ECO021 REDES DE COMPUTADORES Aplicaes DD-WRT em roteadores
Alunos: Gustavo Franzolin RA:16620 Luiz Henrique Dias Rodrigues RA: 16680 Luiz Otvio Nunes Moura da Rosa RA: 16635 Marcus Andr Dias Rodrigues RA: 16684
Prof. Paulo Alvarenga
Itabira, Minas Gerais 29 de novembro de 2013 2
Sumrio
1 INTRODUO .................................................................................................................... 3 2 OBJETIVOS ........................................................................................................................ 4 3 MATERIAIS UTILIZADOS ............................................................................................... 4 4 PRIMEIROS PASSOS - INSTALAO ............................................................................ 5 5 DEFININDO PRIORIDADES NA REDE (QoS) ................................................................ 8 5.1 Configuraes de velocidade ........................................................................................... 8 5.2 Determinando prioridades de servios QoS ...................................................................... 9 5.3 Determinando prioridades por endereo MAC ............................................................... 11 6 AUMENTADO SINAL WIRELESS DO ROTEADOR ................................................... 11 7 ACESSO REMOTO VPN .................................................................................................. 13 8 SERVIDOR TORRENT .................................................................................................... 15 9 MONITORAMENTO DE PACOTES UTILIZANDO TCPDUMP NETCAT E WIRESHARK ....................................................................................................................... 17 10 CONCLUSO .................................................................................................................. 18
3
1 INTRODUO
Alguns roteadores no utilizam todo o seu potencial simplesmente porque sua firmware limita algumas funcionalidades. Essas restries em parte so feitas pelos prprios fabricantes, mas graas a um projeto de cdigo aberto chamado DD-WRT, isso pode ser alterado. O DD-WRT um firmware baseado em Linux OpenSource para uma grande variedade de roteadores WLAN e sistemas incorporados. A nfase principal reside em fornecer o tratamento mais fcil possvel, enquanto ao mesmo tempo, apoiar um grande nmero de funcionalidades no mbito da respectiva plataforma de hardware utilizado. desenvolvido por uma equipe de programadores independentes liderada pelo Brian Slayer. Instalando o DD-WRT, por outro lado, ele passa a oferecer funes muito mais completas, oferecendo desde um servidor DHCP com possibilidade de definir endereos estticos para os clientes, at funes avanadas de controle de banda. Ele passa tambm a poder ser configurado como um repetidor, bridge ou cliente wireless universal, capaz de conversar com produtos de diferentes fabricantes. possvel encontrar outros firmwares como OpenWRT ou o Tomato que tambm auxiliam na liberao de potencial oculto dos roteadores domsticos. Tanto o DD-WRT quanto o OpenWRT so sistemas Linux descendentes do firmware open-source do Netgear WRT54G, que foi liberado em 2003 sob a GPL (o OpenWRT surgiu quase que imediatamente depois que o cdigo foi liberado, enquanto o DD-WRT surgiu como um fork do Sveasoft, um firmware comercial). Em ambos os casos, o objetivo inicial era oferecer suporte apenas aos derivados do WRT54G, mas com o tempo eles passaram a oferecer suporte a um nmero cada vez maior de modelos e a inclurem nova funes. O Tomato por sua vez um firmware mais simples, com foco na facilidade de uso. Ele tambm oferece suporte a QoS, controle de acesso e WDS, alm de oferecer grficos de uso de banda, permitir aumentar o nmero de conexes simultneas (til ao baixar torrents) e assim por diante. A grande limitao que ele compatvel apenas com um pequeno nmero de modelos baseados em chipsets Broadcom, como o as variantes do WRT54G (G, GL, GS, TM, com exceo dos G e GS de fabricao recente, que possuem apenas 2 MB de Flash), Buffalo WHR-G54 e o Asus WL500GE, o que faz com que o uso seja muito mais restrito. 4
Apesar das origens em comum, o DD-WRT e o OpenWRT se diferenciam em diversos aspectos. De uma forma geral, o DD-WRT mais amigvel, com uma interface web mais consistente, uma base de dispositivos suportados fcil de pesquisar e um bom suporte atravs dos fruns. O OpenWRT desenvolvido sob uma filosofia mais "power-user", com uma nfase maior na configurao atravs da linha de comando e melhor acesso aos arquivos de configurao e s entranhas do sistema, complementando as funes disponveis na interface web. Ambos suportam a instalao de pacotes adicionais, mas o OpenWRT leva vantagem em relao variedade de pacotes disponveis. Por outro lado, o DD-WRT (na verso "micro") oferece compatibilidade com muitos APs low-end, com apenas 2 MB de memria Flash que so incompatveis com o OpenWRT. Neste trabalho ser abordado o controle de redes com auxlio do firmware DD-WRT.
