ARAPUCA FR Decorator (versao 1.0.

0)
Kempes J.
malkavk@gmail.com
30 de maio de 2012

Sumario
1

O Arapuca
1.1 O que significa Arapuca?
1.2 O que e o Arapuca? . . .
1.3 Como Funciona? . . . .
1.4 Por Que usar o Arapuca?

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

3
3
3
4
4

Instalaca o
Iniciais . . . . . . . .
2.1 Consideracoes
2.2 Pre-Requisitos . . . . . . . . . . . . .
2.3 Componentes . . . . . . . . . . . . .
2.4 Descompactando todos os arquivos .
2.5 Instalaca o . . . . . . . . . . . . . . .

2.6 Pos-Instalac
a o do Arapuca . . . . . .

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

5
5
5
5
6
6
6

Usando o Arapuca
3.1 Administrador . . . . . . . . . . . .
. . .
3.2 Funcionalidades e Permissoes
3.3 Login . . . . . . . . . . . . . . . . .
3.4 Home . . . . . . . . . . . . . . . . .
3.4.1 Dados Pessoais . . . . . . .
3.4.2 Advertencias . . . . . . . .
3.4.3 Emissao de Tickets . . . . .
3.4.4 Roteadores Disponveis . .
3.4.5 Ajuda . . . . . . . . . . . . .
3.5 Administraca o . . . . . . . . . . . .
3.5.1 Usuarios . . . . . . . . . . .
3.5.2 Grupos de Usuarios . . . .
3.5.3 Visitantes . . . . . . . . . .
3.5.4 Advertencias . . . . . . . .
3.5.5 Fabricantes de Roteadores .
3.5.6 Modelos de Roteadores . .
3.5.7 Localizaca o de Roteadores .
3.5.8 Roteadores . . . . . . . . . .
3.5.9 Calendario de Acesso . . .
3.5.10 Documentaca o de Ajuda . .
3.5.11 Log de Acessos ao Sistema
3.5.12 Log de Conexao de Rede .
. . . . . . . .
3.5.13 Configuracoes
3.5.14 Mala Direta . . . . . . . . .
em Grupo . . . .
3.5.15 Operacoes
3.6 Sobre . . . . . . . . . . . . . . . . .

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

7
7
7
7
9
9
9
11
12
12
12
13
13
16
16
16
17
17
17
18
18
19
19
19
19
21
21

Como Administrar uma Rede com Arapuca

e Restricoes
. . . . . . . .
4.1 Especificacoes
4.2 Regras de Funcionamento . . . . . . . .
4.2.1 Emissao de Tickets de Acesso . .
4.2.2 Advertencias . . . . . . . . . . .

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

22
22
22
22
23

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

4.3

4.2.3 Roteadores . . . . . . . . . . . . . . . . .
em Grupos .
4.2.4 Malas-Diretas e Operacoes
Exemplo de Contexto de Aplicaca o . . . . . . .
4.3.1 Ambiente . . . . . . . . . . . . . . . . .
4.3.2 Sugestao de Administraca o . . . . . . .

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

23
23
23
23
24

Captulo 1

O Arapuca
1.1

O que significa Arapuca?

Arapucas sao armadilhas feitas como gaiolas que caem sobre seus alvos, que sao normalmente passaros.
O Arapuca FR Decorator (ou simplesmente Arapuca) foi pensado no mesmo sentido, mas seu alvo
dos usuarios para autenticaca o em uma rede, normalmente sem fio (wireless).
sao as informacoes

1.2

O que e o Arapuca?

Sozinho o Arapuca nao realiza o processo de autenticaca o, mas auxilia no processo.

