criptografia Tkip...................................................................................................... 37
4.3.2. Criptografia AES.......................................................................................................37
4.3.3. Autenticao 802.1X.................................................................................................. 38
4.4. WPA e WPA-2/802.11i .................................................................................................. 38
4.5. Consideraes Parciais ................................................................................................. 39
5. Proposta de Infraestrutura Sem Fio................................................................................41
5.1. Padro de Comunicao ............................................................................................... 41
5.2. Topologia........................................................................................................................41
5.3. Dispositivos de Ponto de Acesso e Antenas ................................................................. 42
5.4. Cenrios e Necessidades Universitrias ......................................................................42
5.5. Segurana.......................................................................................................................43
xiv
5.6. Infraestrutura Ideal ...................................................................................................... 43
6. Validao da Infraestrutura.............................................................................................45
6.1. Softwares Complementares..........................................................................................45
6.1.1. Virtualizao.............................................................................................................. 45
6.1.2. Firewall.......................................................................................................................46
6.1.3. Servidor RADIUS...................................................................................................... 47
6.1.4. OpenLdap ..................................................................................................................48
6.2. Componentes fsicos ...................................................................................................... 50
6.2.1. Ponto de Acesso .........................................................................................................50
6.2.2. Switch ......................................................................................................................... 51
6.2.3. Roteador.....................................................................................................................51
6.2.4. Computadores Gateway e Cliente............................................................................52
6.3. Topologia da Rede.........................................................................................................53
6.4. Autenticao a rede.......................................................................................................56
6.5. Vulnerabilidades............................................................................................................ 58
7. Concluso...........................................................................................................................60
REFERNCIAS BIBLIOGRFICAS................................................................................................... 62
APNDICE A................................................................................................................................. 67
APNDICE B................................................................................................................................. 68
APNDICE C................................................................................................................................. 69
APNDICE D................................................................................................................................. 70
APNDICE E................................................................................................................................. 71
APNDICE F..................................................................................................................................72
Referncia Bibliogrfica .......................................................................................57
Anexos .........................................................................................................................63
13
1. Introduo
Para melhor compreender o funcionamento e os conceitos da tecnologia
wireless necessrio, primeiro, entender o que uma rede de computadores: Uma rede
de computadores consiste em dois ou mais micros interligados com a finalidade de
compartilharem dados. Tendo como principais componentes o emissor, receptor, canal
de comunicao e a mensagem [Tanenbaum 2003]. Com base nesses conceitos surgem
as redes wireless, como resultado da constante evoluo tecnolgica das redes guiadas
convencionais. A palavra wireless provm do ingls wire (fio/cabo) e less (sem), ou
seja, sem fios SF e caracteriza qualquer tipo de transmisso de informao sem a
utilizao de fios ou cabos[Utzig. 2006].
A disseminao da tecnologia SF em diversos pases, e a utilizao por
diversas organizaes e universidades atribuda a motivos como [Amaral, 2006] e
[Meiobit, 2007]:
Aumento de usurios utilizando equipamentos mveis (notebooks, celulares e
PDAs) e a necessidade de prover servios de rede (Internet, correio eletrnico
etc.), para estes equipamentos no decorrer dodia-a-dia, a qualquer hora ou local;
Melhorar o desempenho e aumentar a produtividade de usurios (ex.
professores, alunosetc.);
Facilidade de adaptao e conexo entre redes wireless e cabeadas;
Possibilidade de implantar e modificar uma rede de computadores sem alterar a
estrutura fsica da organizao;
Criao de novas aplicaes para tecnologias sem fio com caractersticas
prprias para cada aplicao atendendo as necessidades de diferentes usurios
(Wi-Fi, Bluetooth, Wi-MAX etc.);
Avanos tecnolgicos, principalmente, em reas como: segurana, qualidade de
sinal e velocidade da transferncia de dados, tendo em vista que h alguns anos
atrs este tipo de estrutura era considerada lenta e pouco confivel quanto
segurana durante a comunicao entre ns, alm da diminuio do alto custo de
implementao que tornavam este tipo de estrutura pouco vivel para as
organizaes.
14
Atualmente, as dvidas e receios dos usurios em relao segurana das
informaes, tm se tornado um dos maiores obstculos para uma maior disseminao
das redes SF [Menezes, 2006]. Por se tratar de uma comunicao onde as informaes
trafegam livremente pelo ar torna-se um desafio proteger as informaes contra o acesso
indevido, delimitar a rea de alcance da rede, garantir a integridade dos dados e
autenticar usurios [Ganz, 2003] e [Breuel, 2004].
Alm de analisar as diferentes tecnologias, conceitos e dispositivos SF,
tambm so apresentados os mecanismos que fornecem segurana a rede, com o
objetivo de propor uma rede que oferea, com segurana, aplicaes e servios aos seus
usurios. Assim o presente trabalho tem como principal objetivo, apresentar e validar
uma proposta de rede SF baseada nos estudos destacados anteriormente servindo como
fonte para futuras pesquisas no desenvolvimento de redes SF aplicadas a ambientes
universitrios.
1.1. Metodologia
Para que seja possvel realizao desta monografia, e para que ele se torne
fonte de futuras pesquisas no desenvolvimento de redes, focadas em ambientes
universitrios, alguns pontos solevantados durante o seu desenvolvimento.
Inicialmente, so analisados os conceitos bsicos relacionados a uma infra-
estrutura wireless, captulo 2, a fim de obter o conhecimento quantoao funcionamento e
composio das redes SF. Nesta etapa do trabalho efetuado um estudo abordando os
diferentes padres de redes (IEEE 802.11, 802.15 e 802.16), bem como as diferentes
topologias wireless, pontos de acesso e antenas.
O captulo 3, consiste na identificao de pontos crticos e desafios comuns a
ambientes universitrios, como: barreiras, reas vulnerveis, cenrios e serviosalm do
desenvolvimento de um questionrio aplicado eminstituies de ensino e desta forma
identificar o perfil dos usurios e local de implementao da rede SF.
Para solucionar e tratar as vulnerabilidades e reas de risco identificadas durante
etapas anteriores, no captulo 4, realizado um estudo das tecnologias, mecanismos e
15
polticas de segurana e desta forma obter conhecimento suficiente para optar pelo
melhor conjunto de aes focando a segurana dos dados e usurios pertencentes a rede.
Como resultado dos estudos realizados, no captulo 5, apresentada uma
proposta de infra-estrutura de rede SF para universidades, objetivando oferecer a melhor
composio, padro, topologia, cenrio, servios alm das polticas e mecanismos de
segurana, a serem adotados, capaz de atender as necessidades encontradas durante os
estudos. Parafinalizar o trabalho, nocapitulo 6, documentadoa etapa de validao da
rede SF no campus CCT, levando em considerao a proposta apresentada no captulo
anterior e os recursos disponibilizados pela instituio.
16
2. Conceitos e Tecnologias Referentes Redes Sem Fio
Definir a infra-estrutura de uma rede SF compreende vrias decises
importantes, dentre elas, tem-se a escolha do padro de comunicao, topologia de rede,
antenas, pontos de acesso(AP's), servios, nveis e mecanismos de segurana [Almeida,
2002].
Este captulo tem o objetivo de analisar os padres de comunicao utilizados na
implementao de uma rede wireless buscando identificar sua contribuio a um
ambiente universitrio e apresentar as possveis topologias de rede. Para finalizar o
escopo deste captulo so estudados os componentes responsveis pelo acesso a rede
AP's e antenas, bem como o comportamento do sinal por eles irradiado.
2.1. Padres Referentes Comunicao Sem Fio
Desenvolvidos pelo Institute of Electrical and Electronics Engineers (IEEE),
uma organizao composta por cientistas e engenheiros com o objetivo de homologar
padres de comunicao para diferentes tipos de redes [IEEE, 2007] os padres podem
ser divididos em Redes de rea Pessoal (WPAN's), Redes de rea Local (WLAN's) e
Redes de rea Metropolitana (WMAN's), atendendo assim diferentes caractersticas e
situaes de aplicabilidade [Santos, 2003]. A seguir sero analisadas as peculiaridades
dos padres IEEE 802.11, 802.15 e 802.16, considerados os padres mais importantes
para comunicao em redes SF.
2.1.1. Padro IEEE 802.11
Aplicado principalmente em WLAN's, oferece mobilidade interna em ambientes
corporativos, pontes entre redes SF, redes de acesso pblico, redes SF residncias, etc.
A famlia IEEE 802.11 pode ser classificada ou dividida, em vrios modelos, com
caractersticas especficas, de acordo com a necessidade existente em cada ambiente
[IEEE, 2007].
17
Padro IEEE 802.11a: Desenvolvido em 1999. Opera com freqncia de 5Ghz,
modulao de multiplexao por diviso de freqncia (OFDM) e transferncia
de dados com velocidade que podem variar entre 6 a 54Mbs [Santos, 2003].
Padro IEEE 802.11b: Um dos padres mais difundidos e utilizados em redes
WLAN's, tem seus dispositivos especificados pelo grupo Wireless Fidelity (WI-
FI). Opera na freqncia de 2.4GHz, baseado na tecnologia Espectro de Difuso
de Seqncia Direta (DSSS) e velocidade de comunicao de at 11Mbs
[Santos, 2003] e [Oliveira, 2003].
Padro IEEE 802.11c e IEEE 802.11d: A aplicabilidade destes padres ocorre
principalmente por empresas desenvolvedoras de dispositivos Wireless, sendo
assim, pouco relevante para a proposta deste trabalho. Foram desenvolvidos para
harmonizar problemas como conectar redes SF (802.11c-Bridging), ou em
alguns pases que utilizarem diferentes faixas de freqncia, 2.4 e 5Ghz
(802.11d) [Santos, 2003] e [Geier, 2003].
Padro IEEE 802.11e: O padro IEEE 802.11e foi desenvolvido para agregar a
funcionalidade de qualidade de servio (QoS) s redes IEEE 802.11 [Santos,
2003]. Este padro interessante para ambientes universitrios que desejam
oferecer servios como Vdeo Conferncias e Telefonia IP, atravs de uma rede
SF [Conceio, 2006].
Padro IEEE 802.11f: Desenvolvido principalmente para agregar o protocolo
Inter-Access-Point Protocol (IAPP), recomendado para fabricantes de
equipamentos de WLAN tornando os dispositivos de rede mais flexveis e
capazes de interoperar com outros AP's, mesmo sendo de marcas diferentes
[Geier, 2003].
Padro IEEE 802.11g: Finalizado em junho de 2003, como uma extenso do
padro IEEE 802.11b, o padro IEEE 802.11g atualmente o mais usado em
redes WLAN's. Opera na freqncia de 2.4GHz, usa multiplexao por diviso
de freqncia (OFDM) e oferece velocidade de transmisso de dados de at
54Mbs [Geier, 2003] e [Santos, 2003]. Alguns dispositivos proprietrios podem
ser configurados com o modo Super G, com taxa detransferncias de 108Mbs.
18
Padro IEEE 802.11h: Usado como adaptao para que o padro IEEE 802.11a
consiga operar atendendo os requisitos de utilizao de freqncia adotada em
alguns pases Europeus [Geier, 2003] e [IEEE, 2007].
Padro IEEE 802.11i: Homologado em junho de 2004, com o objetivo de
complementar e melhorar os requisitos iniciais de segurana dos padres 802.11
[Santos, 2003]. As caractersticas de cada mtodo de segurana adotado atravs
do padro IEEE 802.11i sero apresentadas posteriormente, no captulo 4.
Padro IEEE 802.11s: Disponibiliza a tecnologia que permite que pontos de
acesso, de uma rede 802.11, comuniquem-se entre si, como um sistema auto-
configurvel e, assim, decida qual a melhor rota para o trfego dos pacotes,
possibilitando que umpermetro maior possa ser coberto (Ex: Topologia Mesh)
[Schiller, 2006] e [Mobilezone, 2006].
Padro IEEE 802.11n: Este promete ser o padro wireless de distribuio de
mdia, pois oferecer atravs de configuraes e antenas Multiple Input Multiple
Output MIMO, taxas de transferncia entre 100 a 600Mbps, sendo compatveis
com demais protocolos (IEEE 802.11a/b/g) [Conceio, 2006].
Tabela 1: Quadro Comparativo:padres 802.11a/b/g/n [Adaptao de Stallings, 2002].
