Você está na página 1de 80

Instituto de Cincias Exatas

Departamento de Cincia da Computao


Curso de Especializao em Gesto da Segurana da Informao e
Comunicaes

ALEXANDRE JOS RIBEIRO

GESTO DE SEGURANCA EM REDES SEM FIO: A proteo do


padro IEEE 802.11 na Administrao Pblica Federal

Braslia
2011

Alexandre Jos Ribeiro

Gesto de segurana em redes sem fio: A proteo do padro IEEE


802.11 na Administrao Pblica Federal

Braslia
2011

Alexandre Jos Ribeiro

Gesto de segurana em redes sem fio: A proteo do padro IEEE


802.11 na Administrao Pblica Federal

Monografia apresentada ao Departamento de


Cincia da Computao da Universidade de
Braslia como requisito parcial para a obteno
do ttulo de Especialista em Cincia da
Computao:

Gesto

da

Informao e Comunicaes.

Orientador: Prof. Dr. Gustavo Vasconcellos Cavalcante


Universidade de Braslia
Instituto de Cincias Exatas
Departamento de Cincia da Computao

Braslia
Novembro de 2011

Segurana

da

Desenvolvido em atendimento ao plano de trabalho do Programa de


Formao de Especialistas para a Elaborao da Metodologia Brasileira
de Gesto da Segurana da Informao e Comunicaes - CEGSIC
2009/2011.
2011 Alexandre Jos Ribeiro. Qualquer parte desta publicao pode
ser reproduzida, desde que citada a fonte.

Ribeiro, Alexandre Jos


Gesto de segurana em redes sem fio: A proteo do padro IEEE
802.11 na Administrao Pblica Federal. Alexandre Jos Ribeiro.
Braslia: O autor, 2011. 78 p.; Ilustrado; 25 cm.
Monografia (especializao) Universidade de Braslia. Instituto de
Cincias Exatas. Departamento de Cincia da Computao, 2011.
Inclui Bibliografia.
1. gesto. 2. segurana. 3. redes sem fio. I. Ttulo.
CDU 004.056

Agradecimentos

Ao meu Orientador, Prof. Dr. Gustavo Vasconcellos Cavalcante, meus


sinceros agradecimentos pela orientao firme e objetiva na realizao deste
trabalho.
Ao Prof. Dr. Jorge Fernandes, por nos contagiar com a sua dedicao,
entusiasmo e competncia na conduo deste Curso.
Aos professores e tutores que nortearam nosso rumo e nos permitiram chegar
a este momento.
Aos meus pais, pelo amor com que me educaram, pelas inmeras horas que
velaram meu sono, e pelas palavras de incentivo a cada tropeo de minha jornada,
minha eterna gratido.
A minha esposa e filha pela compreenso e apoio nos momentos em que este
trabalho foi priorizado.
A todos os profissionais que direta ou indiretamente colaboraram para este
projeto fosse concludo.

A ameaa de uma invaso que viola a


nossa privacidade, a nossa mente ou os
sistemas

de

informaes

da

nossa

empresa pode no parecer real at que


acontea. Para evitar tamanha dose de
realidade precisamos nos conscientizar,
educar, vigiar e proteger os nossos ativos
de informaes, as nossas informaes
pessoais e as infra-estruturas crticas de
nossa nao, e devemos implementar
essas precaues hoje mesmo.
Kevin D. Mitnick, em A Arte de Enganar.

Lista de Figuras

Figura 1 Estatsticas de incidentes........................................................................16


Figura 2 Exemplo de rede Ad-hoc.........................................................................27
Figura 3 Exemplo de rede estruturada ..................................................................27
Figura 4 Simbologia do warchalking.......................................................................30
Figura 5 Processo de autenticao. ......................................................................31
Figura 6 Tela inicial da pesquisa ...........................................................................39
Figura 7 - O questionrio..........................................................................................40
Figura 8 O questionrio. ........................................................................................41
Figura 9 Questionrio ............................................................................................41
Figura 10 Grfico do resultado da questo n 1 ... .................................................43
Figura 11 Grfico do resultado da questo n 2 ... .................................................43
Figura 12 Grfico do resultado da questo n 3 ... .................................................44
Figura 13 Grfico do resultado da questo n 4 ... .................................................45
Figura 14 Grfico do resultado da questo n 5 ... .................................................46
Figura 15 Grfico do resultado da questo n 6 ... .................................................46
Figura 16 Grfico do resultado da questo n 7 ... .................................................47
Figura 17 Grfico do resultado da questo n 8 ... .................................................48
Figura 18 Grfico do resultado da questo n 9 ... .................................................48
Figura 19 Grfico do resultado da questo n 10 .. ................................................49
Figura 20 Cisco ACS.............................................................................................52

Figura 21 Aruba mobity controller .........................................................................53


Figura 22 Wireless Switch Manager da 3Com. .....................................................53
Figura 23 Switch controlador da Extricom)............................................................54
Figura 24 Estrutura do IAS ....................................................................................55
Figura 25 Soluo da Motorola ............................................................................56
Figura 26 Autenticao centralizada .....................................................................59
Figura 27 Roteador Wireless LinkSys ...................................................................60
Figura 28 Fluxo de comunicao entre as entidades ............................................61
Figura 29 Cliente solicita identificao do usurio.................................................61
Figura 30 Chave secreta de autenticao .............................................................62
Figura 31 Log do FreeRadius - conexo estabelecida ..........................................62
Figura 32 Rede WDS ............................................................................................63

Lista de Tabelas

Tabela 1 - Subdivises do padro IEEE 802.11........................................................27


Tabela 2 Resultado da questo n 1. .............. .......................................................42
Tabela 3 Resultado da questo n 2 ............... .......................................................43
Tabela 4 Resultado da questo n 3. .............. .......................................................44
Tabela 5 Resultado da questo n 4. .............. .......................................................44
Tabela 6 Resultado da questo n 5. .............. .......................................................45
Tabela 7 Resultado da questo n 6. .............. .......................................................46
Tabela 8 Resultado da questo n 7. .............. .......................................................47
Tabela 9 Resultado da questo n 8. .............. .......................................................47
Tabela 10 Resultado da questo n 9 .............. ......................................................48
Tabela 11 Resultado da questo n 10. ............ .....................................................49
Tabela 12 Resumo das solues comerciais......................................................... 57

Sumrio

Ata de Defesa de Monografia.....................................................................................3


Agradecimentos .........................................................................................................4
Lista de Figuras..........................................................................................................6
Lista de Tabelas .........................................................................................................8
Sumrio ......................................................................................................................9
Resumo ....................................................................................................................14
Abstract ....................................................................................................................15
1 Delimitao do problema.......................................................................................16
1.1 Introduo.........................................................................................................16
1.2 O risco inerente s redes sem fio .....................................................................17
1.3 Formulao da situao problema (questes de pesquisa) .............................19
1.4 Objetivos e escopo ...........................................................................................19
1.4.1 Objetivo Geral .............................................................................................19
1.4.2 Objetivos Especficos..................................................................................19
1.4.3 Escopo ........................................................................................................20
1.5 Justificativa .......................................................................................................20
1.6 O Ambiente pesquisado ...................................................................................21
1.7 Hiptese ...........................................................................................................21
2 Reviso da literatura e fundamentos.....................................................................22
2.1 A evoluo da redes sem fio ............................................................................22
2.2 O IEEE e o padro 802.....................................................................................23
2.3 O meio fsico.....................................................................................................23

2.3.1 Outros meios de transmisso para redes sem fio.......................................23


2.3.2 Principais tipos de redes sem fio ................................................................24
2.4 Redes sem fio padro IEEE 802.11..................................................................25
2.4.1 A origem do padro 802.11.........................................................................26
2.5 Quanto estrutura............................................................................................27
2.6 Os protocolos de segurana do padro IEEE 802.11.......................................28
2.6.1 WEP (Wired Equivalent Privacy).................................................................28
2.6.2 WPA (Wi-Fi Protected Acess) .....................................................................28
2.6.3 WPA2 - (Wi-Fi protected access 2) .............................................................29
2.7. OS principais ataques......................................................................................29
2.7.1 Escuta e anlise de trfego - (sniffer) .........................................................30
2.7.2 Ataque de negao de servio (denny of service) ......................................30
2.7.3 Wardriving e Warchalking ...........................................................................30
2.7.4 Rogue AP....................................................................................................30
2.7.5 Ataque tipo homem do meio (man in the midle)..........................................31
2.7.6 WEP cracking .............................................................................................31
2.8 O processo de autenticao do protocolo IEEE 802.11 ...................................31
2.9 Autenticao do usurio ...................................................................................31
2.10 Segurana de redes sem fio baseado no protocolo 802.1X ...........................32
2.11 O protocolos RADIUS e o 802.1X...................................................................32
2.12 O que software livre?...................................................................................33
2.13 O sistema operacional GNU/Linux..................................................................34
2.14 Gnu/Linux - Distribuio Ubuntu .....................................................................35
2.15 A Migrao para software livre no Exrcito Brasileiro.....................................35
3 Metodologia...........................................................................................................37
3.1 Estrutura da pesquisa.......................................................................................37
3.2 Mtodo e tcnica de pesquisa empregados .....................................................37

3.3 Onde a pesquisa foi realizada ..........................................................................38


3.4 O perfil dos Respondentes ...............................................................................38
3.5 O ambiente organizacional dos respondentes..................................................38
3.6 O Instrumento de pesquisa...............................................................................39
3.7 O questionrio ..................................................................................................39
4 Resultados ............................................................................................................42
4.1 Compreenso do pesquisador sobre o problema .............................................42
4.2 Anlise dos dados Coletados ...........................................................................42
4.3 Concluso.........................................................................................................49
5 Discusso solues comerciais, o estado da arte..............................................51
5.1 Ferramentas Comerciais ..................................................................................51
5.1.1 Cisco ACS...................................................................................................51
5.1.2 ARUBA Networks........................................................................................52
5.1.3 3Com ..........................................................................................................53
5.1.4 Extricom ......................................................................................................54
5.1.5 Microsoft .....................................................................................................54
5.1.6 Motorola ......................................................................................................56
5.2 Resumo das ferramentas comerciais ...............................................................57
5.3 Concluso.........................................................................................................57
6 Discusso - solues de cdigo aberto baixo custo ........................................58
6.1 O Projeto FreeRADIUS.....................................................................................58
6.2. O Projeto OpenSSL .........................................................................................58
6.3 Proposta de uma autenticao centralizada.....................................................59
6.3.1 Itens de hardware .......................................................................................59
6.3.2 OS protocolos de autenticao escolhidos .................................................60
6.3.3 Etapas da identificao do cliente...............................................................61
6.3.4 Configurao das estaes clientes............................................................62

6.4 Redes Distribudas ...........................................................................................63


6.5 Portais Cativeiros..............................................................................................63
6.6 Concluso.........................................................................................................63
7 Recomendaes ...................................................................................................65
7.1 Aspectos bsicos para gesto de segurana de Redes sem fio ......................65
7.1.1 Instalao das antenas ...............................................................................65
7.1.2 Qualidade do sinal ......................................................................................65
7.1.3 Interferncias eletromagnticas ..................................................................65
7.1.4 Configurao Padro ..................................................................................66
7.1.5 Atualizao do Firmware.............................................................................66
7.1.6 Filtragem de MAC .......................................................................................66
7.1.7 Conexes VPN ...........................................................................................66
7.1.8 Proteo em Camadas ...............................................................................67
7.1.9 Limite de usurios .......................................................................................67
7.2 Consideraes finais ........................................................................................67
7.3 Concluso.........................................................................................................68
8 Concluses e Trabalhos Futuros...........................................................................69
8.1 Concluso.........................................................................................................69
8.2 Trabalhos Futuros.............................................................................................71
Referncias e Fontes Consultadas ..........................................................................72
Glossrio ..................................................................................................................76
A .............................................................................................................................76
B .............................................................................................................................76
C .............................................................................................................................76
F .............................................................................................................................77
H .............................................................................................................................77
I...............................................................................................................................77

G.............................................................................................................................77
P .............................................................................................................................77
R .............................................................................................................................77
S .............................................................................................................................77
T .............................................................................................................................78
W ............................................................................................................................78

Resumo

As redes sem fio so uma alternativa s redes tradicionais, fornecendo as mesmas


funcionalidades, fcil configurao e baixo custo. Devido a tais caractersticas, a
utilizao de rede wireless vem crescendo bastante, seja por usurios domsticos,
empresas ou rgos de governo, porm, de maneira um tanto quanto desordenada.
Com este crescimento, alguns de seus problemas tornaram-se mais visveis,
principalmente, quanto questo da segurana, sua principal vulnerabilidade.
Entretanto, os riscos podem ser minimizados atravs da utilizao de algortmos
criptogrficos em conjunto com procedimentos de segurana. Portanto, este trabalho
de pesquisa procurou descrever os principais conceitos e terminologias de
segurana em redes sem fio. Apresentou, baseado em pesquisa de campo e
pesquisa bibliogrfica, mtodos descritos na literatura como referncia para mitigar
as vulnerabilidades deste tipo de rede. Apresentou tambm as principais
funcionalidades de ferramentas comerciais e open source. Por fim, sugeriu um
conjunto de boas prticas para este tipo de rede.
PALAVRAS-CHAVE: Gesto. Wireless. IEEE 802.11. Segurana.

Abstract

The wireless networks are alternative to conventional wired networks, providing the
same features, easy setup and low cost. For these characteristics, the use of wireless
network for users, enterprises and or government agencies, has grown considerably,
but in a manner somewhat disorderly. With the grown of wireless networks, some
problems are becoming increasingly visible, mainly the issue of security, the main
vulnerability. The risks can be minimized through the use together of existing security
methods and cryptography tools. Therefore, this study of research sought describe
key concepts and terminologies to security in wireless networks. It also sought to
identify, by conducting field work and bibliography research, methods described in the
literature to mitigate the vulnerabilities this network types. The main features of
commercial and open-source tools also are outlined. Finally, it suggested a set of the
best practices for this network type.
KEYS WORDS: Management. Wireless. IEEE 802.11. Security.

16

1 Delimitao do problema

1.1 Introduo
A segurana em redes de computadores representa um desafio para
organizaes de qualquer porte ou natureza. Na rea governamental, temos
organizaes das mais variadas reas de atuao, porte e recursos financeiros e o
investimento em segurana, pode comprometer boa parte dos recursos destinados
Tecnologia da Informao.
Estatsticas do CERT (Centro de Respostas e Tratamento de Incidentes de
Redes do Comit Gestor da Internet no Brasil) mostram um aumento expressivo de
notificaes de incidentes de segurana a partir de 1999, relacionado com o
crescimento comercial da Internet, que vem desde o incio de sua utilizao,
registrando ano a ano um aumento significativo de ataques virtuais.

