INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA

CATARINENSE – CAMPUS SOMBRIO

ÂNGELA DE LIMA MACHADO

AUTENTICAÇÃO CENTRALIZADA COM FREERADIUS EM INFRAESTRUTURA

DE REDES MESH

Sombrio (SC)

2013

ÂNGELA DE LIMA MACHADO

AUTENTICAÇÃO CENTRALIZADA COM FREERADIUS EM INFRAESTRUTURA DE

REDES MESH

Trabalho de conclusão de curso superior de Tecnologia em Redes de Computadores, apresentado como requisito para obtenção do título de Tecnólogo em Redes de Computadores no Instituto Federal de Educação, Ciência e Tecnologia Catarinense – Campus Sombrio.

Orientador (a): Prof. Me. Marco Antonio Silveira de Souza

Coorientador (a): Prof. Me. Gerson Luís de Luz

Sombrio (SC)

2013

ÂNGELA DE LIMA MACHADO

AUTENTICAÇÃO CENTRALIZADA COM FREERADIUS EM INFRAESTRUTURA DE

REDES MESH

Este trabalho de conclusão de curso Técnica -

Científica foi julgado adequado para obtenção do

título de Tecnólogo em Redes de Computadores e

aprovada pelo Curso Superior de Tecnologia em

Redes de Computadores do Instituto Federal de

Educação, Ciência e Tecnologia Catarinense –

Campus Sombrio.

Área de Concentração: Arquitetura de sistema de

Computação.

Sombrio, 18 de janeiro 2013.

Prof. Me. Marco Antônio Silveira de Souza

Instituto Federal Catarinense – Campus Sombrio

Orientador (a)

Prof. Joédio Borges Junior

Instituto -Federal Catarinense – Campus Sombrio

Membro

Profª. Me. Lucyene Lopes da Silva Todesco Nunes

Instituto Federal Catarinense – Campus Sombrio

Membro

DEDICATÓRIA

“Dedico esta monografia à minha mãe, Olga de Lima Machado, uma mulher

guerreira, um exemplo de perseverança, persistência, dedicação, amor e carinho.

Sempre me apoiou e incentivou em todas minhas conquistas, que se tornavam sua

também, isso tudo fez com que eu desenvolvesse e concluísse esse trabalho.”

AGRADECIMENTOS

Inicialmente agradeço a Deus, por ter me dado força e sabedoria para

desenvolver e concluir esta monografia.

Agradeço ao a meu namorado Jean Douglas Conte que muitas e muitas

vezes mostrou como sou capaz, me ensinou tantas coisas quanto um professor,

passando noites oferecendo companhia e estímulo.

Agradeço a dois amores incondicionais que tenho na vida, minhas filhas

Anthielli Machado Rodrigues e Andrielli Machado Rodrigues, que dias e noites

aguentaram minha ausência, minha falta de tempo muitas vezes realizando os

trabalhos escolares para poder dar o exemplo para elas.

Agradeço aos meus professores, Vanderlei Junior, Lucyene, Daniel, Jéferson,

Rosangela, Gilnei, Jackson, Alessandro, André, Maria Emília, Jéssica, Joédio, Luiz

Minussi e Luciana, por transformar minha vida acadêmica, cultural e profissional.

Agradeço ao meu orientador Marco Antonio Silveira de Souza, que me

escolheu e deixou com que eu o escolhesse, pela admiração que tenho e pela

grande e significante participação nessa monografia.

Agradeço ao meu coorientador Gerson Luís da Luz pela tempo prestado a

coorientação.

Agradeço aos meus colegas pelo incentivo e companheirismo.

Agradeço ao colega Aroni Silveira Dal Ponte pela grande generosidade em

emprestar os equipamentos para a realização dos testes.

Agradeço à professora Sandra Vieira, que fez com que eu me inscrevesse

nesse curso, me aconselhando e incentivando sempre.

Agradeço a Jairo de Borba e Derli Sant´Helena, por dedicar um pouco do seu

tempo para corrigir o texto da monografia.

E por fim, agradeço a todos da minha família e a todos do meu convívio, pela

compreensão de tanto esforço.

RESUMO

Com o crescimento das redes sem fio, surge a necessidade de buscar métodos e

topologias inovadoras para segurança das mesmas. Com esse crescimento surgiu a

rede sem fio Mesh, com muitas vantagens, mas trazendo consigo problemas de

segurança como o acesso não autorizado, o mal uso de rede para práticas ilegais e

acesso para causar danos a infraestrutura. No presente trabalho, foram realizados

uma pesquisa e testes de implementação em redes Mesh com autenticação no

servidor FreeRADIUS. Para isso foi criada uma rede Mesh com equipamentos

Mikrotik e instalado um servidor FreeRADIUS com banco de dados MySQL com o

intuito de realizar a autenticação do usuários Mesh. Os testes foram positivos na

autenticação dos usuários. O presente trabalho descreve o modo como foi feito todo

o processo e os equipamentos utilizados, demonstrando que o servidor FreeRADIUS

atende às necessidades do problema de segurança encontrado na infraestrutura da

rede sem fio Mesh.

Palavras-chave: Autenticação. Mesh. Mikrotik. FreeRADIUS.

ABSTRACT

With the growth of wireless networks, the need arises to seek innovative methods

and topologies for their safety. With this growth came the wireless Mesh network with

many advantages, but bringing security problems as unauthorized access, misuse of

network for illegal access and damage to infrastructure. In this work, we conducted a

survey and testing implementation Mesh networks with authentication on

FreeRADIUS server. To do this we created a mesh network with Mikrotik equipment

and installed FreeRADIUS server with MySQL database in order to perform

authentication of users Mesh. Tests were positive in authenticating users. This paper

describes how the whole process was done and the equipment used, demonstrating

that the FreeRADIUS server meets the needs of security issue found in network

infrastructure wireless Mesh.

Keywords: RADIUS. Authentication. Mesh. Mikrotik. FreeRADIUS.

LISTA DE ILUSTRAÇÃO

Figura 1 - Vantagens e desvantagens da rede Mesh ..................................... 17

Figura 2 - Modelo de uma Rede Mesh............................................................ 18

Figura 3 - Modelo Protocolo PAP ................................................................... 23

Figura 4 - Funcionamento CHAP .................................................................... 24

Figura 5 - Modelo da Rede ............................................................................. 31

Figura 6 - Modelo das autenticações .............................................................. 32

Figura 7 - Acessando o MySQL ...................................................................... 35

Figura 8 - Base de dados radius ..................................................................... 35

Figura 9 - Usuário e senha de teste ................................................................ 36

Figura 10 - Permissão ao usuário radius ........................................................ 36

Figura 11 - Configurando base de dado, senha e usuário .............................. 37

Figura 12 - Parar o serviço freeradius............................................................. 38

Figura 13 - Realizando teste ........................................................................... 39

Figura 14 - Adicionando um cliente ................................................................ 39

Figura 15 - Incluindo dicionário ....................................................................... 39

Figura 16 - RouterBoard Mikrotik 433, Cartão PCI RB R52Hn e antena ....... 34

Figura 17 - Winbox ......................................................................................... 40

Figura 18 - Mikrotik Mesh ............................................................................... 41

Figura 19 - Mikrotik Mesh Port ........................................................................ 41

Figura 20 - Wireless1 ...................................................................................... 42

Figura 21 - Wireless WDS .............................................................................. 42

Figura 22 - Adicionando IPs ............................................................................ 43

Figura 23 - Mikrotik DNS ................................................................................. 44

Figura 24 - Faixa de IPs "Pool" ....................................................................... 44

Figura 25 - Mikrotik DHCP .............................................................................. 45

Figura 26 - Servidor FreeRADIUS .................................................................. 46

Figura 27 - Mikrotik Hotspot ............................................................................ 46

Figura 28 - Mikrotik hotspot 2 ......................................................................... 47