Um dos modos de autenticaca o mais seguros, atualmente, e o especificado pelo padrao 802.11/wireless da IEEE, tambem conhecido como WPA ou WPA Enterprise. Esta especificado neste padrao que
o processo de autenticaca o nao e necessariamente feito pelo equipamento que fornecesse a conexao (ou
NAS, ou Network Access Server) a rede, devendo haver trocas de nomes de usuarios e senhas, usando
para encriptaca o dos dados.
certificacoes
Para esse processo faz-se necessarios um servidor de RADIUS (Remote Authentication Dial In User
Service). Dentre os programas servidores um dos mais populares e o FreeRADIUS. Uma alternativa freeware com ampla flexibilidade de configuraca o que pode abranger diversos metodos de criptografia e
modos de autenticaca o, em especfico e de interesse para o Arapuca a autenticaca o usando TTLS com
MS-Chap v2.
sobre o usario,
Mas o FreeRADIUS possui a desvantagem de um conjunto resumido de informacoes
os equipamentos ligados a rede e nao disponibiliza facilidades para pesquisas mais intensivas sobre
seus dados (como quando necessario o rastreio de acesso de usuarios).
Assim, por intermedio de um banco de dados PostgreSQL, o Arapuca vem a expandir as funcionalidades do FreeRADIUS, sem modificar sua forma de funcionamento. Isso vem a possibilitar:
Expansao os dados coletados do usario (como nome, cpf, e-mail, etc.);
Expansao os dados dos NAS (como fabricante, manual, localizaca o, manual, etc);
Concessao de acesso a usarios da rede (tickets de acesso);
Interrupca o permanente ou temporariamente o acesso de usuario;
Emica o de malas-diretas aos usuarios;
Dentre outras funcionalidades.

A principal vantagem de usar o Arapuca junto do FreeRADIUS e a possibilidade de administrar a

rede sem a necessidade de saber os detalhes mais tecnicos de acesso a rede, possibilitando pessoas totalmente leigas na a rea redes a permitir acesso de usuarios e seus equipamentos, com apoio de dispositivos
indevidas.
de seguranca que impossibilitam acoes

1.3

Como Funciona?

(ou views)
O Arapuca define todo um novo conjunto de dados que sao sumarizados na forma de visoes
de bancos de dados que sao lidas pelo FreeRADIUS.
Com o novo conjunto de dados o Arapuca determina que:
de seu Modelo e sua Localizaca o;
Cada NAS (chamados apenas de Roteadores) possui informacoes
Cada Modelo de Roteador possui informaca o de um Fabricante;
Cada Usuario da rede esta vinculado a um ou mais Grupos de Usuarios;
de acesso para executar acoes
administrativas
Cada Grupo de Usuario determina suas permissoes
do Arapuca ou acessar a rede, alem de delimitar o cunjunto de Roteadores que podem ser usados
pelos Usuarios;
de seus Grupos) emitir tickets de acesso tem Um Usuario pode (dependendo das informacoes
porario a terceiros;
gerais, o acesso a rede
Dependendo da informaca o dos Grupos a que pertence e das configuracoes
de um usuario pode estar condicionado a um Caledario de Acesso;
de Usuario no sistema sao registradas (Log de Acesso ao Sistema);
As acoes
anteriores sao geradas, para o FreeRADIUS, as visoes
de informacoes

Do cruzamento das informacoes

de NAS(nas) e de acesso (radcheck);
Toda conexao a` rede e registrada pelo FreeRADIUS e podem ser consultados pelo Arapuca;
de mensagens todas as configuracoes
e uso do Arapuca
Com excessao de poucas personalizacoes
sao feitos via paginas PHP.

1.4

Por Que usar o Arapuca?

Mesmo sendo uma poderosa ferramenta de seguranca o FreeRADIUS, sozinho, exige do administra de comandos SQL para
dor grande atenca o, desde a configuraca o inicial, ate as constantes execucoes
cadastro de usuarios.
Assim, o Arapuca permite que a administraca o da rede seja feita atraves de uma interface bastante
amigavel e que tira parte da responsabilidade do administrador em relaca o ao dados do usuario e o que
ele pode fazer.
Esse e um panorama que e bastante comum nas IFES (Instituica o Federal de Ensino Superior), onde
o volume de usuarios e grande e o administrador pode delegar parte do servico administrativo a terceiros (delegaca o de cadastro de usuarios e emissao de tickets de acesso temporario, por exemplo), que
nao precisam ter conhecimento da forma de funcionamento do servidor FreeRADIUS ou como executar
um comando SQL.