Figura 1 Estatsticas de incidentes (Fonte: CERT.br).

17
Em junho de 2011, uma onda de ataques coordenados de hackers1 a sites de
diversas Organizaes da Administrao Pblica Brasileira mostrou nossa
vulnerabilidade e evidenciaram que nossa infra-estrutura de TI, enquanto governo,
ainda prescinde de investimentos e aes em segurana para mitigar riscos e evitar
danos em aes desta natureza.
Como fator agravante a este cenrio, temos o apelo para implantao de
redes sem fio, nas organizaes governamentais, que por proporcionarem
mobilidade e economia, esto cada vez mais presentes, tanto no ambiente
corporativo como no domstico.
Em detrimento s vantagens acima descritas, as redes sem fio trazem uma
insegurana que no est presente nas redes com fio, uma vez que a informao,
neste tipo de rede, no est confinada em um meio fsico de acesso restrito.
Apesar de no existirem estatsticas oficiais sobre o nmero de redes sem fio
no Brasil, Villela et All (2007), afirmam que h um crescimento exponencial e
desordenado. Tal crescimento vem sendo mapeado por diferentes iniciativas,
atravs de uma tcnica conhecida como Warchalking, que consiste na utilizao de
computadores equipados com interfaces 802.11, GPS2 e software capaz de efetuar
uma varredura nos canais utilizados por essas redes.

1.2 O risco inerente s redes sem fio


A semntica risco, segundo Neto e Arajo (2007), deriva-se da antiga lngua
italiana Latim e seria denominada risicare, que poderia ser traduzida por uma
percepo da evoluo social, cientfica e tecnolgica do ser humano em ousar. O
risco pode ser tambm definido como a probabilidade de que um conjunto de aes
seja executado com sucesso em um tempo estabelecido ou em uma determinada
oportunidade.
Ainda, segundo a norma NBR/ISO 27005:2008, risco seria a chance de uma
ameaa se concretizar, ou a combinao das conseqncias que se seguiro
ocorrncia de um evento indesejado e da probabilidade de ocorrncia desse evento.
Como nas redes sem fio o sinal (radiofreqncia) se espalha pelo ambiente
sendo seu alcance limitado apenas pela potncia do sinal ou por obstculos fsicos,
temos ento o risco, se no devidamente protegidas, de serem alvos de
1

Hackers termos em ingls utilizado para definir pessoas que violam sistemas computacionais
GSP Global System Positioning: Sistema de posicionamento Global baseado em uma srie de
satlites.

18
monitoramento,

escuta,

ou

mesmo

interceptao,

atravs

de

ferramentas

especialmente desenvolvidas para tal fim.


Portanto, devido facilidade com que um atacante pode interceptar e/ou
modificar sua comunicao, imperativo compreender, alm dos riscos da utilizao
de redes Wireless3, como proteger sua infra-estrutura, informaes e usurios.
Ento se as redes sem fio so uma alternativa de baixo custo expanso de
redes locais tradicionais e se sua implantao pode trazer impacto na segurana da
Informao qual , ento, o tipo de gesto de segurana mais aplicvel a este
contexto?
Um dos possveis caminhos seria o estabelecimento de controles de modo a
limitar o acesso rede. Existem disponveis no mercado diversas solues
comerciais que gerenciam o acesso s redes sem fio. Estas solues, no entanto,
quase sempre tem um custo elevado.
Em contraponto ao custo elevado, com a evoluo do software livre, diversas
ferramentas esto disponveis, algumas gratuitamente. Como reforo a este quesito,
somamos o fato de que, desde 2003, o Governo Federal tem implementado uma
poltica de incentivo ao uso preferencial do software livre, estimulando a
Administrao Pblica Federal (APF) pela substituio de softwares proprietrios por
solues abertas, de modo a estimular a pesquisa e o desenvolvimento de solues
tecnolgicas dentro do Pas.
O Ministrio de Planejamento, Oramento e Gesto (MPOG), instituiu em
1990, o Sistema de Administrao dos Recursos de Informao e Informtica
SISP, tendo por objetivo organizar a operao, controle, superviso e coordenao
dos recursos de informao e informtica da administrao direta, autrquica e
fundacional do Poder Executivo Federal, e atravs dele, tem publicado uma srie de
Normas e Especificaes de TIC (disponvel em https://www.governoeletronico.
gov.br/acoes-e-projetos/guia-livre).
Seguindo a diretriz do Governo Federal, a Instituio pesquisada vem, desde
2004, implementando um plano de migrao que visa dentre outras coisas, a
economia de recursos com compras recorrentes de licenas de software.

Wireless - termo em ingls que define redes sem fio.

19

1.3 Formulao da situao problema (questes de pesquisa)


Ento, se a segurana hoje o calcanhar de Aquilles para qualquer
administrador de redes, como enfrentar ento, a presso dos diretores e gerentes
para dotar suas respectivas organizaes com o que h de mais moderno em
tecnologia de redes e conectividade, principalmente com o barateamento da
tecnologia WI-FI?
Baseado na premissa acima, a pesquisa busca responder: possvel
proteger adequadamente redes locais sem fio em organizaes com recursos
financeiros limitados?
Portanto, a pesquisa se prope analisar a gesto de segurana em redes
locais sem fio baseada no uso de ferramentas de cdigo aberto, tambm
referenciadas na literatura como software livre.

1.4 Objetivos e escopo


1.4.1 Objetivo Geral
O presente trabalho tem por objetivo geral apresentar os principais mtodos e
boas prticas de segurana para redes sem fio padro IEEE 802.11 referenciadas e
recomendadas na literatura, buscando subsdios que embasem a pesquisa junto a
profissionais de Organizaes especializadas em Tecnologia da Informao e
Comunicaes.
1.4.2 Objetivos Especficos
Visando atender aos requisitos de segurana para redes sem fio, o trabalho
prope a analisar procedimentos e ferramentas, baseados em autenticao
centralizada. Para viabilizar a consecuo do objetivo geral de estudo, foram
formulados os objetivos especficos a seguir relacionados:
a) Analisar aspectos referentes ao gerenciamento de segurana;
b) Realizar pesquisa de campo, mediante aplicao de questionrio
estruturado buscando dados que possam embasar a abordagem do tema dentro do
ambiente organizacional;
c) Analisar mtodos de autenticao e controle de acesso;
d) Apresentar o conceito de software livre e ferramentas de cdigo aberto
associadas autenticao segura;

20
e) Apresentar ferramentas e procedimentos de segurana que utilizam
criptografia assimtrica (criptografia de chave pblica);
f) Analisar as principais ferramentas e solues comerciais para a gesto
centralizada de redes sem fio padro IEEE 802.11; e
g) Estimular o uso de solues abertas.
1.4.3 Escopo
A presente pesquisa vem da percepo, como administrador de redes, da
necessidade da adoo de mecanismos que possam garantir uma gesto segura de
redes sem fio em ambientes corporativos. Considerando ao alto custo das solues
de segurana existentes no mercado, cabe ao administrador, a responsabilidade de
buscar ferramentas, que estejam dentro do oramento disponvel na organizao.
Desta forma, o presente estudo busca uma reflexo sobre o tema, alm da
anlise, de ferramentas disponveis no mercado. Esperamos assim, contribuir para
que as organizaes militares possam proteger seus ativos de redes e ampliar o uso
de tecnologias, minimizando dessa forma, os riscos inerentes s redes de dados.

1.5 Justificativa
A literatura reporta diversos mtodos pelos quais um atacante pode
interceptar e/ou modificar a comunicao entre dispositivos sem fio. Seria
imperativo, ento, compreender os riscos na utilizao de uma rede Wireless4 e
como proteger sua infraestrutura e seus usurios.
Para uma proteo eficaz, diversas ferramentas propostas inicialmente para
proteo de redes tradicionais, tm sido propostas tambm para mitigar os riscos de
uma rede sem fio. No entanto, uma questo vem tona: custo x conhecimento.
Existem diversas solues no mercado, quase sempre de custo elevado e
que so verdadeiras caixas pretas, por no permitem o acesso ao cdigo e ao
conhecimento necessrio uma independncia tecnolgica. Tal assertiva se
contrape Estratgia Nacional de Defesa, aprovada pelo Presidente da Repblica
em 2008, que busca dotar o pas de conhecimento e independncia Tecnolgica,
especialmente na rea de defesa ciberntica.
De acordo com as premissas acima, foi elaborada a pergunta de partida:
possvel proteger uma rede corporativa, mediante a utilizao de ferramentas de

Wireless - termo em ingls para redes sem fio.

21
cdigo aberto, de modo a tornar os custos acessveis a uma organizao de
pequeno ou mdio porte?

1.6 O Ambiente pesquisado


O Ambiente pesquisado composto de diversas Organizaes do Exrcito
Brasileiro, este por sua vez tem uma estrutura distribuda em nveis hierrquicos,
atravs de escales de Comando e Unidades Organizacionais dispersas
geograficamente por todo territrio Nacional. As Unidades, normalmente, so
dotadas de autonomia administrativa, porm integradas a escales operacionais e
ou administrativos de acordo com a sua finalidade e emprego.
Apesar da autonomia as Organizaes Militares so regidas por um forte
arcabouo normativo (leis, regulamentos, portarias, manuais, etc) e devem seguir a
Poltica de TIC exarada pelo Comando do Exrcito Brasileiro e demais
normatizaes correlatas emitidas pelo seu Departamento de Cincia e Tecnologia
(DCT).

1.7 Hiptese
A observao participante sugere que a grande maioria das Organizaes
Militares podem no possuir recursos humanos e financeiros ou disponibilidade de
tempo para pesquisar e implementar, individualmente, as solues de segurana
necessrias para redes sem fio. Alm disso, talvez haja a necessidade de uma
padronizao de procedimentos para implantao, bem como a definio de
mecanismos e ou ferramentas especficas para a segurana deste tipo de rede.

22

2 Reviso da literatura e fundamentos

Neste captulo faremos um breve histrico das redes sem fio, bem como os
principais mecanismos de segurana, e por fim uma breve descrio das
vulnerabilidades exploradas na literatura.

2.1 A evoluo da redes sem fio


Segundo Khan (2003), o Exrcito dos Estados Unidos da Amrica (EUA), foi o
pioneiro na transmisso de dados atravs de sinais de radio, durante a Segunda
Guerra Mundial. A transmisso dos dados para fins militares era fortemente
codificada e as patentes foram mantidas em segredo at 1976.
No incio dos anos 60 do sculo XX, de acordo com Simon (1997), a ARPA
(Advanced Research Projects Agency) agncia de pesquisa e projetos avanados
do Departamento de Defesa dos EUA iniciou um projeto de uma rede de
computadores que permitisse trabalho cooperativo entre grupos mesmo que
geograficamente distantes. Surgiu ento a ARPANET5, que em 1970, realiza o
primeiro experimento com quatro universidades.
Rapidamente a rede cresceu interligando instituies de ensino e pesquisa
em todo pas. Em 1971, para interligar a universidade do Hava ARPANET, cujo
campus estava espalhado por 4 ilhas, um grupo de pesquisadores construiu a
primeira rede de comunicao de pacotes6 via radio, surgiu ento a ALOHAnet
considerada a primeira LAN7 sem fios (KHAN, 2003).

ARPANET - Rede de dados da ARPA (Agncia de Pesquisas Avanadas do Departamento de


Defesa dos EUA.
6
Pacotes quebra da informao em quadros (pedaos) de determinado tamanho para permitir sua
transmisso por determinados protocolos.
7
LAN Local rea Network termo em ingls para Rede de dados Local

23

2.2 O IEEE e o padro 802


O IEEE (Institute of Eletrical and Eletronics Engineering) uma associao
internacional dedicada promoo da inovao tecnolgica e a excelncia,
envolvendo as reas eltrica, eletrnica e da computao.
Suas origens remontam ao ano de 1884, quando a eletricidade estava apenas
comeando a se tornar uma grande fora na sociedade e um pequeno grupo de
profissionais de eletricidade se reuniram em Nova York e formaram uma
organizao para apoiar outros profissionais nos seus esforos para aplicar a
inovao para os aperfeioamentos da humanidade. Surge ento inicialmente, a
AIEE (Americam Institute of Electrical Enginers), que depois, transformou-se no
IEEE.
O IEEE destaca-se pela publicao de normas e padres, dentre as quais, o
padro Ethernet 802 (LAN/MAN Standards) que estabelece padres para redes
pessoais, locais e metropolitanas (PAN8, LAN9 e MAN10). Os padres de redes mais
utilizados so: Ethernet, Token Ring e redes Wireless.
Estas normas formam a base para quase todos os sistemas de comunicao
de dados e so aplicveis aos meios fsicos de transmisso: cabos coaxiais, fios de
cobre, fibra tica e transmisso em rdio frequncia.

2.3 O meio fsico


O ar o suporte para sistemas sem fios que fazem uso de ondas de rdio,
laser ou luz infravermelha para transportar dados, vdeo, voz e sinais. Ondas de
rdio, geralmente em 2,4 GHz ou em frequncias mais altas, so as mais comuns
para sinalizao em redes sem fio.
Segundo Geier (2008), a maioria dos padres IEEE 802 para redes Wireless,
tais como 802.11a, 802.11b, 802.11g, 802.11n, 802.15 e 802.16, utiliza ondas de
rdio, apesar de existir outros meios de transmisso, como a seguir:
2.3.1 Outros meios de transmisso para redes sem fio
a. Infravermelho

PAN Personal rea Network - redes de dados para dispositivos mveis, com alcance entre 10 e
30 metros.
9
LAN Local rea Network definio para Redes locais, geralmente restritas a um determinado
ambiente ou espao geogrfico
10
MAN Metropolitan rea Network, - definio para uma rede de dados abrangendo vrios stios,
geograficamente dispersos na mesma regio.