IEEE802.11a IEEE802.11b IEEE802.11g IEEE802.11n
Homologado Setembro de 1999 Setembro de 1999 J unho de 2003 Esperado fim de 2008
Aplicao
Taxa Mx. Transmissao 54 Mbps 11 Mbps 108 Mbps Esperada
Alcance Mx. 100 m 150 m 150 m 250 m
Usurios Conectados 64 36 - -
Canais no Sobrepostos 12 11 13 13 11 13
Freqncia 5 Ghz 2,4 Ghz 2,4 Ghz 2,4 e 5 Ghz
Modulao OFDM DSSS OFDM ou DSSS MIMO-OFDM
Compatibilidade Somente 802.11 a Somente 802.11g Somente 802.11b 802.11a/b/g
Wlan Wlan e Wpan Wlan Wlan
54 Mbps
108Mbs (SuperG)
19
Dentre os pontos positivos observados na tabela 1napgina anterior, destaca-se
a taxa de transferncia de 54Mbs, dos padres 802.11a e 802.11g. J o padro 802.11n,
surge como uma alternativa mais eficiente quando comparado aos demais modelos
destacando a modulao MIMO-OFDM commltiplos canais de envio e recebimento
de dados, como ponto negativo observa-se o pouco tempo de mercado dos dispositivos
que operam com 802.11n. Os padres 802.11c/d/e/f/g/h/i/s mesmo sendo padres
importantes na famlia IEEE, no se encontram na tabela 1, devido ao fato de serem
complementares ou atualizaes para os demais padres de comunicao 802.11a/b/g/n.
O padro 802.11g, observa-se como ponto positivo, o fato de ser homologado
em 2003 e ser o mais conhecido dos padres comentados anteriormente alm de
incorporar vrias das caractersticas positivas do padro 802.11a, como a modulao
OFDM e velocidade de 54 Mbs ou 108 Mbs em dispositivos proprietrios. Outro
atrativo do padro 802.11g a utilizao da freqncia livre 2,4GHz.
2.1.2. Padro IEEE 802.15
O padro IEEE 802.15 comeou a ser desenvolvido em 1994, pela empresa
Ericsson, mas somente a partir de 1998 iniciou-se o seu desenvolvimento efetivo, pelo
Bluetooth Special Interest Group (SIG), com o objetivo de atender principalmente as
caractersticas de ambientes WPan, redes pessoais, no sendo compatvel com os
modelos da famlia 802.11 [Bonatto, 2007].
Tem como principal caracterstica o fato de no necessitar de APs para
encaminhar os dados do transmissor at o receptor, ou seja, os ns da rede so
independentes, apresentando uma nova forma de conexo entre ns, centradas no
usurio [Carvalho, 2004]. Assim como o padro IEEE 802.11, a famlia IEEE 802.15
dividida em grupos: 802.15.1, 802.15.2, 802.15.3 e 802.15.4, classificados de acordo
com a aplicabilidade, potncia e alcance do sinal dos seus equipamentos.
Padro IEEE 802.15.1 (Bluetooth): Desenvolvido como tecnologia para
interconexo de aparelhos e dispositivos (ex. celulares, impressoras, teclados,
mouses etc.) [Bonatto, 2007].
20
Padro IEEE 802.15.2: Padro desenvolvido com o objetivo de possibilitar a
coexistncia dos padres IEEE 802.11, no sentido da no interferncia de sinal
entre as redes. [Bonatto, 2007].
Padro IEEE 802.15.3 (UWB): O Ultra Wideband (UWB) foi inventado na
dcada de 60 para fins militares, e promete substituir o Bluetooth em mdio
prazo [Bonatto, 2007].
Padro IEEE 802.15.4: Desenvolvido em 2003, complementado pelo protocolo
ZigBee, definido pela ZigBee Alliance. Este padro aliado ao protocolo ZigBee,
oferece aplicaes de interesse no monitoramento e acompanhamento de
ambientes clnico hospitalares, universitrios, automao e monitoramento de
ambientes pequenos (Tvs, Dvds, Iluminao, perifricos, etc.).
Analisando as caractersticas dos padres e aplicaes oferecidos pela famlia
802.15, percebe-se que sua utilizao ocorre em reas de pequeno permetro como salas
de aula, auditrios, ambulatrios, residncias etc, onde no exista um grande fluxo de
informaes e a distncia entre os dispositivos de rede sejam pequenas. Estas
caractersticas tornam o padro 802,15 pouco atrativo para a implementao de redes de
comunicao SF, mas de grande utilidade no que se refere ao gerenciamento de
ambientes de pequeno porte.
2.1.3. Padro IEEE 802.16
O padro IEEE 802.16, desenvolvido em 1999, e regulamentado pelo grupo
Broadband Wireless Access (BWA), especifica formalmente redes sem-fio de banda
larga, que cobrem reas metropolitanas (WMAN's), com altas taxas de transferncia
capaz de atender centenas de usurios com diferentes demandas de trfego (dados de
udio, vdeo etc.) ou ainda, interligar redes geograficamente separadas. O projeto foi
concludo em 2001, com o lanamento da verso final do documento IEEE 802.16
[Lima, 2006]. No entanto diversas emendas, 16a, 16b, 16c,16REVd e 16e, foram
desenvolvidas, sendo estas apresentadas a seguir.
21
Padro IEEE 802.16a: Foi criado e especificado pelo Wi-Max com o objetivo
de competir com as tecnologias que oferecem acesso ltima milha da rede,
como xDSL e Cable Modems [Lima, 2006] e [Dias, 2005].
Padro IEEE 802.16b:Desenvolvido principalmente para oferecer qualidade de
servio (QoS) para aplicaes de voz e vdeo em tempo real [Lima, 2006].
Padro IEEE 802.16c: Foi desenvolvido com o objetivo de fornecer protocolos
e especificaes de testes de conformidade[Lima, 2006].
Padro IEEE 802.16REVd (Wi-Max Fixo): Considerado uma atualizao do
padro 802.16 que consolida as revises dos padres 802.16a e 802.16c em um
nico padro, substituindo o 802.16a como o padro base[Lima, 2006] e [Dias,
2005].
Padro IEEE 802.16e (Wi-Max Mvel): Tem como proposta adicionar a
mobilidade em redes WMAN's mveis, ou seja, oferecer servios SF e
mobilidade a dispositivos veiculares walkabout em movimento [Dias, 2005]e
[Lima, 2006].
Tabela 2: Quadro comparativo entre os padres 802.16/b/a/REVd/e, da famlia IEEE.
O fato de fornecer conectividade a usurios a grandes distncias, como mostra a
tabela 2, torna o padro de pouca utilidade em ambientes universitrios, que por sua vez
necessitam de redes onde os usurios se encontram prximos aos APs, outro fator
22
relevante o alto custo dos dispositivos configurados com este padro, acarretando num
valor significativo para implementao destas redes e tornando-o pouco atrativo ao
cenrio proposto pelo trabalho.
2.2. Topologias para Redes Sem Fio
A topologia a relao lgica e fsica dos ns em uma rede, um mapa de rede
que indica os segmentos, pontos de interconexo e as comunidades de usurios [Silva,
2005]. No caso de uma rede SF, a maneira com que so organizados, AP's e ns, vo
influenciar diretamente na qualidade, escalabilidade, disponibilidade e desempenho da
rede. Existem atualmente trs possveis topologias de rede que atendam os padres
IEEE, sendo estas analisadas a seguir.
Topologia Ad-Hoc: As redes Ad-Hoc so criadas de forma espontnea, por
dispositivos que comunicam entre si atravs de um canal de comunicao
estabelecido somente no perodo em que ocorre a troca de dados entre os
dispositivos [Bonatto, 2007]. O termo Ad-Hoc pode ser substitudo por
Independent Basic Service Set (IBSS), pois cada dispositivo de certa forma
independente, podendo migrar de uma rede para outra sem problemas de
conexo [Malafaya, 2007].
Figura 1: Topologia Ad-Hoc A Piconet, B Piconet Multi-Slave C Scatternet, geralmente usadas com os
padres IEEE 802.15.
23
Composta por dispositivos denominados mestre, que requisita e coordena a
transmisso e recepo dos dados, e escravo que apenas provem o servio as redes Ad-
Hoc, so divididas em trs grupos classificadas de acordo com a quantidade de mestres
presentes na rede. O primeiro grupo denominado Piconet Simples (A), o segundo
multi-slave (B), e o terceiro Scatternet (C), ilustrados na figura 1 na pgina anterior
[Bluetooth, 2007] e [Bonatto, 2007].
Topologia de Infraestrutura: Consiste em computadores e um ou mais APs,
configurados com o padro 802.11 ou 802.16. Dependendo da quantidade de
pontos de acesso a rede pode ser caracterizada como: Baisc Service Set BSS
(umAP) e Extende Service Set ESS (dois ou mais AP's), conectados entre si
atravs de uma rede cabeada, onde todas as comunicaes entre os
computadores mveis, ou entre uma estao SF e um cliente fixo, realizada
atravs do AP [Endler, 2004], comomostra a seguir a figura 2.
Figura 2: Topologia de Infraestrutura e suas classificaes BSS(1 AP) e ESS(2 ou mais APs).
A aplicabilidade da topologia Infraestrutura em ambientes universitrios ocorre
principalmente em locais que oferecem acesso a redes SF conectadas a uma rede guiada
j existente na instituio, geralmente atravs dos padres IEEE 802.11a/b/g.
Topologia em Malha (Mesh): As redes Wireless Mesh Networking WMN
foram desenvolvidas com o objetivo de ampliar o alcance das redes SF
convencionais. Para isso, a rede deve ser formada por dois tipos de ns
denominados roteadores e clientes e baseia-se nos padres desenvolvidos pela
famlia IEEE 802.11s [Schiller, 2006] e [Bruel, 2004].
24
Figura 3: Topologia de Rede em Malha (Mesh).
Na figura 3, possvel perceber a caracterstica da no necessidade de cabos
para a comunicao entre os pontos de acesso, possibilitando a criao de uma rede
auto-configurvel com mltiplos AP's. As redes em malha se tornam relevantes a
ambientes universitrios, pois oferecem comunicao entre ns, otimizando o trfego
das mesmas e aumentando o permetro de cobertura.
Aps os estudos realizados sobre as possveis topologias de redes SF, percebe-se
que as redes Piconet eScatternet, so utilizadas principalmente, onde a necessidade de
conexo entre dispositivos ocorre em tempo real, rpida e fcil. As redes de
infraestrutura, destacam-se principalmente na conexo entre redes SF, tendo uma rede
guiada como porta de sada para outras redes distintas (Internet). J as redes em malha
seriam mais funcionais provendo servios de acesso a grandes reas locais, onde a
exigncia de roteamento entre os ns da rede determinante.
2.3. Ponto de Acesso em Redes SF
Existem basicamente trs configuraes ou modos de operao para os
dispositivos de APs: repetidores (Hub), ponte (bridge) e roteadores (Router) [Farias,
2006].
Ponto de Acesso modo Repetidor (Hub) Camada Fsica: Os dispositivos
que operam no modo repetidor, so geralmente aplicados como extensor do
25
alcance da rede SF ouguiada, ou seja, so utilizados para aumentar o alcance e
permetro decobertura das redes. A figura 4, demonstra a infra-estrutura de rede
composta por umAP operando no modo Repetidor.
Figura 4: Exemplo de AP aplicado com o objetivo de aumentar o permetro da rede guiada. Adaptao [Farias,
2006].
Ponto de Acesso modo Bridge (Ponte) Camada Enlace: Em sntese, um
equipamento Bridge Wireless um mecanismo de ponto de acesso equipado
com rdio transmissor/receptor usado para conectar dois segmentos de uma
mesma rede que estejam geograficamente separadas. Na figura 5, prxima
pgina, possvel avaliar a aplicabilidade para os pontos de acesso,
configurados no modo bridge, interligando dois segmentos de redeguiada.
Figura 5: Exemplo de a comunicao entre dois hosts atravsde dois APsconfigurados no modo Bridge.
Adaptao [Farias, 2006].
Ponto de Acesso modo Router (Roteador) Camada de Rede: So
dispositivos que apresentam caractersticas prprias, como firewall e portas
10/100 (Ethernet). Em sntese o AP funciona conectandosegmentosde rede seja
cabeada ou no. Como mostra a figura 7, o Router Wireless realiza a conexo de
um segmento de rede fixo e um segmento de rede wireless a rede ethernet
guiada (modem DSL).
26
Figura 6: Mostra a conexo internet de duas redes conectadas ao router wireless.
Como se vna figura acima, existem dois segmentos de rede, SF e guiado, sendo
conectados a internet atravs de um AP operando no modo router. Assim, percebe-se
que escolha do modo de operao dos APs da rede podem variar de acordo com a
necessidade e cenrios aplicados a rede.