2 OBJETIVOS
Gerenciar trfego de rede; Aumentar potncia do sinal; Ativar QoS para prevenir sobrecarga da rede; Acessar remoto via VPN; Monitorar pacotes que trafegam no roteador; Transmisso de torrents 24/7;
3 MATERIAIS UTILIZADOS
Inicialmente pretendia-se utilizar um roteador Belkin N600 Dual Band, porm ainda no existe firmware para o modelo F9K1102V3. Ento foi escolhido o roteador D-Link Dir-601. Este roteador possui 32 MB de memria RAM e 4 MB de memria flash.
5
Figura 1- Roteador D-Link DIR-601.
4 PRIMEIROS PASSOS - INSTALAO
Primeiramente acessou-se o banco de dados do site (dd-wrt.com). Como pode-se observar na imagem abaixo o roteador possui um firmware dd-wrt.
Figura 2 Banco de dados de roteadores.
Figura 3 Firmware dd-wrt.
6
Foi feito o download do firmware. Para sua instalao alguns cuidados foram tomados. Inicialmente um cabo Ethernet foi conectado na interface LAN do roteador. Em seguida foi realizado um hard-reset no roteador. Pressionou-se o boto de reset por 30 segundos. Aps o roteador voltar ao seu estado original os seguintes passos foram seguidos: 1 - Acessou-se a interface da placa de rede do computador. Nas configuraes de IPv4 foi atribudo um IP esttico para a placa de rede, como mostra a imagem abaixo.
Figura 4 Atribuindo IP esttico a interface de rede.
2 - Ao acessar a interface do roteador (192.168.0.1) foi realizada a atualizao do firmware.
Figura 5 Atualizando firmware.
7
3 Aps 3 minutos o upload foi realizado com sucesso. Logo as configuraes de IP do computador foram alteradas para automtico novamente.
Figura 6 Atualizando configuraes de IPv4.
4 - Aps a instalao foi configurado o username e o password da aplicao.
Figura 7 Configurao de login.
A aplicao dd-wrt foi instalada com sucesso. 8
Figura 8 Firmware DD-WRT instalado.
5 DEFININDO PRIORIDADES NA REDE (QoS)
A maioria dos roteadores oferece gerenciamento de qualidade bsica de servio (QoS), mas o DD-WRT permite operaes mais sofisticas, como a priorizao de protocolos, determinar uma largura mxima de banda por mscara de rede ou endereo MAC e otimizao para processos especficos como jogos. Essas opes so valiosas para um administrador de rede tentar manter a integridade de servios especficos ou fazer uma avaliao crtica do sistema.
5.1 Configuraes de velocidade O primeiro passo para configurar o QoS estabelecer limites gerais para o uso da banda. Isso permite que o QoS tenha espao para respirar, ficando sempre com uma percentagem do link livre para uso imediato. 9
Na aba NAT/QoS -> QoS possvel controlar a maioria das funcionalidades encontradas no DD-WRT. A primeira funcionalidade permite configurar a qualidade do servio (QoS) de acordo com a taxa de uplink e downlink fornecidas pelo provedor ISP (Figura 9). Aps realizar um teste de performance para determinar as taxas de uplink e downlink (www.speedtest.net foi utilizado neste relatrio) pode-se decidir as taxas totais que se deseja atribuir a um servio com prioridade. Neste relatrio foi utilizado cerca de 80% do total disponvel para as configuraes de QoS no uplink e downlink respectivamente. O provedor ISP utilizado fornece 10 megabits para download e upload, porm no momento do teste os resultados encontrados foram os seguintes:
Figura 9 Teste de velocidade.