24
A luz infravermelha, segundo Khan (2003), no pode ser vista por seres
humanos em condies normais de iluminao. A transmisso de dados atravs da
radiao infravermelha permite altas taxas de transmisso podendo atingir at vrios
quilmetros, funciona com visada direta e sofre interferncia da luz solar e da luz
artificial.
b. Laser
Luz laser tambm usada por algumas aplicaes de rede sem fios, mas a
exigncia de grande foco de um feixe de laser faz com que seja adequado apenas
para aplicaes em que as extremidades esto fixas. Lasers podero substituir
outras tecnologias em enlaces dedicados como acesso telefnico, circuitos
alugados, etc. (GAST, 2005).
2.3.2 Principais tipos de redes sem fio
a. WiMax
Padro de redes sem fio para redes metropolitanas ou WMAN (Wireless
Metropolitan Area Network), definido pelo IEEE como 802.16. Esta tecnologia foi
batizada de WiMAX (Worldwide Interoperability for Microwave Access), Segundo
Alberti et all (2005). O IEEE (2011) afirma que a prxima gerao do Wimax ser
comercializada este ano, chamada de Wimax2, baseado no padro 802.16m e ser
compatvel com a plataforma WiMAx atual, mas com taxas de dados mais rpida,
maior segurana e eficincia de energia.
b. Redes Mesh
Redes em malha ou Mesh so redes sem fio autoconfigurveis que
interconectam um conjunto de ns fixos capazes de rotear pacotes entre si. Os ns
ou roteadores utilizam a tecnologia 802.11 em modo Ad-Hoc11 e constroem um
backbone sem fio para transmisso de dados em banda larga em localidades onde
no existe infra-estrutura fsica ou onde o custo de comunicao por outras redes
elevado (REMESH, 2007).
Segundo o IEEE, uma rede Mesh WLAN 802.11 baseada em WDS
(Wireless Distribuition System), constituda por um conjunto de dois ou mais pontos
de malha interligados. A malha WLAN pode suportar vrios pontos de entrada

11

Ad-Hoc capacidade dos dispositivos sem fio trocarem informaes entre si, sem a
necessidade de um elemento controlador.

25
(Portais Mesh), de topologia automtica, aprendizagem e seleo de caminho
dinmica.
c. Bluetooth
Bluetooth um dos mais recentes padres Wireless, definido pelo IEEE,
como padro 802.15.1. tambm conhecido como PAN (Personal Area Network).
Padro de rede sem fio de baixa potncia utilizada para pequenas distncias (10
metros, em geral) podendo ter alcances maiores, dependendo de sua classe, pode
conectar at 8 equipamentos, sejam dispositivos mveis (celulares, PDAs),
microfones, fones de ouvidos, etc (RUFINO, 2005).
d. Redes 3G
3G a terceira gerao de tecnologia para telefonia mvel, ela representa a
evoluo das tecnologias j conhecidas CDMA (Code Division Multiple Access) e
GSM (Global System for Mobile Comunications). No Brasil o padro adotado o
UMTS/WCDMA, devido a opo das operadoras pelo GSM e sua abrangncia em
escala mundial (STRACCIALANO, 2008).

2.4 Redes sem fio padro IEEE 802.11


So redes locais sem fio baseadas em sinais de radio frequncia (RF), que
utilizam uma portadora de banda estreita alterando a frequncia de acordo como um
padro conhecido entre o transmissor e receptor. Esta modulao, segundo Gast
(2005), conhecida como Spread Sprectrum (espalhamento de frequncia ou
espectro espalhado).
Para transferncia de dados nas redes sem fio, o espectro divido em faixas
de frequncia. Hoje o padro 802.11 opera em trs faixas: 902 a 928 Mhz, de 2.4 a
2.5 GHz e de 5.150 a 5,725 Ghz (KHAN, 2003).
A rea de cobertura das WLANs, segundo os padres do IEEE 802.11a/b/g/n,
varia em funo de alguns fatores, tais como: potncia de sada, tipo de antena, tipo
do ambiente, entre outros. Geier (2008) relata que os Access Point (pontos de
acesso

ou

concentradores

sem

fio)

equipados

com

antenas

do

tipo

omnidirecionais12, possibilitam um raio de cobertura de 35 a 40 metros em


ambientes fechados, e de 120 a 140 metros em ambientes abertos.
Segundo o Wi-Fi Aliance (2011), a gerao mais atual da tecnologia Wi-Fi o

12

omni-direcionais O sinal se propaga em todas as direes.

26
padro 802.11n, suporta dispositivos de tecnologia de mltipla entrada, mltipla
sada (MIMO), utilizando receptores e transmissores mltiplos entre ambos, clientes
e ponto de acesso, para conseguir um melhor desempenho, podendo atualmente,
oferecer taxas de dados de at 600 Mbps.
2.4.1 A origem do padro 802.11
Em 1997, segundo Khan (2003), o IEEE publicou o padro 801.11 para redes
locais sem fio baseados no padro Ethernet. Inicialmente o padro 802.11 operava
em 1 megabit por segundo (Mbps). Em 1999, o IEEE lanou a verso 802.11b,
verso modificada do padro 802.11, operando a 11 Mbps, que foi adotado pela
indstria ao aceitar as normas estabelecidas pelo IEEE para os equipamentos sem
fio (IEEE, 2007).
Redes WI-FI, o que corresponde a Wireless Fidelity, definio criada pelo
Wi-Fi Alliance13 para as redes locais sem fio padro IEEE 802.11. O Wi-Fi Alliance
certifica, mediante testes de interoperabilidade com produtos de outros fabricantes, a
compatibilidade de produtos aptos a receber o selo da Wi-Fi (Wi-Fi Alliance, 2011).
PADRO

CARACTERSTICA

802.11a

Padro de comunicao de 54 Mbps que utiliza a faixa ISM1 de 5 GHz

802.11b

Padro de comunicao de 11 Mbps, utilizando a faixa ISM de 2.4


GHz.

802.11d

Regulamentao de banda em novos pases (2.4 GHz)

802.11e

QoS Qualit of Service - Qualidade de Servio, mediante priorizao


do trfego

802.11f

Inter-Access Point Protocol (IAPP)

802.11g

Padro de comunicao de 54 Mbps, utilizando a faixa ISM de 2.4 GHz

802.11h

Compatibilidade de espectro de 5 GHz com pases da Europa

802.11i

Melhorias de segurana como por exemplo os protocolos WPA e


WPA2

802.11j

Compatibilidade de faixas de freqncia com o Japo

802.11n

Padro de comunicao recente com taxas de comunicao de at


300 Mbps, utilizando a faixa ISM de 5 GHz, e um alcance na faixa de
300 metros

802.11p

WAVE - Wireless Ability in Vehicular Environments. Wi-Fi aplicados a


ambulncias e carros de passageiros
CONTINUA

13

Wi-Fi Alliance Organizao criada pelos fabricantes de equipamentos sem fio para certificar
a compatibilidade entre dispositivos.

27
PADRO

CARACTERSTICA

802.11r

Fast roaming (Roaming em menos de 50 ms)

802.11s

Interligao em malha de redes sem fio

PADRO

CARACTERSTICA

802.11T

Mtodos de teste e mtricas

802.11u

Interligao com outros padres de redes sem fio

802.11v

Gerenciamento de redes sem fio

Tabela 1 - Subdivises do padro IEEE 802.11 (Fonte: http://wi-fi-alliance.org).

2.5 Quanto estrutura


As redes sem fio dividem-se em redes ad-hoc e estruturadas:
a. Redes ad hoc
Segundo Rufino (2005), redes Ad hoc ocorrem quando duas ou mais
estaes se renem para comunicar uma com as outras, sem estarem conectadas a
um concentrador sem fios (Access Point). Gast (2005), afirma que numa rede ad-hoc
ou ponto a ponto (pee-to-peer), os dispositivos mveis no dependem de uma
infraestrutura para que haja a comunicao entre eles.

Figura 2 Exemplo de rede Ad-hoc (Fonte: Rufino, 2005).

b. Redes estruturadas
Uma rede Wireless dita estruturada quando dois ou mais dispositivos so
interconectados usando um concentrador (Access Point). Apenas o concentrador
est ligado rede cabeada, funcionando como um roteador ou gateway entre os
dispositivos da rede sem fio (KHAN, 2003).

Figura 3 Exemplo de rede estruturada (Fonte: Rufino, 2005).

28

2.6 Os protocolos de segurana do padro IEEE 802.11


A maioria dos ataques segurana de dados em uma rede sem fios
realizada por meio da anlise de trfego. Se os dados no forem transmitidos de
forma criptografada qualquer pessoa pode facilmente ter acesso ao contedo da
mensagem e, aps isto, alterar ou danific-lo (GORASON, 2003).
A segurana da rede sem fios ainda mais degradada pelo fato de que nos
equipamentos, os recursos de segurana no so ativados por padro (default). O
usurio deve, manualmente, configurar os parmetros de segurana.
Segundo Neto (2004), a criptografia um parmetro muito importante a
considerar quando se escolhe a tecnologia sem fios. Deve-se considerar a fora do
algoritmo utilizado para encriptar os dados transmitidos, seja pelo tamanho da
chave, seja pela resistncia aos ataques de fora bruta. Alm de acompanhar novas
vulnerabilidades e formas de proteo.
2.6.1 WEP (Wired Equivalent Privacy)
Inicialmente o IEEE definiu como protocolo de segurana para o padro
802.11 o WEP (Wired Equivalent Privacy). O protocolo WEP utiliza o algoritmo RC4
com 2 tamanhos de chave, 64 ou 128 bits (CARRIN, 2005).
Segundo Rufino (2005), este protocolo possui uma srie de falhas reportadas
na literatura, principalmente associadas ao tamanho da chave e a fragilidade do
RC4. Existe tambm vrias ferramentas automatizadas de forma a executar ataques,
tais AirSnort, WepCrack, WepAttack, dentre outras.
2.6.2 WPA (Wi-Fi Protected Acess)
Em 2003, segundo SILVA (2006), o Wi-Fi Alliance introduziu Wi-Fi Protected
Access (WPA) como um padro para segurana em redes Wi-FI com o objetivo
declarado de ser uma soluo temporria enquanto uma melhor descrio, mtodos
e algoritmos de segurana a serem utilizados neste tipo de rede no estivessem
disponveis.
Neto (2004) afirma que o protocolo WPA adotou o padro 802.1X para
resolver o problema de autenticao do protocolo WEP. O padro 802.1X foi
desenvolvido inicialmente para redes com fio, mas hoje em dia utilizado em redes
sem fio. O WPA usa o protocolo TKIP (Temporal Key Integrity Protocol) para a
criptografar os dados.

29
Entretanto, segundo Silva (2006), estudos mostram a fragilidade desta
soluo, como exemplos, ataques do tipo dicionrio e de homem no meio. O
primeiro aplica-se ao WPA quando habilitado o mtodo de autenticao baseado em
PSK (Pre-Shared Key). O risco surge com senhas de tamanho inferior a vinte
caracteres.
Tambm descrito na literatura, segundo Wright (2008), que o WPA-PSK
vulnervel ao ataque fora bruta. Atacantes com ferramentas tais como Aircrack14 e
CowPAtty15 podem aproveitar esta fraqueza e tentar obter a chave (senha) com uma
ajuda de dicionrios.
O risco est em escolher senhas fceis de lembrar, tornando possvel
implementar um ataque chave pr-compartilhada (PSK). Segundo Wright, (2008),
recomendvel o uso do padro WPA2 com um servidor RADIUS16 para obter um
nvel maior de proteo.
2.6.3 WPA2 - (Wi-Fi protected access 2)
O WPA2 foi desenvolvido pela Wi-Fi Alliance, que certifica o equipamento
sem fio quanto compatibilidade com o padro IEEE 802.11i.
O padro IEEE 802.11i substitui formalmente o WEP (Wired Equivalent
Privacy) no padro IEEE 802.11 com um protocolo conhecido como protocolo CCMP
(Counter Mode with Cipher block Chaining Message Authentication Code Protocol),
algortmo criptogrfico do AES (Advanced Encryption Standard). O CCMP que
substitui o TKIP na confidencialidade (criptografia) e integridade dos dados (WI-FI
ALLIANCE, 2005).
O AES foi o algortmo criptogrfico adotado como padro para criptografia de
chave simtrica pelo NIST (National Institute of Standart and Technology), Instituto
Nacional de padres e Tecnologia dos Estados Unidos, em 2002.

2.7. OS principais ataques


As tcnicas de ataques s redes sem fio so problemas de segurana bem
conhecidos em ambientes cabeados, entretanto, sem a proteo de uma estrutura
fsica, as redes sem fio esto mais vulnerveis.
14

Aircrack - disponvel em htp://www.aircrack-ng.org.


CowPAtty disponvel em http://www.willhackforsushi.com /Cowpatty.html
16
RADIUS Remote Autentication Dial-in User Service protocolo de autenticao para acessos
discados.
15

30
2.7.1 Escuta e anlise de trfego - (sniffer)
A escuta de trfego ocorre quando um invasor munido com notebook,
computador ou PDA, utiliza ferramentas de captura de trfego, que podem ou no
ser especficas para rede sem fio, para interceptar o trfego da rede (RUFINO,
2005).
2.7.2 Ataque de negao de servio (denny of service)
O objetivo deste ataque tornar a rede indisponvel, podendo ser:
a. Com a gerao de rudo (interferncia eletromagntica) mediante
equipamentos que operam na mesma frequncia, ou bloqueio de onda, quando dois
equipamentos prximos esto no mesmo canal;
b. Sobrecarga de acesso, quando um grande nmero de requisies de
conexo so enviadas a um mesmo AP;
c. Falsificao de Frames (quadros) de desconexo, desta forma o atacante
consegue desconectar todos os clientes da Rede.
2.7.3 Wardriving e Warchalking
a. Wardriving dirigir ao redor de uma rea especfica, mapeando a
localizao dos Access point com o propsito estatstico ou mesmo para planejar
ataques s WLANS (ETTER, 2002);
b. WarChalking - semelhante ao Wardriving, porm com o objetivo de marcar
onde possvel acessar a internet atravs da Redes Wi-Fi. Este ataque padroniza
uso de smbolos, como mostra figura abaixo, que ilustra se a rede aberta, fechada
ou com protegida com WEP (RUFINO, 2005).

Figura 4 Simbologia do warchalking (Fonte: clubedowarchalking, 2011).

2.7.4 Rogue AP
Consiste em conectar um AP ilegal rede estruturada. Muitas vezes um
ataque inocente, quando um usurio, no intuito de melhorar seu ambiente de
trabalho, conecta seu AP particular na rede (KHAN, 2003).

31
2.7.5 Ataque tipo homem do meio (man in the midle)
Forma de ataque em que o Hacker rouba a seo e se interpe entre os dois
lados da comunicao forando a desconexo de uma das partes atravs de falsos
concentradores que passam a receber as conexes dos clientes (RUFINO, 2005).
2.7.6 WEP cracking
Em 1991, uma srie de estudos independentes, de vrias instituies
acadmicas e comerciais, identificaram fraquezas no WEP, o mecanismo de
segurana nativo especificado para o padro IEEE 802.11. Tais estudos mostraram
que WEP vulnervel porque sua chave de encriptao esttica (RUFINO, 2005).
Um atacante usando, um analisador de pacotes (sniffer), depois de obter 5 a
10 milhes de pacote, utilizando ferramentas tais como WEPCrack ou AirSnort pode
determinar a chave de encriptao, e assim ler o trfego passante entre o cliente
(suplicante) e o Ponto de Acesso.
2.8 O processo de autenticao do protocolo IEEE 802.11
Para entender os riscos, deve-se entender o processo de associao de uma
rede sem fio. Segundo Khan (2003), o padro 802.11 define trs fases, pelas quais
qualquer cliente deve passar com sucesso, antes de obter acesso rede sem fio. A
figura abaixo representa estas 3 fases: sondagem, autenticao e associao.
Estao

Ponto de Acesso
Pedido de conexo

sondagem

desafio
Resposta ao Desafio
Confirmao da

autenticao

associao

Figura 5 Processo de autenticao (Fonte: Elaborado pelo autor).

