Você está na página 1de 105
FACULDADE DE TECNOLOGIA SENAI DE DESENVOLVIMENTO GERENCIAL - FATESG CURSO SUPERIOR DE TECNOLOGIA EM REDES

FACULDADE DE TECNOLOGIA SENAI DE DESENVOLVIMENTO GERENCIAL - FATESG

CURSO SUPERIOR DE TECNOLOGIA EM REDES DE COMPUTADORES

André Luiz Ramos de Souza Diego de Souza Lopes

Controle de Acesso à Rede com PacketFence

GOIÂNIA

2011

André Luiz Ramos de Souza Diego de Souza Lopes

Controle de Acesso à Rede com PacketFence

Trabalho de conclusão de curso apresen- tado à Faculdade de Tecnologia SENAI de Desenvolvimento Gerencial - FATESG, para obtenção do título de Graduado em Tecnologia em Redes de Computadores.

Orientador:

Prof. MSc. Maurício Severich

GOIÂNIA

2011

i

André Luiz Ramos de Souza Diego de Souza Lopes

Controle de Acesso à Rede com PacketFence

Trabalho de conclusão de curso apresentado à Faculdade de Tecnologia SENAI de

Desenvolvimento Gerencial - FATESG, para obtenção do título de Graduado em

Tecnologia em Redes de Computadores.

Aprovada em

de

de 2011.

Banca Examinadora

Prof. MSc. Maurício Severich Orientador

Prof. MSc. Rafael Leal Martins Faculdade de Tecnologia SENAI - FATESG

Prof. MSc. Diogo Nunes de Oliveira Faculdade de Tecnologia SENAI - FATESG

ii

DEDICATÓRIA

Aos nossos pais, esposas, filhos e à todos aqueles que nos deram apoio sempre que necessário.

iii

AGRADECIMENTOS

Agradecemos a Deus em primeiro lugar, que nos deu a oportunidade de ini- ciar este curso e forças para concluí-lo. Aos nossos pais, sem os quais não podería- mos estar onde estamos hoje. Aos professores Maurício Severich e Maurício Lopes pela confiança dada a nós, orientação e paciência. Também ao Wagner Kuramoto e Fernando Tsukahara por nos ajudar com recursos necessários para a realização desse trabalho. A todos aqueles que contribuíram de forma direta e indireta na conclusão deste trabalho.

iv

Epígrafe

"As pessoas que são loucas o suficiente para achar que podem mudar o mundo são aquelas que o mudam."

Comercial Pense Diferente da Apple,

1997

v

Resumo

Este trabalho tem como escopo demonstrar através de implementação a utilização do software PacketFence para controlar o acesso de novos dispositivos (Notebook, Desktop) à infraestrutura de rede de computadores utilizando conexões Ethernet ca- beadas. Para fazer esse controle o PacketFence faz uso de tecnologias open source, entre elas, o Nessus, ferramenta utilizada para fazer varreduras de computadores a procura de vulnerabilidade de softwares que comprometa a segurança dos dados que estão armazenados no dispositivo, o FreeRadius aplicativo que faz autenticação e au- torização de usuário e dispositivo para acesso a rede de computadores, banco de dados MySQL, utilizado para armazenar dados, o Snort, aplicativo que detecta ten- tativas de intrusão a rede, Servidor web Apache HTTPD para fornecer páginas web e Captive portal. Também serão abordados os protocolos 802.1x, 802.1q, Simple Network Manager Protocol (SNMP) e Dynamic Host Configuration Protocol (DHCP). Nesse documento o leitor irá encontrar breve descrição das aplicações e protocolos citados e também o detalhamento da instalação, configuração e funcionalidades do PacketFence em redes cabeadas.