2.4. Dispositivos para Irradiao de RF
Toda a transmisso e recepo de sinais wireless,baseiam-se em comunicao
por Rdio freqncia (RF). Assim, o comportamento destes equipamentos (antenas)
pode afetar drasticamente o desempenho de rede SF [Farias, 2006]. A seguir so
apresentados alguns pontos relevantes para a escolha adequada dos dispositivos de
irradiao [Pessini, 2001] e [Farias, 2006].
Distncia: Geralmente as antenas devem cobrir uma distncia maior que a
especificada pelo projeto de rede. Devido degradao sofrida pelo sinal ao
longo da sua propagao, tambm conhecida como perda de amplitude os
usurios localizados na borda do permetro de cobertura podem receber um sinal
nulo ou sem condies de comunicao.
Largura da onda: A largura de onda denota o alcance de um sinal. Geralmente,
quanto mais larga for a onda, mais curta ser a rea de cobertura. Por outro lado,
27
as ondas mais largas compensam melhor as barreiras como vento, chuva e
paredes que afetam adversamente a desempenhodo sinal.
Ganho: Expresso em dbi, a potncia do sinal aps processado por um
dispositivo eletrnico (amplificador). Usualmente, ganhos maiores revertem em
um consumo de energia maior, distncias maiores e irradiao de sinal a locais
no desejados. Operar com largura de onda menor tambm acarreta em margem
de erro maiores durante a transmisso de dados.
Existem trs variaes de antenas para aplicaes wireless: Omnidirecionais,
Semi-Direcionais e Direcionais, sendo cada uma com caractersticas e formas de
irradiao prprias [Bravo, 2007].
Antena Omnidirecional: As antenas omnidirecionais cobrem 360 no plano
horizontal e entre 3 e 20 na vertical, como mostra o diagrama de elevao para
antenas OMNI na figura 7. Devido a estas caractersticas, so mais funcionais
quando aplicadas em reas amplas para comunicao do tipo ponto-multiponto,
ou seja, em cenrios onde a estao base (ponto de acesso) se encontra no centro
das estaes remotas (clientes) [Bravo, 2007].
Figura 7: Antena Omnidirecionail e seu diagrama de irradiao 360 -Horizontal e 3-20 -Vertical.
Antena Direcional: Desenvolvidas de maneira a prover o sinal em uma nica
direo, concentrando a propagao vertical e horizontal entre 3 e 60 de
abertura, como mostra o diagrama de irradiao da figura 8, na prxima pgina.
28
Figura 8: Exemplo de antenas A -Yagi, B Helicoidal e C1 e C2 Parablica, e o diagrama de irradiao para as
antenas Direcionais.
Antena Semi-Direcional: Assim como as antenas Direcionais, as Semi-
Direcionais, transmitem os sinal em uma nica direo, porm, com um ngulo
de irradiao bastante aberto, entre 30 - 180 graus na horizontal, e entre 6 - 90,
na vertical [Bravo, 2007] como mostra a figuraa seguir.
Figura 9: Exemplo de antena Semi-Direcional (Setorial) e seu diagrama de elevao.
2.5. Consideraes Parciais
Ao fim do captulo 2 nota-se que a implementao de uma infraestrutura SF
compreende a anlise de vrios dispositivos e configuraes, como: padres de
comunicao IEEE, topologias, AP e antenas. Percebe-se tambm que a opo por
determinado padro, AP, antena ou topologia, ir depender das necessidades e
caractersticas do ambiente onde a rede ser implementada, ou seja, no h como definir
a composio e configurao da rede sem antes analisar os servios a serem oferecidos
aos usurios, bem como quais as reas que a rede deve cobrir.
Assim, no prximo captulo sero avaliadas as caractersticas comuns aos
ambientes universitrios, avaliando possveis servios a serem disponibilizados e
diferentes cenrios para o uso destasredes SF.
29
3. Desafios em Ambientes Universitrios
Este captulo ir analisar os fatores que interferem na propagao do sinal alm
de identificar cenrios e servios que possam ser aplicados em universidades. No
entanto, devido s diferenas estruturais de cada instituio, torna-se adequado
considerar as caractersticas comuns encontradas nos ambientes externos e internos a
fim de identificar suas necessidades e vulnerabilidades.
3.1. Propagao de Ondas de Rdio Frequncia
Em qualquer ambiente avaliado, os sinais de RF sofrem degradao devido
efeitos atmosfricos. Noentanto, pode-se elencar comoprincipais fatores: interferncia,
absoro, refrao e reflexo [Rodrigues, 2005].
Interferncia Eletromagntica: A interferncia eletromagntica pode ser
originada internamente e/ou externamente ao sistema em que ocorre a
comunicao econsiste em perturbaes eletromagnticas. Ocorre nas redes SF
devido ao rudoadvindo de dispositivos que tambm irradiam RF (ex. telefones
SF, inversores de frequncia, motores de induo etc) [Rodrigues, 2005].
Absoro: Quando o sinal de RF atinge algum tipo de impureza qumica, gua
ou poeira existentes na atmosfera, este sinal convertido em pequenas
quantidades de energia trmica fazendo com que o sinal perca sua intensidade
[Stahlke, 2006].
Refrao: Consiste no desvio quea onda de rdio sofre ao atravessar um meio
de densidade diferente do meio de propagao. Quando uma onda de rdio
atravessa um meio e existam mudanas de temperaturaedensidade (ex. vidro,
parede etc), estas afetam as caractersticas dieltricas e o ndice de refrao do
sinal, acarretando em srios distrbios da direo de propagao de RF [Stahlke,
2006].
Reflexo: Ocorre quando um sinal incide sobre uma superfcie espelhada (ex.
lagos, mares etc). Quando acontece a reflexo, a onda resultante tem a
30
componente eltrica invertida e dependendo do caminho da onda direta e da
onda refletida, pode acarretar no cancelamento do sinal [Stahlke, 2006].
Um erro comum em redes SF consiste em adquirir antenas mais potentes para
que as interferncias no comprometam a rede. A grande maioriadas universidades se
encontram em permetros urbanos ou prximose possibilidade de que o sinal ultrapasse
os limites planejados, podem facilitar que usurios sem autorizao tenham acesso aos
servios da rede e dependendo do conhecimento do usurio ou estrutura da rede
permite, tambm, o acesso a informaes internas, pertinentes somente a instituio.
Atualmente, existem duas formas de avaliar a propagao da RF e mapear o
permetro da rede. A primeira classificadacomo tcnicas empricas que se baseiam em
frmulas simples e fceis de aplicar (ex. Modelo Multi-Wall, modelo ITU, etc.)
[Sanches, 2005]. A segunda, tcnicas determinsticas, consiste na caracterizao da
irradiao baseado na teoria de propagao de ondas (ex. ray-tracing e ray-launching)
[Oliveira, 2003]. No entanto, a medio prtica denominadaSite Survey, tambm pode
ser aplicada com a finalidade de mapear a rede e auxiliar de forma mais rpida e
eficiente organizao dos dispositivos de rede.
3.2. Ambientes Universitrios
Existem atualmente diversos cenrios universitrios propensos a solues SF.
Dentre estas, destacam-se as redes corporativas, pontes entre segmentos de redes,
pontos de acesso (hotsPot) em ambientes com grande concentrao de usurios alm
das redes de pequeno porte.
Redes Corporativas: As redes corporativas so desenvolvidas com o objetivo
de oferecer acesso aos servios atravs de pontos de acesso espalhados pelo
ambiente interno da organizao [Utzig, 2006]. Esta aplicao interessante a
um ambiente universitrio uma vez que AP's podemser conectados ao longo da
rede cabeada e permitir que usurios localizados em reas de difcil acesso
faam uso dos servios da rede guiada.
31
Pontes Sem Fio: As pontes wireless permitem quesegmentos de redecabeadas
sejam unificados atravs de AP's operando como bridge (ver tpico 2.3). As
vantagens da utilizao destas redes esto atreladas a possibilidade de unir
segmentos distintos de uma mesma rede transformando-as em uma nica e
transparente rede aos usurios.
Pontos de Acesso em Ambientes Pblico-Universitrio: Este tipo de aplicao
de redes wireless implementada para oferecer acesso em locais onde a
flexibilidade de controle e autenticao de usurios seja fcil e simples. No
entanto estas redes necessitamde uma ateno quanto ao isolamento e controle
do acesso, uma vez que seus clientes no podem obter acesso, por exemplo, a
servios internosa instituio.
Redes de Pequeno Porte: A aplicao das redes SF em ambientes universitrios
de pequeno porte pode ocorrer em diferentes cenrios WPan, geralmente, com o
objetivo de eliminar os cabos de perifricos em uma rea limitada e pequena (ex.
laboratrios, sala de convenes etc).
3.3. Servios de Redes Sem Fio
Dentre os vrios servios que podem ser disponibilizados aos usurios das redes
SF em uma universidade destacam-se aplicaes de udio e vdeo para vdeo
conferncia alm dos servios web como: E-mail, ftp, Messenger etc.
Servios de udio: A utilizao de aplicativos como Skype, voz por IP VoIP
etc, proporcionam facilidades como conferncias a distncia, telefonia por IP
etc. No entanto, acarretam na necessidade de garantir que a rede tratar o trfego
de forma adequada, priorizando servios de voz sem comprometer os demais
servios da rede[Ganz, 2003].
Servios de Vdeo: Assim como o servio de udio em redes SF, o vdeo
tambm visa proporcionar as mesmas vantagensde video conferncia, inclusive
em relao a necessidade de tratamento especial quanto a prioridades e fluxo dos
pacotes [Rnp, 2006].
32
Servios web: A web pode ser definida como um conjunto de redes distintas que
utilizam certos protocolos comuns e fornecem determinados servios comuns
[Tanembaum, 2003]. Pode-se dizer que o interesse em oferecer acesso servios
web em um ambienteuniversitrio, estaria ligado a necessidade de disponibilizar
servios, que no estejam acessveis a partir da rede interna (intranet) da
instituio, forando a conectividade rede global para acessar aplicativos,
servios e informaes externas (ex. e-mail, messenger, sites corporativos etc).
No entanto, estes serviosnecessitam de um tratamento de controle de acesso j
que nem todo o contedo oferecido pela web do interesse das instituies de
ensino.
3.4. Consideraes Parciais
Atravs de anlise do ambiente universitrio, fica claro que dentre os cuidados a
serem tomados, durante o desenvolvimento de uma infraestrutura SF, est anecessidade
de identificar claramente o local onde a rede ser implementada, e desta forma avaliar
adequadamente as antenas e dispositivos que devem ser utilizados de forma a evitar
interferncias no sinal ou que o mesmo se propague a locais no desejados. Para tanto,
faz-se necessrio um estudo terico (ex. mapas e plantas baixas) e prtico (ex. site
survey), envolvendo o ambiente de implementao e os dispositivos a serem utilizados
observando o comportamento do sinal e as possveis barreiras que venham a
comprometer a comunicao SF.
Durante o desenvolvimento desta etapa do TCC, foi aplicado um questionrio
qualitativo, apndice A, aos professores, servidores e estudantes de diferentes
instituies objetivando traar um perfil dos usurios que freqentam um ambiente
universitrio e assim identificar suas necessidades e auxiliar no desenvolvimento da
proposta de rede a ser apresentada posteriormente. Os entrevistados foram questionados
sobre familiaridade com redes SF, importncia da segurana alm dos possveis
servios ecenrios a serem oferecidos pela rede.
Dos 30 entrevistados, mais da metade conhece ou j utilizou algum tipo de
servio oferecido por redes SF, comprovando que boa parte saberia utilizar os servios
33
disponveis e acreditamque uma infraestrutura de rede SF necessria emambientes
universitrios, entendendo que este processo estaria acompanhando a evoluo
tecnolgica que ocorre diariamente, envolvendo as redes de computadores e as suas
aplicabilidades.
Por ser um ambiente de estudo, pesquisa e busca por informaes os
entrevistados mostraram ter necessidades distintas, caracterizando grupos com
diferentes opinies, embora os servios web, e-mail e messenger, foram apontados
como os necessriosaos usurios destas redes. Alm de question-los sobre os servios
a serem oferecidos e experincia comrede wireless, tambm, foramquestionados sobre
o local onde a rede SF deveria ser implementada. A grande maioriavotounas salas de
aula, caracterizando umambientes W`Lan para a implementao da rede.
Outro fator decisivo para os estudos do projeto e captulo 5 do trabalho, foi que
dos 30 entrevistados, 71,3% acham indispensvel asegurana aplicada nas informaes
que trafegam na rede, e controle de usurios, justificando assim, a realizao de um
prximo estudo abordando os conceitos desegurana emredes SF.
