SISTEMA DE SEGURANA SEM FIO PARA O POP-PI/RNP

Bolsista: Vincius Pires de Moura Freire Orientador: Carlos Giovanni Nunes de Carvalho Coodenador: Nathan Franklin Saraiva de Sousa

Teresina Dezembro/2007
1

SUMRIO
1.0 RESUMO DO PROJETO......................................................................................................................6 2.0 JUSTIFICATIVA DE EXECUO DO PROJETO......................................................................................7 3. OBJETIVOS E METAS...........................................................................................................................8 4.0 SISTEMA IMPLANTADO ATERIORMENTE..........................................................................................9 4.1 WEP....................................................................................................................................................9 4.1.1 PROBLEMAS BEM DOCUMENTADOS DO WEP ...........................................................................9 4.2 ACESS POINT LINKSYS WAP55AG .....................................................................................................11 4.3 FERRAMENTAS PARA REDES SEM FIO ..............................................................................................13 4.3.1 KISMET .....................................................................................................................................13 4.3.2 AIRODUMP-NG.........................................................................................................................15 4.3.3 AIRCRACK-NG...........................................................................................................................15 4.3.4 AIREPLAY-NG............................................................................................................................16 5.0 SISTEMAS DE SEGURANA .............................................................................................................17 5.1 FERRAMENTAS UTILIZADAS NA SOLUO ESCOLHIDA ....................................................................17 5.1.1 SISTEMA OPERACIONAL ...........................................................................................................17 5.1.2 IPTABLES ..................................................................................................................................17 5.1.3 WIFIDOG ..................................................................................................................................18 5.1.4 POSTGRESQL ............................................................................................................................19 5.1.5 FREERADIUS .............................................................................................................................19 5.1.6 APACHE ....................................................................................................................................20 5.1.7 PHP...........................................................................................................................................20 5.1.8 PHPPGADMIN ..........................................................................................................................21 6.0 RESULTADOS..................................................................................................................................22 7.0 DIFICULDADES ENCONTRADAS.......................................................................................................24 ANEXOS ...............................................................................................................................................25 ANEXO 1 TUTORIAL PARA INSTALAO DO SISTEMA DE SEGURANA WIRELESS UTILIZANDO WIFIDOG E FREERADIUS.......................................................................................................................25 INSTALAO DO SERVIDOR DE BANCO DE DADOS ................................................................................25 PREPARANDO O DEBIAN PARA A INSTALAO DO WIFIDOG-AUTH ......................................................26 CONFIGURANDO O AUTH SERVER .........................................................................................................27 CONFIGURANDO O POSTGRESQL ..........................................................................................................30 CONTINUAO DA INSTALAO DO WIFIDOG-AUTH............................................................................34 INSTALAO DO WIFIDOG GATEWAY....................................................................................................47 DHCP .................................................................................................................................................51 WIFIDOG-GATEWAY..........................................................................................................................52 AUTENTICAAO RADIUS....................................................................................................................56 ANEXO 2 - TUTORIAL PARA CONFIGURAR UM SISTEMA DE ACESSO SEM FIO SEGURO UTILIZANDO WINDOWS SERVER 2003......................................................................................................................59 RESUMO.................................................................................................................................................59 AUTENTICAO PEAP-MS-CHAP V2 .......................................................................................................60 DC1....................................................................................................................................................62 IAS1 ...................................................................................................................................................76 Wireless AP .......................................................................................................................................82

AUTENTICAO EAP-TLS ............................................................................................................................83 DC1....................................................................................................................................................83 IAS1 ...................................................................................................................................................89 CLIENT1 .............................................................................................................................................92 13. Se as credenciais estiverem corretas, CLIENT1 ser conectado rede sem fio. ......................98 BIBLIOGRAFIA ......................................................................................................................................99

NDICE DE FIGURAS
Figura 1 - Linksys WAP55AG ....................................................................................... 11 Figura 2 - Kismet............................................................................................................ 14 Figura 3 - Airodump-ng - Capturando pacotes............................................................... 15 Figura 4 - Aircrack-ng - desvendando chave WEP ........................................................ 16 Figura 5 Wifidog ......................................................................................................... 19 Figura 6 Apache Servidor Web ................................................................................ 20 Figura 7 - phpPgAdmin .................................................................................................. 21 Figura 8 - Wifidog-Auth - Primeira tela de instalao ................................................... 28 Figura 9 - Wifidog-Auth - Segunda Tela de instalao.................................................. 29 Figura 10 - phpPgAdmin - Logando pela primeira vez.................................................. 32 Figura 11 - phpPgAdmin - criando usurio .................................................................... 32 Figura 12 - phpPgAdmin - Criando usurio wifidog...................................................... 33 Figura 13 - phpPgAdmin - Criando banco de dados wifidog......................................... 33 Figura 14 - phpPgAdmin - Banco de Dados criado ....................................................... 34 Figura 15 - Wifidog-Auth - Tela 3 ................................................................................. 35 Figura 16 - Wifidog-Auth - Permisses OK................................................................... 36 Figura 17 - Dependencias do Wifidog-Auth .................................................................. 37 Figura 18 - Wifidog-Auth - Configurao de acessp ao banco de dados ....................... 44 Figura 19 - Wifidog-Auth - Tela de configuraes de Linguagem ................................ 44 Figura 20 - Criando uma conta de administrador do Portal ........................................... 45 Figura 21 - Acessando o Portal de Autenticao pela Primeira vez............................... 46 Figura 22 - Menu disponvel para o administrador do portal ......................................... 46 Figura 23 - Criando a rede PoP-PI no Portal .................................................................. 55 Figura 24 - Adionando novo Node ................................................................................. 57 Figura 25 - Pgina Principal da Rede PoP-PI................................................................. 58 Figura 26 - Disposio da Infra-estrutura do Sistema .................................................... 62 Figura 27 - Editando permisses padro do Active Directory ....................................... 65 Figura 28 - Assistente para novos escopos..................................................................... 67 Figura 29 - Assistente para novos escopos - Servidor de nomes e de domnio e DNS.. 68 Figura 30 - Modificando as permisses de Administrador para o certificado................ 70 Figura 31 - Adicionando o grupo WirelessUsers para o domnio .................................. 73 Figura 32 - Adicionando usurios no grupo WirelessUsers ........................................... 74 Figura 33 - Adicionando computadores clientes ao grupo WirelessUsers..................... 75 Figura 34 - Certificados (Computador Local) ................................................................ 77 Figura 35 - Adicionando um novo cliente RADIUS ...................................................... 79 Figura 36 - Selecionando grupos .................................................................................... 80 Figura 37 - Propriedades do certificado modelo ............................................................ 85 Figura 38 - Configurando o modelo de certificado ........................................................ 86 Figura 39 - Editor de objeto de diretiva de grupo .......................................................... 87 Figura 40 - Solicitao de certificado automtica .......................................................... 88 Figura 41 - Propriedades de Configuraes de registro automtico............................... 89 Figura 42 - Selecionar provedores EAP ......................................................................... 90 Figura 43 - Editando SmartCard ou outro certificado .................................................... 90 4

Figura 44 - Movendo o Smartcard ou outro certificado para o primeiro da lista de provedores EAP.............................................................................................................. 91 Figura 45 - Escolhendo uma rede sem fio para conectar................................................ 93 Figura 46 - Modificando as propriedades da rede sem fio pop ..................................... 94 Figura 47 - Escolhendo o tipo de EAP para a conexo .................................................. 95 Figura 48 - Ajustando as propriedades do PEAP para a conexo .................................. 96 Figura 49 - Propriedades EAP MSCHAPv2 .................................................................. 96 Figura 50 - Propriedades finais da Conexo................................................................... 97 Figura 51 - Inserindo as credenciais registradas no Active Directory para conectar Rede Sem Fio ................................................................................................................. 97

1.0 RESUMO DO PROJETO

As redes sem fio tornaram-se uma realidade e ao que tudo indica ser o futuro da Internet. J possvel ter acesso a grande rede de computadores atravs de notebooks, palms e celulares em aeroportos, cyber cafs, no campus da universidade e at mesmo interligar matriz e filial de uma empresa, sem a presena de cabos. As redes sem fio tm sido amplamente utilizadas por instituies e empresas, por disponibilizar uma instalao rpida e simples; flexibilidade, atendendo a pontos onde cabos no podem chegar; Escalabilidade, pois assume facilmente diversas topologias de acordo com as necessidades e apresenta uma manuteno de baixo custo. Porm existem desvantagens em se optar em utilizar redes Wireless. Alm de a implantao ter um custo muito elevado, devido a equipamentos ainda serem caros, as medidas que garantem a segurana e privacidade do trfego de informaes o principal tema em redes sem fio. Pois os mtodos existentes ainda so vulnerveis e propcios a serem quebrados. Porm os riscos que afetam a integridade e confidencialidade das informaes trocadas em redes Wireless, podem ser minimizados atravs da utilizao em conjunto dos mtodos de segurana existentes para este tipo de rede. Portanto, esse trabalho de pesquisa e implementao descreve os principais conceitos e terminologias de segurana em redes sem fio, bem como mtodos que amenizam as vulnerabilidades e ferramentas que foram utilizadas, detalhando suas principais funcionalidades. Ao final do trabalho, encontra-se um tutorial do Sistema de Segurana em Redes sem Fio implementado para a infra-estrutura de LAN (Local rea Network) no Ponto de Presena da RNP no Piau (PoP-PI/RNP), localizado na Fundao de Amparo Pesquisa do Estado do Piau FAPEPI. 6

2.0 JUSTIFICATIVA DE EXECUO DO PROJETO

Redes sem fio ou Wireless, que provm do ingls: wire (fio, cabo), less (sem), uma rede onde o compartilhamento de informaes entre dois ou mais dispositivos feita sem a utilizao de cabos, ou seja, a transmisso feita atravs de ondas de rdio. As redes sem fio esto sendo cada vez mais utilizadas para prover conectividade, seja por oferecer taxas de transmisso comparveis as redes guiadas e por disponibilizar acesso pelo ar, podendo desta forma est acessvel rede sem a necessidade de estar conectado diretamente a um cabo. Alm de ser uma tecnologia relativamente recente, muitas vulnerabilidades podem ser encontradas e outras ainda sero descobertas transformando-a em um ambiente potencialmente inseguro. Nesse contexto, pessoas mal intencionadas exploram as

vulnerabilidades das redes Wireless com uso de ferramentas desenvolvidas especificamente para esta finalidade, podendo ter acesso rede e comprometer os equipamentos e servios. Com o intuito de garantir a integridade e confidencialidade das informaes trocadas em dispositivos Wireless, um sistema de segurana em redes sem fio de extrema importncia para poder detectar e inibir possveis acessos no autorizados rede. Para tal, foram utilizadas tcnicas de criptografia e softwares de autenticao.

3. OBJETIVOS E METAS

Este projeto ir analisar as vulnerabilidades das redes Wireless, as tcnicas de ataques e as ferramentas mais utilizadas por pessoas mal intencionadas para o comprometimento destas redes, tendo como objetivo apresentar solues necessrias para que medidas de segurana possam ser utilizadas. Portanto o objetivo principal desse trabalho conhecer as caractersticas das redes sem fio com nfase em segurana, o que torna possvel a implantao de uma Rede Local sem fio (WLAN) no Ponto de Presena da RNP no Piau (PoP-PI/RNP) e o desenvolvimento de um tutorial com estratgias de segurana para estas redes. A meta analisar, planejar e implementar uma rede wireless com foco em segurana. Garantindo desta forma um ambiente propcio e seguro a troca de informaes. Alm de construir um tutorial completo sobre redes sem fio, a fim de disponibiliz-lo s instituies de ensino parceiras da RNP, como tambm a outras entidades pblicas e privadas interessadas no assunto.

4.0 SISTEMA IMPLANTADO ATERIORMENTE

O sitema implantado anteriormente no POP-PI era baseado utilizava apenas a criptografia WEP (Wired Equivalent Privacy) implementada no Acess Point Linksys WAP55AG. Nas prximas linhas este protocolo ser detalhado, assim como suas vulnerabilidades e as caractersticas deste Ponto de Acesso.