Captulo 2

Instalaca o
2.1

Consideracoes
Iniciais

Este sistema foi desenvolvido e testado em ambiente Linux, no entanto, em existindo as mesmas ferramentas em outros ambientes o mesmo pode vir a funcionar, contanto que os pre-requisitos sejam
cumpridos.
A instalaca o de alguns componentes de pre-requisitos nao sao recomendas com uso de instaladores

automaticos como apt ou yum, devido realizarem a instalaca o pulverizando arquivos em diretorios
que se pode perder o controle, com configuraca o insuficiente ou sem levantamento de determinados
componentes, necessarios ao funcionamento do Arapuca.

2.2

Pre-Requisitos

na verdade, uma interface web para outras aplicacoes

e
O Arapuca nao e uma aplicaca o standalone. E,
funcionalidades.
Assim, algumas servicos e servidores sao instalados juntamente com o Arapuca.
FreeRADIUS
Apache2
PHP5
Yii 1.1.4
PostgreSQL

2.3

Componentes

O Arapuca e adquirido na forma de um unico

arquivo compactado que possui:
Este arquivo de documentaca o;
Arquivo executavel de instalaca o
Arquivos para pre-configuraca o do FreeRADIUS;
Arquivos de scripts de inicializaca o do banco de dados;
A versao 1.1.4 do framework Yii;
Arquivos de correca o do framework Yii;
Os arquivos correspondentes a aplicaca o do Arapuca.

2.4

Descompactando todos os arquivos

O arquivo de distribuica o do Arapuca deve ser descompactado com um comando como o indicado a
seguir:
tar xjvf atapuca.1.0.0.tar.bz2

2.5

Instalaca o

Para instalar o Arapuca e seus pre-requisitos basta executar o arquivo install.sh.

Este script instalara todos os pre-requisitos (via comando apt-get) e configura o ambiente:
ja configuradas
fara backup de arquivos de configuraca o ja existentes e os substituirao por versoes
(isso ocorre apenas em arquivos do FreeRADIUS e Postgresql)
do mesmo
copiara os arquivos do Yii e correcoes
copiara os arquivos do Arapuca
preparara o banco de dados
reiniciara os servicos do PostgreSQL e FreeRADIUS

2.6

Pos-Instala

ca o do Arapuca

o processo de instalaca o, que sejam personalizadas as mensagens automaticas enE aconselhavel, apos
viadas via e-mail. Isso pode ser feita nos seguintes arquivos:
<WWW ROOT>/arapuca/protected/controlles/AdvertenciaController.php
<WWW ROOT>/arapuca/protected/controlles/VisitanteController.php
Procure nesses arquivos a funca o sendMail e personalize as mensagens.

Captulo 3

Usando o Arapuca
3.1

Administrador

do usuario administrador.
A maioria das funcionalidades do Arapuca permitem intervencoes
Assim que instalado o usuario administrador tem login administrador e senha administrador.
No entanto, qualquer usuario pode ter os mesmos direitos, bastando que o mesmo esteja em algum
grupo que conceda os direitos desejados.

3.2

Funcionalidades e Permissoes

existem permissoes
especficas
O Arapuca possui diversas funcionalidades. Para a maioria das funcoes
para usa-las. Tanto a visualizaca o quanto o uso de uma funcionalidade dependem de se o usuario pos
sui suas permissoes.
Com isso, a interface pode ser diferente para cada usuario. As funcionalidades estao dividas em 2
grandes grupos: Home e Administraca o. Em adica o ainda se pode encontrar a funcionalidade Sobre,

alem da propria
tela de Login.

3.3

Login

por autorizacoes,

Devido possuir restricoes

um usuario nao pode usar o Arapuca se nao estiver logado.
Toda requisica o para enderecos enquanto nao estiver logado resultara em um redirecionamento para a
pagina de login (Figura 3.1).

A unica
exceca o e em relaca o a recuperaca o de senhas.
Caso um usuario esqueca sua senha ele pode solicitar que uma senha seja criada automaticamente
pelo sistema e enviada via e-mail. Isso pode ser feito abrindo o link Esqueceu a senha? (clique aqui)na

propria
tela de login.