34
4. Segurana emRedes SF
As redes wireless tm sido largamente utilizadas em corporaes e instituies
de ensino para auxiliar as tarefas cotidianas de seus usurios, tendo em vista o aumento
da produtividade e outros benefcios citados durante o captulo 1. No entanto, o
principal desafio para uma maior expanso dessas redes encontra-se na questo da
segurana de suas informaes e usurios, onde os principais desafios podem ser
representados por [Andrade, 2003]:
Autenticao: garantir acesso somente as estaes/usurios autorizados;
Confidencialidade: garantir queosdados capturados no sejam compreendidos;
Integridade: certificar-se que os pacotes recebidos so iguais aos enviados pelo
transmissor.
No entanto, antes de iniciar os estudos aos mecanismos que tratam estes
desafios, faz-se necessrio uma anlise das principais formas de explorar as falhas e
vulnerabilidades, para desta forma avaliar adequadamente os mecanismos oferecidos
paraproteger a rede de formaadequada.
4.1. Principais Tcnicas de Ataques as Redes Sem Fio
Os ataques s redes SF apresentam algumas caractersticas prprias, que as
diferem das redes cabeadas, como por exemplo, a necessidade de que o atacante esteja
dentro do permetro de cobertura da rede durante o ataque e a possibilidade de obter
informaesmesmo sem estar autenticadoa mesma [Duarte, 2003].
Os ataques podem ser divididos em dois grupos, passivos (usurio malicioso no
altera as informaes capturadas) e ativos (ocorre a alterao das informaes
capturadas ou configuraes dos dispositivos acessados), como mostra a figura 10
[Amaral, 2004].
35
Os principais ataques que objetivam explorar as vulnerabilidades da rede podem
ser representados por:
Escuta: O indivduo que ataca a rede deve simplesmente monitorar/escutar
(sneffer) o trfego de rede para obter acesso aos dados que esto sendo enviados
de um ponto a outro da rede [Amaral, 2004] e [Duarte, 2003] .
Anlise do Trfego: Consiste em analisar as informaes obtidas atravs da
escuta e identificar possveis informaes como senhas de acesso, dados etc,
[Duarte, 2003].
Disfarce: Tambm conhecido como roubo de identidade, ocorre quando um
indivduo consegue obter informaes de um cliente, permitindo que ele altere
seus dados e passe por um cliente vlido da WLAN [Farias, 2006] e [Amaral,
2004].
Repetio: Este tipo de ataque consiste na intercepo dos pacotes que trafegam
na rede sendo enviados novamente ao destino, no entanto, com origem trocada,
obtendo informaes relevantes para seu acesso a rede [Amaral, 2004].
Modificao de Mensagem: Igualmente a repetio, os pacotes da rede tambm
so interceptados, no entanto, estes dados sofrem modificaes que visam
proporcionar o acesso a informaes pertinentes a clientes da rede [Amaral,
2004].
Figura 10: Uma classificao para as principais formas de ataque as redes W'Lan [Amaral, 2004].
36
Negao de Servio: Consiste na ao do usurio malicioso de derrubar o
servio dos dispositivos da rede, principalmente sobrecarregando o
processamento desde equipamentos atravs de repetidas requisies [Amaral,
2004] e [Duarte. 2004].
Diversos padres foram desenvolvidos para dificultar e at mesmo eliminar as
vulnerabilidades emredes SF, dentre eles destacam-se os padres WEP, WPA eWPA-
2/802.11i sendo estes listadosa seguir.
4.2. Padro WEP
Devido este ser um dos primeiros protocolos de segurana incorporado as redes
802.11, em 1995, apresenta algumas vulnerabilidades e falhas identificadas, por
exemplo, a chave de criptografia RC4, fazendo com que o protocolo WEP perdesse
quase toda sua credibilidade sendo, preferencialmente, indicado em redes pequenas
onde o valor das informaes no comprometeas aplicaes ou usurios, ou ainda, em
redes com dispositivos antigos compadro 802.11b que no permitam a atualizao
para verses mais atuais e seguras como WPA e WPA-2 [Barcelos, 2003] e [Roshan,
2002].
O padro WEP opera na camada de enlace do modelo RM- OSI e baseado no
mtodo criptogrfico RC4. Faz uso do protocolo CRC-32 (Cyclic Redundancy Check),
para calcular o checksum da mensagem e garantir a integridade dos dados [Linhares,
2005]. Assim, devido anecessidade de solucionar as falhas encontradas no padro, foi
designado ao institudo IEEE elaborar um novo padro que fosse mais robusto e seguro,
este denominado 802.11i.
4.3. Padro 802.11i
Buscando estabelecer uma soluo para segurana em WLAN's, o grupo IEEE
iniciou o desenvolvimento do padro 802.11i atravs do protocolo RSN (Robust
Security Network), dividido em duas partes. A primeira consiste no algoritmo AES
37
(Advanced Encryption Standard) para criptografar o trfego da rede. A segunda no
mtodo de autenticao dos usurios wireless e gerenciamento da chave criptogrfica,
denominado 802.1X, padro de autenticao baseado em portas na rede e possibilitando
a vantagem de unificar as bases de dadosdos usuriosem um nico servidor.
Alm do desenvolvimento dos protocolos AES e 802.1X, foram elaboradas
melhorias aplicadas ao antigo padro WEP. A criptografia chamadade Tkip (Temporal
Key Integrity Protocol), foi desenvolvida e consistebasicamente no aumento da chave
de criptografia RC4 e na alteraoda mesma em intervalos de tempopr-determinados.
4.3.1. Criptografia Tkip
Como apresentado anteriormente, o instituto IEEE atravs do padro 802.11i
realizou algumas modificaes para sanar as deficincias do padro WEP
desenvolvendo assim o protocolo usado na criptografia e gerenciamento de chaves,
permitindo a atualizao de redes baseadas em WEP (ex. 802.11b) [Amaral, 2004].
Assim, pode-se afirmar que ele consiste basicamente em uma funo geradora de chave
de forma a eliminar as vulnerabilidades atravs de: [Linhares, 2005]
i. Mensagem de Checagem de Integridade dos dados denominada Michael-
(MIC);
ii. Mtodo de segurana que cancela a autenticao existente alm de apagar a
chave de criptografia sempre que um ataque for detectado;
iii. Uma funo de mistura/troca de chave por pacote;
iv. Proteo de Reviso.
4.3.2. Criptografia AES
O algortmo AES considerado por profissionais de criptografia o substituto do
DES (Data Encryption Standard), principal protocolo criptogrfico utilizado nas redes
guiadas, solues VPN, banco de dados etc [Amaral, 2004]. O AES apresenta inovaes
referentes a forma e tamanho com que as chaves so criadas podendo originar chaves de
38
128, 192 ou 256bits [NIST, 2001]. Atualmente pode-se considerar o AES como o mais
forte e robusto algoritmo criptogrfico, sendo resistente as tcnicas conhecidas por
anlisecriptogrfica[Amaral, 2004].
4.3.3. Autenticao 802.1X
O mtodo consiste basicamente na autenticao de estaes e usurios baseado
nas informaes obtidas por um cliente NAS (Network Authentification Service). Os
dados obtidos devem ser repassadas ao servidor responsvel pela autenticao dos
usurios., geralmente, opta-se pelos mesmos mecanismos utilizados para autenticao
de usurios remotos, denominado RADIUS (Remote Authentication Dial-In User
Service) [RFC-2865, 2000], embora outras solues tambm possam ser usadas
[Amaral, 2004].
A autenticao basea-se no EAP (Extensible Authentication Protocol),
desenvolvido pelo IETF (Internet Engineering Task Force), com protocolos de
autenticao que incluem EAP-MD5, EAP-TLS, EAP-TTLS, EAP-LEAP, EAP-PEAP,
LDAP etc. O que distingui cada mtodo a forma com que realizam a verificao do
desafio enviado ao servidor e nas informaes contidas no desafio (senhas, logins,
macs, certificados digitais etc.) oferecendo nveis distintos de segurana de acordo com
a necessidade da rede [Karygiannis, 2006] e[Amaral, 2004].
4.4. WPA e WPA-2/802.11i
Por causa de interesses conflitantes no mercado de WLANs, ocorreu um atraso na
homologao do padro IEEE 802.11i. Como resultado, um conjunto de empresas (Wi-
Fi Alliance), desenvolveu uma soluo chamada WPA - (Wi-Fi Protected Access)
[Linhares, 2005].
Dentre as caractersticas deste padro tm-se o fato dos dispositivos que
trabalham com o WPA suportarem o padro WEP alm das melhorias: TKIP e
autenticao baseada no protocolo 802.1X. Posteriormente com o desenvolvimento do
39
padro WPA-2 em 2004, que corresponde ao padro 802.11i, passou a operar, tambm,
com oalgoritmode criptografia AES.
Figura 11: Linha evolutiva dos padres de segurana IEEE e WiFi Alliance.
Atravs da figura 11 percebe-se a cronologia de desenvolvimento dos padres de
segurana. Pode-se concluir que o primeiro padro, efetivo, desenvolvido foi o WEP
adotado pelos grupos IEEE e Wi-Fi Alliance. Aps a identificao das vulnerabilidades
WEP o padro IEEE se esforou para desenvolver o padro 802.11i enquanto o grupo
Wi-fi buscou o desenvolvimento do mesmo atravs de melhorias por etapas lanando os
novos padres, WPA e WPA-2.
4.5. Consideraes Parciais
Aps os estudos realizados neste captulo possvel avaliar que existem diversas
vulnerabilidades nas redes SF, decorrentes de falhas relacionadas tanto na configurao
quanto na fragilidade dos algortimos e dispositivos utilizados para proteo da rede.
Percebe-se tambm, que os ataques a vulnerabilidades consistem em aes ativas ou
passivas, diferenciadas de acordo com o objetivo do atacante e no benefcio proveniente
do ataque.
Tabela 3: PadresWEP, WPA e WPA-2/802.11i.
WEP WPA WPA-2/802.11i
Autenticao Shared Key 802.1x e EAP 802.1x e EAP
Criptografia
(Confiabilidade)
RC4 40 bits TKIP 128 bits AES +TKIP
128/192/256 bits
40
Controle de erro
(Integridade)
CRC-32 MIC CCMP-CBC
Homologado 1999 2003 2004
A tabela 3, mostra as tcnicas adotados por cada padro de segurana em redes
wireless (WEP, WPA e WPA-2/802.11i). Nela, fica clara a superioridade do WPA-2,
devido aos mtodos de autenticao 802.1X, criptografia Tkip considerada mais robusta
e difcil de ser quebrada alm dos mtodos de verificao da integridade dos pacotes
com CBC-AES, tornando o padro mais consistente nasegurana de tais redes. Porm,
sabe-se que a escolha ou opo por determinado padro, est diretamente relacionado ao
nvel de segurana que se deseja aplicar a rede e tambm as necessidades e recursos
oferecidos para a implementao da mesma.
41
5. Proposta de Infraestrutura Sem Fio
Durante esta etapa do trabalho ser apresentada uma proposta de infra-estrutura
de rede SF, baseada nos estudos at ento realizados. Para um melhor entendimento da
proposta, os componentes da rede continuaro sendo divididos em tpicos, avaliando
o resultado dos estudos e elencando a opo que melhor atende o cenrio proposto.
5.1. Padro de Comunicao
Percebe atravs do questionrio realizado, captulo 3, que os blocos e salas de
aula so os cenrios mais propcios para a implementao da infraestrutura, assim,
destaca-se os padres da famlia IEEE 802.11 como os mais adequadas a estes
ambientes, WLAN's. Dentre estes possvel, ainda, avaliar como padro que apresenta
melhor aplicabilidade para o cenrio o padro 802.11g, devido a caractersticas como
ser o mais dissiminado e utilizado atualmente por redes e equipamentos SF, alm de
oferecer taxas de transferncia de 54 ou 108Mbps em equipamentos proprietrios e
fazer uso da frequncia livre de 2,4Ghz.
5.2. Topologia
As opes avaliadas nesta etapa foram: Ad-Hoc, Mesh e Infraestruturado. A
topologia Ad-Hoc foi descartada por no atender cenrios W`Lan. A topologia Mesh foi
descarta devido a sua limitao ao padro 802.11s, no sendocompatvel com o padro
802.11g. J a topologiainfraestruturado se mostroucompatvel ao cenrio W`Lan alm
de suportar o padro 802.11g. Outra vantagem observada no modo infraestruturado
consiste na possibilidade de adicionar um AP em qualquer ponto da instituio
universitria, desde que o AP esteja conectado, por cabo, a rede interna da mesma.