4.1 WEP

WEP um padro do IEEE 802.11, ratificado em 1999. Ele foi desenvolvido na tentativa de inserir segurana no processo de autenticao, confiabilidade e proteo na comunicao entre dispositivos Wireless. Porm inseguro devido sua arquitetura. O algoritmo do WEP simtrico uma vez que usa chaves compartilhadas. As chaves criptogrficas, chamadas de chaves WEP, devem ser as mesmas no cliente e no access point. O WEP baseado em um processo criptogrfico RC4. Ele emprega uma chave secreta de 40 ou 104 bits que compartilhada entre os clientes e o access point da rede. Durante a transmisso do pacote um vetor de inicializao (IV - Initialization Vector) de 24 bits escolhido randomicamente e anexado chave WEP para formar a chave de 64 ou 128 bits.

4.1.1 PROBLEMAS BEM DOCUMENTADOS DO WEP

Atualmente os access points de muitas redes utilizam uma simples chave WEP que compartilhada para todos os clientes. Com isso, a

integridade e o sigilo desta chave global so quase impossveis de serem gerenciadas. A chave na realidade no consegue ser mantida em segredo. Como esta chave deve ser programada em todos os dispositivos autorizados praticamente impraticvel para redes com muitos clientes. Outro ponto importante a mudana desta chave. Caso necessrio isso acarretaria a modificao em todos os clientes. Como dito anteriormente, qualquer dispositivo subtrado coloca em risco a chave WEP global o que torna o ambiente potencialmente inseguro. Entretanto, o maior problema com o WEP a forma como concebido e utilizado. Desde que foi proposto, o algoritmo foi estudado e inmeras vulnerabilidades na implementao foram encontradas. A mais conhecida relacionada a determinados valores do IV que quando utilizados podem fazer com que a chave WEP seja facilmente identificadas. J chaves com valores do IV arbitrrios podem demorar algumas dezenas de minutos a mais para serem quebradas. Outro fator decisivo que apesar de propor a autenticao e privacidade, este algoritmo no prov de forma efetiva a autenticao de dispositivos. J que no suporta autenticao mtua, pois o access point no autenticado pelo cliente e a autenticao do cliente no consegue distinguir dois hosts diferentes. Dadas as vulnerabilidades da criptografia WEP, foi necessrio implementar outro sistema de segurana mais eficiente para o POP-PI.

10

4.2 ACESS POINT LINKSYS WAP55AG

Figura 1 - Linksys WAP55AG

O Acess Point adquirido pelo POP-PI para a implantao da Rede Sem Fio foi o Dual-Band Wireless A + G Access Point da Linksys. Apesar de possuir os padres 802.11 A, B e G, ele deixa a desejar na segurana, pois suporta apenas a criptografia WEP que, como j visto anteriormente, fcil de ser quebrada devido s falhas de segurana. Outra configurao de segurana que pode ser feita no Access Point Pre-Shared Key + RADIUS, utilizando um servidor Radius que possui uma chave compartilhada e autentica os usurios atravs de EAP-TLS ou PEAP. Esta opo deve apenas ser usada quando um servidor RADIUS est conectado ao ponto de acesso. Primeiramente necessrio selecionar o tipo de criptografia, TKIP ou AES. Logo aps, necessrio inserir o Endereo IP do Servidor RADIUS e o nmero da porta, juntamente com a chave de autenticao compartilhada pelo ponto de acesso e o servidor. Por ltimo, pode-se inserir o perodo de renovao da chave, que instrui o ponto de acesso a freqncia com que ele deve alterar as chaves de criptografia. Os protocolos aqui descritos esto bem explicados no Anexo 2. possvel relacionar alguns pontos fracos na segurana deste ponto de acesso:

11

 No suporta WPA e WPA2: O Wi-Fi Protected Acess (WPA e WPA2) foram implementados para aumentar o nvel de segurana nas redes sem fio, combatendo as vulnerabilidades da criptografia WEP. Uma das melhores vantagens sobre o WEP a implementao do protocolo TKIP (Temporal Key Integrity Protocol), que troca as chaves dinamicamente a medida que o sistema utilizado. Quando isto se combina com um vetor de inicializao (IV) muito maior, evita os ataques de recuperao de chave ao qual o WEP est suscetvel. Adicionalmente autenticao criptografada, o WPA tambm melhora a integridade da informao cifrada. Ele implementa o MIC (Message Integrity Code), tambm conhecido como Michael. No WPA tambm foi inserido o EAP (Extensible Autentication Protocol) um modelo para autenticao dos usurios, que utilza o padro 802.11x e aceita vrios mtodos de autenticao, incluindo a possibilidade de utilizar certificados digitais. Ele pode ser usado com outras tecnologias, como um servidor RADIUS. No suporta OpenWrt: OpenWrt uma verso de Linux para dispositivos embarcados como gateways residenciais. O suporte foi originalmente limitado a srie WRT54G Linksys. Os roteadores mais populares so os da srie WRT54G, WL500G e asus. OpenWrt usa, principalmente, uma interface de linha de comando, mas tambm apresenta uma interface GUI opcional baseado na Web. Existem bastantes sistemas de segurana em redes sem fio para OpenWrt.

12

4.3 FERRAMENTAS PARA REDES SEM FIO

Durante o estudo da vulnerabilidade das redes sem fio, foram utilizados alguns softwares especficos para as redes sem fio, desde os programas de monitoramento das mesmas, at programas para a quebra das chaves.

4.3.1 KISMET

Kismet um software utilizado para detectar, monitorar e analisar redes sem fios e seus pacotes. Ele funciona como um farejador (sniffer), pois captura todos os pacotes da rede sem fio (802.11 a,b,g), sem estar conectado nela. O kismet compatvel com todas as placas de rede sem fio que suportam a modalidade de monitorao RFMON (monitor). Alm de funcionar como sniffer, este programa ainda gera dados relacionados localizao aproximada do dispositivo monitorado. Isto realizado atravs da unio das caractersticas do Kismet com um GPS. Outro ponto favorvel em relao s outras ferramentas que automaticamente salva todas as redes encontradas. Ele foi utilizado no POP-PI em conjunto com o AirCrack-ng para testar a vulnerabilidade da soluo da rede sem fio que era implementada (WEP).

13

Figura 2 - Kismet

14

4.3.2 AIRODUMP-NG

O Airodump-ng uma ferramenta utilizada para a captura de pacotes que trafegam na rede sem fio e particularmente adequada para coletar quadros IVs (vetor de inicializao do WEP) na inteno de us-las com o aircrack-ng.

Figura 3 - Airodump-ng - Capturando pacotes

4.3.3 AIRCRACK-NG

Aircrack um programa de violao de chaves WEP e WPA-PSK 802.11 que pode recuperar chaves depois de capturar pacotes suficientes. Ele implementa o ataque padro FMS junto com alguns otimizaes de ataques conhecidas como KoreK, tornando assim o ataque muito mais rpido comparado a outros programas de violao de WEP. Na verdade, Aircrack um conjunto de ferramentas de auditoria de redes sem fio. No POP-PI ele foi 15

utilizado para analisar os pacotes capturados pelo Kismet ou Airodump-ng e, conseqentemente, quebrar a chave do WEP.

Figura 4 - Aircrack-ng - desvendando chave WEP

4.3.4 AIREPLAY-NG

O Aireplay-ng usado para injetar pacotes na rede. Sua funo principal gerar trfego para uso posterior no aircrack-ng para quebra de chaves WEP e WPA-PSK.

16

5.0 SISTEMAS DE SEGURANA

Durante a fase de implementao do sistema de Segurana do POP-PI foram realizados diversos testes para testar a eficincia de cada sistema. Dentre os sistemas de segurana vistos durante o estudo esto: Chillispot, NoCat, Wifidog (hotspots utilizando Radius), todos utilizando a plataforma linux e um sistema implementado utilizando Windows Server 2003. No final deste trabalho foram desenvolvidos tutoriais da instalao destes dois ltimos sistemas.

5.1 FERRAMENTAS UTILIZADAS NA SOLUO ESCOLHIDA

Nesta seo sero detalhadas as ferramentas utilizadas na soluo escolhida para o PoP-PI. Depois de descrita cada uma delas, ser exposta (no prximo captulo) suas vantagens em relao outra soluo testada.

5.1.1 SISTEMA OPERACIONAL

O sistema operacional utilizado foi o Debian 4.0 Etch r0. Este S.O. foi escolhido devido ao fato dos servidores do POP-PI j estarem configurados nesta distribuio e terem sua eficincia comprovada, ao longo de vrios anos.

5.1.2 IPTABLES
O Iptables atua como uma ferramenta de segurana, trabalhando com filtragem de pacotes e utilizado para criar as regras de Firewall e Nat. O Iptables pode ser configurado para filtrar e at alterar dados empacotados, com 17

base em diversos critrios, como endereo de origem e destino de pacotes. Com o Iptables pode-se implementar recursos no Kernel, como a ispeno de posio de pacotes, aumentando muito a habilidade de um firewall e consequentemente, protegendo o computador onde o mesmo foi instalado e configurado.

5.1.3 WIFIDOG

O Wifidog um projeto Open Source de soluo de portal captivo para aqueles que desejam operar um hotspot aberto ou rede de pontos de acesso impedindo abuso da conexo com a Internet. O projeto foi iniciado por le Sans Fil e est continuamente em produo. Wifidog foi projetado para ter um opcional controle de acesso centralizado, estatsticas de largura de banda e contedo local especfico para cada ponto de acesso. Ele no depende de janelas utilizando JavaScript, portanto, ele funciona com qualquer plataforma com um navegador Web, incluindo PDAs e telefones. Ele desenvolvido em C para facilitar a incorporar sistemas (foi projetado para o Linksys WRT54G, mas executado em qualquer plataforma Linux recente). Uma instalao Tpica s leva 30kb no I386, e uma instalao completa pode ser feita em 10 KB, se necessrio. O Wifidog dividido em duas partes: um servidor de autenticao (Auth Server) codificado em PHP e usando um banco de dados PostgreSQL, e um gateway Wifidog que se conecta ao Auth-Server utilizando as informaoes dadas pelos usurios do hotspot. Toda a administrao e lgica esto no servidor de autenticao e no gateway esto presentes somente as regras de firewall para permitir ou negar acesso aos usurios.

18

Figura 5 Wifidog

5.1.4 POSTGRESQL

O PostgreSQL um SGBD (Sistema Gerenciador de Banco de Dados) objeto-relacional de cdigo aberto, com mais de 15 anos de desenvolvimento. extremamente robusto e confivel, alm de ser extremamente flexvel e rico em recursos. Ele considerado objeto-relacional por implementar, alm das caractersticas de um SGBD relacional, algumas caractersticas de orientao a objetos, como herana e tipos personalizados. A equipe de desenvolvimento do PostgreSQL sempre teve uma grande preocupao em manter a compatibilidade com os padres SQL92/SQL99.

5.1.5 FREERADIUS

O FreeRadius um servidor RADIUS open source. Radius um protocolo amplamente empregado para disponibilizar acesso a redes com autenticao, autorizao e contabilizao. Ele foi desenvolvido, originalmente para uso em servios de acesso discado, mas, pela sua simplicidade, eficincia e facilidade de implementao, hoje suportado por servidores de VPN e acesso a redes sem fio. RADIUS uma tecnologia de autenticao, autorizao e contabilidade, usada para validar credenciais, autorizar certas credenciais em

19

um recurso de rede e manter registros de tempo, detalhes da conexo e durao do acesso, respectivamente.

5.1.6 APACHE

Como o Wifidog autentica os clientes via browser, o Apache2 foi escolhido para ser o servidor Web do sistema. O Apache vem nas principais distribuies Linux e um dos servidor web mais populares.

Figura 6 Apache Servidor Web

5.1.7 PHP

PHP uma linguagem de programao utilizada para desenvolver pginas dinmicas da Web, sendo possvel a sua mistura com o HTML. PHP acrnimo de Hypertext Preprocessor (pr-processador de hipertexto), uma poderosa linguagem de programao open source, mundialmente utilizada, principalmente no ambiente web. No contexto deste trabalho, a instalao do PHP5 foi fundamental para a realizao do mesmo, pois o Wifidog e PhpPgAdmin precisam dele para funcionar, j que suas pginas so desenvolvidas em PHP.