LISTA DE ABREVIATURAS E SIGLAS

AAA Authentication, Authorization and Accounting

ACS Access Control Server

ASCII American Standard Code for Information Interchange

BGP Border Gateway Protocol

CHAP Challenge Handshake Authentication Protocol

DNS Domain Name System

EAP Extensible Authentication Protocol

GB Gigabyte

GPL General Public License

GNU General Public License

HD Hard Disk

HTTP Hypertext Transfer Protocol

HWMP Hybrid Wireless Mesh Protocol

IAS Internet Authentication Service

IEEE Institute of Electrical and Electronics Engineers

IP Intenet Protocol

ISP Internet Service Provider

LAN local area network

LDAP Lightweight Directory Access Protocol

MAC Media Access Control

MB Megabyte

MHZ megahertz

MPLS Multi Protocol Label Switching

NAS Network Access Server

OSPF Open Shortest Path First

PAP Password Authentication Protocol

PCI Peripheral Component Interconnect

PHP Personal Home Page

POE Power over Ethernet

POP Point of Presence

QoS Quality of Service

RAM Random Access Memory

RADIUS Remote Access Dial In User Service

RB RouterBoard

RFC Request for Comments

RIP Routing Information Protocol

SATA Serial Advanced Technology Attachment

SQL Structured Query Language

SSID Service Set IDentifier

TCP Transmission Control Protocol

UDP User Datagram Protocol

USB Universal Serial Bus

VPLS Virtual Private LAN Service

VPN Virtual Private LAN Service

WAN Wide Area Network

WDS Wireless Distribution System

SUMÁRIO

1 INTRODUÇÃO ..................................................................................... 13

2 OBJETIVOS ......................................................................................... 16

2.1 Objetivo Geral ..................................................................................... 16

2.2 Objetivos específicos ........................................................................ 16

3 FUNDAMENTAÇÃO TEÓRICA ........................................................... 17

3.1 Redes Mesh ........................................................................................ 17

3.2 Autenticação ....................................................................................... 19

3.2.1 Autenticação, Autorização e Contabilização (AAA) .............................. 20

3.2.2 Métodos de Autenticação ..................................................................... 21

3.2.3 Exemplos de protocolos de autenticação ............................................. 22

3.2.4 Ferramentas de autenticação ............................................................... 25

3.3 FreeRadius .......................................................................................... 26

3.3.1 Histórico ............................................................................................... 27

3.3.2 Funcionamento do FreeRADIUS .......................................................... 28

3.3.3 Vantagens do FreeRadius .................................................................... 29

4 MATERIAIS E MÉTODOS ................................................................... 30

4.1 Modelo proposto ................................................................................ 30

4.2 Instalação e configuração dos softwares ........................................ 34

4.2.1 FreeRADIUS e MySQL ........................................................................ 34

4.3 Equipamentos RouterBoard (Mikrotik) ............................................. 32

4.3.1 Protocolo HWMP+ ................................................................................ 33

4.3.2 Equipamento Mikrotik utilizado ............................................................. 33

4.3.3 Configuração Mikrotik ........................................................................... 40

4.4 DaloRADIUS ........................................................................................ 47

4.4.1 Instalando DaloRADIUS ....................................................................... 47

5 RESULTADOS E DISCUSSÃO ........................................................... 49

5.1 Trabalhos futuros ............................................................................... 50

5.2 Dificuldades encontradas .................................................................. 51

6 CONSIDERAÇÕES FINAIS ................................................................. 50

REFERÊNCIA ................................................................................................ 52

APÊNDICES ................................................................................................... 55

13

1 INTRODUÇÃO

As redes cabeadas vêm sendo menos utilizadas devido a vários fatores, tais

como o custo e a dificuldade de implantação. Com isso, a rede sem fio tem crescido

significativamente. Uma rede sem fio (wireless) é uma tecnologia que interliga vários

equipamentos fixos ou móveis, que se comunicam pelo ar, através de ondas de

rádio, essas redes vem sendo a solução para muitos projetos que encontram na

infraestrutura problemas por não poder implantar a rede cabeada. A tecnologia

utilizada na construção de redes sem fio é atualmente a família de protocolos

802.11.

Existia um grande problema nas comunicações sem fio, que era a falta de

padronização entre os fabricantes, a questão do problema não é a faixa de

frequência usada, mas sim como os dados eram transmitidos, para resolver esse

problema, o IEEE (Institute of Electrical and Electronics Engineers) lançou o padrão

802.11, resolvendo o problema quando definiu-se a camada de controle de acesso

ao meio (MAC) para transmissões sem fio. TORRES. 2001. p. 263).

O termo Wireless (sem fio) pode ser qualquer tipo de conexão para

transmissão de informações sem o uso de fios ou cabos (POZZEBON, 2012).

As redes sem fios têm muitas utilidades. Um uso comum é o escritório portátil. Quando viajam, muitas vezes as pessoas querem usar seu equipamento eletrônico portátil para enviar e receber ligações telefônicas, fax e correio eletrônico, navegar pela Web, acessar arquivos remotos e se conectar à máquinas distantes. (TANENBAUM, 2003, p. 24).

Dentre os modelos e topologias de rede sem fio, uma que se destaca é a rede

Mesh. Segundo Abelém (2007 p. 60) as redes Mesh evoluíram a partir das redes

móveis ad-hoc (Mobile Ad-hoc NETworks, ou MANETs), que oferecem muitas

vantagens (baixo custo; Fácil implantação; tolerância a falhas...) que destacam esta

tecnologia aguçando a implantação da mesma em projetos inovadores.

Segundo Abelém et al. (2007) as redes Mesh (redes em malha sem fio) são

redes de topologia dinâmica, pois seu crescimento varia de acordo com a

quantidade de equipamentos inseridos na estrutura. Este modelo de rede é

constituído por nós cuja comunicação é feita através de variantes dos padrões IEEE

802.11 e 802.16. As redes Mesh são compostas por roteadores sem fio que criam

uma infraestrutura de rede em malha, se conectando uns aos outros para rotear os

14

pacotes, que por sua vez chegam aos clientes conectados nos mais diversos pontos

da rede. Existe a perspectiva de que as redes sem fio do futuro sejam compostas

por este modelo, sendo que alguns padrões de rede estão se adaptando a esta

realidade.

Os pesquisadores começaram a rever o design do protocolo de redes sem fio

existentes, especialmente de Redes IEEE 802.11, redes ad hoc e redes de sensores

sem fio, a partir da perspectiva de Redes Mesh. Grupos para padrões industriais

também estão trabalhando ativamente em novas especificações para redes Mesh.

Por exemplo, a IEEE 802.11 [64,74], IEEE 802,15 [65,79], e IEEE 802.16 [66111135]

todos tem estabelecidos subgrupos de trabalho para se concentrar em novos

padrões para redes Mesh.

Devido ao avanço das redes wireless, que fornece acesso à rede de dados

sem a necessidade da estrutura da rede cabeada, o problema da segurança começa

a avançar também. Com todo esse crescimento as redes sem fio encontram um

problema, pois são alvos fáceis para invasores (crackers), pessoas com intenção de

obter informações sigilosas para fins criminosos ou até mesmo para se

autopromoverem. Segundo os autores Costa & Martins (2012) o cracker é um

indivíduo que comete crime, por possuir um vasto conhecimento na área, encontra

falhas no sistema de segurança e invade de forma ilegal ou sem ética, para apenas

deixar sua marca, para roubar e praticar crimes virtuais e até mesmo destruir um

sistema. Para Assunção (2002 p.9), este problema preocupa muito os usuários e

administradores de redes sem fio.

Alguns destes indivíduos utilizam de seus conhecimentos para se conectar à

rede e roubar informações que deveriam ser sigilosas ou até mesmo prejudicar a

rede causando lentidão e danos que em certas ocasiões são irreversíveis. Os

profissionais na área de redes buscam novos métodos na segurança das redes sem

fio, que por sua vez são facilmente interceptáveis. A autenticação dos usuários é

uma forma a mais de proteger a rede, permitindo a associação somente de usuários

cadastrados pelo administrador.

As redes Mesh por sua vez, também sofrem com a falta de segurança. O

problema de segurança pode ser amenizado buscando meios que possam

assegurar as informações dos usuários cadastrados na rede e prover autenticidade

na comunicação. A autenticação dos usuários através de um servidor FreeRADIUS

foi a forma escolhida para assegurar a autenticidade e segurança da rede Mesh

15

neste trabalho. O protocolo RADIUS é largamente utilizado para controlar acesso a

recursos de rede, no teste realizado com a infraestrutura já implantada respondeu

positivamente ao objetivo de prover controle de acesso à internet em uma rede sem

fio. (KUTEN & NADOLNY, 2010)

A escolha foi baseada neste modelo por ser um serviço de redes confiável e

prover autenticação, autorização e contabilização dos usuários devidamente

cadastrados para o acesso à internet.