Para solicitar a recuperaca o de senha o usuario deve informar o proprio

login e e-mail (Figura 3.2).
Estes dados sao validados e, caso correspondam a um usuario valido, a nova senha e enviada via e-mail,
junto com uma recomendaca o para troca imediata da mesma.

Figura 3.1: Login

Figura 3.2: Recuperaca o de Senha

Figura 3.3: Pagina Home

3.4

Home

a acessar o sistema o usuario e encaminhado para a pagina Home (Figura 3.3).

Apos
Os links Sobre, Logout, Dados Pessoais, Advertenciase Roteadores Disponveissao os

unicos
disponveis a todos os usuarios. Todos os outros so aparecerao caso o usuario tenha autorizaca o
(para os links da aba Administraca o) ou se algum grupo permitir (para o link Emissao de Tickets).

3.4.1

Dados Pessoais

Sao os dados do proprio

usuario (Figura 3.4).
nao podem ser alteradas pelo usuario, com excessao da senha. Isto ocorre para
Tais informacoes
evitar que o administrador perca o controle sobre esses dados. A maior importancia disso pode ser
identificada nos casos onde se usa algum tipo de termo de uso da rede, pois assim evita divergencias
entre os termos de usos e os dados cadastrados.
Alem dos dados pessoais o usuarios pode ver, nesta pagina, a lista de Grupos de Usuarios (3.5.2) a
que pertence e um link para troca de senha de acesso.
A senha de acesso ao Arapuca e a mesma de acesso a` rede, quando o usuario possui acesso a isso.

3.4.2

Advertencias

As advertencias sao as penalidades cometidas pelo usuario.

Um administrador do sistema que identifique que um usario nao esta agindo de acordo com a
poltica de administraca o pode advert-lo. Neste momento, o administrador indica uma validade da
advertencia (em dias) e o motivo. Dentro do perodo de validade da advertencia o usuario estara impedido de usar a rede, mas ainda pode acessar o Arapuca, podendo, nesta tela, checar os dados das
advertencias que recebeu (Figura 3.5).
A mesma advertencia e enviada via e-mail para o usuario.

Figura 3.4: Dados Pessoais

Figura 3.5: Advertencias

10

Figura 3.6: Seleca o de Grupo de Origem de Ticket

Figura 3.7: Emissao de Ticket de Acesso

O administrador pode ainda dar uma advertencia de validade permanente (-1 dias), isso fara com
que o usuario nao mais possa acessar a rede, mas ainda pode acessar o Arapuca.

3.4.3

Emissao de Tickets

Pode-se configurar Grupos de Usuario (3.5.2) para permitir que seus participantes emitam Tickets de
Acesso. Um ticket permite que uma pessoa tenha acesso temporario a rede.
Os grupos podem ser definidos com quotas de emissao de ticket (Figura 3.6), que limitam o prazo
maximo de validade de um ticket, quantos tickets podem ser emitidos e o maior perodo que pode ser

permitido em um somatorio
dos tickets emitidos em um perodo.
Assim, o ticket vincula uma pessoa (nao usuaria permantente do sistema), a um usuario permanente
e a um grupo de usuarios, possuindo um momento de emissao e um prazo maximo de validade (Figura
3.7).
Os tickets podem ser cancelados. Isso impede que o acesso do usuario temporario, mas nao revoga

11

Figura 3.8: Lista de Roteadores Disponveis

o consumo de tickets e tempo da quota de acesso.

3.4.4

Roteadores Disponveis

Um possvel cenario para utilizaca o do Arapuca e onde figuram diversos roteadores e diversos grupos
de usuarios. Neste cenario e possvel que um determinado usuario tenha acesso a apenas um subconjunto dos roteadores disponveis.
Isso ocorre pela vinculaca o de grupos de usuarios a roteadores (3.5.2).
- que
Assim, e importante que cada usuario tenha acesso a lista de roteadores - e suas localizacoes
estao disponveis para o mesmo (Figura 3.8).

3.4.5

Ajuda

para o usuario, o Arapuca possui o servico de cadastro

Para facilitar a disponibilizaca o de informacoes
de documentos (3.5.10).
Neste servico o administrador do sistema cadastra quaisquer documentos que possam ser vinculados aos diferentes tipos de acesso ao sistema. Dessa forma, um usuario visualiza na a rea de Ajuda
(Figura 3.9) todos os documentos disponveis para cada uma das atividades que podem ser desempenhadas por ele.