42
5.3. Dispositivos de Ponto de Acesso e Antenas
Quanto a configurao dos AP`s recomendado o modo router, devido a
possibilidade de segmentar asredesSF e cabeadade modo a isolar as duas redes. Pode-
se entender como uma medida de segurana j que desta maneira se torna possvel
realizar o controle dos servios disponveis para cada rede bem como as necessidades
dos usurios de cada segmento.
Comrelao as antenas, constatou-se que o mais aconselhvel realizar testes e
observaes (Ray-Tracing, Ray-Launching, Site Survey etc), a fim de avaliar o
comportamento do sinal no ambiente real de implementao, definindo assim questes
como localizao, ganho, potncia e diagrama de elevao a serem utilizados.
5.4. Cenrios e Necessidades Universitrias
Foram identificados atravs dos estudos, captulo 3, que existem barreiras
comuns em ambientes universitrios. Efeitos atmosfricos, paredes que tendem a ser
mais grossas em instituies de ensino para isolar a classe do barulho externo, rudos
ocasionados por diversos equipamentos tais como: telefones SF, forno microondas,
conversores e inversores de frequncia ou qualquer rede eltricas prximas a rede SF
podem ser classificados comodesafios comunsaos ambientes universitrios. Outro fator
a ser observado na implementao de uma rede SF encontra-se no fato de, geralmente,
as universidades se localirazar emprximos a permetros urbanos acarretando em reas
crticas ao longo do permetro em que o sinal propagado.
Nesta etapa tambm observou a necessidade de segmentar a rede SF de acordo
com o perfil de seus usurios, definindo grupos e regras de acesso de acordo com a
necessidade de cada perfil. Destaca-se como resultado do questionrio os servios de
internet, e-mail e messengers como os mais utilizados pelos usurios e como possveis
servios da rede.
43
5.5. Segurana
Todos os padres avaliados WEP, WPA e WPA-2/802.11i podem ser adotados ou
aplicados em uma infra-estrutura SF, cada um apresentando nveis e mecanismos
distintos de segurana e necessidade de aplicativos adicionais objetivando aumentar
ainda mais a segurana nas redes com segmentos SF. Considerando este projeto uma
proposta de infraestrutura, indica-se o uso do padro WPA-2/802.11i considerado mais
seguro dos padres avaliados. A autenticao baseada no protocolo 802.1X com
servidor do tipo RADIUS alm de criptografia Tkip e AES oferecem mais segurana a
rede quando comparado aos demais. No entanto estas configuraes de rede tendema
sofrer alteraes para melhor atender as necessidades de cada instituio e/ou
equipamento.
5.6. Infraestrutura Ideal
Com base nas concluses apresentadas ao longo deste captulo, pode-se propor
como cenrio ideal, ainfra-estruturacompadro IEEE 802.11g para comunicao SF,
atendendo reas locais (WLAN Salas de Aula). Possuir segmentao da rede SF em
grupos distintos de acesso, baseada no perfil dos usurios, oferecendo os servios
identificados como essenciais: browser, e-mail emessengers.
As permisses de acesso aos servios web, citadas anteriormente, so realizadas
por regras de firewall, existindo inmeras solues gratuitas e proprietrias a oferecer
este servio: IPFirewall [ipfw, 2009], IPTables [netfilter, 2009]. A autenticao dos
usurios, segundo o padro WPA-2/802.11inecessidade de um servidor de autenticao
baseado no protocolo 802.1X . Dentre as possveis solues destaca-se autilizao de
softwares, algumas vezes em conjunto com hardware, denominadas Appliance, como
meio mais prtico de realizar e gerenciar a autenticao dos usurios. Pode-se citar as
solues proprietrias Mikrotik [Mikrotik, 2009], CentOS [CentOS, 2009], StarOS
[StarOS, 2009] etc, como possveis alternativas de solues, ou ainda, a possibilidade
de utilizar sistemas gratuitos como FreeRadius [FreeRadius, 2009], OpenRadius
[OpenRadius, 2009] etc, com o auxlio de ferramentas de consulta (ex. Mysql, Oracle,
44
Ldap etc), obtendo resultados prximos ou ainda melhores que os oferecidos pelos
Appliences, proprietrios, citados anteriormente.
Figura 12: Topologia ideal,com o padro IEEE 802.11i, VLANe centralizador (gateway).
Para gerenciar os diferentes grupos de acesso identificados no campus, destaca-
se a utilizao de um switch que realiza a segmentao do fluxo de dados atravs das
redes virtuais VLAN, compadro 802.1q configurado no dispositivo switch [802.1q.
2006]. Esta soluo acrescenta escalabilidade rede, pois permite atender quantos
perfis/grupos de acesso forem identificados, atravs de apenas um gateway de rede SF.
No entanto, para realizar a comunicao adequadamente, dentreos dispositivos que se
encontram em redes distintas e soluo de VLANs 802.1q, fez-se necessrio acrescentar
um dispositivo que atue na camada de rede tendo uma interface em cada rede LAN, em
nosso exemplo, figura 12, o roteador. Como ultimo ponto a ser atendido pela
infraestrutura destaca-se a base de dados, centralizada, que permita o cadastro e consulta
das informaes pelo sistema autenticador, RADIUS, de forma a armazenar as contas
para quantos clientes forem identificados.
45
6. Validao da Infraestrutura
Neste captulo apresentadaa topologia e ferramentas utilizadas para validar a
infraestrutura ideal, proposta durante o captulo anterior. Devido a caractersticas e
limitaes encontradas nos dispositivos cedidos pelo campus, como: nmero de
interface de rede, padres suportados e numero de AP`s, a proposta tende a sofre
alteraes, no entanto, a validao tem por objetivo atender todas as necessidades
identificadasno cenrio universitrio.
Inicialmente so especificados os componentes de software, responsveis pela
realizao dos servios de RADIUS, BD e Firewall. Em seguida so avaliados os
componentes fsicos disponibilizados pela instituio para a realizao do mesmo. Para
finalizar o captulo, apresentada uma abordagem ilustrativa da topologia e testes
aplicados a rede, bem comoasvulnerabilidadese soluesidentificadas.
6.1. Softwares Complementares
Durante a etapa de validao, buscou-se inmeras alternativas para reduzir o
custo de implementao e alocar adequadamente os servios no dispositivo de gateway
da rede SF. A alternativa encontrada consiste na utilizao de uma ferramenta de
virtualizaoparadesta forma, eliminar oscustos com aquisio de mquinase facilitar
a manuteno e gerenciamento da rede, uma vez que, cada servio (Firewall, Radius e
BD), podemser implementado em servidores distintos oferecendo apenas os recursos
necessrios para o seu funcionamento, localizados fisicamente em um nico
equipamento, no caso destaproposta, o gateway.
6.1.1. Virtualizao
Foram testadas e avaliadastrs soluesobjetivandoidentificar a ferramentaque
melhor se adqua as necessidades do projeto. As trs ferramentas avaliadas foram
identificadas por meio de pesquisa web e consistem em: VMWare Server v. 1.0.7
[VMWare, 2009], Virtual Box Open Source Edition v. 2.06 [VirtualBox, 2009] e Virtual
PC 2004 [VirtualPC, 2009]. Os aplicativos VMWare e Virtual Box foram testados em
46
plataformaUbuntu 8.04 enquanto o Virtual PC 2004 em host Windows XP. A tabela 4,
prxima pgina, foi elaborada para facilitar a visualizao dos itens avaliados e
considerados importantes para a escolha da ferramenta que deve virtualizar os servios
de gateway.
Tabela 4: Quadro comparativo das ferramentas para virtualizao dos servios de rede.
Dentre as desvantagens, observada no software Virtual PC, destaca-se a
limitao de operar somente com sistemas host Windows, implicando em custos
adicionais a implementao, assim, a soluo foi descartada. O aplicativo Virtual Box
apresenta a limitao de acesso remoto que pode ser utilizada apenas nas verses pagas
da Sun, impossibilitando uma maior comodidade no gerenciamento da rede distncia.
Em contra partida, o software VMWare apresentatodas as vantagens no identificadas
nos demais sistemas, e ainda, ser o nico quepermite a configurao das mquinas
guest - aps a criao da mquina virtual, (ex. realocar espao de HD, RAN, suporte a
USB entre outros). Como identificado a opo mais apropriada, dentre as solues
avaliadas, o sistema VMWare Server v. 1.0.7.
6.1.2. Firewall
Entre os aplicativos avaliados, priorizou-se os sistemas gratuitos e suportados
por plataformas, tambm, gratuitasvisando diminuir os custos de implementao. Outro
fator avaliadona escolhada ferramentafoi asuaconfigurao via web, proporcionando
uma maior praticidade no gerenciamento do software.
47
Buscou-se, tambm, sistemas que possuam as funcionalidades pertinentes aoum
firewall (filtro de pacote, protocolo etc.), para controlar o acesso aos servios
disponveis na rede e o servio de Captive Portal, para gerencia a autenticao dos
clientes, j incluso no aplicativo. O objetivo foi facilitar o processo de aquisio dos
dados de login, sem a necessidade de instalar softwares adicionais para este processo
(ex. WiFiDog, AirMarshal, ChilliSpot, Summit etc.). Os servios deQoS, e tunelamento
VPN foram considerados relevantes objetivando oferecer futuras melhorias a rede, tais
como a disponibilizao de servios como VoIP, aumento de segurana etc.
Tabela 5: Quadro comparativo das ferramentas de firewall avaliadas.
O estudo realizado resultou na tabela 5, acima, e identificou-se que o firewall
PFSense foi o que melhor atendeu as necessidades do projeto, incluindo os servios
bsicos de firewall (filtros pacote/protocolo), sendoo nico a prover o servio de portal
de captura incluso ao software. No entanto, o servio captive portal apresentou uma
limitao a validao da infraestrutura. Refere-se ao fato do servio aceitar requisies
de acesso, somente, de clientes com endereo IP da mesma rede da interface a qual est
gerenciando. Estaslimitaesforamsolucionadasatravsdos conceitos de roteamento e
sub-rede, e sero discutidas mais a fundo durante o tpico 6.3.
6.1.3. Servidor RADIUS
Seguindo a necessidade de autenticar usurios atravs do protocolo 802.1X,
foram avaliados as solues Rad Series Radius [RadSeries, 2009] eSteel Belted Radius
[SteelBelted, 2009], ambos descartados por serem proprietrios e envolver custos
P
r
o
p
r
i
e
t

r
i
o
C
a
t
e
g
o
r
i
a
No Sim Sim Sim Sim Software
Linux No No Sim No No Software
No No Sim No Sim Software
No No Sim No Sim Software
Linux No Sim Sim No No Software
Linux No Sim Sim No Sim Software
S
i
s
t
e
m
a
O
p
e
r
a
c
i
o
n
a
l
F
r
o
n
t
e
n
d

v
i
a

W
e
b
F
i
l
t
r
o
P
a
c
o
t
e

e
/
o
u
A
p
l
i
c
a

o
P
o
r
t
a
l

d
e

C
a
p
t
u
r
a
Q
o
S
/
V
P
N
PFSense FreeBSD
IPTabl es
IPFw FreeBSD
IPFi l ter FreeBSD
IPCop
Untugl e
48
adicionais a implementao. Tambm foi avaliado o aplicativo no proprietrio
FreeRadius v.2.1.4 [FreeRadius, 2009], uma ferramenta open source que por meio de
pesquisas, mostrou-se amplamente usado para disponibilizar acesso a rede SF atravs
dos servios de autenticao, autorizao e contabilizao dos usurios da rede
[FreeRadius, 2009].
O FreeRadius diferencia-se dos demais sistemas por operar em diferentes
plataformas gratuitas como: Linux, FreeBSD, OpenBSD, OSF/Unix e Solaris alm do
S.O. proprietrio Windows. Oferece inmeros mtodos de autenticao como: Eap,
Chap, Ms-Chap, Ldap etc, controle de conexes simultneas e requisies a banco de
dados remoto. Outra qualidade foi observada na segurana da comunicao entre
servidores externos, atravs de criptografia TLS (Transport Layer Security) [RFC 4346,
2006] e SASL (Simple Authentication and Security Layer) [RFC 4422, 2006]. Estas
caractersticas levaram a escolha do software FreeRadius como servidor RADIUS usado
na validao da rede universitria. As configuraes realizadas neste servidor referem-
se a comunicao com o cliente NAS, mquina que requisita a autenticao a rede,
apndice D, e a ativao do modulo Ldap como base de dados, apndice C.