O trabalho encontra-se estruturado da seguinte forma: o capítulo 1 traz a

introdução, com uma breve história do assunto abordado, o capítulo 2 traz os

objetivos que se deseja alcançar, o capítulo 3 traz a fundamentação teórica, material

pesquisado para fundamentar o presente trabalho, o capítulo 4 apresenta os

métodos e materiais usados no projeto, o capítulo 5 traz os resultados e discussão

obtidos na implantação, o capitulo 6 apresenta os resultados finais do projeto nas

considerações finais.

16

2 OBJETIVOS

2.1 Objetivo Geral

Este trabalho tem por objetivo implementar um servidor RADIUS para realizar

autenticação em rede sem fio Mesh.

2.2 Objetivos específicos

Pesquisar o protocolo RADIUS e a ferramenta FreeRADIUS

Estudar os principais protocolos de autenticação do FreeRADIUS

Estudar as redes Mesh

Instalar e configurar o servidor FreeRADIUS

Implementar uma rede sem fio Mesh

Integrar a autenticação da rede sem fio Mesh no servidor FreeRADIUS

Testar e documentar o ambiente desenvolvido

17

3 FUNDAMENTAÇÃO TEÓRICA

Neste item descreve-se a fundamentação teórica da rede Mesh, autenticação

e FreeRADIUS.

3.1 Redes Mesh

A rede Mesh (rede em malha sem fio) é uma nova topologia de rede sem fio e

um adicional do protocolo padrão 802.11. Como na maioria das redes Wireless, a

rede sem fio Mesh utiliza uma variação dos padrões WiFi, que são: 802.11a,

802.11b, 802.11g e 802.11n. Segundo Abelém (2007, p. 2), ”Rede Mesh:

Mobilidade, Qualidade de serviço e Comunicação em grupo.”.

Esta topologia é formada por equipamentos interligados (nós) que constroem

uma malha tornando a se comportar como uma grande rede, possibilitando que os

clientes se conectem a qualquer um destes equipamentos. Os nós replicam o sinal

entre eles, desta forma a mensagem encontra o melhor caminho até o nó central, o

qual estará ligado à WAN. Na rede Mesh, diferente das redes IPs onde cada nó

encontra-se em uma estrutura hierárquica, todos os nós encontram-se no mesmo

nível de igualdade. Segundo Abelém (2007, p. 62) ”[...] Em redes Mesh, nós móveis

conectam-se a redes IP através do gateway, que fazem a ligação entre as sub-redes

sem e com fio.”. Desta forma a circulação da comunicação se dá através de saltos,

ligando um ponto de acesso ao outro até que a mensagem chegue ao destino ou ao

gateway. A figura a 1 mostra um modelo de como seria um rede sem fio Mesh:

Figura 1 - Vantagens e desvantagens da rede Mesh

Rede Mesh

Vantagens Desvantagens

Baixo Custo Falta de padronização

Fácil implantação Falta de segurança

Tolerância a falhas Interferência

Escalável Baixo Throughput

Fonte: O autor, 2013.

18

Figura 2 - Modelo de uma Rede Mesh

Fonte: REDES Mesh

As redes Mesh possuem baixo custo, diferente da rede cabeada. Por possuir

poucos cabos o custo e o tempo de instalação são consideravelmente menores em

comparação com as demais topologias, indiferente de tamanhos variáveis de

cobertura. Segundo Saade et al (2007, p. 9) “Uma das vantagens da solução Rede

Mesh é o custo baixo dos equipamentos necessários para montar a malha sem fio.”.

Quanto à velocidade, quanto mais equipamentos (nós) forem instalados, a

largura de banda a rede sem fio Mesh mais rápida será e por consequência, mais

opções de caminhos disponíveis para comunicação os equipamentos da rede sem

fio Mesh terão.

Por ser uma rede sem fio e de fácil instalação, são ideais para eventos com

ambiente aberto que não possuem muitas paredes como shows, podendo ser

instalada e desinstalada rapidamente. Outros locais que são aconselháveis:

depósitos, locais de transporte, parques, campi universitários, escolas, aeroportos,

rodoviárias e cidades.

Uma vantagem é a autoconfiguração. Cada novo nó existente na rede se

configura automaticamente na rede, sem a necessidade de um administrador de

redes no local, basta instalar um equipamento dentro do alcance da malha, tendo o

alcance do sinal dos demais nós, que o mesmo se configura automaticamente.

Se um dos equipamentos perder o sinal de outro por quaisquer que sejam os

motivos, a rede automaticamente encontrará o caminho mais rápido e confiável para

enviar os dados por outro equipamento da malha, fazendo uma autorreparação e

19

convergindo a rede sem que haja a emergência de reparar o equipamento que se

encontra danificado no mesmo instante.

Uma rede local sem fio Mesh possui uma velocidade maior, pois os pacotes

são encaminhados diretamente ao destino, sem a necessidade de passar por um

servidor central. Na rede sem fio Mesh os equipamentos são de fácil instalação e

desinstalação, tornando a rede adaptável e expansiva na medida em que for

necessário aumentar ou diminuir a cobertura de sinal.

As redes Mesh sem fio representam uma ótima solução para os novos

projetos de redes. Mesmo assim, na rede Mesh encontra-se uma fragilidade que é a

segurança. A autenticação dos usuários na rede é um método que garante uma

maior segurança.

3.2 Autenticação

A autenticação consiste em um cadastro prévio do equipamento ou usuário

que permite acesso à rede estabelecendo ou não uma conexão, caso a autenticação

seja positiva a conexão é aberta, caso seja negativa o acesso será negado e

rotulado como impostor. Segundo Rufino (2007) ”Essa autenticação é feita antes de

qualquer outro serviço de rede estar disponível ao usuário requerente.”.

Há softwares de serviço pagos e gratuitos para autenticação, desta forma

existe a opção de investir em software proprietário ou gratuito. Instalando um

servidor de autenticação gratuito a despesa consiste em hardware. O que leva a

instalação de um servidor de autenticação gratuito em uma rede sem fio Mesh são

suas vantagens. Algumas das vantagens são: baixo custo, manutenção facilitada,

suporte ativo e segurança.

A implementação do software gratuito em suma é de fácil instalação, pois na

maioria das vezes existem tutoriais prontos, criados pela comunidade e disponíveis

em sites especializados na ferramenta, havendo somente a necessidade de

conhecimento do sistema e configuração dos métodos de autenticação,

recolhimento dos dados e criptografia.

Existem comunidades que desenvolvem e solucionam os problemas de

softwares gratuitos; as mesmas também oferecem suporte sempre que é solicitado

pelos usuários. A manutenção do servidor de autenticação garante a atualização do

20

sistema, o software necessita de atualização periódica, garantindo a segurança e o

bom funcionamento do servidor.

Como a autorização de acesso é concedida somente aos usuários existentes

no banco de dados, este método torna-se conveniente e simples. A autenticação

resolve um dos maiores problemas das redes sem fio Mesh que é a permissão do

acesso à rede em qualquer ponto da malha somente pelos usuários previamente

cadastrados no servidor de autenticação. Segundo o autor Filagrana (2002) o

aumento do expressivo em segurança de computadores significa que apenas

pessoas devidamente autorizadas terão o acesso às informações armazenadas nos

sistemas. A autenticação de usuários neste caso de implantação de uma rede sem

fio Mesh é de suma importância.

3.2.1 Autenticação, Autorização e Contabilização (AAA)

Para garantir o controle de acesso a rede, a RFC 2903 especifica três

modelos básicos de segurança, são estes Autenticação, Autorização e

Contabilização. Estes modelos são comumente descritos como AAA. (WALT, 2011

p. 8)

a) Autenticação

Autenticação é o método pelo qual o cliente confirma sua identidade para

acesso a rede. Segundo Pereira (2009, p. 2) “Autenticação: As credenciais do

usuário são comparadas com as existentes no banco de dados”. Este processo

confirma se as credenciais fornecidas pelo usuário são válidas. As principais formas

utilizadas para autenticação são o usuário e a senha, certificados e tokens. Caso o

usuário, senha, token ou certificados estejam incorretos a autenticação não será

confirmada. Caso contrário, uma sessão para o usuário é aberta com um tempo de

utilização limitado da rede. (WALT, 2011 p. 8).

b) Autorização

Autorização é o meio pelo qual é feito o controle do uso dos recursos da rede.