20

5.1.8 PHPPGADMIN

O phpPgAdmin um script PHP que facilita vrias tarefas de gerenciamento de um servidor de bancos de dados PostgreSQL, desde a criao de tabelas, views e execuo de sentenas SQL at a criao de usurios, etc. Para utilizar essa ferramenta, deve-se ter um servidor Apache com suporte a PHP. A instalao do PHP deve ainda ter sido compilada com suporte a bases PostgreSQL. Para isso, necessrio ter os pacotes php, apache e php-pgsql instalados.

Figura 7 - phpPgAdmin

21

6.0 RESULTADOS

Como soluo para o PoP-PI foi adotado um sistema de segurana utilizando as ferramentas descritas no captulo anterior, um tutorial de como implementar este sistema est descrito em detalhes no Anexo 1 deste trabalho, j o Anexo 2, contm um sistema seguro de acesso sem fio utilizando Windows Server 2003. Cada sistema contm seus prs e contras. Abaixo so listados os motivos da adoo do Wifidog utilizando FreeRadius no PoP-PI. Apesar de possuir uma criptografia forte, o sistema implementado no Windows Server 2003, possui um impasse para funcionar no PoP-PI, pois nele, para que um Notebook, por exemplo, conecte na rede sem fio pela primeira vez, deve obrigatoriamente logar no domnio para registrar-se no Active Directory, e para isso ele precisa utilizar a rede cabeada do PoP, perdendo, inicialmente a idia de mobilidade. Como o PoP deseja disponibilizar acesso Internet aos visitantes, dando-lhes um login e senha, fica de mais fcil acesso utilizar o Portal Wifidog para a autenticao dos usurios com criptografia via radius. Dadas as circunstancias descritas, o acesso a partir de PDAs no sistema do Windows Server 2003, fica bastante difcil, pois complicado conectar um PDA em uma rede cabeada para log-lo no Active Directory. Esta soluo s seria vivel a uma empresa que possui vrios desktops e notebooks compostos apenas com Windows XP SP 2, o que no o caso do PoP-PI. J o Wifidog funciona com qualquer plataforma com um navegador Web, incluindo PDAs e telefones. Uma vantagem do Wifidog, que ele pode ser instalado nos servidores j em funcionamento no PoP-PI, pois os mesmos utilizam de um Sistema Operacional compatvel, o Debian. No necessitando, ento, a compra de novos servidores para estas funes especficas. Alm disso, o PoP-PI no possui licena do Windows Server 2003, o que o impossibilita de coloc-lo em funcionamento por mais de trinta dias. Alm de executar em um Sistema 22

Operacional Open Source, o Wifidog e o FreeRadius no necessitam de pagamentos de taxas para o seu funcionamento. Atravs do Wifidog, pode-se saber as estatsticas de acesso de cada usurio, desde seu tempo de logado at seu consumo de banda. Outra fato importante que o portal de autenticao pode ser personalizado com um Tema para o PoP-PI.

23

7.0 DIFICULDADES ENCONTRADAS

Durante a execuo do trabalho foram encontradas diversas dificuldades. A mais importante delas a pouca quantidade de material existente sobre os tipos de solues de segurana em Redes Sem Fio. A documentao para o Wifidog, por exemplo, no existe em portugus, as lnguas mais comuns so Francs e Ingls, mas nenhuma documentao detalhada o suficiente para tornar fcil a implantao deste sistema. Para suprir esta dificuldade, foi elaborado um tutorial (presente no Anexo 1 deste trabalho) para ser compartilhado com as Instituies Pblicas de Ensino. Alm disso, este tutorial ficar disponvel na Internet para aqueles que sentem a mesma dificuldade.

24

ANEXOS ANEXO 1 TUTORIAL PARA INSTALAO DO SISTEMA DE SEGURANA WIRELESS UTILIZANDO WIFIDOG E FREERADIUS

Para a implementao dessa soluo, foram utilizados os seguintes itens de hardware: 1. Um computador IBM 1.5 Ghz, 256Mb de RAM com Debian 4.0 r.0 Etch e 2 placas de rede 2. 1 Access Point Linksys WAP55AG A primeira coisa a ser feita a atualizao da lista de pacotes do apt-get, para permitir que ele busque os pacotes mais atuais, quando solicitado. O comando para atualiz-lo : apt-get update O servidor de Autenticao (Wifidog Auth Server) requer o Apache e PHP para funcionar corretamente. Pode-se instal-los com o seguinte comando: apt-get install apache2 php5

INSTALAO DO SERVIDOR DE BANCO DE DADOS

A instalao de um servidor de banco de dados tambm necessria. O PostGreSQL foi selecionado para tal funo. Sua verso 8.1 j est disponvel, porm foi escolhida a verso 7.4 para a implementao deste trabalho. 25

apt-get install postgresql-7.4 Para configurar o PostgreSQL necessrio entrar editar o arquivo postgresql.conf. nano /etc/postgresql/7.4/main/postgresql.conf Para habilitar conexes TCP/IP, deve-se descomentar a linha: #tcpip_socket = false E mudar para: tcpip_socket = true

PREPARANDO O DEBIAN PARA A INSTALAO DO WIFIDOGAUTH

Para instalar o Auth Server, necessrio instalar alguns pacotes: apt-get install xml-core gettext mcrypt libapache2-mod-php5 php5-cgi apt-get install php5-mcrypt php5-mhash php5-pgsql php-pear php5-xmlrpc php5-curl Para baixar a ultima verso do Wifidog-Auth necessrio, primeiramente, instalar o Subversion: apt-get install subversion J com o Subversion instalado, fica fcil baixar o Wifidog-Auth: svn checkout https://dev.wifidog.org/svn/trunk/wifidog-auth

26

A pasta baixada dever ser movida para /var/www/

e logo aps,

mudar o document root do Apache, para que quando a mquina for acessada por um navegador, ao invs de ele abrir a pgina de teste do Apache , ele passar a executar o Wifidog-Auth. mv wifidog-auth/ /var/www/ Configurao do Apache2: nano /etc/apache2/sites-available/default E trocar a linha: DocumentRoot /var/www/ Para: DocumentRoot /var/www/wifidog-auth/wifidog A linha que comea com RedirectMatch deve ser comentada, ela fica por volta da linha 17. Agora o Apache deve ser reiniciado: /etc/init.d/apache2 restart

CONFIGURANDO O AUTH SERVER

Para instalar o Auth Server do prprio servidor, deve-se ir no navegador web e digitar http://localhost/install.php. Para instalar remotamente, necessrio instalar o servidor ssh, atravs do comando:

27

apt-get install openssh-server less Logo server/install.php Agora s seguir as instrues da pgina, mas ideal continuar a acompanhar este tutorial, pois ele est mais bem detalhado. A Figura 8 mostra a tela inicial acessada por install.php. aps, necessrio ir para http://dominio-do-auth-

Figura 8 - Wifidog-Auth - Primeira tela de instalao

Para continuar a instalao, necessrio entrar com uma senha que se encontra no arquivo /tmp/dog_cookie.txt. Esta uma medida de segurana adotada, caso algum queira acessar o arquivo install.php. O campo username dever permanecer vazio, somente a senha ser preenchida.

28

Figura 9 - Wifidog-Auth - Segunda Tela de instalao

Agora necessrio criar um usurio wifidog no PostgreeSql Para ficar mais fcil a manipulao do banco de dados interessante a instalao do PhpPgAdmin. O download poder ser feito em http://phppgadmin.sourceforge.net. Depois de concludo o download, necessrio descompactar o arquivo e mover a pasta gerada com o nome de phpPgAdmin para /var/www/wifidog-auth/wifidog, local onde foi definido que as pginas html do servidor apache ficam armazenadas. necessrio instalar o php5-pgsql, pois ele um mdulo das funes em php que acessam o pgsql, essas funes so utilizadas pelo phpPgAdmin apt-get install php5-pgsql Para acessar deve-se digitar no navegador o seu endereo: http://localhost/phpPgAdmin

29

CONFIGURANDO O POSTGRESQL
Anteriormente o PostgreSql foi configurado para aceitar conexes TCP/IP, agora a questo configur-lo para usar o mtodo MD5 para autenticaes de clientes. Os arquivos de configurao do PostgreSQL esto armazenados no diretrio /etc/postgresql/7.4/main. Por padro, as credenciais de usurio no so definidas para autenticao de cliente por MD5. Ento, primeiro necessrio configurar o servidor PostgreSQL para usar a autenticao de clientes por confiana. Para isso, deve-se conectar a base de dados, configurar a senha e reverter a configurao para a autenticao de clientes por MD5. Para habilitar a autenticao de clientes por confiana, edita-se o arquivo /etc/postgresql/7.4/main/pg_hba.conf Todas as linhas existentes que usem a autenticao de clientes por ident e MD5 devem ser comentadas, logo aps s adicionar a seguinte linha: local all postgres trust sameuser Reiniciando o servidor de banco de dados: /etc/init.d/postgresql-7.4 restart Assim que o servidor PostgreSQL for reiniciado com sucesso, essencial rodar o seguinte comando em um prompt de terminal para se conectar ao banco de dados padro de exemplo do PostgreSQL: psql -U postgres -d template1 O comando acima conecta ao banco de dados template1 do PostgreSQL como usurio postgres (Estes so usurios e bancos padres). Assim que conectar ao servidor PostgreSQL, aparecer o prompt SQL.

30

necessrio executar os seguintes comandos SQL no prompt do psql para configurar a senha para o usurio postgres. template1=# ALTER USER postgres WITH ENCRYPTED PASSWORD 'senhaasercolocada'; Depois de configurar a senha, o arquivo

/etc/postgresql/7.4/main/pg_hba.conf deve ser editado para usar a autenticao MD5. Deve-se comentar a linha confiana adicionada recentemente e adicionar as seguintes linhas: local all postgres md5 sameuser host all all 127.0.0.1 255.255.255.255 trust O PostgreSQL deve ser reiniciado. Para que o PhpPgAdmin possa conectar no banco de dados, necessrio fazer algumas modificaes em suas configuraes. O arquivo /var/www/wifidog-auth/wifidog/phpPgAdmin/conf/config.inc.php editado da seguinte forma: $conf['servers'][0]['host'] = ''; deve ser alterado para: $conf['servers'][0]['host'] = 'localhost'; E mudar de: $conf['extra_login_security'] = true; Para $conf['extra_login_security'] = false; deve ser

31

Agora j possvel logar no phpPgAdmin com o usurio postgres e a senha inserida nos passos anteriores.

Figura 10 - phpPgAdmin - Logando pela primeira vez

Deve-se clicar em criar usurio:

Figura 11 - phpPgAdmin - criando usurio

32

Figura 12 - phpPgAdmin - Criando usurio wifidog

E preencher os campos de acordo com o descrito abaixo: Usurio: wifidog Senha: wifidogtest Seleciona-se Criar DB. Depois de criado o usurio, deve-se logar no phpPgAdmin com o usurio wifidog e criar o banco de dados wifidog, conforme Figura 13.

Figura 13 - phpPgAdmin - Criando banco de dados wifidog

33

Figura 14 - phpPgAdmin - Banco de Dados criado

CONTINUAO DA INSTALAO DO WIFIDOG-AUTH

Continuando a instalao do Wifidog, a prxima tela (Figura 15) a de verificaes de permisses. S possvel continuar a instalao depois que nos campos Owner e Writable estiverem preenchidos com root e YES, respectivamente.

34

Figura 15 - Wifidog-Auth - Tela 3

O portal de instalao gerou os comandos listados na Figura 15 para executar e ficar tudo funcionando com relao s permisses. necessrio copiar os comandos gerados e col-los no terminal para serem executados. Depois de executar todos os comandos, clica-se em refresh para atualizar os dados e a tela ficar como na Figura 16.

35

Figura 16 - Wifidog-Auth - Permisses OK

Clica-se no boto Next. A tela exibida agora a tela de instalao de pacotes necessrios para acrescentar recursos ao Wifidog-Auth. Ela mostra o componente necessrio, o seu tipo, o status (se est instalado ou no) e uma breve descrio, alm de algumas sugestes de como instalar cada um. A Figura 17 representa esta tela.