Portanto pode-se determinar as taxas de downlink e uplink da seguinte forma: Downlink: Uplink:
Figura 10 Prioridade QoS ajustada por uplink e downlink.
5.2 Determinando prioridades de servios QoS O ponto crucial nas funcionalidade QoS e possibilidade de fornecer prioridade mxima para protocolos especficos, endereos MAC ou at portas Ethernet. Ao definir prioridades mais baixas para protocolos P2P como o bittorrent e de protocolos de transferncia de arquivos, como FTP, e prioridades altas para clientes VoIP, jogos multiplayer e requisies DNS, voc pode 10
melhorar bastante as condies de acesso em redes congestionadas, sem precisar realmente bloquear nenhum servio. Este trabalho focar nessa ideia. Primeiramente foi determinada uma prioridade bulk para aplicaes bittorrent e similares (gnutella, fasttrack, edonkey). A prioridade bulk a mais baixa. Caso a rede esteja livre, os aplicativos com trfego classificado dentro da regra podem usar at 100 % da banda da rede (valores definidos no tpico anterior), mas assim que outras aplicaes com prioridades maiores necessitarem da banda, o trfego bulk ser limitado. Como existem diversas aplicaes torrents atualmente, a maneira mais correta de limitar os servios P2P identificando as portas que esses servios utilizam e bloquear as mesmas. Para conexes FTP foi selecionado a prioridade standard. Esta regra garante 10% da banda de rede aos clientes, mas tambm pode-se utilizar at 100 % caso a rede esteja livre, ou esteja sendo utilizado por trfego categorizado com bulk. Em conexes que utilizam o protocolo http e protocolos de streaming de vdeo e udio (sip, rstp) foi selecionada a prioridade premium. Esta a categoria mxima, que garante tratamento especial em detrimento de todos os outros tipos de trfego. Ela deve ser utilizada apenas para aplicaes onde uma boa latncia essencial e que consomem pouca banda da rede, como no caso de jogos multiplayer e servios VoIP. Garante 75 % da banda da rede. A figura (Figura 11) abaixo mostras as configuraes realizadas at o momento.
11
Figura 11 Prioridade QoS ajustada por protocolos.
Seleciou-se tambm uma faixa de portas com a prioridade premium para o jogo conter-strike 1.6.
Figura 12 Prioridade QoS para o jogo conter-strike.
Alm das prioridades descritas anteriormente, existe a prioridade express que reserva 15% da banda para especificadas aplicaes e a prioridade exempt. A prioridade exempt permite especificar excees, servios que podero acessar a rede diretamente, usando toda a banda suportada pelo link, sem se preocupar com os 80% da velocidade setados no uplink/downlink e outros detalhes.
5.3 Determinando prioridades por endereo MAC De forma anloga ao tpico anterior possvel especificar as regras de prioridade de acordo com o endereo MAC da maquina desejada.
Figura 13 Prioridade QoS por endereo MAC.
6 AUMENTADO SINAL WIRELESS DO ROTEADOR
12
O firmware DD-WRT pode melhorar a potncia de transmisso do sinal wireless, porm deve-se ter cuidado para no aumentar muito a potencia, pois o roteador pode esquentar demais e danifica-lo. Primeiramente checou-se a taxa Tx para os clientes wireless da rede, como mostra a imagem abaixo.
Figura 14 Potencia de transmisso (Tx Rate).
Para aumentar a potencia do sinal necessrio aumentar a taxa de transmisso, que por padro esta setada em 20 dbm. Para realizar essa mudana deve-se seguir os seguintes passos: 1- No painel do DD-WRT, selecionou-se a aba Wireless posteriormente selecionou-se o checklist Advanced Settings. 2- Dentro do Advanced Settings a opo Tx Power foi atualizada para 71 dbm (o padro era 20 dbm).
Na figura abaixo pode-se observar um aumento na taxa de transmisso (Tx Rate) principalmente em dispositivos que esto mais distantes (como o MAC 88:9B:39:D3:5F:D6).