3.5

Administraca o

A administraca o do Arapuca envolve o CRUD (Create-Recover-Update-Delete, ou ainda, Criaca o-Recuperaca oAtualizaca o-Exclusao) de diversos tipos de dados. Assim, tais dados foram agrupados de forma a ser
mais pratica o servico de administraca o.
Cada categoria de dados requer acessos especficos para visualizaca o e alteraca o dos dados, salvo
onde a alteracoes
nao sao permitidas (como nos casos de Log de Acesso ao Sistema
algumas excessoes
de Rede [3.5.12]).
[3.5.11] e Log de Conexoes

12

Figura 3.9: Documentos de Ajudo para o Usuario

3.5.1

Usuarios

A administraca o de usuarios e , provavelmente, uma das partes mais importantes do Arapuca.

O adminstrador pode, alem de cadastrar a alterar os dados de usuarios, pode visualizar informacoes
extras (Figura 3.10):
Se esta cumprindo advertencia
Quantidade de advertencias sofridas
Se esta permitido acessar a rede, que e uma analise sobre os seguintes itens:
Se esta habilitado
Se esta cadastrado em algum grupo que permita acessar a rede no perodo corrente
Se esta cumprindo advertencia
A que grupos o usuario esta vinculado
Ao se visualizar ou alterar um usuario especfico, tem-se acesso a` s funcionalidades de Associar a
Grupos(Figura 3.11) e Advertir(Figura 3.12).
de acesso no sistema, a roteaA associaca o a grupos e a aca o de vincular um usuarios a permissoes
dores e a possibilidade de emissao de tickets de acesso.
Quando um usuario age desrespeitando as diretrizes de acesso a rede, o mesmo pode ser advertido. A advertencia implica em uma penalidade que vai de uma simples advertencia (Validade 0), ao
cancelamento permanente do acesso a rede (Validade -1). Cada advertencia deve ser devidamente justificada, tendo em vista que quando e emitida, a descrica o da advertencia e enviada via e-mail ao usuario.

3.5.2

Grupos de Usuarios

Os Grupos de Usuarios sao os vnculos entre os usuarios e o que eles podem fazer tanto no sistema
quanto na rede de computadores.
Um grupo e definido por (Figura 3.13):
Grupo - nome do grupo

13

Figura 3.10: Visualizaca o de Dados do Usuario

Figura 3.11: Associaca o de Usuario a Grupos

Figura 3.12: Advertir Usuario

14

Figura 3.13: Visualizaca o de Grupo

de Grupo
Figura 3.14: Definica o de Autorizacoes
Max.Qtd. de Tickets - quantos tickets o grupo pode emitir no perodo (caso se esteja usando
calendario de acesso [3.5.9])
Maior Validade de Ticket - qual e a maior quantidade de dias que um ticket pode permitir

Volume Max. de Validade - somatorio

de todas as validades de tickets emitidos em um perodo
deve ser menor que este valor (caso se esteja usando calendario de acesso [3.5.9])
Usuarios Afetados por Calendario de Acesso - caso se esteja usando calendario de acesso (3.5.9),
indica se os usuario do grupo poderao acessar a rede fora de perodos indicados por calendarios
Emitir Tickets fora do Perodo - caso se esteja usando calendario de acesso (3.5.9), indica se os
usuarios podem emitir tickets de acesso fora de perodos indicados por calendarios
do
Nas telas de atualizaca o ou visualizaca o dos dados do grupo, pode-se definir as autorizacoes
sao pre-definidas com a distribuica o do Arapuca e funcionam na forma Algrupo. As autorizacoes
low/Deny, isto e , se um usuario for membro de pelo menos um grupo que de autorizaca o a uma determinada funcionalidade, entao o usuario podera utiliza-la, caso contrario sera negado (Figura 3.14).
Os Grupos de Usuarios tambem sao responsaveis pela vinculaca o de usuarios com os roteadores da
rede, isto e , ao se vincular um rotador com um grupo, os usuarios do grupo tambem poderao utilizar
este equipamento (Figura 3.15).