36

Figura 17 - Dependencias do Wifidog-Auth

O portal d as dicas para instalar as dependncias, por exemplo, no mcrypt, que necessrio ser instalado para quem quer usar autenticao Radius, ele d a seguinte dica: Para instalar pacotes de extenso php, necessrio ver pacotes com nomes similares no gerenciador de pacotes da distribuio utilizada. Neste caso, utilizando o Debian, possvel pesquisar os pacotes do apt-get atravs do comando apt-cache search nomedopacote. O portal tambm d a dica de utilizar o comando: sudo apt-get install php5-mcrypt Aps instalar uma extenso php necessrio reiniciar o Apache. As instrues do portal do wifidog devem ser seguidas para instalar os pacotes necessrios para a personalizao do portal. 37

A autenticao Radius ser usada nesta soluo, logo, o freeradius e as dependncias relacionadas autenticao para o portal devero ser instaladas. Elas so: mcrypt, mhash, xmlrpc, radius, Auth_RADIUS e Crypt_CHAP. Os comandos para instalar estas dependncias sero listadas a seguir: Freeradius: apt-get install freeradius Mcrypt: apt-get install php5-mcrypt Xmlrpc: apt-get install php5-xmlrpc Radius (peclStandard): Para instalar o Radius-1.2.5 necessrios instalar antes o php5-dev atravs do comando apt-get install php5-dev Aps instalar o pacote, pode-se instalar o Radius (peclStandard) atravs do comando: pecl install radius Ao final da instalao dado o aviso de que necessrio adicionar extension=radius.so em php.ini localizado em /etc/php5/apache2/php.ini /etc/init.d/apache2 restart Auth_RADIUS: Deve-se clicar no link Auth_RADIUS correspondente coluna Component para ser encaminhado ao website onde ser possvel fazer o

38

download do pacote. Logo aps deve-se renomear a pasta em que se encontra o arquivo RADIUS.php para Auth e copi-la para /var/www/wifidog-auth/wifidog ou para /usr/share/php. cp -R Auth /usr/share/php Para instalar o Crypt pode-se proceder da mesma maneira do Auth_Radius, como est descrito na coluna Information. Ou apenas baixando o arquivo do site (link na coluna Component) e utilizar o comando: pear install Crypt_CHAP-1.0.1.tgz onde Crypt_CHAP-1.0.1.tgz o nome do arquivo baixado do site. Para os demais pacotes pearStandard instala-se da mesma maneira. Algumas outras dependncias: apt-get install php-pear pear install XML_RPC cd /tmp wget http://ufpr.dl.sourceforge.net/sourceforge/phlickr/Phlickr-0.2.7.tgz Para instalar s ir diretamente at a pgina do mesmo: http://drewish.com/projects/phlickr/ e fazer o download. Antes de instalar o Phlicker, necessrio instalar o php5-curl apt-get install php5-curl pear install Phlickr-0.2.7.tgz rm Phlickr-0.2.7.tgz

39

Abaixo se encontra toda a lista de Dependncias do Wifidog-Auth.

Component Click for the component's website Type Status Information

mbstring session pgsql Smarty simplepie

phpExtension phpExtension phpExtension localLib

OK OK OK OK

Description: Required for core auth-server and RSS support Description: Required for core auth-server Description: Required for auth-server to connect to Postgresql database Description: Required for all parts of wifidog Description: SimplePie is a dependency that provides an

localLib

OK

RSS parser in PHP. It is required for RssPressReview. It is is recommended to install it, if you do not, RSS feed options will be disabled. Description: JpGraph is a Object-Oriented Graph creating library for PHP. JpGraph is not currently used by Wifidog (it will be use for statistic graphs in a later version). You can skip this installation if your not a developper. Description: Feed Press Review allows your athentication server to produce RSS Feeds. It is recommended that it is installed. If it is not installed, the RSS feed options will be disabled. Description: Almost essential: Without gettext, the authserver will still work, but you will loose internationalization Description: Required to export the list of HotSpots as a RSS feed and for the geocoders Description: Required to export the list of HotSpots as a RSS feed and for the geocoders Description: Required by the optional Radius Authenticator Description: Required by the optional Radius Authenticator Description: Required by the optional Radius Authenticator Description: Required by the optional LDAP Authenticator Description: Required for RSS support Description: Allows faster RSS support and required if you want to use Phlickr Description: Required if you want to generate graphical statistics Description: Required if you want to generate a node list using XSLT stylesheets

jpgraph

localLib

OK

feedpressreview gettext dom libxml mcrypt mhash xmlrpc ldap xml curl gd xsl

localLib

OK

phpExtension phpExtension phpExtension

OK OK OK

phpExtension phpExtension phpExtension phpExtension phpExtension phpExtension phpExtension phpExtension

OK OK OK OK OK OK OK OK

40

radius

peclStandard

OK

Description: Required by the optional Radius Authenticator Description: Required by content type FCKEditor (WYSIWYG HTML) Detection message: File /var/www/wifidogauth/wifidog/lib/FCKeditor/fckeditor.php not found To install: Sorry, i couldn't find the source for FCKeditor in installSourceUrl Description: Required if you want to be able to export the node list as a PDF file Detection message: File /var/www/wifidogauth/wifidog/lib/fpdf/fpdf.php not found To install: Sorry, i couldn't find the source for FPDF in installSourceUrl Description: Required for OpenID support (both as a consumer and Identity provider) Description: Required for good OpenID support (otherwise, BCmath will be used, which is MUCH slower) To install: To install this standard PHP extension, look for a package with a similar name in your distribution's package manager. Ex: For Debian based distributions, you may try 'sudo apt-get install php5-gmp' Description: Required for OpenID support, but ONLY if GMP above is not available Description: Required by the optional Radius Authenticator Detection message: File Auth/RADIUS.php not found in /var/www/wifidogauth/wifidog:.:/usr/share/php:/usr/share/pear To install: Sorry, I don't know how to install a pearStandard extension Description: Required by the optional Radius Authenticator

FCKeditor

localLib

Warning

FPDF

localLib

Warning

php-openid

localLib

OK

gmp

phpExtension

Warning

BCmath

phpExtension

OK

Auth_RADIUS

pearStandard

Warning

Detection message: File Crypt/CHAP.php not found in

Crypt_CHAP

pearStandard

Warning

/var/www/wifidogauth/wifidog:.:/usr/share/php:/usr/share/pear To install: Sorry, I don't know how to install a pearStandard extension Description: Required if you want to turn on the experimental USE_CACHE_LITE in config.php Detection message: File Cache/Lite.php not found in

Cache

pearStandard

Warning

/var/www/wifidogauth/wifidog:.:/usr/share/php:/usr/share/pear To install: Sorry, I don't know how to install a pearStandard extension Description: Optional for content type Langstring (and subtypes) to better strip out dangerous HTML

HTML_Safe

pearStandard

Warning

41

Detection message: File HTML/Safe.php not found in /var/www/wifidogauth/wifidog:.:/usr/share/php:/usr/share/pear To install: Sorry, I don't know how to install a pearStandard extension Description: Required if you want to generate graphical statistics Detection message: File Image/Graph.php not found in

Image_Graph

pearStandard

Warning

/var/www/wifidogauth/wifidog:.:/usr/share/php:/usr/share/pear To install: Sorry, I don't know how to install a pearStandard extension Description: Required if you want to generate graphical statistics

Image_Canva s

Detection message: File Image/Canvas.php not found in pearStandard Warning /var/www/wifidogauth/wifidog:.:/usr/share/php:/usr/share/pear To install: Sorry, I don't know how to install a pearStandard extension Description: Required if you want to generate graphical statistics Detection message: File Image/Color.php not found in

Image_Color

pearStandard

Warning

/var/www/wifidogauth/wifidog:.:/usr/share/php:/usr/share/pear To install: Sorry, I don't know how to install a pearStandard extension

Phlickr

pearCustom

OK

Description: Required by content type FlickrPhotostream

42

Pacotes alternativos:

Ldap:

apt-get install php5-ldap

Gd:

apt-get install php5-gd

Xsl:

apt-get install php5-xsl

Cache:

Baixa-se do link disponvel nas dependncias e usa-se o comando: pear install Cache-1.5.5RC4.tgz

FCKeditor:

Baixa-se o arquivo compactado, descompacta-se e copia a pasta FCKeditor contendo o arquivo fckeditor.php para a pasta lib do WifidogAuth. cp -R FCKeditor /var/www/wifidog-auth/wifidog/lib/

FPDP:

Baixa-se o arquivo compactado, descompacta-se e copia a pasta fpdf contendo o arquivo fpdf.php para a pasta lib do Wifidog-Auth. cp -R fpdf /var/www/wifidog-auth/wifidog/lib/ HTML_Safel: Para instal-lo necessrio instalar antes o pacote XML_HTMLSax3, disponvel no site http://pear.php.net/package 43

Image_Graph: o pacote Image_Canvas deve ser instalado antes do Image_Graph, ao contrrio no ser possvel a instalao. Se no futuro for preciso instalar mais um pacote possvel voltar para essa tela de dependncias atravs do portal. Prxima etapa: clicar em Refresh e logo aps em Next. A prxima tela a configurao de acesso ao banco de dados. Esta etapa j foi feita nos passos anteriores. Logo, basta clicar em Next. O resultado tem que ser Sucesso na Conexo.

Figura 18 - Wifidog-Auth - Configurao de acessp ao banco de dados

Figura 19 - Wifidog-Auth - Tela de configuraes de Linguagem

44

A Figura 19 representa a tela de configurao da Linguagem do portal de autenticao. Neste caso a preferncia foi por Portugus do Brasil (Brazillian Portuguese). Antes de clicar em Next, necessrio instalar o suporte a multi-locales. apt-get install locales-all

Figura 20 - Criando uma conta de administrador do Portal

Aps configurar a linguagem do portal, necessrio criar uma conta de administrador para o mesmo. A Figura 20 representa a criao desta conta. Depois de completar todos estes passos, j necessrio acessar o portal. Para isto basta digitar no navegador o endereo IP do servidor de autenticao, ou se estiver acessando dele, basta digitar localhost. A Figura 21 representa bem o primeiro acesso ao portal de autenticao do Wifidog.

45

Figura 21 - Acessando o Portal de Autenticao pela Primeira vez

Para conectar ao portal pela primeira vez, basta clicar em Conectar e digitar o nome de usurio (admin) e senha criados. Uma vez conectado, o administrador do portal poder configurar todo o processo de autenticao do portal e suas caractersticas extras. Algumas delas sero detalhadas no decorrer do tutorial.

Figura 22 - Menu disponvel para o administrador do portal

46

O portal foi instalado corretamente, agora deve-se copiar o arquivo install.php para uma pasta que no seja de acesso pblico. Se o arquivo continuar no local onde est, o sistema se tornar vulnervel a ataques. cd /var/www/wifidog-auth/wifidog mv install.php ../install.php

INSTALAO DO WIFIDOG GATEWAY

Antes de colocar o Wifidog Gateway para funcionar, necessrio certificar-se de ter um Proxy usando iptables. No prximo quadro de comandos, segue a descrio do arquivo proxy.sh. importante se certificar de que aps executado o script (proxy.sh) seja possvel conectar Internet por uma interface sem fio ou por outro computador da rede cabeada, colocando no mesmo um IP da mesma faixa e com o gateway sendo a mquina que o Proxy foi executado. No pode-se esquecer de colocar tambm o endereo de DNS na mquina que far acesso internet. Somente depois que seja possvel navegar, pode-se concluir que o Proxy est correto e que j possvel seguir com a instalao do Wifidog Gateway. Apesar do script est em Ingls, fcil compreend-lo e ajustar os parmetros. Eles devem ser modificados com ateno, pois cada caso um caso.
#!/bin/sh

# IPTABLES PROXY script for the Linux 2.4 kernel. # This script is a derivitive of the script presented in # the IP Masquerade HOWTO page at: # www.tldp.org/HOWTO/IP-Masquerade-HOWTO/firewall-examples.html # It was simplified to coincide with the configuration of # the sample system presented in the Guides section of # www.aboutdebian.com #

47

# This script is presented as an example for testing ONLY # and should not be used on a production proxy server. # # PLEASE SET THE USER VARIABLES # IN SECTIONS A AND B OR C

echo -e "\n\nSETTING UP IPTABLES PROXY..."