Figura 15 Potencia de transmisso (Tx Rate) aps alterao. 13
7 ACESSO REMOTO VPN
O acesso remoto uma tecnologia que permite que um computador consiga acessar um servidor privado por meio de outro computador que no est fisicamente conectado a rede. A conexo a distncia feita com segurana de dados em ambos os lados e pode trazer diversos benefcios. Basicamente as duas formas de acesso remoto mais utilizadas so VPN (Virtual private Network) e VNC (Virtual Network Computing). A conexo VPN consegue estabelecer uma ligao direta entre um computador e o servidor de destino criando uma espcie de tnel protegido na internet. Isto significa que o usurio pode acessar tranquilamente seus documentos, e-mails corporativos e sistemas na nuvem, via VPN, sem a preocupao de ser interceptado por administradores de outras redes. VNC um protocolo que permite acesso remoto a distancia a um computador, permitindo que o usurio utilize o computador acessado a distancia, como se estivesse na frente dele. Como existem diversos softwares para conexo VNC, neste trabalho ser abordado apenas a conexo VPN. O primeiro passo foi criar uma conta em um site que fornecesse a criao de domnios gratuita. O site utilizado foi http://no-ip.com. Aps a criao da conta, foi criado o domnio (DNS). Em seguida foram realizadas as seguintes configuraes no firmware (DD- WRT): 1- No painel DD-WRT foi selecionada a aba setup e em seguida DDNS. As configuraes dos campos esto demonstradas abaixo. (Figura 16).
Figura 16 Configurando DDNS. 14
Nos campos Username e Password foram inseridos os mesmos cadastrados no site no-ip. O campos hostname foi inserido o DNS criado. 2- O segundo passo realizado foi a configurao VPN no roteador. Para isso selecionou-se a aba Services e VPN.
Figura 17 Configurando VPN.
No campo CHAP Secrets inserido o nome do usurio e senha para se conectar a rede VPN. Aps a realizao desses passos as configuraes foram salvas. Com a conexo VPN funcionando corretamente possvel utilizar uma variedade de mtodos como transferncias via FTP, conexo via telnet e ate conexo remota no desktop. A conexo VPN oferece uma srie de vantagens. Entre essas vantagens pode-se destacar a segurana reforada que uma rede VPN oferece. A conexo pela internet criptografada e segura. A autenticao e a criptografia so reforadas pelo servidor VPN. Os dados confidenciais esto ocultos para os usurios no autorizados, mas esto acessveis aos autorizados. Pode-se destacar tambm a segurana de endereo IP. Como as informaes enviadas por uma VPN so criptografadas, os endereos especificados so protegidos e a internet apenas verifica o endereo IP externo. Para organizaes com endereos privados, essa uma vantagem substancial, porque no h custos administrativos decorrentes da troca de endereos IP para um acesso remoto atravs da internet. 15
8 SERVIDOR TORRENT
Com o DD-WRT tambm possvel criar um servidor para fazer o download de torrents, 24 horas por dia, 7 dias por semana sem a necessidade de ter um computador ligado (apenas o roteador). Devido a limitaes do roteador no foi possvel implementar este servio na prtica, porm ser explicado abaixo os passos a serem seguidos a fim de criar esse servidor para download dos torrents. Alguns comandos devem ser realizados via console, portanto ser necessrio se conectar ao console do roteador. Os seguintes passos devem ser seguidos: 1- Abra o terminal e digite o comando telnet seguido do ip-lan do roteador: > telnet 192.168.1.1
Ser requisitado o username e password, por padro coloque o username como root e o password ser o mesmo configurado na interface web-GUI do dd-wrt. 2- Formate o HD que ser conectado ao roteador e selecione o sistema de arquivos como ext3 ou ntfs. 3- Acesse a interface web-GUI, clique na aba Services -> USB. Em Disk mount point selecione /mnt. Salve as configuraes e aplique-as . 4- Retornando ao terminal execute os seguintes comandos: > cd /mnt > mkdir /mnt/opt > mkdir p /mnt/data/torrents