Tal qual as autorizacoes,

um usuario podera usar um roteador caso seja membro de pelo menos um
grupo que de acesso ao mesmo.
15

Figura 3.15: Definica o de Acesso a Roteadores por um Grupo de Usuarios

Caso o sistema esteja configurado para emitir tickets de acesso (3.5.13) e se o usuario tiver permissao
para emitir ticket de acesso, o usuario visitante tera acesso aos mesmos roteadores que o grupo de
usuarios que deu origem ao ticket de acesso.

3.5.3

Visitantes

Visitantes sao todos os usuarios temporarios que tem/tiveram acesso a rede por receber ticket de acesso
de um usuario permanente.
Nao se pode modificar os dados de um ticket de acesso, a nao ser realizar seu cancelamento (Figura
3.16), isto e , fazer o ticket deixar de ter validade prematuramente. Para tanto, o administrador deve
informar um motivo para o cancelamento. O cancelamento de um ticket de acesso nao invalida o consumoda contagem de tickets ou de dias para o grupo cedente.

3.5.4

Advertencias

Uma advertencia e uma penalidade a ser cumprida por um usuario, por um perodo informado (-1 se
permanente, ou ainda maior ou igual a 0 dias) por causa de um motivo a ser informado.
Uma advertencia nao invalida o acesso do usuario ao Arapuca, mas evita que o mesmo acesse a rede.
Uma advertencia pode ser modificada, de forma tal a mudar sua validade ou o motivo de advertencia.
Cada advertencia emitida e enviada ao administrador do Arapuca e ao usuario advertido via e-mail.
As advertencias so sao geradas junto aos usuarios. Na sessao Advertenciaspode-se apenas consulta-las ou modifica-las.

3.5.5

Fabricantes de Roteadores

E um dado acessorio
ao roteador que indica a marca do mesmo.

16

Figura 3.16: Cancelar Ticket de Acesso

E um dado disponvel apenas a administradores.

3.5.6

Modelos de Roteadores

E um dado acessorio
ao roteador que indica o modelo e marca, podendo, ainda, vincular a um arquivo
contendo o manual do equipamento.
Tal como a informaca o de fabricante, so esta disponvel a administradores.

3.5.7

Localizaca o de Roteadores

E um dado acessorio
ao roteador que indica onde pode ser instalado um roteador.
Ao se ter uma rede com diversos equipamentos espalhados espacialmente, faz-se necessaria a indicaca o
aos usuarios dos locais onde podera acessar a rede.
aos usuarios da rede, que a ve junto aos roteadores a que tem
Assim, esta informaca o e mais util
acesso.

3.5.8

Roteadores

Um roteador, na verdade, e um elemento identificado como NAS(Network Access Server, ou ainda, Servidor de Acesso a Rede) pelo FreeRADIUS. Este equipamento pode ser um switch, um roteador wireless ou
qualquer outro equipamento que possa usar o padrao IEEE 802.11x e se comunique com FreeRADIUS.
Um roteador, ao ser cadastrado, deve ser vinculado a um modelo de roteador. Dessa forma, tem-se
mais completas de um equipamento, como marcar, fabricante e manual.
informacoes
Alem disso, o Arapuca ainda pode tentar verificar se o equipamento esta ativo (atraves de PING
simples) e prover link para acesso direto ao equipmento via HTTP (como e comum a maioria dos equipamentos roteadores wireless) (Figura 3.17).

17

Figura 3.17: Visualizaca o de Roteador

Figura 3.18: Associaca o de Grupos a Roteador

ser cadastrado, um roteador so podera ser
O Arapuca herda um limitaca o do FreeRADIUS: apos
usado se o servico do FreeRADIUS for reiniciado. Para este problema, infelizmente, ainda nao foi encontrada a soluca o mais adequada.
A partir da visualizaca o de um roteador pode-se vincula-lo aos grupos que poderao acessa-lo (Figura 3.18).

3.5.9

Calendario de Acesso

Um calendario de acesso e a delimitaca o de perodo por duas datas. Tal delimitaca o serve para bloquear
acesso a rede ou emissao de tickets de acesso, dependendo da configuraca o dos grupos a que o usuario
pertence e da configuraca o de uso de calendario de acesso (3.5.13).