6.1.4. OpenLdap
Um dos principais desafios encontrados na implementao de redes SF em
ambientes universitrios consiste no fato de existir um grande fluxo de clientes,
dificultando o controle e centralizao das informaes pertinentes a cada usurio.
Buscando uma alternativa para solucionar esta dificuldade, optou-se por autenticar
usurios atravs do servio de diretrio baseado no protocolo Ldap [RFC2251, 1997].
Com este protocolo, torna-se possvel o cadastro das informaes dos usurios em uma
rvore de dados unificada, possibilitando que as mesmas informaes sejam usadas
facilmente em inmeros servios da instituio, como: e-mail, login em S.O, logins em
rede SF etc.
Por meio de pesquisa web encontrou-se o software OpenLdap, de cdigo aberto,
baseado no padro mais antigo do protocolo Ldap X.500 [RFC1487, 19993]. Como
principais caractersticas atribudas ao servidor tm-se:
49
Cadastrar usurios atravs da arquitetura baseada em rvores;
Procurar por entradas ou recuperar dados nos diretrios (Ns);
Comunicao com a TLS;
Forte movimento de documentao e desenvolvimento por partes pblicas.
Tambm foi utilizado o software PHPLdapAdmin, objetivando facilitar a
manipulao da base de dados. A ferramenta permite uma maior facilidade na
visualizao e gerenciamento da base de dados, uma vez que sua manipulao ocorre
viafrontend web. Os dados cadastrados na base Ldap, durante a validao, referem-se
s VLANs Professor e Aluno, usadas como teste, alm de dois usurios fictcios em cada
VLAN, podendoser visualizados atravs dosapndicesE e F.
Figura 13: Servios virtualizados atravs da ferramenta VMWare Server.
A figura acima representa os componentes auxiliares utilizados na etapa de
validao da infraestrutura proposta no captulo 5. Como citado anteriormente, a
virtualizao foi utilizada para alocar os servios pertinentes ao gateway da rede SF em
um nico dispositivo fsico. Para realizar o controle do acesso aos servios da rede
optou-se pelo sistema PFSense, a autenticao dos usurios realizada atravs do
servidor FreeRadius. Como base de dados, unificada, para o cadastro das informaes
de acesso de cada usurio, foi utilizado o servidor Ldap.
50
6.2. Componentes fsicos
Os dispositivos utilizados para validar a rede foram cedidospelo CCT UDESC
e constituem o total de seis equipamentos, sendo: dois roteadores Cisco 2600, AP
Linksys WRT54G, switch Cisco SRW2024, computador Pentium 4, 2.8GHz de
processador usado como gateway e computador Celeron 2.5GHz de processador
equipado com placa de rede SF, esteusado como cliente teste. Tambm foi utilizado um
notebook adicional, de propriedade pessoal, como um segundo cliente auxiliando na
execuo dos testes. Abaixo, pode-se perceber as caractersticas de cada componente da
rede validada.
6.2.1. Ponto de Acesso
Foi disponibilizado um dispositivo Linksys WRT54G (Wireless-G Broadband
Router), fabricadopela Cisco, caracterizadopor [Linksys, 2009]:
4 portas RJ 45 10/100 Mbit/s e 1 porta RJ 45 10 Mbit/s;
Conectividade IEEE 802.11g;
Taxas de transferncia de 54 Mbps;
Suporte a criptografia TKIP e AES;
2 antenas (2,4 GHz ).
As configuraes aplicadas a estes equipamentos limitam-se ao padro IEEE
802.11g para comunicao com cliente e utilizao de criptografia WPA-2 TKIP. Nos
AP`s destinados a VLAN professor, foi habilitado o filtro por endereos MAC, de forma
a garantir um nvel extra na restrio de acesso aos servios pertinentes ao perfil
professor.
51
6.2.2. Switch
O equipamento consiste em um Switch Cisco SRW2024 e oferece como
caractersticas relevantes ao trabalho as apresentadas a seguir [Cisco, 2009].
24 portas Eth 10/100;
Suporte aVLANs
Durante o captulo 3, estudos mostraram que uma universidade caracteriza-se
por possuir diferentes grupos de usurios, classificados por suas necessidades de acesso
e servio. Baseado nestas caractersticas, o switch foi agregado infraestrutura por
oferecer suporte a redes locais virtuais VLANs criadas com o objetivo de
proporcionar a segmentao dofluxo de dados para diferentes grupos de usurios. Outro
fator importante refere-se facilidade em adicionar novos AP`s a rede, caso a mesma
necessite ser expandida.
Para validao deste projeto foramutilizados, como exemplo, dois perfis de
usurios: professor e aluno. O objetivo consiste emdemonstrar as possveis formas de
tratar as permisses de acesso e diferenciar os canais de comunicao de acordo com
cada perfil. Assim, as configuraes do dispositivo referem-se criao de duas VLANs,
apenas no sentido de atribuir portas do switch a um segmento de broadcast. Opadro de
VLANs 802.1q com truncking e tags, no foi aplicado, uma vez que o equipamento
roteador disponibilizado no suporta tal padro. O reflexo desta vulnerabilidade acarreta
na necessidade de uma interface conectada ao roteador para cada grupo VLAN
identificado. Para a infra-estrutura validada foram organizadas as portas da seguinte
forma: 5,6,7 e 8 a VLAN Professor e 17,18,19 e 20 para a VLAN Aluno.
6.2.3. Roteador
Conforme identificado anteriormente, a limitao observada no equipamento de
roteador cedido para a validao reflete ao fato do dispositivo no possuir suporte ao
padro 802.1q, acarretando na necessidade de dedicar uma interface do switch para cada
grupo de acesso identificado. Para rotear os dados das VLANs professor e aluno at a
52
interface do Captive Portal foram necessrios 3 interfaces de rede. Assim, foram
disponibilizados dois roteadores Cisco 2600 com as seguintes caractersticas relevantes
ao trabalho [Cisco, 2009]:
2 interfaces eth;
1 interface serial;
As configuraes realizadas nestes dispositivos referem-se apenas as tabelas de
roteamento, de forma a direcionar os dados das VLANs at a interface Captive Portal do
servidor FPSense, sendo melhor avaliadas no tpico 6.3, deste captulo.
6.2.4. Computadores Gateway e Cliente
Foram disponibilizados dois computadores: Pentium 4, utilizado para operar
como gateway da infra-estrutura e uma segunda mquina Celeron equipada com placa
de rede SF, utilizada para simular o acesso dos clientes finais a rede. Abaixo so
listadas as caractersticas dos mesmos:
Gateway:
S.O. Ubuntu 8.0.4;
2.8GHz de Processamento
2MB Ran e 60 GB HD;
3 placas eth .
Cliente:
S.O. Ubuntu 8.0.4;
2.5 GHz de Processamento
512MB Rane 40 GB HD;
2 placas eth e 1 placa SF.
53
As configuraes aplicadas ao dispositivo Pentium 4 so pertinentes as
funcionalidades do gateway, ou seja, alocar os servidores virtuais: PFSense, FreeRadius
e Ldap, conforme discutido nos tpicos anteriores. No dispositivo Celeron no foram
realizadas configuraes adicionais, apenas a inseroda chave Tkip a placa de rede SF
para que o mesmopudesse se conectar ao AP e obter autenticao rede.
6.3. Topologia da Rede
Com o objetivo de facilitar a visualizao da infra-estrutura validada, bem como
a organizao de endereamento IP, foi elaborada a figura 14. Nela, percebe-se o
dispositivo de gateway a disponibilizar trs servidores virtuais: Ldap, FreeRadius e
PFSense, estes conectados a rede interna, Udesc, atravs do endereo de rede
192.168.0.0/24. A interface Lan localizada no servidor PFSense conecta-se as VLANs
atravs dos roteadores router1 e router2 configurados com tabelas de roteamento, figura
14, de forma a encaminhar todo o trfego das VLANs aluno e professor, destinadoa rede
externa, at a interface Lan do servidor PFSense, uma vez que este servio captive
portal pode ser habilitado para apenas uma interface de rede. O switch foi agregado
topologia e configurado de forma a disponibilizar quatro portas para cada VLAN.
54
Figura 14: Configuraes e endereamento da rede.
Outro ponto relevante a ser observado na figura acima consiste na aplicao do
conceito de sub-rede com IP`s demscara /26 [Sub-Rede, 1999]. Os clientes localizados
nas VLANs recebem endereamento IP atravs do servio de DHCP habilitado junto a
cada AP. A faixa de endereamento distribuda utiliza endereos de sub-rede da
interface Lan do servidor PFSense. Desta forma, possvel solucionar a segunda
limitao apresentada peloservio de captive portal que, por default, aceita requisies
apenas de endereos IP`s da mesma interface a qual est gerenciando, em nosso caso, a
interface Lan 192.168.10.0/24.
Dentre os desafios destacados durante a apresentao da proposta ideal a ser
validada, buscou-se garantir o acesso restrito as VLANs, ou seja, permitir que os
usurios acessem apenas a rede a qual seu perfil pertence. Para isto foram aplicadostrs
nveis de segurana, destacados na figura 15, prxima pgina.
55
Figura 15: Topologia lgica validada e os Nveis de controle de acesso a rede.
A posse da chave Tkip consiste no primeiro nvel de segurana, e determina em
quais pontos de acesso o usurio pode se conectar, portanto, a que perfil ele deve
pertencer. O segundo nvel, consiste no filtro de endereo MAC habilitado somentenos
AP's designados a V'Lan professor. Este mtodo, assim como a chave Tkip, oferece
pouca segurana, pois descobrir as chaves ou obter endereos MAC's na rede SF e
alterar a prpria configurao so operaes fceis de serem realizadas. Outra questo a
ser observada consiste na quantidade de endereos que o AP capaz de filtrar de modo
a no afetar a escalabilidade da rede.
Como ltimo nvel de segurana, destaca-seo desenvolvimento de uma soluo
aplicado ao servio de Captive Portal, objetivando identificar o endereo da rede em
que o usurio est conectado. Assim, com base nas informaes de login: username,
password e IP da rede, torna-se possvel determinar se o usurio possui acesso aos
servios destinados a determinado perfil/VLAN. A soluo mais adequada para este
cenrio consiste criar um atributo (endereo de rede) s informaes enviadas ao
servidor de autenticao FreeRadiuse, consequentemente, conta do usurio no Ldap.
No entanto, asoluo adotadana validao, consiste em concatenar o endereo
de rede ao username fornecido pelo usurio. Este mtodo implica na necessidade de
cadastrar, no servidor Ldap, uma conta para cada rede a qual o cliente possui o direito
56
de acesso, alm de cadastrar o username concatenado ao endereo de rede para cada
usurio da rede SF.
6.4. Autenticao a rede
Como avaliado anteriormente, pode-se representar o processo de autenticao
por sete passos, sendo caracterizados atravs da figura 16, abaixo.
Figura 16: Etapas da autenticao a rede SF.
1. AP verificao MAC do requisitante e pede a chave Tkip;
2. Usurio fornece a chave Tkip;
3. Se a chave estiver correta, o usurio recebe IP e se conecta ao AP;
4. Tentativa de acesso a um servio de rede, ex. web;
5. O PFSense, com o auxilio do Captive Portal, requisita os dados de
Login;
6. Usurio fornece username e password e no PFSense ocorre a
concatenao username+iprede;
57
7. O PFsense encaminha os dados at o FreeRadius que utiliza o mdulo
Ldap para requisitar os servios do servidor Ldap e caso os dados
estejam corretos o usurio recebe a permisso de acesso.
Para facilitar a compreenso, na figura 17, demonstrado um exemplo de
autenticao onde o usurio mauricio, atravs da pgina default do Captive Portal
fornece seus dados de login (Username e Password). Abaixo, tambm possvel
observar a concatenao do atributo username com e IP da rede (
mauricio192.168.10.64), realizada no servidor PFSense.
Figura 17: Pgina de logindefault CaptivePortal, status do servio de captura e base Ldap.
Outro fator interessante a ser observado na figura 17, so os grupos alunos e
professores criados no servidor Ldap, visualizados atravs da ferramenta
PHPLdapAdmin. Os clientes foram cadastrados em grupos, professor e aluno, onde o
nome de acesso consiste no username concatenado com o endereo de rede a qual o
usurio poder obter acesso, exemplo o grupo ou=Professor com o cliente
mauricio192.168.10.64.
58
6.5. Vulnerabilidades
Ao longo da validao da infraestruturarealizaram-se vrios testes objetivando
identificar possveis vulnerabilidades na rede. Foram utilizadas duas ferramentas
auxiliares: o sistema Mozilla Firefox v. 3.0.10 para realizar autenticao e prover acesso
aos servios web e o software Wireshark v.1.0.7 que funcionou como ferramenta de
captura de pacotes - sniffer.