Segundo o autor Pereira (2009 p. 2) Autorização: O acesso ao recurso é aceito ou

recusado. Este controle é realizado através da atribuição de privilégios e restrições

21

aos usuários da rede. Através da autorização é possível limitar o numero de seções

de um usuário, restringir o trafego da rede e até mesmo limitar o acesso para um

determinado tempo. (WALT, 2011 p. 8).

c) Contabilização

A contabilização é o meio pelo qual se mensura a utilização dos recursos da

rede. Através das informações obtidas pode se fazer o gerenciamento, planejamento

e cobrança da utilização dos recursos da rede. Estas informações envolvem dados

como a identificação do usuário, recursos utilizados por este usuário e inicio e

término da utilização. (WALT, 2011 p. 8).

3.2.2 Métodos de Autenticação

Cada método de autenticação define os requisitos acerca de como as

identidades são verificadas nas comunicações às quais a regra associada se aplica,

existem basicamente quatro modos de autenticação: algo que o usuário é, algo que

o usuário tem e algo que o usuário sabe.

a) Biometria

Algo que o usuário é (biometria): segundo Filagrana (2002) “Este método e

baseado nas características físicas dos indivíduos.” Nessa técnica são usados meios

biométricos, como impressão digital, padrão facial, padrão da retina, padrão da voz,

reconhecimento de assinatura e ritmo da digitação, geometria da mão e íris. A

vantagem desta técnica é que é difícil de ser burlada, exigindo que o indivíduo esteja

fisicamente presente no ato da autenticação. O mesmo autor também cita o

desconforto, a falta de padrões e o custo dos equipamentos extras envolvidos como

uma desvantagem ao se utilizar alguns dispositivos biométricos.

b) Método por propriedade

22

Algo que o usuário tem (propriedade): usam-se objetos físicos que o usuário

possui, como cartão de banco, cartões de identificações, smart cards e tokens USB.

Segundo Filagrana (2002) “Sua maior desvantagem é a possível perda dos objetos

físicos e o custo adicional do hardware”.

c) Método através de senha

Algo que o usuário sabe: o autor Rainer (2012, p. 89) cita esta técnica,

demonstrando que usuário é autenticado através de senhas e/ou frases de acesso.

Contudo as senhas devem possuir métodos de segurança para não ocasionar

alguns problemas de organização em todo o sistema. Uma senha segura e eficaz

deve possuir as seguintes características: ser difícil de descobrir, ser longa, ter

vários caracteres incluindo letras maiúsculas, minúsculas, números e caracteres

especiais, não possuir palavras facilmente reconhecíveis, não conter datas,

documentos ou números que sejam conhecidos e se possível não conter o nome de

coisas ou pessoas.

3.2.3 Exemplos de protocolos de autenticação

O protocolo RADIUS permite a utilização e a implementação de diferentes

protocolos para autenticação, como PAP, CHAP e EAP.

a) PAP

O protocolo PAP (Password Authentication Protocol) foi um dos primeiros

protocolos utilizados para o fornecimento de nome de um usuário e senha ao

servidor. Ele utiliza autenticação simples, através de texto sem formatação (sem

Criptografia). O autor Campos et al. (2005, p. 6) afirma que o protocolo PAP Ӄ um

protocolo de autenticação de texto em formato simples” ele envia a senha e nome do

usuário para o servidor em formato ASCII que vem diretamente do usuário através

do NAS (Network Access Server). Por não serem criptografadas suas senhas são

facilmente lidas no processo de autenticação, por esse motivo é considerado

inseguro. (WALT, 2011, p. 69).

23

Figura 3 - Modelo Protocolo PAP

Fonte: O autor

b) CHAP

O protocolo CHAP ou (Challenge Handshake Authentication Protocol)

segundo Campos (2005, p. 6) “é conhecido como a melhoria do protocolo PAP”, este

protocolo diferente do PAP impede a transmissão de texto puro, CHAP foi criado nos

dias em que os modems eram populares e havia uma preocupação com o aumento

das capturas das senhas com textos puros. O protocolo CHAP funciona através de

uma ligação que é estabelecida com o NAS (Network Access Server), o NAS por sua

vez gera um desafio aleatório e envia para o usuário, o usuário responde a esse

desafio e retorna um hash unidirecional calculado em um identificador, juntamente

com o desafio e a senha do usuário, a resposta do usuário é utilizada pelo NAS para

criar um pacote de solicitação de acesso que é enviado para o servidor RADIUS.

Dependendo da resposta do servidor RADIUS o NAS irá retornar: “CHAP sucesso”

ou “CHAP falhou” para o usuário. (WALT, 2011, p. 69). Abaixo mostramos a figura 4

o funcionamento do protocolo CHAP:

24

Figura 4 - Funcionamento CHAP

Fonte: O autor

c) EAP

O protocolo “Extensible Authentication Protocol” é um protocolo de

autenticação extensível, que oferece suporte a diversos métodos de autenticação.

O autor Peres & Weber (2003) traz que o protocolo EAP tem como definição, permitir

a utilização de uma grande variedade de mecanismo de autenticação. O método

EAP autentica o usuário antes que ele tenha permissão de acessar a rede, a

autenticação com o protocolo EAP é diferente de um processo de autenticação

comum onde o cliente leva o primeiro passo e pede a autenticação, com o EAP o

autenticador solicita ao cliente identificar-se como o primeiro passo. Segundo o

autor Milanez, Mazieiro & Jamhour (2004) o funcionamento básico do protocolo EAP

é o seguinte:

1. O pacote request é enviado pelo autenticador para o ponto. O que

indica que a solicitação foi realizada é o campo “tipo” do pacote

(Indentily, MD5 – challenge,etc).

2. A resposta é enviada através do ponto com um pacote Response para

cada Request.

3. Para finalizar a fase de autenticação o autenticador envia um pacote de

Success ou Failure, indicando sucesso ou falha no processo de

autenticação.

25

3.2.4 Ferramentas de autenticação

Existem varias ferramentas que oferecem o serviço de autenticação com

diferentes métodos. Destacam-se algumas destas abaixo:

Kerberos: O Kerberos é uma destas ferramentas de autenticação. Esta

ferramenta foi desenhada para atuar como uma tecnologia cliente/servidor,

onde o usuário se identifica e autentica em tempo real usando a criptografia,

portanto é considerado seguro. O sistema de autenticação Kerberos possui

um diferencial, quando um cliente se autenticar na rede, ele questiona se

realmente sua identidade e respectiva autenticação são verdadeiras.

Segundo o autor Steiner (2004 p. 3) o Kerberos é um serviço de autenticação

confiável de terceiros com base no modelo apresentado por Needham e

Schroeder. Ele é confiável no sentido de que cada um dos clientes acredita

julgamento do Kerberos quanto à identidade de cada um dos seus outros

clientes com exatidão. Estampas de tempo (grande números que

representam a data atual e tempo) foram adicionadas ao modelo original para

ajudar na detecção de repetição. A repetição ocorre quando uma mensagem

é interceptada para fora da rede e reenviada mais tarde.

TIS Firewall Toolkit: Os componentes do TIS foram desenhados para

trabalhar de forma conjunta, cita os autores Brahm, Fernandes & Avelino

(2001) que porem os componentes podem trabalhar isoladamente ou em

conjunto combinados com outras ferramentas do Firewall. Segundo Moreira

(2003), ”é um conjunto de programas e práticas de configuração projetada

para facilitar a construção de firewall,” nele inclui apresentação de vários

mecanismos de autenticação de senhas e sua fragilidade.

Samba: A ferramenta Samba é um software servidor para Linux que pode

assumir as funções de: controlador de domínio, servidor de arquivo ou serviço

de autenticação como um controlador de acesso. Segundo Mayer, Fries &

Baú (2004), “O samba é um servidor e um conjunto de ferramentas que

permite que máquinas Linux e Windows se comuniquem entre si,

compartilhando serviços através do protocolo SMB”.

26

LDAP: O LDAP (Lightweight Directory Access Protocol) é um protocolo para

gerenciamento de diretórios via TCP/IP. O servidor LDAP tem a função de

analisar as credenciais do usuário, verificar se os dados informados pelo

usuário estão armazenados neste servidor e permitir ou não que o usuário

efetue suas consultas e modificações. Também é conhecido por ser utilizado

como um banco de dados hierárquico e centralizador. Oferece suporte para

trabalhar em conjunto com outras ferramentas de autenticação. Segundo

Oliveira (2007 p. 1) “o LDAP é um protocolo de acesso a serviços de

diretórios e esta definido na RFC 3377”.