2.9 Autenticao do usurio


Para que os usurios tenham acesso a um determinado recurso de rede, seja
qual for a tecnologia utilizada, extremamente importante que ele seja autenticado,
ou seja, verificar se ele quem diz ser, para isto o usurio fornece suas credenciais

32
geralmente compostas de nome e senha. Para fazer uso dos recursos do
computador e da rede necessrio autorizao, ou seja, baseado no xito de
autenticao, o sistema determina aquilo que pode ser usado pelo usurio e o que
pode ser feito.
Segundo Rufino (2005), redes de mdio porte, em geral, possuem
autenticao centralizada, quer seja mediante controladores de domnio, servidores
RADIUS, base em padro LDAP17 (Lightweight Directory Access Protocol), etc.

2.10 Segurana de redes sem fio baseado no protocolo 802.1X


Mesmo no sendo projetado para redes sem fio, o protocolo IEEE 802.1X
possui caractersticas que so complementares a essas redes, pois, permite
autenticao em mtodos j consolidados, como o RADIUS (Remote Autentication
Dial-in User Service), de forma escalvel e expansvel (RUFINO, 2005).
O 802.1X basicamente composto de 3 elementos:
a) Um suplicante um usurio que deseja se autenticar. Pode ser um
software cliente instalado em um laptop, um PDA ou um outro ativo sem fio.
b) Um servidor de autenticao um sistema de autenticao, tal como o
RADIUS, que proceda as autenticaes necessrias.
c) Um autenticador um ativo de rede que permite a comunicao entre o
suplicante e o servidor de autenticao. Normalmente, este autenticador um ponto
de acesso sem fio (Access Point).
O 802.1X, segundo GEIER (2008), pode utilizar vrios mtodos de
autenticao no modelo EAP (Extensible Authetication Protocol). Cada mtodo
utiliza formas de autenticao baseadas em usurio e senha, senhas descartveis
(on time password), algortmos unidirecionais (hash) e outros que envolvam
algoritmos criptogrficos.
Qualquer que seja o modelo de autenticao pode ser adaptado para
funcionar com de autenticao 802.1X, no entanto, estudos mostraram que alguns
dos protocolos de segurana utilizados no 802.1X podem sofrer ataques do tipo
homem-no-meio e roubo de sesso (RUFINO, 2005).

2.11 O protocolos RADIUS e o 802.1X


O RADIUS foi um protocolo inicialmente empregado para uso em servios de
17

LDAP - Servio de diretrio que permite uma autenticao centralizada de diferentes


aplicaes computacionais.

33
acesso

discado,

oferecendo

os

servios

de

autenticao,

autorizao

contabilizao (AAA), segundo afirmam Khadraoui e Herrmann (2007). Hoje, devido


sua simplicidade, eficincia e facilidade de implementao, suportado por
servidores de VPN, pontos de acesso (AP) e outros tipos de acesso s redes. O
protocolo RADIUS descrito na RFC 28666 (GEIER, 2008).
Dependendo

das

necessidades

do

solicitante,

vrios

protocolos

de

autenticao como PEAP, EAP-TLS e EAP-LEAP podem ser usados nas


implementaes de segurana. Independente do protocolo, todos eles atualmente
usam o 802.1X, EAP e RADIUS como base de transporte (CISCO, 2005).
Mtodos de autenticao do EAP:
EAP -LEAP mtodo desenvolvido pela Cisco Systems (www.cisco.com),
utiliza usurio e senha;
EAP-TLS este mtodo obedece a RFC 2716 utiliza certificados digitais
X.509;
EAP-TTLS semelhante ao TLS, apenas o suplicante identificado com
uma senha;
EAP-PEAP Protect EAP - foi desenvolvido para sanar uma vulnerabilidade
do EAP.
Com a autenticao RADIUS, as identidades so comparadas com as
existentes em um banco de dados, que pode ser local, em base Mysql18 ou LDAP.
O EAP-TLS baseado no encapsulamento do EAP em conexes ponto a
ponto do protocolo TLS, segundo Carrion (2005), o TLS baseado em protocolos de
chaves pblicas, onde ambas as entidades possuem certificados digitais assinados
por uma terceira entidade em que ambas confiam.

2.12 O que software livre?


Segundo a Free Software Fundation (FSF, 2011), os desenvolvedores de
software na dcada de 1970, freqentemente compartilhavam seus programas de
uma maneira similar aos princpios do software livre. No final da mesma dcada, as
empresas comearam a impor restries aos usurios com o uso de contratos de
licena de software.
Em 1983 Richard Stallman, na poca pesquisador do MIT (Massachusetts
Institute of Technology), iniciou o projeto GNU (http://www.gnu.org) e em outubro de
18

Mysql Banco de dados de cdigo aberto (Open Source) disponvel em www.mysql.com.

34
1985 fundou a Free Software Fundation (FSF http://www.fsf.org). Stallman
introduziu os conceitos de software livre e copyleft, os quais foram especificamente
desenvolvidos para garantir que a liberdade dos usurios fosse preservada.
Segundo a FSF, um Software considerado livre quando atende aos quatro
tipos de liberdade para os usurios do software definidas pelo manifesto GNU (FSF,
2011):
1. A liberdade para executar o programa, para qualquer propsito;
2. A liberdade de estudar como o programa funciona, e adapt-lo para as
suas necessidades (acesso ao cdigo-fonte);
3. A liberdade de redistribuir cpias de modo que voc possa ajudar ao seu
prximo; e
4. A liberdade de aperfeioar o programa e liberar os seus aperfeioamentos,
de modo que toda a comunidade se beneficie.
Apesar das liberdades acima, software livre no necessariamente precisa ser
gratuito. Nada impede que um software livre seja vendido, tenha ele sido modificado
ou no.
importante observar o tipo de licena do software. Existe uma infinidade de
tipos de licena, que definem ou delimitam o uso do software livre (lista disponvel
em http://www.gnu.org/licenses/license-list.html).
O

termo

cdigo

aberto,

neste trabalho,

se aplica s aplicaes

computacionais com fins comerciais ou no, cujo cdigo fonte, esteja disponvel e
sem restrio de uso em ambiente corporativo e ou governamental.

2.13 O sistema operacional GNU/Linux


O Kernel (ncleo) o corao de um sistema operacional, responsvel pela
comunicao entre hardware e software. O Kernel Linux foi criado em 1991 por
Linus Benedict Torward, baseado no Sistema Operacional UNIX da SUN
Microsystens (http://br.sun.com), hoje uma subsidiria da Oracle Corporation
(www.oracle.com).
Linus Torwad lana em 1994 a verso 1.0 do Kernel sob a licena
GNU/GPL19, batizado de Linux, pela comunidade cientfica, em sua homenagem.
Hoje, em conjunto com as ferramentas do projeto GNU, o GNU/Linux forma
um sistema operacional de cdigo aberto, robusto e confivel, fruto de um esforo
19

GPL General Public Licence contrato de licena para Software Livre proposto pela FSF.

35
de desenvolvimento entre pessoas de todo o mundo.
Existem

diferentes

distribuies

baseadas

no

Sistema

Operacional

GNU/Linux, tais como: Debian, Suse, Gentoo, Red Hat e Mandriva, dentre outros.

2.14 Gnu/Linux - Distribuio Ubuntu


O Sistema Operacional GNU/Linux Ubuntu, distribuio baseada no Debian
(disponvel em http://www.ubuntu.com), uma das distribuies mais largamente
aceitas e tecnologicamente avanadas, sendo um ambiente computacional robusto,
de cdigo aberto, voltado para laptops, desktops e servidores. Segundo seu
distribuidor, o nome Ubuntu tem origem africana e significa humanidade para
todos.
A Canonical Ltda (www.canonical.com), organizao com sede na Europa,
a empresa patrocinadora comercial do projeto Ubuntu, alm disso, contribui com o
desenvolvimento, distribuio e promoo de outros produtos de cdigo aberto
(Open Source).
O

Ubuntu

est

disponvel

para

arquiteturas

I386

(processadores

386/486/Pentium I/II/III/IV, Athlon/Duron/Sempron), processadores de 64 bits da Intel


e AMD e processadores Sun UltraSPARC.
O Ubuntu teve a sua primeira verso lanada em Outubro de 2004. A partir da
verso 6.06, o Ubuntu adotou o conceito de LTS20 (Long Term Support), que oferece
um suporte diferenciado (03 anos para distribuio Desktop e 05 anos para
distribuio Servidor). As verses LTS so lanadas a cada 18 meses e uma verso
atualizada (release) lanada a cada 06 meses.
Com o objetivo de estimular o uso do software livre em organizaes de
pequeno e mdio porte, este projeto utilizou a verso Ubuntu 10.04-LTS, lanada em
abril de 2010. A verso mais recente (Ubuntu 11.04) foi lanada em Abril de 2011.

2.15 A Migrao para software livre no Exrcito Brasileiro


O Exrcito Brasileiro, seguindo a diretriz de 2003 do Governo Federal
(decreto de 29 de abril de 2003 do Presidente da Repblica), optou pela adoo de
uma poltica de substituio de software de cdigo proprietrio e uso preferencial de
tecnologias abertas, para tanto, vem implementando desde 2004 um plano de
migrao para software livre hoje em sua quarta edio (DCT, 2010).
20

LTS Compromisso da Canonical em oferecer suporte mnimo de 03 anos para a distribuio.

36
Cabe ressaltar que a Estratgia Nacional de Defesa (Brasil, 2008), definiu o
software livre como opo essencial para que o pas possa alcanar uma
independncia tecnolgica:
Dentro de seu escopo, abrange a Guerra Ciberntica, onde mais uma vez
evidencia-se a necessidade da independncia tecnolgica e a obteno de
tecnologia prpria, que s podero ser obtidas mediante a utilizao do Software
livre.

Ainda o plano de migrao (EXRCITO BRASILEIRO, 2010), considera a


importncia da adoo de tecnologias abertas:
O Exrcito Brasileiro responsvel pela defesa dos interesses constitucionais e do
territrio brasileiro deve ser dotado de segurana tecnolgica em suas solues
de Tecnologia da Informao (TI), para fazer frente s ameaas da guerra
ciberntica e para isso deve possuir o domnio do cdigo fonte de suas solues
de TI.

37

3 Metodologia

3.1 Estrutura da pesquisa


A presente pesquisa foi constituda por duas partes. A primeira caracteriza-se
por uma pesquisa exploratria com o objetivo de proporcionar entendimento sobre o
tema. A segunda parte caracterizada pelo estudo de campo a fim de proceder uma
aproximao da realidade existente em Organizaes Militares com a finalidade de
identificar procedimentos e ou ferramentas de Segurana da Informao e
Comunicao utilizadas na implantao de redes sem fio.

3.2 Mtodo e tcnica de pesquisa empregados


Mtodo de Estudo de Caso Avaliativo/Propositivo, envolvendo, alm de
anlise, discusso sobre as implementaes propostas. Em suma, trata-se de
estudo bibliogrfico que, para sua consecuo, teve por mtodo a leitura exploratria
e seletiva do material de pesquisa, bem como sua reviso integrativa, contribuindo
para o processo de sntese e anlise dos resultados de vrios estudos, de forma a
consubstanciar um corpo de literatura atualizado e compreensvel.
Segundo Markoni & Lakatos (1996), o levantamento de dados o primeiro
passo de qualquer pesquisa cientfica. Para levantar os dados nesta primeira fase do
trabalho, a tcnica escolhida foi a da pesquisa bibliografia e anlise documental,
com a finalidade de verificar o que existe na literatura sobre o assunto alm de
normas em vigor dentro da organizao pesquisada. As fontes de pesquisa
utilizadas foram, entre outros, livros tcnicos sobre o assunto, dissertaes de
mestrado sobre o tema, artigos de revistas especializadas, e materiais disponveis
na Internet.
Para Yin (2010), as fontes de coleta de dados podem ser provenientes de
pessoas, por meio de entrevistas individuais, portanto, a tcnica escolhida para
estruturao da segunda parte da pesquisa foi a experimental atravs da coleta de
dados com a aplicao de um questionrio estruturado, onde se buscou a percepo

38
da cultura de segurana existente em organizaes previamente selecionadas. Alm
de verificar tambm, o emprego efetivo ou recomendado de ferramentas e solues
de segurana para a implantao de redes sem fio.

3.3 Onde a pesquisa foi realizada


A pesquisa foi realizada junto a gerentes e tcnicos responsveis pela
segurana da Informao em 12 Centros de Telemtica (CTA e CT), escolhidas por
serem Organizaes Militares especializadas em Tecnologia da Informao
existentes em diversas regies do Territrio Nacional, responsveis pelo apoio de
TIC s demais Organizaes militares dentro de suas respectivas reas de
responsabilidade. Desta forma, buscou-se obter uma boa representatividade de
tcnicos responsveis pela segurana da informao e verificar como o tema est
sendo tratado em suas respectivas Organizaes.

3.4 O perfil dos Respondentes


Com o questionrio utilizado para efetuar a coleta de dados foi possvel
tambm, traar um perfil dos militares que participaram da pesquisa respondendo as
questes do instrumento de coleta de dados mencionado, o que as possibilitou
inferir os seguintes aspectos:
- Todos os profissionais consultados so militares de carreira, selecionados
entre Oficiais e Sargentos, com formao acadmica de nvel superior, tendo em
mdia de 5 a 10 anos de Servio. Foram selecionados, profissionais, entre gerentes
e tcnicos, que ocupam postos de trabalho ligados a gesto de segurana da
Tecnologia da Informao em suas respectivas organizaes.

3.5 O ambiente organizacional dos respondentes


Alm dos gerentes e tcnicos, foram mantidos tambm contatos com exgestores das organizaes foco da pesquisa, com as quais o pesquisado j tinha
algum nvel de relacionamento para facilitar a interao.
Outra questo a ser observada quanto ao cenrio em que os entrevistados
esto inseridos, ou seja, suas reas de atuao esto estruturadas seguindo um
mesmo modelo, quais sejam sees de tratamento e resposta incidentes de
segurana da informao, tambm chamadas de STIR. Todos os respondentes
receberam o mesmo nvel de treinamento, operam os mesmos softwares e seguem
uma mesma metodologia em sua rea de atuao.