vi

Abstract

This work aims to demonstrate by means of the use of the software implementa- tion PacketFence. It is used to control the access of new devices (notebooks, desk- tops) to the network infrastructure of computers using wired Ethernet connections. To make this control PacketFence uses open source technologies, including the Nessus scanning tool. It is used to make searches about computer software vulnerability that compromise the security of data that is stored on the device. It include FreeRadius application that makes authentication and authorization and user access device to the computer network, MySQL database used to store data, Snort application that detects intrusion attempts to the network, Apache HTTPD web server to provide web pages and Captive portal. It also will be discussed 802.1x protocol, 802.1q, Simple Network Manager Protocol (SNMP) and Dynamic Host Configuration Protocol (DHCP). In this document the reader will find brief description of applications and protocols mentioned early as well the details of the installation, configuration and functionality of Packet- Fence in wired networks.

vii

Sumário

Lista de Figuras

 

xi

Lista de Siglas

xiv

1

INTRODUÇÃO

1

1.1

OBJETIVOS

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

3

1.2

METODOLOGIA

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

3

2

FERRAMENTAS, PADRÕES, PROTOCOLOS E TECNOLOGIAS

 

5

2.1

O QUE É NETWORK ACCESS CONTROL ?

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

5

2.1.1

Tipos de NAC

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

6

2.1.2

NAC: Primeira Geração

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

7

2.1.3

NAC: Segunda Geração

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

8

2.1.4

O que é Network Access Protection ? .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

8

2.1.5

O que é Network Admission Control ?

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

8

2.2

DYNAMIC HOST CONFIGURATION PROTOCOL

.

.

.

.

.

.

.

.

.

.

.

.

.

.

9

2.2.1

DHCP Fingerprint .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

10

2.2.1.1

Como Funciona

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

10

2.3

CAPTIVE PORTAL .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

12

2.4

RADIUS .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

13

2.5

IEEE 802.1X

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

14

2.5.1

Extensible Authentication Protocol

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

17

2.6

SIMPLE NETWORK MANAGEMENT PROTOCOL

.

.

.

.

.

.

.

.

.

.

.

.

.

.

19

Sumário

viii

2.6.1

Arquitetura .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

19

2.6.2

Gerente .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

19

2.6.3

Agente

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

20

2.6.4

MIB

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

20

2.6.5

Versões .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

21

2.7

NETFLOW / IPFIX

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

21

2.8

IEEE 802.1Q

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

22

2.9

INTRUSION DETECTION SYSTEM

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

24

2.9.1

Snort

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

24

2.10

NESSUS

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

26

3

INTRODUÇÃO AO PACKETFENCE

 

28

3.1

O QUE É PACKETFENCE ? .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

28

3.1.1

Visão Geral

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

28

3.1.2

Modos PacketFence

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

30

3.1.3

Integração Wireless

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

30

3.1.4

Registro de Dispositivos

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

30

3.1.5

Detecção de Atividade Anormal

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

31

3.1.6

Remediação de Dispositivos

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

31

3.1.7

Gerenciamento Baseado em Linha de Comando e Web

.

.

.

.

.

.

.

.

31

3.1.8

Gerenciamento Flexível de VLAN

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

32

3.1.9

Tipos de Violação .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

32

3.1.10

Registro Automático

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

33

3.1.11

Expiração

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

33

3.1.12

Acesso a Visitantes

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

33

Sumário

ix

4.1

CONFIGURAÇÃO DE HARDWARE

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

35

4.2

MODELO DE TOPOLOGIA

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

35

4.3

CONFIGURAÇÕES

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

37

4.3.1

Interface de Rede .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

37

4.3.2

SELinux

 

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

39

4.3.3

MySQL

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

40

4.3.4

PacketFence .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

40

4.3.4.1

pf.conf .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

50

4.3.4.2

networks.conf

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

52

4.3.4.3

switches.conf .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

54

4.3.5

Configuração do Switch .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

54

4.3.5.1

Modo Access .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

55

4.3.5.2

Modo 802.1x

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

56

4.3.6

Autenticação

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

58

4.3.6.1

Local

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

58

4.3.6.2

RADIUS

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

59

4.3.7

Acesso à Internet .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

60

4.3.8

Habilitando o Snort .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

60

4.3.9

Habilitando o Nessus

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

61

5

RESULTADOS OBTIDOS

 

62

5.1

Tradução

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

70

6

CONSIDERAÇÕES FINAIS

 

72

Referências

 

74

Sumário

x

A.1

Procedimentos para Instalação

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.