3.3 FreeRadius

O FreeRADIUS segundo Antunes (2008/2009) 9é o servidor de autenticação1

mais utilizado para sistemas Linux, pois é responsável por autenticar pelo menos um

terço dos utilizadores de internet do mundo.

O autor WALT (2011) traz que o FreeRADIUS é um projeto open source

fornecendo uma implementação muito rica em recursos do Protocolo RADIUS com

seus acessórios diversos (http://www.freeradius.org). Quando pessoas se referem ao

FreeRADIUS, eles costumam falar sobre o software de servidor. Este é o principal

componente do conjunto de software incluído no download do FreeRADIUS.

Existem no mercado tecnologias concorrentes diretas do FreeRADIUS são

eles, ACS Cisco (Access Control Server) e o Microsoft IAS (Internet Authentication

Service). De acordo com o site Freeradius.org, o FreeRADIUS é uma implementação

do protocolo RADIUS modular, de alta performance e rica em opções e

funcionalidades.

Outra característica do servidor FreeRADIUS, é a capacidade de limitação do

número máximo de acessos simultâneos e a capacidade de funcionar como

servidor proxy.

O FreeRADIUS fornece varias maneiras para autenticação, que possuem

regras de acesso escolhidas pelo administrador. Um modelo de regra, por exemplo,

é como as senhas devem ser criadas. Estas questões são determinadas na

1 Máquina que autentica os usuários de uma rede LAN, podendo ser Linux ou

Windows. A principal vantagem é ter todos os cadastros de usuários e senhas em um único lugar.

27

configuração do MySQL juntamente com o FreeRADIUS. O FreeRADIUS permite a

edição de usuários, clientes e regras de acesso tanto em arquivos como em bases

de dados. O autor Antunes (2009) cita que os tipos de bases de dados compatíveis

com o FreeRADIUS são: MySQL, PostgresSQL e Oracle.

3.3.1 Histórico

RADIUS é um acrônimo para Remote Access Dial In User Service (, um

protocolo de autenticação de usuários que oferece uma segurança maior no acesso

à rede. Segundo WALT (2011 pg. 10) o RADIUS era parte de uma solução AAA

entregue pela Livingston Enterprises, para a Merit Network em 1991. Merit Network

é um provedor de Internet, sem fins lucrativos, que precisou de uma forma criativa

de gerenciar o acesso discado a vários pontos de presença (POP) em toda a sua

rede. A solução fornecida pelo Livingston Enterprises tinha um armazenamento

central de usuários utilizada para autenticação. Isso poderia ser usado por

numerosos servidores RAS (servidor de acesso remoto). Autorização e

contabilidade também poderiam ser realizadas, satisfazendo os princípios AAA.

Outro aspecto fundamental da solução da Livingston Enterprises foi o Proxy para

permitir dimensionamento. O protocolo RADIUS foi posteriormente publicado em

1997, como RFCs, algumas mudanças foram aplicadas. Hoje temos RFC2865, que

abrange o protocolo RADIUS, e a RFC2866, que cobre a contabilidade RADIUS. .s

adicionais que cobrem melhorias em determinados aspectos do RADIUS. Após a

criação de RFCs sobre o protocolo qualquer pessoa ou o fornecedor pôde então

implementar o protocolo RADIUS em seus equipamentos ou software. Isto resultou

em uma adoção generalizada do protocolo RADIUS para redes AAA sobre TCP/IP.

A palavra RADIUS pode ser encontrada sendo usada livremente significando o

protocolo RADIUS ou o cliente RADIUS/servidor do sistema inteiro. O significado

deve ser claro a partir do contexto em que é usada.

O desenvolvimento do FreeRADIUS começou em 1999, assim cita o autor

WALT (2011), depois que o futuro do original servidor RADIUS da Livingston

Enterprises tornou-se incerto. Isto permitiu a criação de um novo servidor, o

RADIUS, que por sua vez era código aberto e poderia incluir a participação ativa da

comunidade. O FreeRADIUS adquiriu uma sólida reputação e foi capaz de competir

28

com, e até mesmo decair, a maioria dos equivalentes comerciais. Seu lema de "O

servidor RADIUS mais popular do mundo” tem sido incontestada por algum tempo,

tornando-se uma afirmação válida.

3.3.2 Funcionamento do FreeRADIUS

O FreeRADIUS utiliza o protocolo RADIUS, que foi publicado na RFC 2865 e

RFC 2866. A comunicação do protocolo RADIUS entre o cliente e o servidor se faz

através do protocolo UDP, o que torna a comunicação em redes de baixa velocidade

viável e eficiente. Para que a comunicação entre o cliente e o servidor FreeRADIUS

aconteça, o cliente fará uma requisição ao servidor que por sua vez enviará uma

resposta para a requisição do cliente.

Segundo Antunes (2009) os clientes deverão ser configurados corretamente

de modo a comunicar com o servidor instalado. Nesse modelo, o cliente pode ser

um computador de rede, um ponto de acesso ou uma máquina com software

apropriado de modo que se possa instalar um cliente (p. ex. radiusclient).

O FreeRADIUS usa a tecnologia cliente/servidor, onde o NAS é o

equipamento que autentica usuários para acesso. O mesmo autor cita as formas de

como ocorre à comunicação que é feita entre o RADIUS e o NAS através do

protocolo UDP na porta 1812 (autenticação-radius) e na porta 1813 (contabilização-

radacct) definidas pela RFC2865. Quando instalado, o serviço oferece as seguintes

ferramentas:

radclient - emula um cliente RADIUS, enviando pacotes para o servidor

imprimindo a resposta;

radlast - mostra as ultimas sessões de utilizadores;

radtest - frontend para o radclient, utilizado para testar o servidor;

radwho - mostra os utilizadores ligados;

radrelay - reenvia dados de accounting para um outro servidor RADIUS;

radwatch - não é utilizado, sendo instalado apenas por razões históricas;

radzap - efetua a limpeza da base de dados de sessões ativas.

29

3.3.3 Vantagens do FreeRadius

O FreeRADIUS é uma ferramenta gratuita de código aberto, podendo o

administrador realizar alterações, caso haja uma necessidade. Em ferramentas de

código aberto (OpenSource) você está livre para se adaptar, mudar, expandir e

corrigir caso seja necessário. FreeRADIUS é licenciado sob a GNU “General Public

License” (GPL) (WALT 2011, p.23).

O FreeRADIUS é modular, deste modo o administrador poderá utilizar os

módulos que a ferramenta oferece para integração LDAP ou SQL. O mesmo oferece

também os módulos Perl e Python dando permissão ao administrador desencadear

essas duas linguagens de script em FreeRADIUS. O servidor FreeRADIUS é

comumente usado, podendo assim encontrar facilmente referências em ISPs

(Provedores de internet) e grandes empresas com número considerável de usuários

conectados à rede. Pelo fato de ser muito utilizado, a comunidade criou várias listas

de discussão, se houver alguma dificuldade de implantar ou algum problema estas

listas com arquivos de pesquisa estão disponíveis para consultas. A instalação do

servidor FreeRADIUS é multiplataforma, portanto pode ser instalado nas principais

plataformas disponíveis no mercado, no sistema operacional Linux já faz parte dos

pacotes disponíveis, o download está disponível também para Windows. (WALT,

2011).

30

4 MATERIAIS E MÉTODOS

Na arquitetura de testes proposta, foi implementada uma rede sem fio Mesh

entre três roteadores Mikrotik, para autenticação da rede sem fio Mesh foi instalado

o servidor FreeRADIUS com o gerenciador de banco de dados MySQL e para

realização da gerência do mesmo, foi instalado o software Daloradius.

Os métodos realizados no presente trabalho foram pesquisas exploratórias e

bibliográficas, e a realização de testes, buscando nos tempos atuais encontrar a

solução do objetivo e conhecer o melhor método a ser aplicado no projeto.

4.1 Modelo proposto

O modelo proposto foi constituído por três RouterBoard Mikrotik. Uma destas

RouterBoards com acesso à internet, um hotspot configurado para acesso dos

usuários à rede e acesso direto ao servidor de autenticação FreeRADIUS através de

cabo. A ligação entre as demais RouterBoard Mikrotik se deram através de rede sem

fio, da mesma forma entre os usuários finais.