3.5.10

Documentaca o de Ajuda

A documentaca o de ajuda e um dispositivo simples que vincula um arquivo (em qualquer formato)
a uma permissao de acesso ao sistema (se nenhuma for especificada o documento e marcado como

Publico)
(Figura 3.19).

18

Figura 3.19: Cadastro de Documentaca o de Ajuda

Dessa forma, o usuario que possuir um determinado nvel de acesso ao sistema tera um link de ajuda
com cada documento vinculado a este nvel.

3.5.11

Log de Acessos ao Sistema

Cada aca o de alteraca o de dados ou entrada e sada do sistema sao gravadas no banco de dados, de
forma que o sistema identifica quais eram os dados anteriores e os que foram modificados, tal qual o
usuario que fez a modificaca o.
Esses dados sao apenas para consulta (Figura 3.20).

3.5.12

Log de Conexao de Rede

Esta funcionalidade leos registros de acesso de usuarios do FreeRADIUS e disponibiliza uma interface

facil para busca de informacoes,

incluindo o vnculo com o usuario de acesso (seja usuario permanente
ou visitante), alem de tentar verificar se o acesso foi feito com o computador cadastrado junto ao usuario
(caso seja um usuario permanente e o MAC estiver cadastrado).
Tal qual o Log de Acessos ao Sistema (3.5.11), os dados desta funcionalidade sao apenas para leitura.

3.5.13

Configuracoes

dizem respeito a um comportamento mais amplo do sistema.

As configuracoes
tem-se:
Dentre as configuracoes
Uso das funcionalidades de emissao de tickets de acesso
do servidor de envio de e-mail
Configuracoes
de acesso por uso de calendario de acesso
Uso de restricoes

3.5.14

Mala Direta

A mala-direta e um modo de comunicaca o direta com os usuarios. Acontece no formato: Grupos de

Destino/Ttulo/Mensagem (Figura 3.21).
Esta funcionalidade e baseada no e-mail cadastrado do usuario.

19

Figura 3.20: Consulta a Log de Acesso ao Sistema

Figura 3.21: Envio de Mala-Direta

20

Ao editar a mensagem de uma mala-direta algumas pseudo-variaveis poderao ser usadas. Ao preparar o e-mail o arapuca substitui as variaveis pelos valores recuperados do banco de dados. As pseudovariaveis sao:
{nome} - nome do usuario;
{login} - login do usuario;
{matricula} - matrcula do usuario;
{grupo} - nome do grupo de destino da mensagem;
{email} - email do usuario.

3.5.15

Operacoes
em Grupo

Ate o presente momento nao foram previstas muitas funcionalidades, mas a ideia e que toda e qualquer
operaca o que deva alterar os usuarios de um grupos venham para esta seca o. Ate o momento apenas
foi adicionada a funca o de desabilitar usuarios.

3.6

Sobre

a respeito da versao da interface e do banco de dados.

Tras informacoes

21

Captulo 4

Como Administrar uma Rede com

Arapuca
O Arapuca da certas liberdades administrativas que o FreeRADIUS nao possibilita. No entanto, tambem
regras para seu uso.
limita o contexto de utilizaca o do FreeRADIUS. Assim o Arapuca tambem impoe

4.1

Especificacoes
e Restricoes

O Arapuca e util para usar o FreeRADIUS em um contexto onde a rede usa autenticaca o 802.11x.

A unica
limitaca o de equipamentos NAS com relaca o ao FreeRADIUS e se o equipamento podera
usar 802.11x.

Isto quer dizer os usuarios receberao certificados digitais e se autenticarao atraves de um tunel
criptografado.
Nem todos os equipamentos aceitam receber certificados digitais no momento da conexao (como
celulares com Windows Mobile). Nestes casos pode-se fornecer o certificado ao proprietario do equipamento, sem danos a seguranca da rede.
Nem todos os sistemas operacionais realizam identificaca o imediata que o processo de autenticaca o
foi bem sucedido. Isto e comum em sistemas operacionais que pre-cadastram a conexao e so a certificam posteriormente (ex.: Windows Vista, iPod e iPhone). Isto pode ser solucionado pelo reincio dos
equipamentos.