39

3.6 O Instrumento de pesquisa


O questionrio foi aplicado a partir do envio de convites para gerentes e
tcnicos de 12 Organizaes, alm de 04 ex-gestores, totalizando uma amostra de
16 respondentes.
Foi utilizado o sistema baseado em cdigo aberto limesurvey, disponvel em
http://www.limesurvey.org. Trata-se de um sistema baseado em linguagem web
para realizar pesquisas e coleta dados online.
Neste sistema, foi criado um questionrio estruturado, com pesquisa annima,
ou seja, sem necessidade de identificar o respondente, para no constranger os
entrevistados e assim deix-los vontade para responder pesquisa sem a
preocupao de exposio, caso o questionrio fosse identificado.
Antes de permitir o inicio do questionrio o sistema informa ao entrevistado
quais so os objetivos do mesmo e que dados pessoais e da organizao no sero
citados no trabalho.

Figura 6 Tela inicial da pesquisa (Fonte: o autor).

3.7 O questionrio
O questionrio foi dividido em 03 partes:

40
- A 1 Parte buscou identificar o perfil profissional dos respondentes, com
duas perguntas:
1) Tempo de servio na Instituio:
2) Quanto ao nvel funcional:

Figura 7 - O questionrio (Fonte o autor).

A 2 Parte buscou o nvel de compreenso sobre a segurana de redes sem


fio, com 7 perguntas:
3) O Sr. tem conhecimento de recomendaes de segurana, expedidas pelo
DCT/CITEx, especficas para implantao de redes sem fio nas Organizaes
Militares do EB ?
4) O Sr. acredita que redes sem fio podem afetar a segurana das redes
locais e por consequncia colocar em risco a segurana da EBNet?
5) Quanto ao risco da implantao de redes sem fio?
6) O Sr. considera que as organizaes militares, de um modo geral,
possuem pessoal capacitado para gerenciar/administrar este tipo de Rede?
7) O Sr. Conhece que possuem treinamento especfico para este tipo de
rede.
8) Alm das configuraes padro, tipo: criptografia forte (WPA, WPA2),
desabilitar o SSID e controle de MAC, o senhor conhece ou recomenda outro tipo de
soluo de segurana para este tipo de rede?

41
9) Qual a soluo para segurana de redes sem fio que o senhor conhece e
ou recomenda? Por favor, especifique nome e custo estimado.

Figura 8 O questionrio (Fonte: o autor).

A 3 Parte constou de um espao aberto para comentrios e sugestes que


embasassem o entendimento do entrevistado sobre tema.

Figura 9 Questionrio (Fonte: o autor).

42

4 Resultados

Neste captulo abordaremos os resultados alcanados atravs do questionrio


utilizado na entrevista, e logo aps, uma breve anlise dos resultados obtidos.

4.1 Compreenso do pesquisador sobre o problema


importante destacar que o pesquisador procurou realizar a pesquisa,
baseado em sua experincia dentro da Instituio, dos quais quase 10 anos
vinculados a uma das organizaes pesquisadas e atuando na rea de suporte e
administrao de sistemas computacionais, infraestrutura de redes e segurana da
informao. Podemos considerar, portanto, que tanto o pesquisador quanto os
respondentes possuem relativa vivncia sobre a misso, estruturas e regras de
negcios das organizaes alvo da pesquisa.

4.2 Anlise dos dados Coletados


Foram aplicados 16 questionrios, dos quais foram obtidos 12 resultados
completos. A pesquisa foi aplicada em Maio de 2011.
A questo n 1 buscou identificar o tempo mdio de servio dos respondentes
de modo a caracterizar sua experincia e vivncia profissional dentro do ambiente
pesquisado.
Resposta

Contagem

Percentagem

AT 2 ANOS

8.33%

DE 2 A 5 ANOS

33.33%

DE 5 A 10 ANOS

25.00%

MAIS DE 10 ANOS

33.33%

Tabela 2 Resultado da questo n 1 (Fonte: o autor).

O resultado mostrou que 57% dos respondentes tm mais de 5 anos de


servio, e 33 % mais de 10 anos, portanto so profissionais maduros e com bastante
experincia.

43

Figura 10 Grfico do resultado da questo n1 (Fonte: o aut or).

A pergunta n 2 buscou identificar o nvel funciona l dos respondentes:


Resposta
Nvel de Direo (Gestor)

Contagem
0

Percentagem
0.00%

Nvel de Gerncia (Chefe de


Diviso/Seo)

58.33%

Nvel de Superviso
(Adjunto)

25.00%

Nvel Tcnico (Execuo

16.67%

Tabela 3 Resultado da questo n 2 (Fonte: o autor).

O resultado apontou que 58% dos respondentes esto no nvel de gerncia,


ou seja, so chefes de Diviso ou Seo dentro de suas organizaes.

Figura 11 Grfico do resultado da questo n 2 (Fonte: o au tor).

A pergunta n 3 buscou identificar o nvel de conhe cimento sobre as


recomendaes de segurana emanadas pelos rgos responsveis pela TI da
Instituio:
O Sr. tem conhecimento de recomendaes de segurana expedidas pelo
DCT/CITEx especficas para implantao de redes sem fio nas
Organizaes Militares do EB ?

44
Resposta
Sim, tenho conhecimento

Contagem
11

Percentagem
91.67%

No tenho certeza

8.33%

no posso informar, pois no minha rea


de atuao

0.00%

Tabela 4 Resultado da questo n 3 (Fonte: o autor).

O resultado apresentou que 92% dos entrevistados tm conhecimento sobre


recomendaes de segurana para redes sem fio embora nenhum deles tenha
especificado quais ou qual a recomendao.

Figura 12 Grfico do resultado da questo n 3 (Fonte: o autor).

A pergunta n 4, buscou avaliar se redes sem fio tr ariam risco para a


segurana da rede corporativa do Exrcito Brasileiro, chamada de EBNet:
O Sr. acredita que redes sem fio podem afetar a segurana das redes locais
e por consequencia colocar em risco a segurana da EBNet?
Resposta

Contagem

Percentagem

concordo fortemente, j registramos fatos a


respeito.

25.00%

concordo, pois est bem documentado na


literatura.

50.00%

discordo parcialmente, pois depende da


implementao.

25.00%

Tabela 5 Resultado da questo n 4 (Fonte: o autor).

O resultado mostrou que 75% dos respondentes acreditam que redes sem fio
poderiam trazer algum risco segurana da rede corporativa.

45

Figura 13 Grfico do resultado da questo n 4 (Fonte: o au tor).

Na pergunta n 5, o pesquisador buscou avaliar como os entrevistados


consideram o risco da implantao de redes sem fio em organizaes do Exrcito
Brasileiro:
A fim de avaliar os riscos de implantao de redes sem fio dentro de uma
Organizao Militar, o senhor acredita que:
Resposta

Contagem

Percentagem

O Risco pode ser aceito, pois podem ser


mitigados se acompanhados de um projeto
de implantao

66.67%

O Risco deve ser aceito, pois so


facilmente mitigados com uso de
ferramentas e procedimentos adequados;

33.33%

No deve ser aceito, embora se possa


mitigar os riscos, pois no h segurana
efetiva neste tipo de rede;

0.00%

No devem ser implantadas, pois o risco


inaceitvel e supera qualquer aspecto
positivo deste tipo de rede.

0.00%

Tabela 6 Resultado da questo n5 (Fonte: o autor).

O resultado apontou que 67% consideram que o risco pode ser aceito, desde
que a implantao seja acompanhado de um projeto.

46

Figura 14 Grfico do resultado da questo n 5 (Fonte: o au tor).

A questo n 6 buscou identificar se as organizae s militares em geral


possuem pessoal qualificado para administrar redes sem fio:
O Senhor considera que as organizaes militares, de um modo geral,
possuem pessoal capacitado para gerenciar/administrar este tipo de
Rede.
Resposta
concordo plenamente

Contagem
1

Percentagem
8.33%

concordo parcialmete

8.33%

discordo parcialmente

33.33%

discordo fortemente

41.67%

Outros

8.33%

Tabela 7 Resultado da questo n 6 (Fonte: o autor).

Como resultado verificou-se que 75% dos entrevistados consideram que as


organizaes no possuem pessoal qualificado, o que reforaria a hiptese
levantada de que as organizaes podem no possuir pessoal qualificado para
implementar as solues de segurana recomendveis para redes sem fio.

Figura 15 Grfico do resultado da questo n 6 (Fonte: o a utor).

47
As organizaes alvo da pesquisa so tambm responsveis por qualificar
recursos humanos de outras organizaes militares para administrar redes locais,
configurao e administrao de servidores e segurana de redes. Ento, a questo
n 7 buscou identificar se h, naquelas Organizae s, programa ou grade de
treinamento especficos para rede sem fio:
Os CTA/CT, tem em sua grade de Treinamentos/Estgios contedo que
abordem especificamente a segurana de rede sem fio?
Resposta
concordo plenamente

Contagem
2

Percentagem
16.67%

concordo parcialmete

33.33%

discordo parcialmente

25.00%

discordo fortemente

16.67%

Outros

8.33%

Tabela 8 Resultado da questo n 7 (Fonte: o autor).

O resultado apontou uma disperso de opinies, ou seja, no se pode


concluir com convico acerca a existncia ou no de treinamentos especficos:

Figura 16 Grfico do resultado da questo n 7 (Fonte: o au tor).

A questo n 8 buscou identificar recomendaes adi cionais de segurana


para

este

tipo

de

rede,

alm

dos

procedimentos

tradicionais

bastante

recomendados:
Alm das configuraes padro do tipo criptografia forte (WPA, WPA2),
desabilitar o SSID e controle de MAC, o senhor conhece ou recomenda
outro tipo de soluo de segurana para este tipo de rede?
Resposta

Contagem

Percentagem

sim

50.00%

no

50.00%

Tabela 9 Resultado da questo n 8 (Fonte: o autor).

48
O resultado apontou que apenas 50% dos entrevistados conhecem e ou
recomendam outro tipo de segurana, entretanto nenhum entrevistado apontou
quais seriam estas solues.

Figura 17 Grfico do resultado da questo n 8 (Fonte: o au tor).

A questo n 9 buscou identificar o conhecimento ou recomendao de


solues de segurana, baseadas em cdigo aberto ou ferramentas comerciais, bem
como o custo associado a estas solues:
Qual a a soluo para segurana de redes sem fio que o senhor
conhece e ou recomenda? Por favor especifique nome e custo
estimado.
Resposta

Contagem

Percentagem

Baseada em cdigo aberto, sem custo

41.67%

Baseada em cdigo aberto, com custo

8.33%

Baseada em ferramentas comerciais


(cdigo fechado), com custo

33.33%

no conheo nenhuma ferramenta


especfica para este tipo de rede

16.67%

Tabela 10 Resultado da questo n 9 (Fonte: o autor).

Embora 42% dos entrevistados recomendem soluo baseada em cdigo


aberto, nenhum deles apontou um mtodo, ferramenta ou soluo especfica.

Figura 18 Grfico do resultado da questo n 9 (Fonte: o au tor).

49
Por fim a pergunta 10 um espao para sugestes. Apenas 01 entrevistado
exps sua opinio sobre a necessidade de usar criptografia forte tal como o WPA2
como forma de proteo para redes sem fio.
Resposta
Resposta
Sem resposta

ESPAO PARA SUGESTES


Contagem
Percentagem
2
16.67%
10

83.33%

Tabela 11 Resultado da questo n 10 (Fonte: o autor).

Figura 19 Grfico do resultado da questo n10 (Fonte: o au tor).

4.3 Concluso
Inicialmente, realizou-se a analise dos resultados obtidos, com o objetivo de
avaliar a percepo de profissionais de organizaes especializadas em TIC, quanto
ss prticas conhecidas e ou recomendadas como estratgicas para a segurana da
informao na implantao e gerncia de redes sem fio.
Tal percepo importante, pois as organizaes pesquisadas so
responsveis pela implantao da estratgia de segurana da informao. Tal
estratgia possibilita tomada de decises que sustentam outros processos e
atendem a requisitos internos e externos ao ambiente organizacional.
A anlise dos dados obtidos indica que, apesar de universo dos respondentes
ser composto por profissionais de alto nvel, no houve uma uniformidade de opinio
ou consenso quanto a melhor metodologia ou ferramenta a serem adotada.
Houve uma concordncia geral quanto aos riscos deste tipo de rede, mas a
pesquisa no logrou obter uma recomendao especfica, fruto de uma metodologia
estabelecida sobre como e o que as demais organizaes devem fazer para
implementar ou gerenciar a segurana de suas respectivas redes sem fio.

50
Ento como a pesquisa de campo no determinou de forma clara e objetiva
um caminho a seguir, o captulo a seguir far uma breve descrio de solues
comerciais passveis de serem adotadas pelas organizaes da Administrao
Pblica Federal para uma gesto segura de suas redes sem fio.

51

5 Discusso solues comerciais, o


estado da arte

As possveis proposies feitas ao longo deste captulo esto baseadas em


recomendaes de segurana e ferramentas presentes na literatura, bem como da
anlise de especificaes de produtos comerciais oferecidos por empresas
tradicionais em produtos e tecnologias de redes.

5.1 Ferramentas Comerciais


As ferramentas a seguir, apresentam diversas funcionalidades, tais como:
facilidade de implantao, facilidade de upgrade, gesto dos canais de RF, controle
de rogue AP (intrusos), gerncia de desempenho atravs de um balanceamento de
carga e configurao alm de outras funcionalidades especficas de cada fabricante.
5.1.1 Cisco ACS
A Cisco Systems (http://www.cisco.com) possui uma gama de solues para o
gerenciamento de redes,das quais podemos destacar:
- O Cisco ACS (access Control Server), hoje na verso 4.2, um ferramenta
(Framework) de alta performance, escalvel e de controle de acesso que
proporciona um ambiente centralizado de comando e controle para autenticao,
autorizao e contabilizao (AAA) do acesso de usurios a rede sem fio, sendo
capaz de monitorar de centenas a milhares de gateways (concentradores Wireless).

52

Figura 20 Cisco ACS (Fonte: www.cisco.com).

.
O Cisco ACS uma soluo dedicada, baseado em appliance (equipamento
com software embutido) para controle de acesso s redes. Desenvolvido tanto para
o ambiente Windows quanto para o Linux, inclui ainda o software OpenSSL
(http://openssl.org) para criao de certificados digitais.
Oferece ainda suporte para uma srie de protocolos incluindo o EAP
(Extensible Authentication Protocol), auditoria e poltica de acesso centralizada e
suporte para fontes de dados com o Microsoft Active Directory, LDAP, Novell NDS,
ou Base de Dados Oracle.
5.1.2 ARUBA Networks
A ARUBA (http://www.arubanetworks.com) possui sistemas de acesso a
redes para WLANs, redes remotas e sistemas de segurana para redes, tais como:
- AirWave Management 7. ferramenta para gerenciamento de redes
Wireless LAN, redes Mesh e WiMAx, com recursos de monitoramento, deteco de
intruso provendo alarmes e notificaes que trabalha junto com a famlia de
swiches Aruba Switch Controller .