# === SECTION A # ----------- FOR EVERYONE

# SET THE INTERFACE DESIGNATION FOR THE NIC CONNECTED TO YOUR INTERNAL NETWORK # The default value below is for "eth0". This value # could also be "eth1" if you have TWO NICs in your system. # You can use the ifconfig command to list the interfaces # on your system. The internal interface will likely have # have an address that is in one of the private IP address # ranges. # # Note that this is an interface DESIGNATION - not the IP address of the interface.

# Enter the internal interface's designation for the # INTIF variable:

INTIF="eth0"

# SET THE INTERFACE DESIGNATION FOR YOUR "EXTERNAL" (INTERNET) CONNECTION # The default value below is "ppp0" which is appropriate # for a MODEM connection. # If you have two NICs in your system change this value # to "eth0" or "eth1" (whichever is opposite of the value # set for INTIF above). This would be the NIC connected # to your cable or DSL modem (WITHOUT a cable/DSL router). # # Note that this is an interface DESIGNATION - not the IP address of the interface.

48

# Enter the external interface's designation for the # EXTIF variable:

EXTIF="eth1"

# ! ! ! ! ! Use ONLY Section B *OR* Section C depending on # ! ! ! ! the type of Internet connection you have.

# === SECTION B # ----------- FOR THOSE WITH STATIC PUBLIC IP ADDRESSES

# SET YOUR EXTERNAL IP ADDRESS # If you specified a NIC (i.e. "eth0" or "eth1" for # the external interface (EXTIF) variable above, # AND if that external NIC is configured with a # static, public IP address (assigned by your ISP), # UNCOMMENT the following EXTIP line and enter the # IP address for the EXTIP variable:

EXTIP="200.137.160.139"

# === SECTION C # ---------- DIAL-UP MODEM, AND RESIDENTIAL CABLE-MODEM/DSL (Dynamic IP) USERS

# SET YOUR EXTERNAL INTERFACE FOR DYNAMIC IP ADDRESSING # If you get your IP address dynamically from SLIP, PPP, # BOOTP, or DHCP, UNCOMMENT the command below. # (No values have to be entered.) # # Note that if you are uncommenting these lines then the EXTIP line in Section B must be commented out.

#EXTIP="`/sbin/ifconfig ppp0 | grep 'inet addr' | awk '{print $2}' | sed -e 's/.*://'`"

49

# -------- No more variable setting beyond this point --------

echo "Loading required stateful/NAT kernel modules..."

/sbin/depmod -a /sbin/modprobe ip_tables /sbin/modprobe ip_conntrack /sbin/modprobe ip_conntrack_ftp /sbin/modprobe ip_conntrack_irc /sbin/modprobe iptable_nat /sbin/modprobe ip_nat_ftp /sbin/modprobe ip_nat_irc

echo "

Enabling IP forwarding..."

echo "1" > /proc/sys/net/ipv4/ip_forward echo "1" > /proc/sys/net/ipv4/ip_dynaddr

echo " echo "

External interface: $EXTIF" External interface IP address is: $EXTIP"

echo "

Loading proxy server rules..."

# Clearing any existing rules and setting default policy iptables -P INPUT ACCEPT iptables -F INPUT iptables -P OUTPUT ACCEPT iptables -F OUTPUT iptables -P FORWARD DROP iptables -F FORWARD iptables -t nat -F

# FWD: Allow all connections OUT and only existing and related ones IN iptables -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT

50

# Enabling SNAT (MASQUERADE) functionality on $EXTIF iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE

echo -e "

Proxy server rule loading complete\n\n"

# Chris's rule to stop port 22 traffic iptables -A INPUT -p tcp -i $INTIF --dport 22 -j DROP

Agora

necessrio

copiar

arquivo

proxy.sh

para

/etc/init.d/proxy.sh, mudar sua permisso e fazer com que ele seja executado sempre que o Debian reiniciar.

DHCP
O Debian utilizado para a instalao do Wifidog Gateway, deve ser tambm um servidor DHCP. Para isto, necessrio instalar o DHCPD e configur-lo. O comando para instal-lo : apt-get install dhcp Quando o DHCP estiver instalado, deve-se par-lo para mudar suas configuraes: /etc/init.d/dhcp stop necessrio selecionar a placa de rede que o servidor DHCP vai utilizar e selecionar um intervalo de endereos IP e outras informaes da rede para serem dadas aos PCs clientes. para serem dados aos clientes. Para alterar a interface de rede que o servidor DHCP ir operar, preciso editar o arquivo /etc/init.d/dhcp, a varivel para editar chama-se INTERFACES (o valor padro pode estar correto):

51

# Defaults INTERFACES="eth0" A interface configurada em /etc/default/dhcp deve receber o mesmo valor em /etc/init.d/dhcp, ela deve ser a interface correspondente Intranet. Para mudar as configuraes do servidor DHCP necessrio editar o arquivo /etc/dhcpd.conf. Aps o quadro, est sendo explicado o que significa cada valor nestas configuraes. subnet 10.10.10.0 netmask 255.255.255.0 { range 10.10.10.10 10.10.10.30; option domain-name-servers 200.137.160.130; option routers 10.10.10.159; option subnet-mask 255.255.255.0; option broadcast-address 10.10.10.255; default-lease-time 600; max-lease-time 7200; }

WIFIDOG-GATEWAY
Resolvida a questo do Proxy e o dhcp tendo um perfeito funcionamento, pode-se instalar o Wifidog Gateway. Para isso basta navegar at a pasta /usr/src/ e gravar uma cpia do Wifidog-gateway, disponvel em http://sourceforge.net/project/. A cpia vem compactada, para descompactar e instalar, executa-se os seguintes comandos: gunzip wifidog-1.1.4.tar.gz tar -xvf wifidog-1.1.4.tar. 52

./configure make make install Depois de instalado, necessrio alterar o arquivo wifidog.conf. Nele encontram-se vrios parmetros que precisam ser preenchidos para que o Wifidog-Gateway seja configurado corretamente. Os principais parmetros so listados abaixo: GatewayID: Geralmente recebe o endereo MAC do Ponto de Acesso. Alm de ser configurado no wifidog.conf, deve existir um node configurado no portal de autenticao com este mesmo GatewayID. Este identificador ir identificar o hotspot. ExternalInterface: a interface externa, ou seja, a que est conectada internet e isolada da rede Interna. GatewayInterface: o endereo de IP do gateway. AuthServer: Configura o Servidor de Autenticao. No campo Hostname, deve ficar o endereo IP do Wifigog-Auth. E no campo Path, deve ser colocada a pasta onde o Auth-Server est localizado, com relao o DocumentRoot do Apache. CheckInterval: o intervalo em segundos que o Wifidog ir verificar se o cliente ainda est disponvel e atualizar o Servio de autenticao central com estatsticas de cliente. Com muitos clientes e pontos de acesso pode-se gerar um uma quantidade razovel de carga para o auth-server. Aumentar CheckInterval para um valor como 120, ou 180 segundos deve ser razovel. O padro 60 segundos. ClientTimeout: Se aps (ClientTimeout * CheckInterval)

segundos o cliente no deu sinal de resposta, ele ser deslogado. Com 53

CheckInterval definido como 60 segundos, isso equivale a 5 minutos. Se voc tiver alterado CheckInterval para um maior tempo limite (como 120 segundos) talvez deva reduzir o ClientTimeout para algo como 2 ou 3. FirewallRuleSet: Regras de Firewall para os usurios. Eles so divididos em:

FirewallRuleSet global: Usado para aplicar regras de

firewall para todos os usurios. Exemplo: FirewallRule allow tcp port 80 to

200.137.160.130 (permite acesso ao site da FAPEPI)

FirewallRuleSet validating-users: Utilizado para aplicar

regras para usurios que esto se cadastrando por e-mail. Este tipo de usurio no ser utilizado no PoP-PI.

FirewallRuleSet known-users:

Regras aplicadas a

usurios conhecidos, ou seja, aqueles cadastrados no sistemas e logados no site. Exemplo: FirewallRule allow to 0.0.0.0/0

FirewallRuleSet unknown-users: Regras aplicadas

usurios no conhecidos, ou seja, aqueles que no esto logados no hostpot. Exemplo: FirewallRuleSet unknown-users { FirewallRule allow udp port 53 FirewallRule allow tcp port 53 FirewallRule allow udp port 67 54

FirewallRule allow tcp port 67 }

FirewallRuleSet locked-users: Regras aplicadas somente

usurio bloqueados no sistema. O arquivo wifidog.conf deve ser movido para

/usr/local/etc/wifidog.conf. Agora deve-se ir at o portal de autenticao, logar-se e clicar em Administrao de Rede e edit-la. Como mostra a figura.

Figura 23 - Criando a rede PoP-PI no Portal

55

AUTENTICAAO RADIUS

A parte mais importante quando se cria a rede Nework Authentication, pois nela que configurada a autenticao da Rede. Ela pode ser sem criptografia (local), utilizando LDap ou utilizando Radius (este foi o adotado pelo PoP-PI). Para configurar a autenticao via RADIUS, deve-se primeiramente configurar o freeradius.No arquivo /etc/freeradius/clients.conf ,deve-se adicionar um cliente com o ip do servidor. Ex: # Definicao do cliente 10.10.10.159 client 10.10.10.159 { secret = testing123 #segredo do radius shortname = hotspot #nome da mquina nastype = other } No arquivo /etc/freeradius/users, deve-se adicionar um usurio (o admin) com os mesmos valores configurados no wifidog. Para testar se est funcionando basta utilizar o comando radtest, que possui os seguintes parmetros: radtest usuario senha servidor:porta portaNas segredoradius Onde: usurio, senha - login do usurio e senha; servidor - endereo ip ou FQDN do servidor radius; portaauth - porta no SERVIDOR onde o servio radius atende solicitaes de autenticao;

56

portaNas - porta do NAS, pode ser uma porta eletrnica (nmero do modem) ou virtual, apenas para controle. Para testes, coloca-se qualquer valor numrico. segredoradius - quando faz uma solicitao de autenticao, o endereo ip tem que estar cadastrado no arquivo clients.conf do servidor num par de IP/segredo. O IP ser descoberto pelo servidor atravs do parmetro NAS-IPAddress, o segredo voc tem que ser informado neste parmetro. Voltando criao da Rede PoP-PI no portal, em Network Authenticator class, seleciona-se AuthenticatorRadius. Qualquer dvida nos parmetros, os s ver quais os parmetros foram: do arquivo AuthenticatorRadius.php que disponvel no wifidog-auth. No caso do PoP-PI, parmetros adotados default-network, 10.10.10.159,1812,1813,chavesecreta,CHAP_MD5. Tambm possvel dizer qual a latitude e longitude do local, para que seja possvel visualizar o local exato atravs de fotos de satlite. O endereo para descobrir a latitude e a longitude de qualquer local http://www.itouchmap.com/?r=v&st=l2

Figura 24 - Adionando novo Node

Um novo node deve ser adicionado para que o wifidog funcione corretamente. Para isso, deve-se clicar em Administrao de ns e Editar, O

57

GatewayID deve ser o mesmo configurado no arquivo wifidog.conf, ou senha o endereo MAC do Access Point.

Figura 25 - Pgina Principal da Rede PoP-PI

A partir de agora, todo login pode ser feito atravs de autenticao Radius.Para testar testar o Wifidog-Gateway, pode-se utilizar o seguinte comando: wifidog f d 7 A partir do momento que estiver utilizando o wifidog-gateway, todo cliente que se conectar na rede sem fio, ser redirecionado para a pgina mostrada na Figura 25 e suas permisses atendero ao que est permitido ou bloqueado nas regras de firewall implementadas no arquivo wifidog.conf.

58

ANEXO 2 - Tutorial para Configurar um Sistema de Acesso Sem Fio Seguro Utilizando Windows Server 2003

RESUMO
Este guia descreve como configurar um Sistema de Acesso Seguro Sem Fio atravs do padro IEEE 802.1X empregando os seguintes protocolos de autenticao: Protected Extensible Authentication Protocol (PEAP), Microsoft Challenge-Handshake Authentication Protocol verso 2 (MSCHAP v2) e o Extensible Authentication Protocol-Transport Layer (EAP-TLS) em um Sistema usando um access point (AP) e trs computadores. Dos trs computadores, um ser o Cliente sem fio (Wirelesss Client); um ser o controlador de domnio (Domain controller) que tambm ser a Autoridade de Certificao (CA), o servidor DHCP (Dynamic Host Configuration protocol) e o servidor de DNS (Domain Name System) e o ltimo ser um servidor de Servio de Autenticao da Internet (IAS) que atuar como um servidor de Autenticao remota Dial-In de Servio de usurio (RADIUS - Remote Authentication Dial-In User Service).