O comando -p cria os dois diretrios ao mesmo tempo. A ideia fazer com que os arquivos baixados vo para a pasta mnt/data/torrents. 5- No terminal instale os pacotes optware com o seguinte comando: > wget http://www.3iii.dk/linux/optware/optware-install-ddwrt.sh -O /tmp/optware-install.sh sh /tmp/optware-install.sh
16
6- Ainda no terminal instale a transmisso optware. > /opt/bin/ipkg-opt -verbose_wget install transmission > /opt/bin/transmission-daemon -g /mnt/data/torrents/.config/transmission- daemon killall transmission-daemon > /mnt/data/torrents/.config/ /mnt/data/torrents/.config/transmission-daemon /mnt/data/torrents/.config/transmission-daemon/settings.json #file /mnt/data/torrents/.config/transmission-daemon/stats.json #file /mnt/data/torrents/.config/transmission-daemon/blocklists /mnt/data/torrents/.config/transmission-daemon/resume /mnt/data/torrents/.config/transmission-daemon/torrents
7- Agora edite o arquivo settings.json para o seguinte: > vi /mnt/data/torrents/.config/transmission-daemon/settings.json
8- Agora necessrio abrir a porta de escuta WAN. > /usr/sbin/iptables -I INPUT 1 -p tcp --dport 25000 -j logaccept
9- Reinicie a transmisso. > /opt/bin/transmission-daemon -g /mnt/data/torrents/.config/transmission- daemon
Aps realizar a configurao prvia pode-se acessar a interface web para configurar os torrents a serem baixados. Acesse a pagina http://192.168.1.1:9091 se o ip do roteador for 192.168.1.1. Faa o download do arquivo.torrent a ser baixado. No browser acesse http://192.168.1.1:9091 Clique em open Clique no campo de texto (ou o boto select) Selecione o arquivo.torrent baixado
Feito isso o download comeara em seguida. Os downloads depois de completos estaro localizados na pasta /mnt/data/torrents.
9 MONITORAMENTO DE PACOTES UTILIZANDO TCPDUMP NETCAT E WIRESHARK
Em roteadores que utilizam as verses de DD-WRT anteriores a v24sp2 com o auxilio do TCPDump, NetCat e WireShark possvel realizar um monitoramento de todos os pacotes que trafegam pelo roteador. Como o firmware do roteador utilizado nesse trabalho s possui a verso v24sp2 no foi possvel realizar o monitoramento dos pacotes, pois essa verso no oferece suporte JFFS2. O JFFS2 um sistema de arquivo para flash. Os roteadores possuem memria limitada, o que torna o processo de armazenamento dos pacotes difcil de ser realizado. Mas com auxilio das ferramentas citadas acima possvel realizar este processo. Ser feita uma breve explicao de como o processo deveria ser feito a fim de monitorar o roteador. 18
O Wireshark um sniffer analisador de protocolo que permite a captura e leitura de pacotes que trafegam na rede. Com ele possvel fazer a leitura de arquivos tipo PCAP. Esses arquivos nada mais so do que o fluxo de dados de uma interface (ou de todas) salvo em um arquivo, para posterior processamento. O TCPDump tambm uma ferramenta utilizada para monitorar pacotes que trafegam na rede, porm sua vantagem que ele muito menor que o Wireshark, tornando possvel sua instalao no prprio roteador. O TCPDump tem a opo de capturar o stream de uma interface (ou de todas) e salvar em um arquivo PCAP. Como o roteador no possui espao suficiente para armazenar o arquivo gerado, uma possvel soluo seria utilizar o NetCat para transmitir os dados do TCPDump para o computador. O NetCat uma ferramenta usada para ler e escrever dados em conexes de rede usando o protocolo TCP/IP. Com ele possvel pegar dados da entrada padro (stdin) e envia-los para outra ponta da conexo, que as escreve na sada padro (stdout). A estratgia a ser realizada a seguinte: 1- No computador, executar o netcat em modo servidor e direcionando sua sada em um arquivo; 2- No roteador, executar o TCPDump com os parmetros de captura bsicos e enviar sua sada para o netcat rodando em modo cliente, conectado ao servidor no computador; 3- No Wireshark realizar a leitura dos pacotes;
Partindo dessa ideia possvel fazer um sniff de todos os pacotes que trafegam no roteador.
10 CONCLUSO
Infelizmente por questes compatibilidade e hardware no foi possvel cumprir todos os objetivos previamente definidos, porm pode-se constatar a infinidade de novas funes que esse firmware OpenSource oferece e inclusive visualizar algumas delas de forma prtica.