53

Figura 21 Aruba mobity controller (Fonte: Arruba Networks).

5.1.3 3Com
A 3Com (http://www.3com.com) possui como parte de seu sistema de
mobilidade em redes sem fios o 3Com Wireless Switch Manager que permite o
gerenciamento centralizado e controle de seus MAPs (Managed Acess Points),
composto de um uma famlia de equipamentos de WLAN gerenciveis para redes
com demandas complexas, mltiplos escritrios ou que requeiram um nvel de
segurana elevado.

Figura 22 Wireless Switch Manager da 3Com (Fonte: www.3com.com).

Atravs do gerenciamento centralizado possvel controlar, configurar e


otimizar a cobertura de radiofrequncia (RF) acessvel de qualquer lugar da rede.
possvel mudar parmetros para mltiplos MAPs poupando tempo de configurao
individual para cada dispositivo. Implementa tambm o conceito de Domnio de
mobilidade (Mobility Domain), onde so agrupados mltiplos controladores e
switches, compartilhando uma base de usurios e segurana dentro da
infraestrutura de rede.
A soluo da 3Com combina os fundamentos de segurana em redes sem
fio com gerenciamento de segurana. O intercmbio de base de usurios com o

54
domnio de mobilidade, adiciona um novo nvel de controle de usurios e grupos de
acesso aos recursos de rede.
A autenticao 802.1X local ou atravs de um Servidor RADIUS ajuda a
garantir que somente usurios autorizados tero acesso a rede e a autenticao
centralizada controla e gerncia todos os usurios da rede.
5.1.4 Extricom
A Extricom (http://www.extricom.com) uma fabricante de soluo Wireless
baseada em hardware proprietrio que inclui um sistema de gerenciamento de
WLAN, totalmente compatvel com o padro 802.11. baseado em uma famlia de
controladores (WLAN Switch controller) de 4 a 24 portas que controlam um
conjunto de rdios (AP) 802.11 a/b/g/n tambm proprietrios.

Figura 23 Switch controlador da Extricom (Fonte: www.extricom.com).

A soluo promete total mobilidade permitindo ao cliente mudar de clula de


cobertura (AP) sem hand off

21

. O sistema WLAN Extricom reduz a complexidade de

implementao de clulas AP reduzindo ou eliminando interferncia de RF.


Segundo o fabricante os APs so colocados onde necessrio para melhor
cobertura e no necessitam de nenhuma configurao. Todos os AP usam o mesmo
canal, desta forma o controlador recebe vrias cpias de transmisso de cada
cliente e escolhe o melhor AP para transmitir a resposta. O Switch controlador
fornece alimentao eltrica aos APs, atravs do padro 802.3AF (POE22).
5.1.5 Microsoft
Os Sistemas Operacionais de Rede da Microsoft a partir do Windows Server
2003, oferecem recurso de autenticao segura para redes sem fio, mediante uso de
senhas, atravs do protocolo proprietrio PEAP-MS-CHAP v2 (Server Protected
Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication
Protocol- verso 2), que funciona em conjunto com o protocolo RADIUS
possibilitando a utilizao de certificados digitais, atravs de um acordo entre a

21
22

Hand off desconexo do cliente de um AP


POE Power Over Ethernet alimentao eltrica pelo cabeamento de rede

55
Microsoft

VeriSign23.

(http://www.verisign.com/products-services/security-

services/ssl/wireless-lan-security/index.htm).
Desta forma, em vez de implantar uma PKI24, a Organizao pode comprar
certificados individuais de uma CA de terceiros para instalar em seus servidores IAS
(Internet Authentication Service) para garantir que os clientes sem fio possam validar
o certificado do servidor IAS. O certificado raiz da CA que emitiu os certificados de
servidor IAS deve ser instalado em cada cliente sem fio.
Um guia completo para instalao do Certificado pode ser encontrado em
Obtaining and Installing a VeriSign WLAN Server Certificate for PEAP-MS-CHAP v2
Wireless

Authentication

(http://www.microsoft.com/windowsxp/pro/techinfo/

deployment/wireless/).
O IAS um servio RADIUS (Remote Authentication Dial-in User Service)
que habilita o gerenciamento centralizado de autenticao, autorizao e estatsticas
de usurios. O IAS pode ser usado para autenticar usurios em bancos de dados de
controladores de domnio do Windows Server 2003, Windows NT 4.0 ou Windows
2000. Alm disso, o IAS d suporte a uma variedade de servidores NAS (Network
Access Servers), incluindo o RRAS (Routing and Remote Access).

Figura 24 Estrutura do IAS (Fonte: www.microsoft.com).

23
24

VeriSign Empresa especializada em Certificao Digital.


PKI (Primary Key Infraestruture) Infra-estrutura de Chaves Pblicas.

56

Figura 25 Soluo da Motorola (Fonte: www.motorola.com).

5.1.6 Motorola
A Motorola (http://www.motorola.com) possui um conjunto de ferramentas
para gerenciamento de redes e segurana para redes sem fio, denominada One
Point Wireless Manager Sute, composto pelos seguintes produtos:
a) Wireless Manager - ferramenta de gerenciamento de redes sem fio
(Software), baseado no protocolo SNMP25 (Simple Network Management Protocol)
para os ambientes Microsoft Windows Server 2003 e Linux Red Hat Enterprise. A
ferramenta possui um avanado recurso de visualizao baseado no servio de
mapas do google (http://www.google.com/maps);
b) Air defense - uma soluo baseada em radio sensores que oferece
proteo contra ameaas Wireless pela deteco de intruso (IDS), monitoramento,
eliminao de AP no autorizados e localizao de problemas (anlise de
desempenho);
c) RF Management System (RFMS) ferramenta para gerenciamento e
deteco de interferncias, provendo configurao, alerta, status e grficos
estatsticos para equipamentos da Motorola e de outros fabricantes.

25

SNMP - protocolo de gerncia definido em nvel de aplicao, conforme especificao


contida na RFC 1157

57

5.2 Resumo das ferramentas comerciais


Fabricante

Produto

CISCO

ACS

ARUBA

Air

Localizao

Controle

Deteco

Hardware

Autenticao

Rogue AP

de Rf

de Intruso

Proprietrio

RADIUS

Wave

No

Manageme
nt
Wireless

3Com

Switch
Manager
Extricom

WLAN
Switch

especificado

controller
Microsoft

IAS

Motorola

One Point

No

No

especificado

especificado

Wireless
Manager

Tabela 12 Resumo das solues comerciais (Fonte: o autor).

5.3 Concluso
As solues acima descritas foram escolhidas por comporem o universo de
fornecedores

reconhecidamente

tradicionais

de

aplicaes

computacionais,

dispositivos para interconexo de redes de computadores e redes sem fio.


A maioria das solues apresentada incorporam os mtodos ou ferramentas
de segurana recomendadas na literatura, tais como autenticao RADIUS, controle
do sinal (RF) e controle de Rogue AP (intrusos), no entanto, tais ferramentas so
tambm conhecidas como caixas pretas, por serem geralmente baseadas em
hardware proprietrio e por no permitirem nenhuma aquisio de conhecimento
sobre a tecnologia embutida.
Finalmente, como concluso deste captulo, importante ressaltar que
independente da tecnologia e recursos que a ferramenta possa oferecer, a proteo
fsica e segurana do hardware ainda so recomendadas como regras bsicas de
utilizao de redes sem fio.

58

6 Discusso - solues de cdigo


aberto baixo custo

Neste captulo detalharemos uma possvel implementao de autenticao


segura utilizando WPA com 802.1X, atravs de um servidor RADIUS, empregando
as ferramentas de cdigo aberto. Desta forma, busca-se proporcionar um guia para
que pequenas e mdias organizaes possam garantir uma melhor segurana em
suas redes sem fio.
A soluo proposta foi testada em um ambiente experimental, sem
metodologia ou base cientfica para validar ou refutar a proposta. Apenas se buscou
coletar subsdios para compor e contextualizar a proposta.
As possveis proposies feitas ao longo deste captulo esto baseadas em
recomendaes de segurana presentes na literatura, como em Khan (2003), Gast
(2005), Earle (2006) e Geier (2008).

6.1 O Projeto FreeRADIUS


O FreeRADIUS (http://www.freeradius.org) um servidor RADIUS26 de cdigo
aberto (open source). O RADIUS um protocolo amplamente empregado para
disponibilizar acesso a redes. Possui recursos de autenticao, autorizao e
contabilizao.
Amplamente utilizado na comunidade acadmica, o FreeRADIUS inclui um
servidor RADIUS, uma licena BSD27, uma biblioteca PAM28, e um mdulo Apache.

6.2. O Projeto OpenSSL


O Projeto OpenSSL (http://www.openssl.org), um esforo colaborativo de
desenvolvimento de uma ferramenta de cdigo aberto e robusto que implementa a
26

RADIUS Remote Authentication Dial-in User Service - um protoloco de autenticao para acesso
discado.
27
BSD - Berkeley Software Distribution tipo de Licena para software livre
28
PAM - Pluggable Authentication Modules modulo de autenticao dos Sistemas Unix e Linux.

59
execuo dos protocolos Secure Sockets Layer (SSL v2/v3) e Transport Layer
Security (TLS v1), bem como uma biblioteca criptogrfica.
A ferramenta OpenSSL uma ferramenta de linha de comando (no grfica)
que utiliza vrias funes de criptografia, ela pode ser usada para criao e gesto
de chaves privadas, chaves pblicas e parmetros; e criao de certificados X.509,
CSRs e CRLs.

6.3 Proposta de uma autenticao centralizada


Uma das possveis solues recomendadas na literatura, seria a autenticao
centralizada dos pontos de Acesso (Access Points) atravs de um Servidor RADIUS
utilizando o FreeRADIUS, conforme figura abaixo.

Autenticador

Servidor RADIUS

Clientes
Figura 26 Autenticao centralizada (Fonte: o autor).

A proposta de soluo foi composta de um servidor de autenticao (servidor


RADIUS), um autenticador (Ponto de Acesso sem fio) e um suplicante (um notebook
com acesso wireless), simbolizando os clientes da rede sem fio.
Para tornar a soluo mais robusta possvel a autenticao baseada em
Certificados Digitais, atravs da criao de uma PKI (private Key Infraestructure),
infraestrutura de chaves publicas, utilizando o OpenSSL.
6.3.1 Itens de hardware
A soluo proposta foi implementada em um ambiente de testes composto de
um servidor de autenticao (servidor RADIUS), um autenticador (Ponto de Acesso
sem fio) e um suplicante (um notebook com acesso wireless), simbolizando os
clientes da Rede sem fio.

60
Para a implementao dessa soluo, foram utilizados os seguintes itens de
hardware:
a) Servidor de autenticao (servidor RADIUS) - instalado em um computador
com processador AMD Sempron 2.400 Ghz, 512 Mb de RAM com disco rgido de 80
Gbytes, e o sistema operacional GNU\Linux Ubuntu 10.04. e Freeradius verso
1.1.7;
b) Autenticador ou Ponto de Acesso - foi utilizado o roteador wireless marca
Linksys, modelo WRT54g. O dispositivo permite o acesso Internet ou rede interna,
a partir de uma rede sem fio. No WRT54g, este acesso pode ser compartilhado por 4
portas Ethernet (switch ports) ou via rede sem fio (Wireless broadcast) atravs dos
padres 8021.11b (11 Mbps) ou 802.11g (54 Mbps).

Figura 27 Roteador Wireless LinkSys (Fonte: o autor).

Este roteador sem fios adequado para casas, escritrios ou pequenas


organizaes, onde vantajoso ter uma rede local sem fios (LAN) fornecidos por um
nico dispositivo que se conecta Internet atravs de uma linha ADSL
(Assincronous Digital Subscriber Line) ou Cable modem (modem para acesso por
cabo).
O roteador alm das funes de ponto de acesso, tambm inclui os servio de
DHCP (Dynamic Host Configuration Protocol) e NAT (Network Address Translation),
permitindo que a rede possa utilizar um nico endereo IP oficial fornecido pelo
provedor de Internet (Internet Service Provider - ISP) para mltiplos dispositivos
cliente; e
c) Suplicante ou cliente da rede wireless - foi utilizado um Notebook Acer
modelo Aspire 3102WLMi, com processador AMD Sempron de 1.6 Ghz, com 1
Gbyte de memria RAM e 160 Gbytes de disco rgido. Com os sistemas
operacionais MS-Windows-XP e GNU/Linux Ubuntu 10.04 (dual boot). Equipado
com adaptador de rede sem fio (on-board) com chipset Atheros 802.11b/g.
6.3.2 OS protocolos de autenticao escolhidos
O Padro WPA com EAP (Extensible Autentication Protocol) e autenticao
802.1X (WPA Entreprise) formam os protocolos escolhidos para o ambiente de

61
testes. O EAP uma varivel do protocolo 802.1X para autenticar clientes.
O EAPTLS (Transport Layer Security) atualmente uma opo segura deste
padro, pois requer que tanto o cliente quanto o servidor RADIUS provem suas
identidades via criptografia de chave pblica. Essa troca assegurada por um tnel
TLS criptografado, fazendo o EAP-TLS muito resistente a dicionrios de senha e
ataques de homem do meio (Man in the Middle).
Os certificados digitais foram criados atravs da ferramenta OpenSSL e
assinados por uma autoridade especialmente criada para o projeto
6.3.3 Etapas da identificao do cliente
a) O cliente envia uma solicitao de conexo para o autenticador;

Figura 28 Fluxo de comunicao entre as entidades (Fonte: o autor).

b) O ponto de acesso rede responde para a mquina do cliente solicitando o


nome do usurio e a senha, (ou outras credenciais de autenticao, tais como o
resultado separado de um valor aleatrio), conforme tela a seguir.

Figura 29 Cliente solicita identificao do usurio (Fonte o autor).

62
c) O autenticador (LinkSys) envia a solicitao de acesso para o servidor do
RADIUS. Esta solicitao inclui um pedao das credenciais do usurio, criptografado
com o segredo compartilhado que inserido no servidor do RADIUS e no servidor
de acesso rede.

Figura 30 Chave secreta de autenticao (Fonte: o autor).

d) O servidor RADIUS primeiro verifica se a comunicao est vindo de um


autenticador autorizado, e se for, ele verifica as credenciais com aquelas em seu
banco de dados, depois envia a resposta para o servidor de acesso rede;
e) O servidor de acesso rede recebe um comando access_accept (acesso
aceito) ou access_reject (acesso negado) do servidor do RADIUS e usa este
resultado para definir se permite ou rejeita a tentativa de acesso do cliente.
rlm_eap_tls: >>> TLS 1.0 Handshake [length 0010], Finished
TLS_accept: SSLv3 write finished A
TLS_accept: SSLv3 flush data
(other): SSL negotiation finished successfully
Figura 31 Log do FreeRadius - conexo estabelecida (Fonte: Elaborado pelo Autor).