59

Este guia prov informao detalhada sobre como possvel utilizar trs computadores e um ponto de acesso (Access point - AP) para criar um sistema que configure e teste a segurana do acesso Sem fio utilizando os seguintes Sistemas Operacionais: o Microsoft Windows XP Professional, service Pack 2 (SP2) e a verso de 32 bits do Windows Server 2003, Service Pack 1 (SP1). Neste tutorial apresentado um passo a passo atravs da configurao requerida pelos protocolos de Autenticao: Protected Extensible Authentication Protocol com o Microsoft Challenge-Handshake Authentication Proto1col second Version (PEAP-MS-CHAP v2), em seguida so apresentados os passos para autenticao do EAP-TLS. Este Tutorial foi baseado no guia da Microsoft Corp: Step-by-Step Guide for Setting Up Secure Wireless Access in a Sistema, publicado em abril de 2005. Nota: As instrues que seguem so para a configurao de um sistema usando um nmero de computadores mnimo. Computadores individuais so necessrios para separar os servios oferecidos na rede e mostrar claramente a funcionalidade desejada. Porm este teste foi feito com um computador utilizando duas mquinas virtuais com Windows Server 2003 e um computador com Windows XP SP 2, para economizar no nmero de computadores.

AUTENTICAO PEAP-MS-CHAP v2

A infra-estrutura para um Sistema de rede sem fio consiste em trs computadores trabalhando da seguinte forma: Um computador rodando o Microsoft Windows Server 2003 com o

Service Pack 1 (SP1), Enterprise Edition, chamado DC1 que atuar como: servidor DNS, servidor DHCP e Autoridade de certificao (CA). 60

Um computador rodando o Microsoft Windows Server 2003 SP1, Standard

Edition, chamado IAS1 que atuar como um servidor de Autenticao (RADIUS) remota de usurio. Um computador rodando Windows XP Professional with SP2, chamado

CLIENT1 que atuar como um Cliente sem Fio. Antes de comear:

Ao instalar o Windows Server 2003, SP1 em cada servidor desse sistema necessrio instalar tambm o Firewall do Windows, que ser colocado desativado, como padro. Aps o IAS ser configurado, dever ser ativado e configurado o Firewall do Windows atentando-se para as excees na comunicao entre computadores da rede. No controlador de domnio, o Firewall do Windows pode ficar desativado. Em cada computador cliente, o Firewall do Windows ativado automaticamente quando o Windows XP SP2 instalado. O Firewall ir permanecer ativado em cada computador cliente. Alm disso, deve-se ter certeza de que h um ponto de rede sem fio (Access Point - AP) conectado ao segmento de rede local para clientes sem fio. O Firewall do AP controlado por softwares manufaturados. Por causa desse tipo de sistema, no se deve ativar o Firewall do AP. Importante: Antes de configurar o sistema, deve-se ter certeza de que foram baixados os mais recentes drivers para adaptadores sem fio no CLIENT1 para garantir que a performance do adaptador ocorra corretamente enquanto estiver rodando no Windows XP Professional com SP2. A figura abaixo apresenta a disposio do Sistema:

61

Figura 26 - Disposio da Infra-estrutura do Sistema

O sistema de rede sem fio representa o segmento de rede de uma Intranet. Todos os computadores da intranet, incluindo o Access Point, esto conectados por um Hub comum ou um switch de duas camadas. Endereos privados de 172.16.0.0/24 so usados no segmento de rede da intranet. CLIENT1 obtm o endereo IP usando o DHCP. As prximas sees descrevem como configurar cada um dos componentes do sistema. Para criar este sistema, configuram-se os computadores na ordem apresentada.

DC1
DC1 um Computador executando Windows Server 2003 com SP1, Enterprise Edition, que est executando as seguintes funes: Um controlador de domnio para o domnio exemplo.com Um servidor DNS para o domnio exemplo.com 62

Um servidor DHCP para o segmento de rede da intranet A autoridade de CERTIFICAO para o domnio exemplo.com

Nota: O Windows Server 2003 com SP1, Enterprise Edition, usado de modo que a certificao automtica do usurio e das estaes de trabalho pela autenticao EAP-TLS possam ser configuradas. Isto descrito na seo Autenticao EAP-TLS deste tutorial. A certificao automtica e a renovao automtica facilitam a implantao de certificados e proporcionam a segurana atravs de uma expirao e renovao automtica de certificados. Para configurar o DC1 para estes servios, realizam-se os seguintes passos:

Instalao e configurao bsica 1. Instala-se o Windows Server 2003, SP1, Enterprise Edition, como um

servidor dedicado. 2. Configura-se o protocolo TCP/IP com o endereo IP de 172.16.0.1 e a

mscara de sub-rede 255.255.255.0.

Configurao do Computador como controlador de Domnio

1. Para iniciar o Assistente de Instalao do Active Directory, clica-se em Iniciar, Executar, digita-se dcpromo.exe, e depois clica-se em OK. 2. Na caixa de dilogo Bem Vindo ao Assistente de Instalao do Active Directory, clica-se em Avanar. 3. Na caixa de dilogo Compatibilidade do Sistema Operacional, clica-se em Avanar.

63

4. Verifica-se se a opo: Controlador de domnio para um novo domnio est selecionada e clica-se em Avanar. 5. Verifica-se se o Domnio em uma nova floresta est selecionado e depois clica-se em Avanar. 6. Verifica-se se a opo: No, apenas instalar e configurar DNS neste computador est selecionada, depois clica-se Avanar. 7. Na pgina Novo nome de domnio, escreve-se exemplo.com, e clica-se em Avanar. 8. No Nome do domnio NetBIOS, confirma-se que o nome do domnio Netbios EXEMPLO, depois clica-se em Avanar. 9. Aceita-se a pasta padro do banco de dados e diretrios dos logs e clica-se em avanar. 10. Na caixa de dilogo Volume de sistema compartilhado, verifica-se se a localizao padro da pasta a correta. Clica-se em avanar. 11. Caso d algum erro no DNS, deve-se marcar: Instalar e configurar o servidor DNS neste computador e clicar em Avanar. 12. Na pgina de permisses, verifica-se se a caixa Permisses compatveis somente com os sistemas operacionais de servidor Windows 2000 ou Windows Server 2003 est selecionada, como o mostrado na figura abaixo. Clica-se em Avanar.

64

Figura 27 - Editando permisses padro do Active Directory

13. Na pgina: Senha do administrador do modo de restaurao dos servios de diretrio, deixa-se a caixa de senha em branco e clica-se em Avanar. 14. Revisa-se as informao na Pgina de Resumo, depois clica-se em Avanar. 15. provvel que seja requisitado o CD de instalao do Windows Server 2003 para completar a configurao. Na pgina: Concluindo o Assistente para instalao do Active Directory, clica-se em Concluir. 16. Quando aparecer a janela Reiniciar o Computador clica-se em Reiniciar Agora.

65

Elevao de nvel do Domnio Funcional

1. Abre-se Domnios e relaes de confiana do Active Directory da pasta Ferramentas Administrativas, e ento clica-se com o boto direito do mouse no nome de domnio exemplo.com. 2. Clica-se em Aumentar o nvel funcional do domnio, e ento seleciona-se Windows Server 2003. 3. Clica-se em Aumentar, depois em OK, e ento clica-se em OK

novamente.

Instalao e Configurao do DHCP

1. Vai-se at o Painel de Controle, Adicionar ou remover programas, Adicionar/Remover componentes do Windows e instala-se o Protocolo de configurao dinmica de hosts (DHCP) que est em Servios de Rede. 2. Abre-se o snap-in do DHCP da pasta Ferramentas administrativas e seleciona-se dc1.exemplo.com. 3. Clica-se em Ao, e ento se clica em Autorizar para autorizar o servio DHCP. 4. No console da rvore, clica-se com o boto direito em dc1.exemplo.com e depois clica-se em Novo Escopo. 5. Em Bem vindos ao Assistente para novos escopos, clica-se em Avanar. 6. Na pgina Nome do escopo, escreve-se CorpNet em Nome. 7. Clica-se em Avanar. Na pgina Intervalo de endereos IP, em Endereo IP inicial coloca-se 172.16.0.10, em Endereo IP final coloca-se

66

172.16.0.100, e em Comprimento coloca-se 24. Isto apresentado na figura que segue.

Figura 28 - Assistente para novos escopos

8. Clica-se em Avanar. Em Adicionar excluses, clica-se em Avanar. 9. Na pgina Lease Duration, clica-se em Avanar. 10. Em Opes de Configuraes do DHCP, clica-se em Sim, desejo configurar essas opes agora. 11. Clica-se em Avanar. Na pgina Roteador (gateway padro), clica-se em Avanar. 12. Na pgina Servidor de nomes de domnio e DNS, em Domnio pai deve-se colocar exemplo.com. Em Endereo IP coloca-se 172.16.0.1, e ento clica-se em Adicionar. Isto est apresentado na figura abaixo.

67

Figura 29 - Assistente para novos escopos - Servidor de nomes e de domnio e DNS

13. Clica-se em Avanar. Na pgina Servidores WINS, clica-se em Avanar. 14. Na pgina Ativar escopo, clica-se em Sim, desejo ativar este escopo agora. Este passo est mostrado na figura. 15. Clica-se em Avanar e depois em Concluir.

Instando Servios de Certificado

1. No Painel de Controle, abre-se Adicionar ou remover programas, e ento clica-se em Adicionar/Remover componentes do Windows. 2. Na pgina Assistente de componentes do Windows, seleciona-se Servios de certificado, e ento clica-se em Avanar. 3. Na pgina Tipo de autoridade de certificao, seleciona-se Autoridade de certificao raiz corporativa. 68

4. Clica-se em Avanar. Na caixa Nome da autoridade de certificao coloca-se Exemplo CA, e ento clica-se em Avanar. As configuraes padres na pgina Configurao de banco de dados de certificados devem ser aceitas. 5. Clica-se em Avanar. 6. Clica-se em OK depois de ler o alerta sobre a instalao do IIS. Aps

completar a instalao, clica-se em Concluir.

Verificando as permisses de Administrador para o certificado

1. Clica-se em Iniciar, depois em Ferramentas administrativas, e logo aps em Autoridade de certificao. 2. Clica-se com o boto direito em Exemplo CA, e com o esquerdo em Propriedades. 3. Em Segurana, clica-se em Administradores e em Nomes de grupo ou de usurio. 4. Em Permisses para Administradores, verifica-se se as opes abaixo foram selecionadas para permitir: Emitir e gerenciar certificados, Gerenciar autoridade de certificao e Solicitar certificados. Elas devem ser selecionadas como mostrado na figura abaixo.

69

Figura 30 - Modificando as permisses de Administrador para o certificado

5.

Clica-se em OK para fechar a caixa de dilogo de Propriedades de

Exemplo CA e ento fecha-se a Autoridade de certificao.

Adicionando computadores ao domnio

1. Abre-se o snap-in de Usurios e computadores do active directory. 2. Na rvore de console, expande-se exemplo.com. 3. Clica-se com o boto direito em Usurios, clica-se em Novo, e ento clica-se em Computador. 4. Na caixa de dilogo: Novo Objeto Computador, em Nome do computador coloca-se IAS1.

70

5. Clica-se em Avanar. Na caixa de dilogo Gerenciado clica-se em Avanar. Na caixa de dilogo Novo Objeto Computador clica-se em Concluir. 6. Repete-se os passos 3-5 para criar contas adicionais do computador

com os seguintes nomes: IIS1 e CLIENT1.

Permitindo acesso sem fio para computadores

1. Na rvore do console, em Usurios e computadores do active directory, clica-se na pasta Usurios, com o boto direito clica-se em CLIENT1, com o esquerdo em Propriedades, e ento clica-se em Discagem. 2. Seleciona-se Permitir acesso, e ento clica-se em OK.