Em um dos testes, foi identificado uma vulnerabilidade que ocorria durante a
autenticao dos usurios, figura 18. Observou-se nos pacotes capturados que a troca
dos dados envolvendo os usurios (ex. 10.1.11.99) e o servio de Captive Portal
(10.1.11.1) ocorria em texto claro, possibilitando a captura dos dados username e
password, permitindo que os mesmos sejam utilizados posteriormente no acesso
indevido rede[Farias, 2006].
Figura 18: Pacote capturado atravs da ferramenta Wireshark.
A soluo para esta vulnerabilidade foi obtida atravs da opo disponvel no
prprioPFSense, que permite reforar a segurana nacomunicao habilitando a funo
https - RFC 2818, uma implementao do protocolo http que aplica uma camada
criptografada com certificado SSL ou TLS nas informaes de logon impedindo a leitura
dos mesmos quando capturados. A figura 19, na prxima pgina, apresenta a
configurao feita no servidor PFSense, habilitando os certificados para uso do
protocolo https.
59
Figura 19: Frontendweb do captive portal - habilitao https.
Outra vulnerabilidade foi identificada atravs dos testes aplicados a
infraestrutura, consiste na configurao do prprio Captive Portal que por default
realiza o filtro dos clientes autenticados atravs do endereo MAC. Os testes mostraram
que toda a mquina que estiver atrs de umroteador podeacessar os servios da rede
aps um nico usurio realizar a autenticao, esta vulnerabilidade ocorre devido o
captive portal autenticar o MAC da interface do roteador, autenticando o roteador e no
o cliente. Este mtodo deve ser desabilitado para a infraestrutura aqui apresentada pelo
fato da topologia utilizar um roteador para gerenciar as rotas das V`Lans.
60
7. Concluso
O motivo do desenvolvolvimento deuma proposta de redes SF para ambientes
universitrios foi observar as caractersticas dispostas nestecenrio e emseus usurios,
de forma a compreender e atender suas necessidades. Inicialmente, buscoufamiliarizar-
se com as redesatravs de umestudo dos principais conceitos pertinentes as redes SF, e
posteriormente iniciar a avaliao do ambientee solues.
Pode-se identificar como implementao ideal a validada atravs da
infraestrutura a segmentao da rede SF, a fim de atender os diferentes grupos de
usurios. Possibilitar que dispositivos switch sejam acrescentados topologia
objetivando facilitar a adio de novos AP's e auxiliar na segmentao dos grupos de
usurios, tendo as redes virtuais (VLANs) como melhor soluo. Utilizao do padro
WPA-2/802.11i na segurana atravs de AP`s para comunicao e autenticao por
RADIUS. Oferecer uma base de dados centralizada, atravs do servio Ldap, que
permita o cadastro e consulta em um nico sistema efinalizando a segurana, o sistema
deve restringir o acesso dos servios aos usurios, atravs de firewall, representado na
validao pelo sistemaPFSense.
Pode-se citar as tarefas de traar o perfil dos usurios e organiz-los em grupos
de forma adequada, as atividades que exigirammaior esforo e tempo na busca por
solues. Destaca-se as alternativas apresentadas ao longo deste trabalho como o
servidor Ldap para atender o grande fluxo de clientes sem afetar a escalabilidade e
gerenciamento da rede, desenvolvido da topologia segmentada emV Lan que permitiua
distino de diferentes grupos ou perfis de usurios. Buscou-se, tambm, reduzir os
custos com a implementao onde alm da preferncia por aplicativos gratuitos
destacou-se a virtualizao deservidores, como: RADIUS, PFSense e Ldap atravs da
ferramenta VMWare, que eliminou a necessidade da aquisio de mquinas fsicas para
a realizao dos mesmos. Outra soluo importante apresentada na proposta e
posteriormente desenvolvida na validao foi o controle dos servios oferecidos a cada
grupo/perfil de usurio atravs das regras de firewall e o desenvolvimento da uma
funo em php, para auxiliar no controle restrito as V`Lans concatenando os parmetros
username e endereo de rede.
61
Observou-se, tambm, que os esforos realizados na etapa de validao da
infraestrutura buscaram, principalmente, oferecer: segurana e escalabilidade a
autenticao dos clientes, sem avaliar o comportamento e qualidade do sinal ao longo
do possvel permetro da rede. Assim prope-se como estudos futuros, o estudo mais
profundorelacionado propagaodo sinal ao longo dos ambientes universitrio. Outro
fator a ser estudado e aprimorado, encontra-se na utilizao de parmetros adicionais
(IP de rede, endereo MAC etc) como dados necessrios para autenticao, de forma
que estes dados sejam passados como parmetros ao FreeRadius e Ldap, e no atravs
daconcatenao com username dos clientes, e desta forma, eliminar as mltiplas contas
de acesso para um mesmo usurio.
Assim, faz-se necessrio a continuao destes estudos, no sentido de
disponibilizar alm de segurana, um sinal com qualidade que nocomprometao limite
da redeou tornea mesma vulnervel. Deseja-se ento, que este trabalho se torne fonte
parafuturas pesquisas e melhorias emredes SF aplicadas asinstituies universitrias.
62
REFERNCIAS BIBLIOGRFICAS
Aboba, B., Calhoun, P. RADIUS (Remote Authentication Dial In User Service) Support
For Extensible Authentication Protocol (EAP). 2003. IETF Request for Coments 3579.
Almeida, Edson P. de. Um Fim na Baguna dos Cabos: As redes locais sem fio do
mobilidade ao usurio e permitem evitar os incmodos do cabeamento. Info Exame
- Especial Guia de Redes 2002. So Paulo - SP. Pag. 18 21.
Andrade, L. et al. Anlise das vulnerabilidades de segurana existentes nas redes
locais sem fio: um estudo de caso do projeto wlaca. 2003. Disponvel em:
<http://www.cci.unama.br/margalho/artigos/wlaca.pdf>. Acesso em: 29 out. 2007.
Angelo, Ludmila Aparecida.; Barbosa, Victor Antnio Mendona. Redes Wireless -
Conceitos, Projetos e Especficaes. 2003. 94 f. Tese (Dissertao E. Computao) -
Escola de Engenharia Eltrica e de Computao - Universidade Federal de Gois,
Goiania. 2003.
Amaral, Bruno Marques.; Maestrelli, Marita.Bonatto, Aurlio.; Canto, Diego Oliveira
do. Bluetooth technology (802.15): Bluetooth. 2007.
Amaral, Bruno Marques.; Maestrelli, Marita.Bonatto, Aurlio.; Canto, Diego Oliveira
do. Segurana em Redes Wireless 802.11. CBPF-NT-002/04. 2004.
Barcelos, Joo P. M. e Gonalves, Raphael Guimares e Nilton Alves Jr. O Padro
802.11. CBPF-NT-003/03. 2003.
Breuel, Cristiano Malanga. Redes em malha sem fios. 2004. Artigo defendido a
Universidade de So Paulo, So Paulo, dezembro de 2004. Disponvel em:
<http://grenoble.ime.usp.br/movel/Wireless_Mesh_Networks.pdf>. Acesso em: 22 mar.
2007.
Bulhman, Haroldo J os.; Cabiana, Luz Antnio. LAN / MAN Wireless: Padres
802.11 a, b e g. 2006. Disponvel em:
<http://www.teleco.com.br/tutoriais/tutorialrwlanman1/pagina_3.asp>. Acesso em: 15
out. 2007.
Carvalho, Leandro Ouriques M. de.; Cunha, Pablo Salino. Seminrio e Redes de
Computadores II, 802.15.4 e ZigBee. 2004.
CentOS. The Community Enterprise Operating System. Disponvel
em:<http://www.centos.org/>. Acesso em 25 jul. de 2009.
Choc, Ted.; Diamond, Tracey.; Holder, Maleika C.; Palekar, Mahesh. Wireless
Network Security The 802.11i Solutio. 2005. Disponvel em:
63
<http://www.cc.gatech.edu/classes/AY2005/cs4235_fall/presentations/WirelessSecPres.
pdf>Acesso em: 13 set. 2007.
Conceio, Arlindo Flvio. Voz e vdeo sobre redes sem Fio IEEE 802.11. 2006. 133
f. Tese (Doutorado em C. Computao) Institudo de Matemtica e Estatstica
Universidade Federal de So Paulo, So Paulo. 2006.
Duarte, L.O. Anlise de Vulnerabilidades e Ataques Inerentes a Redes Sem Fio
802.11x. 2003. 55 f. Tese (Monografia B. C. Computao) - So J os do Rio Preto, SP.
UNESP / IBILCE. 2003.
Emiter Technologies. Glossrio Tcnico. Disponvel em:
<http://www.emiter.com.br/paginas/glossario_o.asp>. Acesso em: 28 out. 2007.
Farias, Paulo Csar Bento. Redes Wireless - Partes 2, 9, 12, 13, 21 e 34 . 2006.
Disponvel em:<http://www.juliobattisti.com.br/tutoriais/paulocfarias/redeswireless003.
asp>. Acesso em: 19 set. 2007.
Ferreira, Pollyana do Amaral. Redes Sem Fio. I Workshop do POP-MG em
Administrao em redes. 2004.
Ganz, A. Z. G. K. W. Multimedia Wireless Networks: Technologies, Standards, and
QoS. Prentice Hall PTR. 2003.
Geier, J im. 802.11 Alphabet Soup. 2003. Disponvel em:
<http://www.wifiplanet.com/tutorials/article.php/10724_1439551_1>. Acesso em: 13
set. 2007.
Gimenes, Eder Coral. Segurana em Redes Wireless. 2005. Disponvel em:
<http://www.apostilando.com/download.php?cod=2129&categoria=Redes>. Acesso
em: 29 out. 2007.
GIMENES, Eder Coral. Segurana de Redes Wireless. 2005. 58 f. Tese (Monografia
em C. Computao) - Mau, SP- FATEC. 2005
Grnewald, Marcus Albert. Redes sem fio - Tecnologia, Segurana e Usabilidade.
2005. 103 f. Tese (Ps-graduao Lato Sensu em Gesto de Tecnologia da Informao)
Centro de Ps-Graduao - Faculdade de Informtica e Administrao Paulista, So
Paulo. 2005.
IEEE. Institute of Electrical and Electronic Engineers (Brasil). 2007. Disponvel em:
<Ahttp://www.ieee.org.br/conselho/organiza.htm>. Acesso em: 4 mar. 2007.
IEEEb. Institute of Electrical and Electronic Engineers (Oficial). 2007. Disponvel
em: <http://ieeexplore.ieee.org>. Acesso em: 05 mar. 2007.
J iWire. WiFi Hotspot Finder. Disponvel em: <http://www.jiwire.com>. Acesso em:
05 mar. 2007.
64
Karygiannis, T. e Owens, L. Wireless Network Security. 802.11, BluetoothTM and
Handheld Devices. Publicao 800-48. NIST National Institute of Standards and
Technology. 2006.
Lima, Luciana dos Santos; et al. WiMAX: Padro IEEE 802.16 para Banda Larga
Sem Fio. 2006. 58 f. Tese (Monografia em C. Computao) Departamento de
Informtica Pontfica Universidade Catlica, Rio de J aneiro. 2006.
Lindeberg B. de S. Redes de Computadores: Dados e voz. So Paulo: Editora Erica,
4 ed. 2001.
Linhares, Andr Guedes; Conalves, Paulo Andr da S. Uma Anlise dos Mecanismos
de Segurana de Redes IEEE 802.11: WEP, WPA, WPA2 e IEEE 802.11w*. 2005.
Malafaya, Hugo.; Toms, Lus.; Souza, J oo Paulo. Sensorizao Sem Fios sobre
ZigBee e IEEE 802.15.4. 2006.
Martins, Marcelo. Projetando Redes Wireless 802.11b. 2003..
Meiobit. Site e forun, Meio Bit. 2007. Disponvel em:
<http://www.meiobit.com/categoria/artigo>. Acesso em: 03 mar. 2007.
Menezes, Ricardo. Dicas de Segurana para sua rede Wireless. 2006. Disponvel em:
<http://www.mobilezone.com.br/artigo6.htm>. Acesso em: 15 ago. 2006.
Mikrotik . Mikrotik Router and Wireless. Disponvel em:
<http://www.mikrotik.com/>. Acesso em: 25 jul. de 2009.
Mobilezone. Glossrio de Termos Tcnicos e Acrnimos de Tecnologias Mveis e
Sem Fio. 2006. Disponvel em: <http://www.mobilezone.com.br/glossario.htm#UWB>.