6.3.4 Configurao das estaes clientes


Um guia completo de configurao de clientes para Windows e Linux, pode
ser encontrado no stio do Instituto de Matemtica, Estatstica e Computao
Cientfica

(IMCC)

da

Universidade

de

Campinas

(UNICAMP)

em:

http://www.ime.unicamp.br/conteudo/rede-wireless. Segundo o stio, a rede sem fio


do IMECC pode ser utilizada a partir de qualquer computador com interface de rede

63
Wireless padro IEEE 802.11g compatvel como o protocolo de segurana IEEE
802.1X e suporte autenticao EAP/TTLS+PAP ou EAP/TLS.

6.4 Redes Distribudas


Segundo Higgins (2010), redes baseadas em WDS (Wireless Distribuition
system) so usadas para interconectar APs e estabelecer uma WLAN distribuda, de
modo que um ou mais APs so configurados com o mesmo SSID e formam uma
nica rede lgica dentro de um nico domnio de broadcast da camada 2.
No entanto, h um custo ao se usar WDS, conforme figura a seguir: clientes
associados com o roteador 2 usaro apenas metade da banda em relao queles
associados no roteador 1

Figura 32 Rede WDS (Fonte: http://4.bp.blogspot.com/1600/SimpleWDS.jpg).

6.5 Portais Cativeiros


Modelo adotado em pontos de acessos Internet em locais pblicos, tambm
conhecidos como Hot Spot, mediante autenticao WEB, atravs de ferramentas
de

cdigo

aberto

como

NoCauth,

(http://www.nocat.net)

ou

Wifidog

(http://www.wifidog.org).

6.6 Concluso
Neste captulo, buscou-se demonstrar a implementao de um modelo de
autenticao centralizada de redes wireless, baseada em ferramentas de cdigo
aberto, tambm citadas na literatura como open source. Para uma melhor
compreenso do modelo, foram demonstradas as fases de autenticao do cliente
rede wireless atravs da utilizao de certificados digitais especialmente criados
para este fim.

64
Como um dos principais objetivos do presente trabalho o estimulo ao uso de
solues abertas, destacamos o baixo custo, a flexibilidade e a confiabilidade das
ferramentas de cdigo aberto como as principais caractersticas das solues
apresentadas.
Finalmente, o captulo sugeriu, conforme recomendao presente na literatura
como soluo avanada de segurana, a utilizao de ferramentas que
implementam mtodos

do IEEE 802.1X e utilizam ao mximo as solues de

criptografia open source existentes, alm de certificados digitais para autenticao


de clientes de redes sem fio, como forma de mitigar riscos inerentes a este tipo de
rede.

65

7 Recomendaes

Ao longo deste trabalho, buscou-se mostrar que a gesto de segurana de


uma rede sem fio bem mais complexa do que em uma rede cabeada. Como
recomendaes finais, este capitulo sugere alguns procedimentos de segurana
baseados em boas prticas citadas na literatura.

7.1 Aspectos bsicos para gesto de segurana de Redes sem fio


7.1.1 Instalao das antenas
A forma de utilizao de redes wireless varia muito conforme o ambiente, se
aberto ou fechado. Em ambientes abertos extremamente recomendvel a
utilizao de Antenas externas (outdoor), preferencialmente antenas direcionais ou
setoriais. recomendvel que se contrate uma consultoria para a instalao e
posicionamento, para um melhor aproveitamento do ganho das antenas.
7.1.2 Qualidade do sinal
O nvel ou ganho do sinal tambm pode ser gerenciado. Se o dispositivo
permitir recomendvel reduzir o nvel de sinal para o alcance desejado.
Temos tambm a perda de sinal por efeito de interferncias e reas de
sombra. Obstculos tais como paredes de concreto que podem atenuar bastante a
qualidade do sinal.
7.1.3 Interferncias eletromagnticas
A Interferncia tambm um fator importante na faixa de 2.4 GHz. Uma
possvel soluo seria a utilizao de dispositivos na faixa de 5.8 GHz. Outro fator
importante o posicionamento das antenas e o gerenciamento de canais, pois
Acess Points operando no mesmo canal causam interferncia. A literatura
recomenda esparar os canais de 5 em 5 entre os Acess Points.

66
7.1.4 Configurao Padro
Alm de mudar a senha padro quando instalar os APs, deve-se tambm
alterar as configuraes padro: o SSID29, a senha de Administrao usada para
configurar o dispositivo e se necessrio nome da comunidade do SNMP (Simple
Network Management Protocol). Se possvel, utilizar APs sem fio que suportem
SNMPv2.
Desabilitar o SSID broadcasting uma recomendao recorrente, no entanto,
a Microsoftt (MICROSOFT, 2007) faz uma ressalva quanto eficcia desta soluo.
7.1.5 Atualizao do Firmware
Segundo o IEEE (1999) o firmware 30 seria a combinao entre o hardware e
instrues de um sofware residente em uma pequena memria s de leitura no
dispositivo (ROM31).
Deve-se verificar se h atualizaes de firmware para seus dispositivos, pois
alguns modelos antigos apresentam vulnerabilidades ou falhas que podem ser
exploradas. Instale sempre firmware recomendado pelo fabricante.
O OpenWrt um exemplo de firmware de cdigo aberto para personalizar
dispositivos Wireless. Pode ser encontrado em: https://openwrt.org.
7.1.6 Filtragem de MAC
A filtragem de endereo MAC permite configurar um conjunto de endereos
MAC permitidos para os clientes da rede sem fio. Habilitar a filtragem de MAC,
tambm uma recomendao de segurana de eficcia discutvel, pois tal soluo
adiciona uma sobrecarga administrativa para manter a lista de endereos permitidos
atualizada e no impede um ataque hacker de spoofing..
7.1.7 Conexes VPN
Algumas fontes recomendam a utilizao de uma rede privada virtual (VPN),
como camada adicional de segurana para a rede sem fio. No entanto, uso
adequado dos modernos padres 802.11 de segurana como WPA ou WPA2, pode
substituir as conexes VPN, uma vez que estas, para proteger redes sem fio
aumentam a complexidade e podem causar problemas de acesso para os usurios.
29

SSID sigla em ingls para o identificador do concentrador sem fio. Define um domnio de
broadcasting de uma Rede sem fio.
30
Firmware - programa em linguagem de hardware residente em uma memria ROM (memria de
leitura).
31
ROM Ready Only Memory memria s de leitura.

67
7.1.8 Proteo em Camadas
Segundo a Microsoft (MICROSOFT, 2007), o 802.1X o alicerce perfeito para
a segurana de redes sem fio, ento, como opo avanada pode-se adotar,
conforme sugerido no presente trabalho, a utilizao de controle em camadas para
limitar os danos, tais como:
a) Protocolos de Segurana - empregar os mecanismos de segurana
definidos no IEEE 802.11i (WPA, WPA2, 802.1X com o RADIUS);
b) Monitorao da Rede Wireless - implementar ferramentas de monitorao
no ambiente sem fio.
c) Engenharia de Rede - Adotar o uso de Firewall entre a rede Wireless e a
rede estruturada.
d) Segmentar a rede em VLANs, controlar o roteamento entre elas; e manter
desabilitado os pontos de rede sem uso;
e) Segurana nos clientes - aumentar o nvel de segurana dos clientes,
habilitar o uso de Firewall e proibir o uso de redes Ad-hoc;
e) Segurana nas Aplicaes - garantir que as aplicaes crticas, ou ainda,
as que manipulam dados sensveis, trafeguem criptografadas. O uso de certificados
digitais e do protocolo SSL so exemplos de criptografia para a camada de
aplicao; e
f) Por fim adotar polticas de atualizaes de software em ambientes
corporativos.
7.1.9 Limite de usurios
Por fim, no se deve sobrecarregar os APs sem fio com muitos clientes
conectados. Embora a maioria dos APs sem fio possa suportar centenas de
conexes sem fio o limite prtico de 20 a 25 clientes conectados. Uma mdia de
04 por usurios por AP seria uma boa mdia para maximizar o desempenho de
utilizao da LAN sem fio.

7.2 Consideraes finais


As recomendaes apresentadas neste captulo tm como referncias: o guia
Prticas de Segurana para Administradores de Redes Internet do CERT.br,
disponvel em: http://www.cert.br/docs/seg-adm-redes/, e o site especializado:
http://wirelessdefence.org/Contents/802.11Standards.htm
A autenticao centralizada baseada no padro 802.1X pode fornecer uma

68
camada adicional de segurana, no entanto, no deve ser utilizada como nica
soluo para a segurana da rede sem fios.
Outras vulnerabilidades, bem como uma srie de ferramentas para anlise,
auditoria e verificao de segurana de redes sem fio, para os sistemas
operacionais

Windows

GNU/Linux

podem

ser

obtidas

em

http://www.wirelessdefense.org.
Como contribuio final do trabalho importante destacar que o Ministrio de
Planejamento e Oramento e Gesto (MPOG) atravs da SLTI, oferece aos demais
rgos da Administrao Pblica Federal e sociedade, uma srie de
especificaes de referncia, na rea de TI, com destaque para o Guia de
Referncia para Redes sem Fio, disponvel em: http://www.governoeletronico.
gov.br/sisp-conteudo/nucleo-de-contratacoes-de-ti/projetos/especificacoes-de-tic-em
revisao.

7.3 Concluso
Independente do ambiente, se corporativo ou domstico, as recomendaes
deste captulo se aplicam a qualquer projeto de implantao de uma rede sem fio
padro IEEE 802.11.
Para cada soluo de gesto a ser adotada, devemos avaliar ferramentas e
topologias que atenda necessidade das aplicaes e do ambiente organizacional.
Levando-se em conta que no existe uma soluo 100% segura, temos ento, a
necessidade de integrar procedimentos, ferramentas e uma poltica de uso aceitvel
da rede corporativa.

69

8 Concluses e Trabalhos Futuros

8.1 Concluso
A evoluo tecnolgica e a consequente dependncia das organizaes,
trouxe consigo uma srie de novas ameaas, riscos e vulnerabilidades. Neste
contexto, o entendimento do problema bem como implementao de metodologias e
ferramentas adequadas, assumem importncia estratgica.
Baseado no acima exposto este trabalho buscou oferecer Administrao
Pblica Brasileira um estudo analtico sem natureza prescritiva sobre a
complexidade da implantao e gesto de segurana de redes sem fio dentro da
estrutura informacional de Organizaes, objetivando o fortalecimento de suas redes
e sistemas computacionais face s ameaas largamente citadas na literatura.
Para contribuir com a discusso acerca da gesto de segurana focou-se na
complexidade da gesto de redes sem fio tendo por base as caractersticas
especificas deste tipo de redes, suas vulnerabilidades e possveis solues, bem
como, o arcabouo normativo presente no ambiente organizacional.
Os objetivos de um modo geral foram de apresentar os principais mtodos e
boas prticas de segurana referenciadas e recomendadas na literatura, buscar
subsdios, mediante pesquisa de campo que pudessem embasar a anlise do tema
estudado dentro do ambiente organizacional pesquisado e apresentar as principais
ferramentas e solues para a gesto de redes sem fio.
Como

estratgia

para

atingir

estes

objetivos,

realizou-se

pesquisa

documental, bibliogrfica e de campo, adotando-se como instrumento de coleta de


dados um questionrio eletrnico elaborado atravs da ferramenta computacional de
cdigo aberto denominada Limesurvey, especfica para este fim, atravs da qual,
realizaram-se entrevistas junto a profissionais responsveis pela Segurana da
Informao em diversas Organizaes Militares especializadas em TIC.
Cumpre ressaltar que os resultados obtidos na pesquisa de campo no so
estatisticamente representativos de modo a inferir uma tendncia ou vulnerabilidade

70
relativa ao ambiente organizacional pesquisado. Os dados levantados apenas
trazem uma percepo da complexidade do tema, mesmo quando tratada entre
tcnicos de alto nvel.
A metodologia aplicada abriu espao para uma discusso mais abrangente
sobre o tema. A aplicao do questionrio, bem como as pesquisas documentais e
bibliogrficas,

serviu

de

base

para

sugestes

de

possveis

solues

recomendaes para Organizaes de pequeno ou mdio porte dentro da


Administrao Pblica Federal.
Dentre as possveis solues para ambientes corporativos, o presente
trabalho abordou a possibilidade de utilizao de ferramentas de gerncia
centralizada de usurios e de mquinas clientes que se conectam rede atravs de
dispositivos mveis, transferindo a administrao destes para um servidor de
autenticao.
O presente trabalho explicou tambm os principais componentes em nvel de
arquitetura, de um modelo de controle de acesso de rede e os protocolos de
segurana associados bastante referenciados na literatura, tais como IEEE 802.1X.
Algumas solues apresentam a possibilidade de utilizao de certificados
digitais para autenticao na rede sem fio. Tal possibilidade tem a desvantagem de
trazer uma maior complexidade soluo devido necessidade de requisitos
adicionais de segurana para o certificado digital da Autoridade Certificadora (CA),
item fundamental para a confiabilidade de uma Infraestrutura de chaves pblicas
(PKI).
No entanto, a despeito da complexidade, a utilizao de chaves pblicas pode
melhorar consideravelmente tambm a segurana de outros servios disponveis na
da rede, tais como: autenticao no domnio, acesso aplicaes WEB32, podendo
se tornar um dispositivo nico de autenticao em substituio de logins e senhas.
O trabalho tambm abordou a possibilidade de utilizao de ferramentas de
cdigo aberto como alternativa segura e de baixo custo para que organizaes
possam garantir a segurana de suas redes sem fio sem grandes investimentos.
De modo que o trabalho apresentou uma enorme diversidade de ferramentas
tecnolgicas, com recursos, custos e caractersticas distintas. No entanto, tal
diversidade dificulta a avaliao sobre a adoo da soluo mais adequada a uma

32

WEB Aplicaes baseadas no protocolo TCP/IP.