A figura 5 mostra toda a estrutura da rede, a ligação entre as RouterBoard

Mikrotik com RouterBoard mestre e o direcionamento das mesmas ao servidor

FreeRADIUS, assim como o alcance do sinal das Mikrotiks e a localização de cada

equipamento.

31

Figura 5 - Modelo da Rede

Fonte: O autor

A figura 6 apresenta como a autenticação foi realizada nos testes e o mostra

o fluxo dos pedidos de autenticação de cada usuário solicitante a cada RouterBoard

Mikrotik, e a relação entre as RouterBoard Mikrotik e o servidor FreeRADIUS:

32

Figura 6 - Modelo das autenticações

Fonte: O autor

4.2 Equipamentos RouterBoard (Mikrotik)

A Mikrotik é uma empresa da Letônia que fabrica equipamentos para redes de

computadores, fundada em 1995. Alguns provedores de acesso à internet utilizam

estes equipamentos, o sistema operacional RouterOS baseado em Linux é o

principal produto da empresa. O sistema RouterOS permite que equipamentos

fabricados pela empresa ou qualquer computador se um torne roteador, com

funções como firewall, VPN (Virtual Private Network), Proxy, QoS, protocolos de

roteamento do tipo BGP (Border Gateway Protocol), RIP (Routing Information

Protocol), OSPF (Open Shortest Path First), MPLS (Multiprotocol Label Switching),

VPLS (Virtual Private LAN Service). (WELTER, 2012).

Existem varias formas de gerenciar o sistema operacional RouterOS, estas

são: Terminais SSH, Telnet, pagina Web ou pelo software de configuração Winbox.

33

O Winbox é uma ferramenta com interface gráfica usada para gerenciar o RouterOS

nas RouterBoard Mikrotik.

O protocolo de roteamento para redes sem fio Mesh oferecido pelo RouterOS

é o HWMP+.

4.2.1 Protocolo HWMP+

O protocolo HWMP+ é o protocolo proprietário da Mikrotik. Este é um

protocolo de roteamento eficiente e sua implementação é simples, pois combina as

vantagens dos protocolos que trabalham no modo reativo e proativo. O modo reativo

é utilizado para comunicação ponto a ponto, proporcionando baixo overhead de

roteamento. Já o modo proativo é utilizado quando se faz necessário estabelecer

rotas com um gateway ou nós importantes na rede, proporcionado baixa latência.

Por ser um protocolo proprietário, é necessário que os equipamentos da rede sem

fio Mesh sejam todos RouterBoard Mikrotik.

4.2.2 Equipamento Mikrotik utilizado

As três RouterBoard Mikrotik utilizada nas realizações dos testes possuíam a

seguinte configuração: modelo RB433, RAM 64MB, 3 portas LAN, 3 miniPCI, PoE

10-28V, RouterOS License Level 4, CPU 300 MHz e RouterOS versão 5.23. Este

modelo de RouterBoard não possui wireless, foi preciso anexar um cartão PCI de

rede sem fio com a antena para que a rede sem fio Mesh fosse implantada. Os

cartões PCI sem fio possuíam as seguintes configurações Mikrotik – mini PCI Card

R52Hn 802.11a/b/g/n 320mw Mmcx juntamente com uma antena omni como mostra

as figura 16:

34

Figura 7 - RouterBoard Mikrotik 433, Cartão PCI RB R52Hn e antena

Fonte: O autor

4.3 Instalação e configuração dos softwares

Para a realização dos testes, inicialmente foi instalado o sistema operacional

em uma máquina virtual, com a seguinte configuração: Nome do servidor

FreeRADIUS, sistema operacional Ubuntu server 12.04 x86, memória principal 1024

MB e armazenamento em HD SATA de 160 GB.

Na instalação do servidor foi criado um usuário com o nome “angela” e senha

“123”, os testes foram realizados com este usuário. A versão do FreeRADIUS

instalada é a 2.1.10 e a do MySQL é 5.5.28.

4.3.1 FreeRADIUS e MySQL

A seguir será feita a descrição de como foram realizadas as configurações do

servidor FreeRADIUS com MySQL no Ubuntu. No terminal (com direitos

administrativos) o primeiro passo foi instalar o FreeRADIUS, Apache, MySQL e PHP,

para tal o comando é:

# apt-get install freeradius freeradius-mysql lamp-server^

O pacote “freeradius” instala o servidor FreeRADIUS, o pacote seguinte,

“freeradius-mysql” instala os arquivos para configurar a base dados MySQL no

35

servidor FreeRADIUS e por fim, o ultimo pacote “lamp-server” instala o conjunto de

serviços Apache, MySQL e PHP.

O comandos seguintes configuraram o MySQL para trabalhar com o

FreeRADIUS, primeiro foi criado um banco de dados onde o FreeRADIUS guardará

dados de nomes RADIUS, pra isso foi necessário acessar o MySQL, o comando

seguinte realizou o acesso.

#mysql –u root –p 123;

O comando abaixo criou a base de dados radius.

#create database radius;

Aconselha-se criar um usuário para realização dos testes, pra isso

acessamos o MySQL como mostra a figura 7:

Figura 8 - Acessando o MySQL

Fonte: O autor

O comando da figura 8 acessa a base dados radius.

Figura 9 - Base de dados radius

Fonte: O autor

36

O usuário “radius” com a senha “123” foi criado na tabela “radcheck” do

MySQL onde fica guardados os nomes dos usuários. A figura 9 mostra o comando

usado:

Figura 10 - Usuário e senha de teste

Fonte: O autor

A figura 10 garante que o usuário “radius” possua acesso a todas as tabelas

de dados radius.

Figura 11 - Permissão ao usuário radius

Fonte: O autor

Os comandos seguintes foram utilizados para e importar as configurações do

FreeRADIUS para MySQL, enviando os scripts para ser criadas as tabelas

“shema.sql” e “nas.sql” na base de dados radius:

#mysql –u radius –p radius <

/etc/freeradius/sql/mysql/shema.sql

#mysql -u radius -p radius <

/etc/freeradius/sql/mysql/nas.sql

Enter password:

Foi necessário editar o arquivo “/etc/freeradius/sql.conf” para definir o tipo do

banco de dados, nome e senha que já foram configurado anteriormente. O comando

usado foi:

37

#nano /etc/freeradius/sql.conf

Figura 12 - Configurando base de dado, senha e usuário

Fonte: O autor

Para habilitar o SQL no FreeRADIUS, o arquivo “/etc/freeradius/sites-

enabled/default” foi alterado, retirando os comentários. Os comandos abaixo

mostram como esse processo é feito:

# vim /etc/freeradius/sites-enabled/default

Retirado o comentário sql em authorize{}

# See “Authorization Queries” in sql.conf

sql

Retirado o comentário sql em accounting{}

# See “Accounting queries” in sql.conf

sql

Retirado o comentário sql em session{}

# See “Simultaneous Use Checking Queries” in sql.conf

sql

Retirado o comentario sql em post-auth{}

# See “Authentication Logging Queries” in sql.conf

38

Sql

Após os passos acima, foi retirado o comentário do arquivo “radiusd.conf”,

habilitando e incluindo o SQL no arquivo. Esta é uma forma de organizar melhor os

arquivos de configuração, pois o arquivo “sql.conf” tende a ser um arquivo grande.

# vim /etc/freeradius/radiusd.conf

#Uncomment #$INCLUDE sql.conf

$INCLUDE sql.conf

Para a realização do teste e averiguar se o serviço FreeRADIUS está

funcionando é necessário parar o serviço “freeradius” e iniciar em modo debugging

(depuração).