Acessoem: 15 set. 2007.
Nakamura, Emilio Tissato.; Lima, Marcelo Barbosa. Rogue Access Point, um grande
risco para Wlan. 2003.
Oliveira, Ricardo Pais de; Campos, Rui Lopes. Projecto de Redes Locais Sem Fio
802.11b. 2003. 165 f. Projeto elaborado na Unidade de Telecomunicaes e Multimdia
da Faculdade de Engenharia da Universidade de Porto - Porto, Portugal. 2003.
Pessini, J uliano Zabeo. Anlise da Reduo dos Efeitos do Desvanecimento. 2001.
Disponvel em : <http://www.juliano.com.br/artigos/telecom/ex_radioenlace/>. Acesso
em: 19 set. 2007.
RFC 4346. The TLS Protocol. The Internet Engineering Task Force. Disponvel em:<
http://www.ietf.org/rfc/rfc4346.txt>. Acesso em: 25 jul. 2009.
RFC 4422. Simple Authentication and Security Layer rotocol. The Internet
Engineering Task Force. Disponvel em:<http://www.ietf.org/rfc/rfc4422.txt>. Acesso
em: 25 jul. 2009.
65
RFC 2251. LDAPv3. The Internet Engineering Task Force. Disponvel em:<
http://www.ietf.org/rfc/rfc2251.txt >. Acesso em: 25 jul. 2009.
802.1q. 802.1Q - Virtual LANs. Web Document. . Disponvel
em:<http://www.ieee802.org/1/pages/802.1Q.html>. Acesso em: 25 jul. 2009.
StarOS. Sistema Operacional para Redes Wireless. Disponvem
em:<http://staros.com.br/oproduto.htm>. Acesso em: 25 jul de 2009.
Rigney, C. RADIUS Accounting, IETF Request for Coments 2866. 2000.
Rodrigues, Raquel de Holanda Cato. Projeto de Interligao das Unidades de rea
Meio atravs de um Backbone em Fibra ptica e Rdio. 2005. Disponvel em:
<http://www.poli.br/portal/DOWNLOADS/RELAT%D3RIO%20DE%0ESTAGIO/EL
ETRONICA/Raquel%20de%20Holanda.doc>. Acesso em: 29 out. 2007.
ROSS, John. O livro de WI-FI: Instale, configure e use Redes Wireless (sem-fio). Rio de
Janeiro. Editora Alta Books, 2003. 246p.
Rufino, Nelson Murilo de Oliveira. Aprenda a Proteger suas Informaes em
Ambientes Wi-Fi e Bluetooth. 2005. Disponvel em:
<http://www.novateceditora.com.br/livros/seguranca2/capitulo9788575221327.pdf>.
Acesso em: 28 jul. 2007.
Santos, Ricardo Luiz. Segurana em Redes Sem Fio: Wlan. 2003. 67 f. Tese (Ps-
Graduao Latu Sensu em Redes de Computadores) Universidade Estadual de
Londrina Londrina, PR. 2003.
Schiller, Felipe Ortigo Sampaio Buarque. Redes em Malha. 2006. Disponvel em:
<http://www.gta.ufrj.br/ensino/eel879/trabalhos_vf/felipe/index.htm>. Acesso em 16
set. 2007.
Schweitzer, Christiane M. Tecnologias de redes sem fio: WPANs, WLANs E
WMANs Desafios de Segurana, Vulnerabilidades e Solues. 2004.
Silva, Mnica F. da.; Cmara, J eferson.; Abelm, Antnio J . G.; Stanton, Michael A.
Redes Sem Fio Metropolitanas Baseadas no Padro 802.16: Um Estudo de Caso
Para Belm-PA. 2005. XXV Congresso da Sociedade Brasileira de Computao.
Soares, Alcemir Barbosa. Anlise da Qualidade de servio de VPN Redes Privadas
Virtuais- Utilizando redes SF. 2004. 64 f. (Monografia em B. S. de Informao)
Faculdade de Cincias Aplicadas de Minas UNIMINAS Uberlndia, MG. 2004.
Stahlke, Ronald Fernand. Anlise e Estudo da Influncia dos Efeitos Atmosfricos
na Propagao de Ondas Eletromagnticas na Faixa SHF: Estudo de Caso e
Aplicao a um Enlace operando em 23Ghz. 2006. 112 f. (Dissertao de Mestrado
em Telecomunicaes) Universidade Federal do Paran Curitiba, PR. 2006
Strobel, R. E. Uma infra-estrutura de Rede Sem Fio para Ambientes Clnico-
Hospitalares. 2006. (Monografia em B. C. Computao) Centro de Cincias
66
Tecnolgicas Universidade do Estado de Santa Catarina UDESC J oinville, SC.
2006.
Utzig , J . T. Wireless, uma tendncia em comunicao e transporte de informaes.
2006.
Verssimo, Fernando. O Problema de Segurana em Redes Baseadas no Padro
802.11. 2003. Disponvel em:
<http://www.lockabit.coppe.ufrj.br/rlab/rlab_textos?id=82>. Acesso em: 29 out. 2007.
Xia, H., Brustolini, J. (2004), Virtual Prepaid Tokens for Wi-Fi Hotspot Access. Local
Computer Networks. 29th Annual IEEE International Conference on 16-18 No. 2004.
67
APNDICE A
Questionrio Aplicado aos Professores, Servidores e Alunos do
Campus CCT.
Este questionrio qualitativo tem a finalidade de traar a posio de estudantes,
professores e servidores do campus CCT, sobre o tema redes de computadores sem fio
em ambientes universitrios. Com o objetivo de traar o perfil de possveis usurios de
uma rede sem fio a este cenrio. As informaes coletadas sero analisadas e usadas
como fonte de estudo e anlise para o desenvolvimento do Trabalho de Concluso de
Curso de Marcos Steckert Pessoa, orientado pelo Prof. Ricardo Ferreira Martins.
Nome: __________________________. Servidor ( ).
Data: __ / __ / ____. Professor ( ).
Aluno ( ).
1. J utilizou algum servio oferecido atravs de uma rede sem fio (Resposta nica)
[ ] Sim [ ] No
2. Importncia das redes wireless em campus universitrio? (Resposta nica)
[ ] Desnecessrio [ ] Necessrio [ ] Indispensvel
3. Segurana dos dados que trafegam na rede wireless? (Resposta nica)
[ ] Desnecessrio [ ] Necessrio [ ] Indispensvel
4. Possveis servios a serem oferecidos em uma rede sem fio? (Resposta mltipla)
[ ] E-Mail [ ] Messenger [ ] Internet [ ] Vdeo/Voz
[ ] _______________., _____________, ______________.
5. Principal insegurana quanto s redes wireless em ambientes universitrios?
(Resposta nica)
[ ] Qualidade Sinal [ ] Velocidade [ ] Segurana
6. Uma infra-estrutura wireless no campus CCT? (Resposta nica)
[ ] Desnecessrio [ ] Necessrio [ ] Indispensvel
7. Possvel localizao da rede wireless no campus CCT? (Resposta nica)
[ ] Refeitrio [ ] Ginsio de esportes [ ] Blocos/Salas de aula
[ ] Auditrio [ ] _________________.
68
APNDICE B
Polticas de Segurana Corporativa
Uma instituio que planeja fazer uso de uma WLAN deve criar documentos
que anunciem polticas desegurana corporativas, baseando-se nos riscos de introduzir
uma rede SF na infra-estrutura guiada existente especificando algumas aes a serem
tomadas. Estas polticas tm por objetivo, quando usadas em conjunto com os
mecanismos de segurana citados durante o captulo 5, tornem a rede SF mais segura.
Pode-se citar como polticas corporativas as seguintes aes:
Alterao de senhas Default dos dispositivos de rede;
Utilizao de senhas fortes (ex. utilizar letras e nmeros na senha);
Distribuio de inventrios de hardware da WLAN;
Uso de Firewall pessoal e anti-vrus atualizados;
Aplicar as ltimas correes e atualizaes em softwares (ex. sistema
operacional, aplicativos etc.);
Desligar o compartilhamento de pastas e perifricos;
Desligar os dispositivos de ponto de acesso quando no estiverem sendo
usados;
Alterar o SSID (Server Set ID) padro dos dispositivos da rede;
Desabilitar o broadcast de SSID;
Proteger fisicamente os pontos de acesso contra a manipulao de pessoas
no autorizadas;
Os benefcios de implantar e manter uma poltica de segurana corporativa
grande, e tem por objetivo dificultar a perda e roubo de dados alm de auxiliar na
proteger a rede contra ataques de sabotagem e espionagem.
69
APNDICE C
Arquivos de FreeRadius
radiusd.conf: modulo ldap
ldap {
server =192.168.0.76
port =389
identity ="cn=admin,dc=gradis,dc=joinville,dc=udesc,dc=br"
password =etilicos
basedn ="dc=gradis,dc=joinville,dc=udesc,dc=br"
filter ="(uid=%u)"
base_filter ="(objectclass=radiusprofile)"
#start_tls =yes
#tls_cacertfile =/path/to/cacert.pem
#tls_cacertdir =/path/to/ca/dir/
#teste descinebtada oara ssl
#tls_certfile =/path/to/radius.crt
#tls_keyfile =/path/to/radius.key
#tls_randfile =/path/to/rnd
#teste descomentada para ssl
#tls_require_cert ="demand"
#default_profile ="cn=admin,ou=Usuarios,o=gradis"
#profile_attribute ="radiusProfileDn"
#access_attr ="uid"
#directory attributes.
dictionary_mapping =${raddbdir}/ldap.attrmap
ldap_connections_number =5
#password_header ="{clear}"
#password_attribute =nspmPassword
password_attribute =userPassword
#edir_account_policy_check=yes
#groupmembership_filter ="(|(&(objectClass=GroupOfNames)(member=%{Ldap-
UserDn}))(&(objectClass=GroupOfUniqueNames)(uniquemember=%{Ldap-
UserDn})))"
timeout =4
timelimit =4
net_timeout =1
#compare_check_items =yes
#access_attr_used_for_allow =yes
#allowed values: {no, yes}
#set_auth_type =yes
}
70
APNDICE D
Arquivos de FreeRadius
client.conf: cliente NAS
#clients.conf - client configuration directives
################################################################
################################################################
#Definition of a RADIUS client (usually a NAS).
#
#The information given here over rides anything given in the
#'clients' file, or in the 'naslist' file. The configuration here
#contains all of the information from those two files, and allows
#for more configuration items.
#
#The "shortname" is be used for logging. The "nastype", "login" and
#"password" fields are mainly used for checkrad and are optional.
#
client 192.168.0.140/24{
secret =etilicom
shortname =pfsense
nastype =other
}
71
APNDICE E
Arquivos de Ldap
rvore de dados Alunos.ldif
version: 1
#Exportao LDIF para: ou=Alunos,dc=gradis,dc=joinville,dc=udesc,dc=br
#Geradopelo phpLDAPadmin no J une 8, 2009 6:57 pm
dn: ou=Alunos,dc=gradis,dc=joinville,dc=udesc,dc=br
ou: Alunos
objectClass: top
objectClass: organizationalUnit
dn: uid=marcos192.168.11,ou=Alunos,dc=gradis,dc=joinville,dc=udesc,dc=br
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
objectClass: radiusprofile
cn: marcos
sn: pessoa
uidNumber: 1001
gidNumber: 1001
homeDirectory: /home/marcos
loginShell: /bin/bash
gecos: Marcos Pessoa
shadowLastChange: 12862
radiusPasswordRetry: marcondes
userPassword: {MD5}TbHGIujX0ZGDEh4GnT/PDw==
uid: marcos192.168.11
72
APNDICE F
Arquivos de Ldap
rvore de dados Professor.ldif
version: 1
#Exportao LDIF para: ou=Professores,dc=gradis,dc=joinville,dc=udesc,dc=br
#Gerado pelo phpLDAPadmin no J une 8, 2009 6:57 pm
dn: ou=Professores,dc=gradis,dc=joinville,dc=udesc,dc=br
objectClass: top
objectClass: organizationalUnit
ou: Professores
dn: uid=ricardo192.168.10,ou=Professores,dc=gradis,dc=joinville,dc=udesc,dc=
br
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
objectClass: radiusprofile
cn: ricardo
sn: martins
uidNumber: 1001
gidNumber: 1001
homeDirectory: /home/ricardo
loginShell: /bin/bash
gecos: Ricardo Martins
shadowLastChange: 12862
radiusPasswordRetry: marcondes
uid: ricardo192.168.10
userPassword: {MD5}SWQPisHODqJ cVYI5TWyW4w==