Adicionando Usurios ao domnio

1. Na rvore de console Usurios e computadores do active directory, clica-se com o boto direito em usurios, depois em Novo, e ento clicase em Usurio. 2. Na caixa de dilogo Novo Objeto Usurio, em Nome, coloca-se WirelessUser e em Nome de logon do usurio digita-se WirelessUser. Conforme o apresentado na figura que segue.

71

3. Clica-se em Avanar. Na caixa de dilogo Novo Objeto - Usurio escolhe-se uma senha qualquer e confirma-se. Desmarca-se a opo: O usurio deve mudar senha no prximo logon e ento, clica-se em Avanar. 4. Na caixa de dilogo Novo Objeto Usurio clica-se em Concluir.

Permitindo acesso sem fio para usurios

1. Na rvore de console Usurios e computadores do active directory, clica-se na pasta Usurios, com o boto direito clica-se em WirelessUser, e com o esquerdo em Propriedades, e ento clica-se em Discagem.

72

2.

Seleciona-se Permitir acesso, e ento clica-se em OK.

Adicionando grupos para o domnio

1. Na rvore de Console Usurios e computadores do active directory, clica-se com o boto direito, com o esquerdo em Novo, e ento clica-se em Grupo. 2. Na caixa de dilogo Novo Objeto Grupo, em Nome do grupo colocase WirelessUser, e ento clica-se em OK. Conforme apresentado na figura que segue.

Figura 31 - Adicionando o grupo WirelessUsers para o domnio

73

Adicionando Usurios no grupo WirelessUsers

1. No painel de detalhes de Usurios e computadores do Active Directory, d-se dois cliques em WirelessUsers. 2. Clica-se em Membros, e ento clica-se em Adicionar. 3. Na caixa de dilogo Selecione Usurios, Contatos, Computadores, ou Grupos, em Digite os nomes de objetos a serem selecionados, colocase wirelessuser. Conforme apresentado na figura que segue.

Figura 32 - Adicionando usurios no grupo WirelessUsers

4. Clica-se em OK. Na caixa de dilogo Diversos nomes encontrados clica-se em OK novamente. A conta de usurio WirelessUser adicionada ao grupo WirelessUsers. 5. Clica-se em OK para salvar as alteraes no grupo WirelessUsers.

74

Adicionando Computadores Clientes ao Grupo WirelessUsers

1. Repete-se os passos 1 e 2 do procedimento Adicionando usurios no grupo WirelessUsers. 2. Na caixa de dilogo Selecione Usurios, Contatos, ou Computadores, no campo Digite os nomes de objetos a serem selecionados coloca-se client1. 3. Clica-se em Tipos de objeto, limpa-se as caixas de seleo de Usurios e ento seleciona-se a caixa de seleo de Computadores. Conforme apresentado na figura que segue.

Figura 33 - Adicionando computadores clientes ao grupo WirelessUsers

4.

Clica-se em OK duas vezes. A conta do computador CLIENT1 ser

adicionada ao grupo WirelessUsers.

75

IAS1

IAS1 um computador rodando o Windows Server 2003, SP1, Standard Edition, que fornece servios de Autenticao RADIUS e autorizao para o AP sem fio. Para configurar IAS1 como um servidor RADIUS, necessrio seguir os prximos passos.

Instalao e Configuraes Bsicas

1. Instala-se o Windows Server 2003, SP1, Standard Edition, com o nome IAS1 no domnio exemplo.com. 2. Para a conexo na Intranet local, configura-se o protocolo TCP-IP com o

seguinte endereo IP 172.16.0.2, mscara de sub-rede 255.255.255.0, e servidor DNS 172.16.0.1.

Instalao e Configuraes Bsicas

1. Instala-se o Servio de autenticao da internet como um Servio de Rede utilizando-se, para isso, Adicionar ou remover programas no Painel de Controle. 2. Na pasta Ferramentas administrativas, abre-se o Servio de autenticao da Internet. 3. Clica-se com o boto direito em Servio de autenticao da Internet, e ento clica-se em Registrar servidor no Active Directory. Quando a caixa de dilogo Registrar o servidor de autenticao da Internet no Active Directory aparecer, clica-se em OK.

76

Criando Certificados (Computador Local)

1. Cria-se um MMC console no servidor IAS que contm os Certificados (computador local). 2. Clica-se em Iniciar, depois em Executar, coloca-se mmc e ento clica-se em OK. 3. No menu Arquivo, clica-se em Adicionar/Remover e ento clica-se em Adicionar. 4. D-se dois cliques em Certificados, Adicionar, Conta de computador e ento clica-se em Avanar. 5. Clica-se em Computador Local, Concluir, Fechar e depois clica-se em OK. Os Certificados (Computador Local) esto apresentados na figura que segue.

Figura 34 - Certificados (Computador Local)

Nota: PEAP com MS-CHAP v2 requer certificados nos servidores IAS, mas no so necessrios nos Clientes sem fio. A certificao automtica dos certificados dos computadores pode ser usada para simplificar a implantao. De qualquer

77

forma, nesta seo, um certificado manualmente requisitado pelo computador IAS1 pois a certificao automtica dos certificados no est configurada. Isto est descrito na prxima seo deste tutorial Autenticao EAP-TLS".

Requisio de certificado para computador

1. Clica-se com o boto direito na pasta Pessoal, em Todas as tarefas, em Solicitar novo certificado e em Avanar. 2. Clica-se em Computador, Tipos de certificados, e ento clica-se em Avanar. 3. Em Nome amigvel, coloca-se IAS Server1 Certificate. 4. Clica-se em Avanar e depois em Concluir. 5. A mensagem xito na solicitao do certificado aparecer. Clica-se

em OK.

Adicionando um Ponto de Acesso (AP) como um Cliente RADIUS

1. Na rvore de console Servio de autenticao da Internet, clica-se com o boto direito em Clientes RADIUS, e depois em Novo Cliente RADIUS. 2. Na pgina Nome e endereo de Novo Cliente RADIUS coloca-se WirelessAP em Nome amigvel. J no Endereo do cliente (IP ou DNS) coloca-se 172.16.0.3, e ento clica-se em Avanar. 3. Clica-se em Avanar. Na pgina Informaes adicionais do Assistente para novo Cliente RADIUS, em Segredo compartilhado, coloca-se um segredo compartilhado para o AP sem fio, e ento faz-se novamente para confirmar em Confirmar o segredo compartilhado, conforme o apresentado na figura que segue. O segredo compartilhado colocado precisa

78

combinar com a configurao do segredo compartilhado do RADIUS na configurao do AP sem fio.

Figura 35 - Adicionando um novo cliente RADIUS

4.

Clica-se em Concluir.

Criando e Configurando uma diretiva de acesso remoto

1. Na rvore de console do Servio de autenticao da Internet, clica-se com o boto direito em Diretivas de acesso remoto, e ento clica-se em Nova diretiva de acesso remoto. 2. Na pgina Bem vindo ao Assistente de nova diretiva de acesso remoto, clica-se em Avanar.

79

3. Em Mtodo de configurao de diretiva, coloca-se Acesso sem fio para a intranet em Nome da diretiva. 4. Clica-se em Avanar. Na pgina Mtodo de acesso, seleciona-se Sem fio. 5. Clica-se em Avanar. Na pgina Acesso de usurios ou grupos, seleciona-se o Grupo. 6. Clica-se em Adicionar. Na caixa de dilogo Selecionar grupos, clica-se em Locais, seleciona-se exemplo.com, e ento clica-se em OK. 7. No local Digite os nomes de objetos a serem selecionados, coloca-se WirelessUsers na caixa. Conforme o apresentado na figura abaixo.

Figura 36 - Selecionando grupos

8. Clica-se em OK. O grupo WirelessUsers do domnio exemplo.com adicionado a lista de grupos de Acesso de usurios ou grupos.

9. Clica-se em Avanar. Na pgina Mtodos de autenticao, a autenticao do EAP protegido (PEAP) selecionada por padro e configurada para se usar o PEAP-MS-CHAP v2.

80

10.

Clica-se em Avanar. Na pgina Concluindo o assistente de Nova

diretiva de acesso remoto', clica-se em Concluir.

Configurao do Firewall do Windows no IAS1

1. Clica-se em Iniciar, Painel de Controle, e em seguida Firewall do Windows. 2. Na caixa de dilogo do Firewall do Windows, clica-se em Ativado, e ento clica-se em Excees. 3. Clica-se em Adicionar porta, e na caixa de dilogo do Adicionar porta, coloca-se no campo Nome Acesso RADIUS, e no campo Nmero da porta, coloca-se 1812, depois seleciona-se UDP como o tipo de trfego a ser processado pela porta. Em seguida, clica-se em OK. 4. Clica-se em Adicionar porta novamente, na caixa de dilogo de Adicionar porta, coloca-se no campo Nome Autenticao RADIUS, e no campo Nmero da porta, coloca-se 1813 depois seleciona-se UDP como o tipo de trfego a ser processado pela porta. Em seguida, clica-se em OK. 5. Na pgina de excees, verifica-se se as duas portas adicionadas anteriormente esto selecionadas. 6. Clica-se em Avanado, e ento clica-se em Configuraes para o Log de segurana. 7. Na caixa de dilogo Log de segurana seleciona-se, Registrar em log os pacotes eliminados e Registrar em log as conexes bem-sucedidas. O arquivo e o local de destino do log ficam em Nome. Favor, referir-se a pasta de log em caso de precisar adicionar mais portas na lista de excees. com sucesso. O arquivo de log tambm permite que sejam vistos os pacotes capturados pelo Firewall do Windows e as conexes TCP realizadas

81

8.

Clica-se em OK duas vezes, para fechar o Firewall do Windows.

Wireless AP O acesso e a configurao do Ponto de Acesso podem ser configurados por qualquer computador da rede; entretanto, preciso saber o endereo IP padro do AP para acess-lo.

Configurando o ponto de acesso sem fio

1. Digita-se na barra de endereos do navegador o endereo IP do Acess Point. 2. A configurao do AP deve ser da seguinte maneira: O nome da rede (SSID) pop (neste caso). O endereo IP 172.16.0.3 com mscara 255.255.255.0 na interface Ethernet. Modo de Segurana: Pre-Shared Key + RADIUS O servidor RADIUS possui o endereo IP 172.16.0.2, opera via UDP na porta 1812, e possui um segredo compartilhado inserido anteriormente no servidor IAS.

82

Autenticao EAP-TLS Extensible Authentication Protocol-Transport Layer Security (EAPTLS) requer certificados de Computador e de usurio no cliente sem fio, a adio do EAP-TLS como um tipo de EAP diretiva de acesso remoto para acesso sem fio e uma reconfigurao da conexo de rede sem fio. DC1 Para configurar o DC1 para fornecer registro automtico de certificados para Computador e Usurio, executa-se as seguintes etapas.

Instalando Snap-in dos Modelos de Certificados

1. Clica-se em Iniciar, Executar, digita-se mmc, e clica-se em OK. 2. No menu Arquivo, clica-se em Adicionar/remover snap-in, e logo aps em Adicionar. 3. Em Snap-in, clica-se duas vezes em Modelos de certificado, clica-se em Fechar, e em seguida em OK. 4. Na rvore de console, preciso clicar em Modelos de certificado. Todos os modelos de certificado sero exibidos no painel de detalhes. Isso mostrado na figura a seguir.

83

Criando modelo de Certificado para Usurios Sem-Fio

1. No Painel de Detalhes do snap-in Modelos de certificado, clica-se no modelo Usurio. 2. No menu Ao, clica-se em Duplicar modelo. 3. Na caixa Nome para exibio do modelo, escreve-se Certificado Modelo Para Usurios Sem Fio. Isto mostrado na figura a seguir.

84

Figura 37 - Propriedades do certificado modelo

Configurando o Modelo de Certificado

1. Na caixa de dilogo Propriedades do Novo Modelo, verifica-se que a opo Publicar o certificado no Active Directory est selecionada. 2. Clica-se na aba Segurana. 3. Na lista Nomes de grupo ou de usurio, clica-se em Usurios do domnio. 4. Na lista Permisses para Usurios do domnio, seleciona-se as opes Ler, Registrar, e Registrar automaticamente. 5. Clica-se na aba Nome de entidade e desmarca-se as opes Incluir nome de email no nome da entidade e Nome de email. Isso mostrado na figura a seguir.