Figura 13 - Parar o serviço freeradius

Fonte: O autor

Em outro terminal iniciar o serviço freeradius

#freeradius –X

O comando “radtest” do usuário “anja” com a senha “123” no local onde o

servidor se encontra (localhost) na porta “1812” com a senha do cliente “testing123”

testa a requisição do usuário anja e na figura 13 mostra que a requisição e o usuário

anja foram aceitos, pois foi recebido um Access-Accept do servidor FreeRADIUS:

39

Figura 14 - Realizando teste

Fonte: O autor

Para habilitar o dispositivo Mikrotik para acessar nosso servidor, precisamos

adicionar cliente no arquivo “clients.conf”. como mostra o comando abaixo:

#vim /etc/freeradius/clients.conf

Figura 15 - Adicionando um cliente

Fonte: O autor

Para obter um valor específico para Mikrotik, foi preciso adicionar um

dicionário Mikrotik como mostra o comando e a imagem do arquivo 15:

#vim /etc/freeradius/dictionary

Figura 16 - Incluindo dicionário

Fonte: O autor

40

4.3.2 Configuração Mikrotik

Na realização dos testes da infraestrutura da rede, foi configurada toda a rede

Mesh usando o protocolo HWMP+ nas RouterBoard Mikrotiks, as figuras seguintes

mostram como foi realizado esse processo de configuração. O primeiro passo foi a

instalação do Winbox para acessar o sistema operacional RouterOS nas

RouterBoard Mikrotik, através do acesso foram iniciadas as configurações da rede

sem fio Mesh. A figura 17 mostra a janela de conexão do Winbox:

Figura 17 - Winbox

Fonte: O autor

Na janela do Winbox no ícone em destaque é onde se coloca o IP ou o MAC

Address da RouterBoard Mikrotik, como mostra a figura 17, o IP padrão da Ethernet

da RouterBoard Mikrotik é o 192.162.88.1. Na configuração sem fio Mesh do projeto

os IPs das interfaces sem fio das Mikrotiks foram 10.0.0.1, 10.0.0.2 e 10.0.0.3. O

próximo passo demonstra a parte mais importante da construção da rede sem fio

Mesh, pois foi configurada a RouterBoard que fará a distribuição do IP para a rede

sem fio Mesh. Esta RouterBoard é o principal equipamento que fará a negociação de

autenticação com o servidor FreeRADIUS e também é onde foi configurado o

hotspot para acesso dos usuários. O nome que foi configurado na RouterBoard

41

mestre é PC1. No passo seguinte foi configurada a rede sem fio Mesh como mostra

a figura 18:

Figura 18 - Mikrotik Mesh

Fonte: O autor

Na mesma aba onde foi configurada a rede sem fio Mesh foi configurada a

interface Wireless, como mostra a figura 19:

Figura 19 - Mikrotik Mesh Port

Fonte: O autor

42

As figuras a seguir mostram como foi configurada a Wireless da RouterBoard.

Na aba wireless foram realizadas as seguintes configurações: em modo “ap bridge”

na banda “2GHz-B/G/N”, em frequência “2412” e em SSID “Mesh”, na aba WDS o

modelo do sistema foi colocado como “dynamics Mesh”, como mostra as figuras 20 e

21.

Figura 20 - Wireless1

Fonte: O autor

Figura 21 - Wireless WDS

Fonte: O autor

43

Nas interfaces foi configurado o IP na interface bridge-Mesh como mostra a

figura 22:

Figura 22 - Adicionando IPs

Fonte: O autor

O DNS adicionado na configuração foi o 8.8.8.8, DNS público do Google,

como segue a figura 23:

44

Figura 23 - Mikrotik DNS

Fonte: O autor

Para adicionar uma faixa de IPs foi acessada na barra “menu” na opção IP, o

Pool. Nesta opção foi adicionado um range (faixa de IP) e o nome deste range. Na

figura 24 mostra como isso foi feito:

Figura 24 - Faixa de IPs "Pool"

45

Fonte: O autor

Com o range criado, o passo seguinte foi a criação do servidor DHCP da rede

sem fio Mesh, que ficou responsável por distribuir os IPs aos hosts ligados a essa

rede, na figura 25:

Figura 25 - Mikrotik DHCP

Fonte: O autor

A RouterBoard tem que estar conectada no servidor de autenticação, para isso,

na configuração é colocado o endereço do servidor FreeRADIUS, para que quando

a RouterBoard mande a solicitação de autenticação feita pelo usuário para ao

servidor como mostra a figura 26:

46

Figura 26 - Servidor FreeRADIUS

Fonte: O autor

E por fim, foi configurado o hotspot. O hotspot é uma forma de autenticação

através de uma interface web que exige ao usuário login e senha. Desta forma,

alimentado através do servidor FreeRADIUS, o hostspot pode ou não permitir o

acesso a rede. Por padrão o hotspot marca na aba login as opções “HTTP CHAP” e

“Cookie”, e os utiliza como modelo de autenticação. As figuras 27 e 28 mostram

como foi configurado o hotspot na RouterBoard Mikrotik:

Figura 27 - Mikrotik Hotspot

Fonte: O autor

47

Figura 28 - Mikrotik hotspot 2

Fonte: O autor

4.4 DaloRADIUS

O DaloRADIUS é uma ferramenta Web para gerenciar o servidor

FreeRADIUS. A ferramenta possui gerenciamento de cadastros de clientes,

relatórios gráficos e faturamento. Para o funcionamento do DaloRADIUS foi

necessário instalar um servidor Web, que foi instalado anteriormente como mostra o

capitulo 4.2.1.

4.4.1 Instalando DaloRADIUS

Os comandos abaixo mostram como foi instalado o DaloRADIUS, inicialmente

acessamos a pasta de temporários com o comando:

# cd /tmp

O seguinte comando, baixa o pacote do DaloRADIUS dentro da pasta

temporários e deve ser executado em apenas uma linha:

48

#wget 'http://downloads.sourceforge.net/project/ ->

daloradius/daloradius/daloradius-0.9-8/daloradius->

-0.9-8.tar.gz'

O comando abaixo foi usado para descompactar o arquivo:

# tar xvzf daloradius-0.9-8.tar.gz

O próximo comando move o arquivo para outro local a pasta do servidor web:

# mv /tmp/daloradius-0.9-8 /var/www/daloradius

Para mudar o proprietário e o grupo dos arquivos de modo que o servidor web

possa acessá-los o comando usado foi o seguinte:

# chown -R www-data:www-data /var/www/daloradius

49

5 RESULTADOS E DISCUSSÃO

Com a realização das pesquisas e testes, foi possível observar que a rede

Mesh oferece vantagens significativas, como baixo custo, fácil implantação,

tolerância a falhas e escalável, podendo ser implantada em ambiente com âmbito

educacional para prover técnicas de conhecimento e popularização do protocolo, ou

para fins específicos como ambientes proprietários a fim de oferecer acesso à

Internet de forma controlada.

Após a configuração o servidor freeRADIUS se apresenta como um servidor

de autenticação seguro e com muitas opções de gerenciamento, também

oferecendo um leque de serviços para cada infraestrutura necessária.

Um dos grandes benefícios de unir a tecnologia de rede sem fio Mesh e o

servidor de autenticação FreeRADIUS é o fator custo x benefício, pois com baixo

custo é possível proporcionar um nível maior de segurança em uma rede sem fio

Mesh. Este benefício se dá pelo fato do protocolo RADIUS ser gratuito, ou seja,

possuir licença aberta para que qualquer pessoa ou entidade possa modificar e usar

para uso próprio e específico.

O FreeRADIUS também é modular e altamente integrável, deste modo,

integrá-lo à rede sem fio Mesh se tornou muito mais fácil, ao ponto que pode-se unir

ambas as ferramentas cada vez mais se necessário. Caso a integração básica não

consiga satisfazer todos os requisitos necessários na implantação, ainda é possível

que se criem módulos específicos no FreeRADIUS a partir de dicionários

específicos, podendo aliar ainda mais as duas ferramentas no momento da

autenticação.

A mobilidade proporcionada pela rede Mesh também foi aproveitada pelo

servidor FreeRADIUS. O método de autenticação utilizado pelo servidor

FreeRADIUS permitiu que um usuário da rede Mesh autenticado em um nó se

movesse em direção a outro e a segurança permanecesse em funcionamento. A

rede sem fio Mesh também proporcionou a facilidade de expansão da rede. Em

conjunto com o servidor FreeRADIUS cada novo nó instalado na rede necessitou de

menos configurações, pois a rede Mesh somente encaminhou o tráfego ao servidor

de autenticação.

50

6 CONSIDERAÇÕES FINAIS

Este trabalho tem por objetivo implementar um servidor RADIUS para realizar

autenticação em rede sem fio Mesh. Ao fim dos estudos, o material teórico e a

observação intensa no período de pesquisa foram fundamentais para entender como

se deu a construção e o crescimento das duas tecnologias FreeRADIUS e Redes

sem fio Mesh.