71
organizao especfica.
Baseado na premissa acima, retorna-se pergunta de partida: seria possvel
proteger adequadamente redes locais sem fio de computadores em organizaes
militares com recursos financeiros limitados.
As ferramentas de cdigo aberto apresentadas sugerem, desde que se tenha
uma equipe de profissionais capacitados e um projeto adequado, a possibilidade de
implementar os mesmos nveis de proteo oferecidos pelas ferramentas
comerciais.
Como contribuio deste trabalho razovel considerar o estmulo a
utilizao de ferramentas de cdigo aberto, em consonncia com a poltica de
software do Exrcito e do Governo Brasileiro. O esforo na capacitao e busca por
solues livres refora os objetivos da Estratgia Nacional de Defesa, pois permite a
aquisio do conhecimento e independncia tecnologia, em contraponto a simples
aquisio de solues comerciais.
Portanto, cresce de importncia o alinhamento das organizaes com o
planejamento estratgico do governo Federal principalmente no que se refere
utilizao de tecnologias abertas. Tudo isto, sem dispor do entendimento dos
gestores quanto a importncia estratgica de investimentos adequados em infraestrutura e segurana, bem como no estabelecimento de polticas e padronizao de
procedimentos.
importante destacar que o assunto tratado e as informaes colhidas
durante a pesquisa de campo so de natureza sensvel e no devem ser expostas
para se preservar as Organizaes pesquisadas.
Por fim, cumpre ressaltar que o presente trabalho no esgota todas as
vulnerabilidades das redes sem fio conhecidas na literatura, muito menos as
possibilidades de autenticao e mtodos de proteo para redes sem fio.

8.2 Trabalhos Futuros


Como trabalho futuro esta pesquisa sugere o desenvolvimento de uma
ferramenta grfica baseada em linguagem de cdigo aberto (PHP33, por exemplo)
para gerenciar usurios que se conectam ao FreeRADIUS, autenticando-os a partir
de uma base de dados ou LDAP, como proposta de uma soluo completa de baixo
custo para segurana de redes sem fio em organizaes governamentais.
33

PHP linguagem de programao de cdigo aberto para ambiente WEB.

72

Referncias e Fontes Consultadas

ABNT - ASSOCIAO BRASILEIRA DE NORMAS TCNICAS. Apresentao de


relatrios tcnico-cientficos: NBR 10719. ABNT: Rio de Janeiro, 1989. 9 p.
ABNT. ASSOCIAO BRASILEIRA DE NORMAS TCNICAS Tecnologia da
informao Tecnologia da Informao - Tcnicas de segurana - Gesto de
Risco para a segurana da informao: ABNT NBR ISO/IEC 27005:2008. Rio
de Janeiro, 2008.
ALBERTI, A.; CHAN, S.; NAVES, S. WiMax IEEE 801.16: Estudo da Tecnologia e
Requisitos para Modelamento e Simulao. 2005. Disponvel em:
<http://www.inatel.br/docentes/alberti/download/Artigo>. Acesso em: 04 abr.
2011.
BRASIL. Decreto de 29 de abril de 2003 da Presidncia da Repblica. Disponvel em
<https://www.governoeletronico.gov.br/acoes-e-projetos/guia-livre>. Acesso em
20 jun. 2011.
BRASIL. Estratgia Nacional de Defesa - Decreto n 6.703 do Presidente da
Repblica. Braslia, 2008.
CARRIN, D.; SOUZA, D. Avaliao de Protocolos de Autenticao em Redes sem
Fio. 2005, 145 f. Dissertao (Mestrado em Engenharia da Computao).
Universidade Federal do Rio de Janeiro, Rio de Janeiro, 2005.
CISCO Systems, Inc. Identify-Based Networking Systems Configuration guide, 2005.
Disponvel em: <http://www.cisco.com>. Acesso em: 16 Mai. 2009.
EXRCITO BRASILEIRO. Instrues Reguladoras sobre a utilizao da Internet por
todas as Organizaes do Exrcito Brasileiro (IR 20-26). Braslia, 2001.
EXRCITO BRASILEIRO. Instrues Gerais para a Segurana da Informao no
Exrcito Brasileiro IG 20-19. Braslia, 2001.
EXRCITO BRASILEIRO. Instrues Reguladoras Sobre Anlise de Riscos para
Ambientes de Tecnologia da Informao do Exrcito Brasileiro - IRRISC (IR 13
-10). Braslia, 2007.
EXRCITO BRASILEIRO. Instrues Reguladoras Sobre Segurana da Informao
nas Redes de Comunicao e de Computadores do Exrcito Brasileiro IRESER (IR 13-15). Braslia, 2007.

73
EXRCITO BRASILEIRO. Instrues Reguladoras Sobre Auditoria de Segurana de
Sistemas de Informao do Exrcito Brasileiro - IRASEG (IR 13-09). Braslia,
2007.
EXRCITO BRASILEIRO. Instrues Reguladoras Sobre Anlise de Riscos para
Ambientes de Tecnologia da Informao do Exrcito Brasileiro - IRRISC (IR 13
-10). Braslia, 2007.
EXRCITO BRASILEIRO. Plano de migrao para software livre IV Edio.
Braslia, 2010.
EXRCITO BRASILEIRO. Normas para o Controle da Utilizao dos Meios de
Tecnologia da Informao no Exrcito (NORTI). Braslia, 2010.
EARLE, A. Wireless Security Handbook. Boca Raton, Auerbach Publications, 2006.
ETTER, Andrew. A Guide to Wardriving and Detecting Wardrivers. Sans InfoSec
Reading Room, Sep 2002. Disponvel em http://www.sans.org/reading_room/
whitepapers/wireless/174.php>. Acesso em 20 Mai 2011.
FSF - FREE SOFTWARE FUNDATION. The Free Software Definition. 2007.
Disponvel em: <http://www.gnu.org/philosophy/free-sw.html>. Acesso em: 20
Jun. 2011.
GAST, M. 802.11 Wireles Networks the Definitive guide. Second Edition.
Sebastopol: O' Reilly, 2005.
GEIER, J. Implementing 802.1X Security Solutions for Wired and Wireless Networks.
Indianapolis: Wiley Publishing, 2008.
GORANSON, P. 802.11 - A Standard for the Present and Future. White Paper
Meetinghouse Data Communications: 2003. Disponvel em: <www.whitepapers.
zdnet.com>.Acesso em: 02 jun. 2011.
IEEE (INSTITUTE ELETRICAL AND ELETRONICS ENGINEERS). 802.1X Standarts
for Local e Metropolitan Area Network: Port-Based Network Access Control.
IEEE, New York, 2001.
IEEE (INSTITUTE ELETRICAL AND ELETRONICS ENGINEERS). Standard
Glossary of Software Engineering Terminology. 1990. Disponvel em
<http://www.idi.ntnu.no/grupper/su/publ/ese/ieee-se-glossary610.
121990.pdf>. Acesso em: 29 ago. 2011.
IEEE (INSTITUTE ELETRICAL AND ELETRONICS ENGINEERS). 802.16m (WiMAX
2.0) Standard to be completed in March; will anyone attend the coming out
party?
Artigo,
2011.
Disponvel
em:
<http://community.
comsoc.org/blogs/ajwdct/ieee-80216m-wimax-20-standard-be-completedmarch-will-anyone-attend-coming-out-party>. Acesso em: 17 jul. 2011.
HINGS, Tim. Everything You Need To Know About Wireless Bridging and Repeating
- Part 1: WDS. Artigo, 2010. Disponvel em: < http://www.smallnetbuilder. com/

74
wireless
/wireless-howto/31191-everything-you-need-to-know-about-wirelessbridging-and-repeating-part-1-wds>. Acesso em: 29 ago. 2011.
KHAN, J; KHWAJA, A. building secure network with 802.11. Indiana: Wiley
publishing, 2003.
KHADRAOUI, D; HERRMANN, F. Advances in enterprise information technology
security. Idea Group. 2007.
MARTINS, A. Estudo e implementao de infra-estrutura de chaves pblicas com
aplicao em controle de acesso a redes sem fio. 2004. 178 f. Dissertao
(Mestrado em Sistemas e Engenharia da Computao). Universidade Federal
do Rio de Janeiro, Rio de Janeiro, 2004.
MARKONI & LAKATOS. Tcnicas de Pesquisas. 3 Ed. - So Paulo: Atlas, 1996.
MICROSOFT . Wireless Deployment Recommendations and Best Practices. Artigo,
2007. Disponivel em <http://technet.microsoft.com/en-us/library/bb457091
.aspx>. Acesso em: 21 ago. 2011.
NETO, O; ARAJO, V. Implementando um Modelo de Gerenciamento Corporativo.
Artigo, 2007. Disponvel em <http://www. aeefsj.org.br/ arquivos/
artigos/gerenciamento_riscos_corporativo.pdf>. Acesso em: 20 mar. 2011.
NETO, M. A evoluo dos mecanismos de Redes Sem Fio 802.11. 2004. 27 f.
Monografia (graduao em Engenharia de Computao). Pontifcia
Universidade Catlica do Rio de Janeiro, Rio de Janeiro, 2004.
REMESH. Rede Mesh de Acesso Universitrio Faixa Larga Sem Fio. Niteroi, 2005
Disponvel em: <http://mesh.ic.uff.br/>Acesso em: 28 mar. 2011.
RUFINO, N. Segurana em Redes sem Fio. 2 ed. - So Paulo: Novatec Editora,
2005.
SILVA, A. Prova de conceito de um sistema para o gerenciamento integrado de
segurana em redes sem fio. 2006. 82 f. Dissertao (Mestrado em Engenharia
de Sistemas e Engenharia da Computao). Universidade Federal do Rio de
Janeiro, Rio de Janeiro, 2006.
SILVA,G.; SOUZA, J. N.Uma anlise dos mecanismos de segurana de redes locais
sem fios e uma proposta de melhoria. WorkShop de Segurana SBRC, Natal
RN: 2003. Disponvel em: <http://si.uniminas.br/>. Acesso em: 02 jul. 2011.
SIMON,I. A ARPANET,1997. Disponvel em: <http://www.ime.usp.br/~is/abc/abc/
node20.html> . Acesso em: 02 abr. 2011.
STRACCIALANO, A. A evoluo das Redes Celulares no Brasil. CPQP Campinas,
2008.
Disponvel
em:
<http://www.wirelessbrasil.org/wirelessbr/artigos/
Seguranca-UMTS-Geral.pdf>. Acesso em: 29 abr. 2011.

75
WI-FI ALLIANCE. Deploying Wi-Fi Protected Access (WPATM) and WPA2TM in the
Enterprise. 2005. Disponvel em: <http://www.wifi.org/white_papers/ whitepaper022705-deployingwpawpa2enterprise>. Acesso em: 20 de jul. 2011.
WRIGHT, J. COWPAtty. 2008. Disponvel em: <http://www.willhackforsushi.
com/Cowpatty.html>. Acesso em: 23 abr. 2011.
VILLELA et ALL. Redes 802.11 em Centros Urbanos: Varreduras, Estatsticas e
Aplicaes. 2006. 2 f.,V Workshop em Desempenho de Sistemas
Computacionais e de Comunicao.Artigo. Rio de Janeiro, 2007. Disponvel
em: <www.de9.ime.eb.br/~sousamaf/cd/pdf/arq0076.pdf>. Acesso em 23 jul. 11
YIN, R. Estudo de Caso: Planejamento e Mtodos. 4 Ed - Porto Alegre: Bookman,
2010.

76

Glossrio
A
AES. Do ingls Advanced Encryption Standard. Padro criptogrfico adotado em
2002 pelo NIST (National Institute of Standarts and Technology) dos Estados Unidos
da Amrica.
AirSnort. Ferramenta de cdigo aberto (open source) para redes sem fio que explora
vulnerabilidades do protocolo WEP, disponvel em http://sourceforge.net/projects/
airsnort/.
AP. Do Ingls Access Point. Dispositivo eletrnico que atua como ponte entre uma
rede sem fio e uma rede tradicional.
Assinatura digital. Cdigo criptogrfico utilizado para verificar a integridade de um
texto ou mensagem eletrnica.
Autoridade certificadora. Entidade responsvel por emitir certificados digitais.

B
Backbone. Termo em ingls para canal de comunicao que suporta uma grande
quantidade de dados.
Bluetooth. Termo que se refere a uma tecnologia de rdio-freqncia (RF) de baixo
alcance, utilizada para a transmisso de voz e dados.

C
Certificado digital. Arquivo eletrnico, assinado digitalmente, que contm dados de
uma pessoa ou instituio, utilizado para comprovar sua identidade.
CCMP. Do ingls Counter Mode with Cipher block Chaining Message Authentication
Code Protocol. O CCMP o protocolo usado pelo WPA2 para encriptao das
mensagens transmitidas.
CDMA. Do ingls Code Division Multiple Access. Tecnologia de comunicao para
telefonia celular digital.
CTA e CT. Centros de Telemtica de rea e Centros de Telemtica. Organizaes
Militares especializadas do Exrcito Brasileiro, distribudas por diversas regies do
Territrio Nacional, responsveis pela gesto e apoio em Tecnologia da Informao
e

Comunicaes

responsabilidade.

demais

Organizaes

Militares,

em

suas

reas

de

77

F
Firewall. Dispositivo eletrnico constitudo pela combinao de software e hardware,
utilizado para dividir e controlar o acesso entre redes de computadores.

H
Hotspot. Local onde adaptadores Wi-Fi se comunicam com um ponto de acesso e
tm conexo com a internet.

I
IEEE. Acrnimo para Institute of Electrical and Electronics Engineers, uma
organizao composta por engenheiros, cientistas e estudantes, que desenvolvem
padres para a indstria de computadores e eletroeletrnicos.
G
GSM. Do ingls Global Sistem for Mibile Comunications. Tecnologia para telefonia
Celular.

P
PDA. Do ingls Personal Digital Assistant. Assistente Digital Pessoal, pequeno
dispositivo de computao mvel, tambm chamado de palmtop.
PSK. Do ingls Pr-Shared Key. Chave pr-compartilhada do protocolo de
segurana WPA-PSK.
PKI Do ingls Private Key Infraestruture. Infraestrutura de chaves pblicas.

R
RC4. algortimo criptogrfico baseando em senha de fluxo, utilizado no protocolo
WEP.
FRC. Do ingls Request for Comments. Especificaes tcnicas produzidas pelo
IETF

(Internet

Engineering

Task

Force),

comunidade

internacional

de

pesquisadores, fabricantes, operadores e tcnicos para o desenvolvimento da


Internet.

S
Spoofing. Tentativa de ganhar acesso ao sistema iludindo ser um usurio
autorizado.

78
SSID. Do ingls Service Set Identifier. Um nome especificado pelo usurio que
identifica uma rede sem fio 802.11.

T
TKIP. Do ingls Temporal Key Integrity Protocol. Protocolo de encriptao
desenvolvido pela WI-FI Alliance para o WPA.

W
WLAN. Do Ingls Wireless Local-Area Network. Refere-se a um tipo de rede que
utiliza ondas de rdio de alta freqncia de grande abrangncia geogrfica.
WepCrack. Ferramenta de cdigo aberto (open source) para quebrar senhas do
protocolo WEP, disponvel em http://wepcrack.sourceforge.net/.
WepAttack. Ferramenta de cdigo aberto (open source) para quebrar senhas do
protocolo WEP, disponvel em http://wepattack.sourceforge.net/.