85

Figura 38 - Configurando o modelo de certificado

Importante: Essas duas opes esto desativadas nesse exemplo porque um nome de email no foi inserido para a conta WirelessUser em computadores e Usurios snap-in do Active Directory. Caso no seja usada, desativa-se as duas opes ou o registro automtico tentar usar email, o que resultar em erro de registro automtico. 6. Clica-se em OK.

Ativando o Modelo de Certificado

1. Em Ferramentas Administrativas, abre-se Autoridade de certificao. 2. Na rvore de console, expande-se Exemplo CA, e clica-se em Modelos de certificado.

86

3. No menu Ao, aponta-se para Novo, e clica-se em Modelo de certificado a ser emitido. 4. Clica-se em Certificado Modelo Para Usurios Sem Fio. 5. Clica-se em OK. E abre-se o snap-in Usurios e computadores do active directory. 6. Na rvore de console, clica-se duplamente em Usurios e computadores do active directory, No domnio exemplo.com clica-se com o boto direito e logo em seguida em Propriedades. 7. Na aba Diretiva de grupo, clica-se em Default Domain Policy, e logo aps em editar Editar. Isto faz abrir o snap-in Editor de objeto de diretiva de grupo. 8. Na rvore de console, expande-se Configurao do Computador, Configuraes do Windows, Configuraes de segurana, e Diretivas de chave pblica. Agora clica-se em Configuraes de solicitao automtica de certificado. A figura representa o resultado.

Figura 39 - Editor de objeto de diretiva de grupo

9. Clica-se com o boto direito em Configurao de solicitao automtica de certificado, aponta-se para Novo, e ento clica-se em Solicitao de certificado automtica

87

10. Na pgina Bem vindo ao Assistente para instalao de solicitao automtica de certificados, clica-se em Avanar. 11. Na pgina Modelo de certificado, clica-se em Computador. 12. Clica-se em Avanar. Na pgina Concluindo o Assistente para instalao de solicitao automtica de certificados, clica-se em Concluir. O tipo de certificado Computador agora aparece no painel de detalhes do Editor de objeto de diretiva de grupo snap-in, como pode ser visto na figura a seguir.

Figura 40 - Solicitao de certificado automtica

13. Na

rvore

de

console,

expande-se

Configurao

do

usurio,

Configuraes do Windows, Configuraes de segurana e Diretivas de chave pblica. 14. No painel de detalhes, d-se um duplo clique em Configuraes de registro automtico. 15. Clica-se em Registrar Certificados Automaticamente. Seleciona-se Renovar certificados expirados, atualizar certificados pendentes e 88

remover

certificados

revogados.

Seleciona-se

opo

Atualizar

certificados que usam modelos de certificado, conforme a figura a seguir.

Figura 41 - Propriedades de Configuraes de registro automtico

16.

Clica-se em OK.

IAS1

Configurando o IAS1 para usar a autenticao EAP-TLS

1. Abre-se o Servio de autenticao da Internet snap-in. 2. Na rvore de console, clica-se em Diretivas de acesso remoto. 3. No painel de detalhes, clica-se duplamente em Acesso sem fio para a intranet. A caixa de dilogo Propriedades de acesso sem fio para a Intranet aparecer. 89

4. Clica-se em Editar perfil, e ento clica-se na aba Autenticao. 5. Na aba Autenticao, clica-se em Mtodos EAP. A caixa de dilogo Selecionar provedores EAP aparecer. Isto mostrado na figura a seguir.

Figura 42 - Selecionar provedores EAP

6. Clica-se em Adicionar. A caixa de dilogo Adicionar EAP aparecer. 7. Clica-se em SmartCard ou outro certificado e depois clica-se em OK. O tipo SmartCard ou outro certificado adicionado na lista de provedores EAP. 8. Clica-se em Editar. A caixa de dilogo Propriedades do carto inteligente ou outro Certificado aparecer. Ela est sendo mostrada na figura abaixo.

Figura 43 - Editando SmartCard ou outro certificado

90

9. As Propriedades do Certificado emitido para o Computador IAS1 so exibidas. Esta etapa verifica que IAS tem um certificado aceitvel instalado para executar a autenticao EAP-TLS. Clica-se em OK. 10. Clica-se em Mover para cima para fazer com que o provedor EAP SmartCard ou outro certificado seja o primeiro da lista, como mostra a figura a seguir.

Figura 44 - Movendo o Smartcard ou outro certificado para o primeiro da lista de provedores EAP

11. Clica-se em OK para salvar as mudanas do provedor EAP. Clica-se em OK para salvar as mudanas da configurao do perfil. 12. necessrio clicar em OK para salvar as diretivas de acesso remoto. Isto permitir a diretiva de acesso remoto Acesso sem fio para a Intranet autorizar conexes sem fio utilizando o mtodo de autenticao EAP-TLS.

91

CLIENT1

CLIENT1 um Computador executando o Windows XP Professional com SP2, que atua como um cliente sem fio e obtm acesso aos recursos da intranet atravs do AP sem fio. Para configurar CLIENT1 como um cliente sem fio utilizando PEAP-MS-CHAP v2, executa-se as seguintes etapas: Instalao e configurao bsica 1. O CLIENT1 deve ser conectado Intranet atravs de um cabo Ethernet conectado ao Switch. 2. Aps estar conectado Intranet, ele precisa entrar no domnio exemplo.com. Observao: O Firewall do Windows ativado automaticamente no Windows XP SP2 e no necessrio desativ-lo. Alm disso, necessrio frisar que um computador s pode se conectar rede sem fio se ele logar no domnio alguma vez, logo esse sistema est perdendo no quesito de praticidade, j que para que um notebook seja conectado, ele precisa conectar rede a cabos primeiro, logar no domnio e s depois conectar rede sem fio. Depois de logar no domnio a primeira vez, ele sempre poder conectar, independente da rede cabeada.

92

Configurando a conexo com da rede sem fio

A Rede Sem-Fio do POP-PI foi configurada para utilizar uma chave pr-compartilhada e um servidor RADIUS. O ssid da rede pop. Abaixo esto as etapas para configurar a conexo no cliente. 1. O primeiro passo deslogar do computador local e logar usando a conta WirelessUser no domnio exemplo.com. 2. Ativa-se a conexo sem fio e clica-se em Exibir redes sem fio disponveis. 3. Escolhe-se a rede configurada (neste caso a rede pop) e clica-se em Conectar. Observao: possvel notar que a rede configurada est sendo exibida como uma Rede sem fio com segurana habilitada (WPA). Porm este dado est incorreto, pois o Acess Point utilizado (WAP55AG) no suporta WPA.

Figura 45 - Escolhendo uma rede sem fio para conectar

93

4. Ao tentar conectar, aparece um balo contendo uma mensagem de erro: O Windows no encontrou um certificado para a rede pop. 5. Para resolver este problema, necessrio clicar em Alterar ordem das redes preferenciais, clica-se na aba Redes Sem Fio. 6. Seleciona-se a rede configurada (pop) e clica-se em Propriedades. Na aba Associao da janela aberta, escolhe-se a autenticao de rede como WPA e criptografia de dados como AES, de acordo com a figura.

Figura 46 - Modificando as propriedades da rede sem fio pop

7. Na aba Autenticao, escolhe-se o EAP protegido (PEAP) como Tipo de EAP e marca-se a opo Autenticar como computador se houver as informaes disponveis.

94

Figura 47 - Escolhendo o tipo de EAP para a conexo

8. Clica-se em Propriedades do Tipo de EAP. 9. Na janela Propriedades EAP protegidas, seleciona-se Validar certificado do servidor e em Selecionar mtodo de autenticao escolhe-se EAPMSCHAP v2 e clica-se em Configurar. A prxima figura mostra como deve ficar preenchida esta janela.

95

Figura 48 - Ajustando as propriedades do PEAP para a conexo

10.

Na janela Propriedades EAP MSCHAPv2, a opo Usar meu nome e

minha senha de logon do Windows automaticamente (e o domnio, se houver) no deve ser selecionada. Clica-se em OK e na janela Propriedades EAP protegidas, clica-se em OK.

Figura 49 - Propriedades EAP MSCHAPv2

11.

Na janela pop Propriedades e na aba Conexo, seleciona-se

Conectar-se quando esta rede estiver ao alcance.

96

Figura 50 - Propriedades finais da Conexo

12.

Agora s voltar janela Escolha uma rede sem fio, selecionar a rede

configurada (pop) e clicar em Conectar. Abrir uma janela solicitando que sejam digitadas as credenciais. Elas devem ser preenchidas com o Nome de usurio sendo wirelessuser e a senha sendo a mesma configurada no Active Directory anteriormente. Clica-se em OK. A figura representa a janela Digite as credenciais.

Figura 51 - Inserindo as credenciais registradas no Active Directory para conectar Rede Sem Fio

97

13.

Se as credenciais estiverem corretas, CLIENT1 ser conectado rede

sem fio.

98

BIBLIOGRAFIA

[1] Gimenes, Eder Coral e Capozzi, Ricardo A. Segurana em Redes Wireless. Mau, Brasil : s.n., 2005. [2] Soares, Walace. PHP 5 Conceitos, Programao e Integrao com Banco de Dados. So Paulo : rica, 2004. 523 p. [3] Duarte, Luz Otvio e Cansian, Adriano Mauro. Anlise de

Vulnerabilidades e Ataques Inerentes a Redes a Redes Sem Fio 802.11x. So Jos do Rio Preto : UNESP - Laboratrio ACME de Pesquisa em Segurana, 2003. [4] Costa, Nilmara Goulart Peres e Ucha, Joaquim Quinteiro. Proposta para migrao de um ponto de Rede Wireless comercial, de um Provedor de Internet via Rdio, para estrutura configurada em Software Livre. [Monografia] Lavras : s.n., 2006. [5] Microsoft. Step-by-Step Guide for Setting Up Secure Wireless Access in a Test Lab. s.l. : Microsoft Corp, April - 2005. [6] Aircrack-ng. Aircrack-ng. [Online] http://www.aircrack-ng.org. [7] Brandao, Patrick. Freeradius - servidor radius eficiente e completo. VivaoLinux. [Online] [Citado em: 10 de Dezembro de 2007.] http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=1842. [8] Kismet. [Online] [Citado em: 03 de Setembro de 2007.]

http://www.kismetwireless.net/.

99

[9] PhpPgAdmin. [Online] [Citado em: 21 de Novembro de 2007.] http://phppgadmin.sourceforge.net/. [10] PostGreSql. Posgresql. [Online] [Citado em: 20 de 11 de 2007.] http://www.postgresql.org.br/. [11] Wifidog. Wifidog - A Captive Portal Suite. [Online] [Citado em: 10 de Outubro de 2007.] http://www.wifidog.org. [12] Rede Nacional de Ensino e Pesquisa (RNP), As Tecnologias de Redes Wireless. Disponvel em: http://www.rnp.br/newsgen/9805/wireless.html. Acessado em agosto de 2007. [13] Clube do hardware, Habilitando Segurana em Redes Wireless. Disponvel em: http://www.clubedohardware.com.br/artigos/963. Acessado em Agosto de 2007. [14] 2007. [15] Carrin, Demetrio. Monografia: Implementao de um Ponto de Frum: Segurana Wireless, InfoSecurity. Disponvel em:

http://www.istf.com.br/vb/forumdisplay.php?f=114. Acessado em Agosto de

Acesso Seguro para Redes 802.11. COPPE UFRJ . [16] Junior, Carlos Alberto; Brabo, Gustavo; Amoras, Rmulo Augusto. Segurana em redes Wireless Padro IEEE 802.11b:

Monografia:

Protocolos WEP, WPA e Anlise de Desempenho. UNAMA 2004. [17] Santos, C. Izabela, WPA: A Evoluo do WEP. Disponvel em:

http://www.lockabit.coppe.ufrj.br/rlab/rlab_textos?id=70. Acessado em Agosto de 2007.

100

[18]

MICROSOFT, Viso Geral da Atualizao de Segurana WPA no XP. Disponvel em: http://support.microsoft.com/kb/815485/1.

Windows

Acessado em Agosto de 2007. [19] Wi-Fi Aliance. Disponvel em: http://www.wi-fi.org/. Acessado em Agosto

de 2007

101