Nos testes realizados, considerou-se que a implantação do servidor

FreeRADIUS para realizar a autenticação da infraestrutura da rede sem fio Mesh foi

bem sucedida, trazendo uma carga de aprendizado e conhecimento prático sobre os

assuntos testados.

Na infraestrutura da rede sem fio Mesh foi encontrado um grau de

complexidade, surpreendendo de certa forma em alguns momentos da pesquisa e

implantação. Ainda assim, no resultado final do modelo proposto com os

equipamentos RouterBoard Mikrotik o funcionamento da infraestrutura de rede Mesh

foi bem sucedida e ofereceu vantagens significantes.

O servidor FreeRADIUS é considerado uma ferramenta robusta e de fácil

instalação, apropriada para autenticar os usuários da rede sem fio Mesh proposta,

amenizando o problema de segurança encontrado na rede Mesh.

As RouterBoard Mikrotik são equipamentos que oferecem amplas

funcionalidades e configurações, facilitando e enriquecendo toda a arquitetura do

projeto proposto. Por fim, os objetivos foram alcançados, com enriquecimento

significativo para o âmbito acadêmico.

6.1 Trabalhos futuros

Com os estudos realizados e o embasamento teórico obtido, algumas

sugestões de trabalhos posteriores puderam ser encontradas, como a implantação

do projeto em questão no campus IFC unidade Urbana de sombrio ou da unidade

sede de Santa Rosa do Sul. Surgiram também sugestões de outros equipamentos

para a construção da rede sem fio Mesh, com novos protocolos.

51

6.2 Dificuldade encontrada

A dificuldade encontrada foi na configuração dos protocolos de autenticação

do servidor FreeRADIUS, na busca de obter uma maior segurança das senhas, em

algumas configurações o servidor não reconhecia a criptografia implantada, na

realização dos testes foi usado os protocolos PAP e CHAP, com o protocolo PAP a

autenticação foi confirmada com sucesso, mas com o protocolo CHAP a

autenticação inicialmente não era confirmada.

52

REFERÊNCIA

ABELÉM, Antônio Jorge Gomes et al. Redes Mesh: Mobilidade, Qualidade de Serviço e Comunicação em Grupo. In: Minicursos: 25º Simpósio Brasileiro de Redes de Computadores e Sistemas Distribuídos. Disponível em: <http://sbrc2007.ufpa.br/anais/2007/MC%20-%2002.pdf> Acesso em: 14 jan. 2013. ABELÉM, Antônio Jorge Gomes et al. Estudo comparativo de protocolos de roteamento para redes Mesh na região Amazônica. SBRC. 2007. Sessão de Artigos Curtos II. Disponível em: <http://www.lbd.dcc.ufmg.br:8080/colecoes/sbrc/2007/080.pdf> Acesso em: 17 jan. 2013. ANTUNES, Vitor Hugo Leite. Frontend Web 2.0 para Gestão de RADIUS. Maj or Telecomunicações. Dissertação de mestrado. 2008/2009. Disponível em: <http://paginas.fe.up.pt/~ee04199/Frontend%20Web%202.0%20para%20Gestao%20de%20RADIUS.pdf>.Acesso em: 15 jan. 2013. ASSUNÇÃO, Marcos Flávio A. Guia do Hacker Brasileiro. Editora: Visual Books. 2002. BRAHM, Daniel Ribeiro; FERNANDES, Sandro Antônio; AVELINO, João Bellomo Filho. Certificação de Firewalls. Universidade Católica de Pelotas, 2001. CAMPOS, Juliana C. Moura.et al. Segurança de redes. Pontifícia Universidade Católica de Campinas. 2005. p. 6. COSTA, Rui; MARTINS, Felipe. “Hacking.” Disponível em: <http://www.alunos.dcc.fc.up.pt/~c0616038/files/hacking.pdf>. Acesso em: 17 jan. 2012. FILAGRANA, Artur Carlos. Sistema de autenticação de usuários para provedores de internet baseado no número telefônico. Universidade para o Desenvolvimento do Alto Vale do Itajaí. INIDAVI. Itajaí, SC, 2002. FreeRADIUS: The world’s most popular RADIUS Server. Disponível em: <http://freeradius.org/>. Acesso em: 23 jan. 2013.

TORRES Gabriel. Redes de Computadores: urso completo. Edit. Axcel Books do Brasil. Rio de Janeiro, RJ. 2001. p. 263. KUTEN, Júlio. NADOLNY; Leonardo Neto. Autenticação de clientes em rede sem fio com Radius. Pontifícia Universidade Católica do Paraná. Curitiba, 2010. MAYER, Eleonor Vinícius Dudel; FRIES, Fabricio Deitos; BAÚ, Giovani. Samba: Servidor de Domínio. Universidade Regional do Noroeste do Estado do Rio Grande do Sul. Santa Rosa, RS, 2004.

53

MILANEZ, Marcelo; MAZIEIRO, Carlos; JAMHOUR, Edgar. Segurança em Redes IEEE 802.11 utilizando cadeias SPKI. PUCPR – Pontifícia Universidade Católica do Paraná. Curitiba, 2004. MOREIRA, Anderson Luiz Souza. Plano de segurança e planejamento da rede de computadores da waytec tecnologia em comunicação ltda. Universidade Estadual de Santa Cruz. Ilhéus, Bahia, 2003. OLIVEIRA, Bruno Filipe Sobral de. Servidores e Topologias de rede. Disponível em: < http://paginas.fe.up.pt/~ee07055/mieec/index.php> Acesso em 13 jan. 2013. OLIVEIRA, Isabela Liane de. Análise de ferramentas para Gerenciamento de Arquivos de Sistemas. Instituto de Biociências Letras e Ciências Exatas. São José do Rio Preto, 2007. p. 1. PEREIRA, Marcelo Veiga. Implementando segurança no nível de acesso utilizando servidor radius. Disponível em: <http://repositorio.roca.utfpr.edu.br/jspui/bitstream/1/419/1/CT_GESER_1_2011_17.pdf>Acesso em: 14 jan. 2013. PEREIRA, Marcos Heyse. Segurança de redes sem fio, uma proposta com serviços integrados de autenticação LDAP e RADIUS. Pontifícia Universidade Católica do Paraná. 2009. p. 9. PERES, André; WEBER, Raul Fernando. Considerações sobre Segurança em Redes Sem Fio. ULBRA – Universidade Luterana do Brasil; UFRGS – Universidade Federal do Rio Grande Do Sul. 2003. POZZEBON, Rafaela. O que é wireless e como Funciona?. Disponível em: <http://www.oficinadanet.com.br/artigo/redes/o-que-e-wireless-e-como-funciona>. Acesso em: Dezembro 2012. RAINER, R. Kelly Introdução a sistemas da informação. (Recurso eletrônico), edição 3ª. Ed. Elsevier. Tradução de Android in Action. Rio de Janeiro, 2012. p. 89. REDES Mesh, Disponível em: < http://www.vivasemfio.com/blog/category/1_tecnologias/r_z_tecnologias/wi_Mesh/> Acesso em: 15 de jan. 2013.

RUFINO, Nelson Murilo de Oliveira. Segurança em Redes sem Fio: Aprenda a proteger suas informações em ambientes Wi-Fi e Bluetooth. Edição 3ª. Editora Novatec. 2007. SAADE, Débora C. Muchaluart. et al. Redes em Malha: Solução de Baixo Custo para Popularização do Acesso à Internet no Brasil. XXV Simpósio Brasileiro de Telecomunicações – SBrT. Recife, 2007. P. 3.

54

STEINER, Jennifer G. Kerberos: Na Authentication Service for Open Network Systems. University of Washington Sattle. 2004. p. 3. TANENBAUM, Andrew S., Computer Network. Edição 4ª. Editora Campus, 2003. p. 24. WALT, Dirk Van Der. FreeRADIUS: Manage your network resources with FreeRADIUS. Editora: Published by Packt Publishing Ltda. 2011. WELTER, Geovani Fabricio. Sistema para interação com o equipamento routerboard. Universidade Tecnológica Federal do Paraná- campus Pato Branco, Disponível em : <http://repositorio.roca.utfpr.edu.br/jspui/bitstream/1/589/1/PB_COADS_2012_1_06.pdf> Acesso em: 05 fev. 2013.

55

APÊNDICES