4.2

Regras de Funcionamento

Em sua versao 1.0.0 o Arapuca foi criado com algumas regras que podem facilitar seu uso em determinados contextos de uso, mas poderao se tornar problemas em outros.

4.2.1

Emissao de Tickets de Acesso

Os tickets de acesso so podem ser emitidos se a configuraca o Emitir Tickets de Acessoestiver marcada.
de Calendarioestiver marcada, os tickets obedecerao quotas
Caso a configuraca o Usar Restricoes
de emissao de acordo com o configurado em cada grupo. Alem disso sera verificado se o grupo pode
emitir tickets entre perodos de calendarios.

22

 de Calendarionao estiver marcada; nenhuma quota e verifiCaso a configuraca o Usar Restricoes

cada, mas o grupo de ve ser configurado de formatal a ter valores superiores a 0 nos campos de quantidade maxima de ticketes, validade maxima de tickete e quantidade maxima de validades de tickets.
Tickets nao podem ser emitidos para usuarios permanentes.
Tickets nao podem ser emitidos para visitantes que possuam tickets de acesso ainda ativos.
Quando um ticket de acesso e emitido o visitante recebera um e-mail de confirmaca o com o nome
do usuario, senha e a lista de roteadores que podera usar (que sera a mesma do grupo cedente do ticket).

4.2.2

Advertencias

Uma advertencia pode ter validade 0, nao limitando o acesso a rede pelo usuario advertido.
Uma advertencia pode ser editada, de forma a aumentar ou diminuir sua validade.

Uma advertancia, ao ser emitida, e enviada ao usuario advertido, com copia

para o e-mail cadastrado na configuraca o do sistema.
Um usuario advertido ainda pode emitir tickets de acesso.

4.2.3

Roteadores

seu cadastro, deve-se reiniciar o servico do FreeRADIUS, pois ele nao identificara sua existencia
Apos
ate la.

4.2.4

Malas-Diretas e Operacoes
em Grupos

Nao geram LOG de Acessos ao Sistema.

4.3
4.3.1

Exemplo de Contexto de Aplicaca o

Ambiente

Multiplos
NAS

Um unico
servidor de autenticaca o

Multiplos
usuarios com diferentes privilegios de acesso
Usuarios com acesso em perodos limitados do ano;
Usuarios com acesso integral durante o ano;
Usuarios com possibilidade de receber visitantes temporarios;
Restrica o de uso de equipamentos por usuarios especficos.

Multiplos
nveis de administraca o a rede
Administrador da rede;
Administradores de cadastros de usarios;
Tecnicos de hardware.

23

4.3.2

Sugestao de Administraca o

No ambiente indicado, o Arapuca pode ser configurado para uso de Calendario de Acesso.
Deve-se cadastrar todos os NAS disponveis, mesmo que nao se va utilizar todos.
Deve-se cadastrar varios tipos de grupos:
Sem possibilidade de emissao de tickets, sendo afetado pelo calendario de acesso e apenas com
autorizaca o para acessar a rede;
Com possibilidade de emissao de tickets, nao sendo afetado pelo calendario de acesso e apenas
com autorizaca o para acessar a rede;
Sem possibilidade de emissao de tickets, nao sendo afetado pelo calendario de acesso e apenas
com autorizaca o para acessar a rede;
Sem possibilidade de emissao de tickets, nao sendo afetado pelo calendario de acesso e com
autorizaca o para consultar dados de usuarios e roteadores;
Sem possibilidade de emissao de tickets, nao sendo afetado pelo calendario de acesso e com
autorizaca o para gerenciar dados de usuarios e consultar dados de roteadores;
Sem possibilidade de emissao de tickets, nao sendo afetado pelo calendario de acesso e com todas

as auorizacoes.
a criaca o dos grupos vincular a cada NAS que podera acessar.
Apos
Por fim, vincular cada usuario a um ou mais grupos de forma a definir suas possibilidades de
adminisemissao de tickets de acesso, a influencia do calendario sobre seu acesso e o tipo de acoes
trativas que podera ter.

24