Upload
w4rh4ck3r
View
68
Download
1
Embed Size (px)
Citation preview
UNIVERSIDADE DE PASSO FUNDO
Marcelo Rockenbach
Wireless em Ambientes Públicos
Passo Fundo
2008
Marcelo Rockenbach
Wireless em Ambientes Públicos
Monografia apresentada ao Curso de Ciência da Computação, do Instituto de Ciências Exatas e Geociências, da Universidade de Passo Fundo, como requisito parcial para obtenção do grau de Bacharel em Ciência da Computação, sob orientação do Prof. Dr. Marco Antônio Sandini Trentin.
Passo Fundo
2008
Marcelo Rockenbach
Wireless em Ambientes Públicos
Banca examinadora:
Prof. Doutor Marco Antônio Sandini Trentin – UPF – Orientador
Prof. Mestre Carlos Andriani Lara Schaeffer – UPF – Examinador
Prof. Mestre Cristiano Roberto Cervi – UPF – Examinador
Passo Fundo
2008
Agradeço primeiramente a Deus por estar possibilitando a complementação dos meus estudos e ter chegado até aqui, enfrentando várias dificuldades e superando todas elas. A minha família, Felipe (Pai), Ledir (Mãe), Cristiane (Irmã) por sempre me apoiarem, incentivarem e darem suporte para alcançar os meus objetivos. Agradeço ao meu orientador Marco Antônio Sandini Trentin por me aconselhar durante todo esse processo. Agradeço também a minha namorada, Carine Rech por me apoiar, compreender e me incentivar em todos os momentos, e a todos que de alguma forma contribuíram para a realização deste trabalho.
RESUMO
As redes wireless vêm, a cada dia que passa, se tornando cada vez mais presentes no
cotidiano das pessoas, seja para cobrir uma cidade, um bairro, uma residência ou escritório.
Isso se deve ao fato de as tecnologias estarem bastante maduras, com padrões e normas bem
definidos, e os preços estarem bastante atrativos. Uma amostra de que as redes wireless estão
bastante difundidas é que hoje praticamente todos os notebooks já saem de fábrica prontos
para utilizar redes sem fio no padrão 802.11. Com essa grande difusão das redes wireless e de
equipamentos habilitados para tal, está se tornando cada vez mais presente a utilização de
HotSpot em locais públicos como aeroportos, restaurantes, shopping e hotéis. Este trabalho
tem por objetivo a investigação de técnicas e ferramentas para tornar as redes wireless mais
seguras, como o FreeRadius, e a busca por uma ferramenta que possibilite a implantação de
HotSpot através do conceito de Portal Captivo, utilizando o software pfSense. Neste trabalho
foram implantadas essas ferramentas, sendo efetuados testes para avaliar seu funcionamento e
eficiência.
Palavras - chave: Wireless, FreeRadius, pfSense, Portal Captivo.
LISTA DE ILUSTRAÇÕES
Figura 1 - Ilustração de uma rede 802.16 ________________________________________ 16
Figura 2 - Equipamento BreezeMAX Wi² _______________________________________ 17
Figura 3 - Exemplo BreezeMAX Wi² em utilização _______________________________ 17
Figura 4 - O Padrão 802.16 possibilita conexões sem fio NLOS e LOS ________________ 18
Figura 5 - Exemplo de Rede Mesh _____________________________________________ 24
Figura 6 - Exemplo de Rede Mesh _____________________________________________ 25
Figura 7 - Visualização Meraki Mini Indoor _____________________________________ 27
Figura 8 - Visualização Meraki Mini Outdoor ____________________________________ 29
Figura 9 - Exemplo de rede utilizando equipamentos Meraki Mini ____________________ 30
Figura 10 - Tela do gerenciador, mostrando banda usada e distribuição dos equipamentos _ 31
Figura 11 - Bairro da cidade de Portland no EUA, com internet sem fio _______________ 33
Figura 12 - Exemplo de Placa PCI Wireless _____________________________________ 35
Figura 13 - Exemplo de Antena Direcional de Grade ______________________________ 36
Figura 14 - Exemplo de cabo Coaxial RGC 213 __________________________________ 36
Figura 15 - Exemplo de Conector N Macho e Fêmea ______________________________ 36
Figura 16 - Exemplo de Conector Pig Tail _______________________________________ 37
Figura 17 - Exemplo de cabo PigTail de 10 metros ________________________________ 37
Figura 18 - Composição dos equipamentos do kit cliente ___________________________ 38
Figura 19 - Access Point AP Router WR254 _____________________________________ 38
Figura 20 - Exemplo de placa PCI Ethernet ______________________________________ 39
Figura 21 - Exemplos de antena painel setorial ___________________________________ 40
Figura 22 – Exemplos de quatro antenas painel setorial instaladas ____________________ 40
Figura 23 - Exemplo de uma caixa hermética ____________________________________ 41
7
Figura 24 - Exemplo Configuração Ponto a Ponto _________________________________ 42
Figura 25 - Exemplo antena omnidirecional _____________________________________ 42
Figura 26 – Mecanismo WEP _________________________________________________ 44
Figura 27 - Tela de configuração de um AP com criptografia WEP, com chave de 64 bits. _ 45
Figura 28 - Ilustração de um AP Configurado com WPA-PSK _______________________ 48
Figura 29 - Ilustração Autenticação WPA Corporativo _____________________________ 48
Figura 30 - Autenticação Mútua 802.1X ________________________________________ 52
Figura 31 – Autenticação 802.1X / EAP ________________________________________ 53
Figura 32 - Ilustração de um AP configurado com 802.1X/EAP ______________________ 55
Figura 33 - Ilustração da Autenticação 802.1x em redes sem fio. _____________________ 58
Figura 34 - Topologia da rede utilizada nos testes com FreeRadius ___________________ 59
Figura 35 - Topologia da rede utilizada nos testes pfSense __________________________ 62
Figura 36 - Tela Inicial do pfSense _____________________________________________ 63
Figura 37 - Autenticação do Portal Captivo habilitada com RADIUS__________________ 65
Figura 38 - Tela de login padrão do Portal Captivo ________________________________ 66
Figura 39 - Tela de login Personalizada para o teste com Portal Captivo _______________ 67
LISTA DE TABELAS
Tabela 1 - Tabela comparativa: família de padrões IEEE 802.16 _____________________ 20
Tabela 2 - Faixas de Freqüências regulamentadas no Brasil pela Anatel _______________ 21
Tabela 3 - Principais características dos padrões 802.11 ____________________________ 26
Tabela 4 - Características Meraki Mini Indoor ___________________________________ 28
Tabela 5 - Características Meraki Mini Indoor ___________________________________ 29
Tabela 6 - Principais opções de configurações do Portal Captivo _____________________ 64
LISTA DE ABREVIATURAS
AAA - Authentication, Authorization, Accounting
AES - Advanced Encription Standard
AP – Access Point
CBCBTR - Cipher Block Chaining Counter mode
CBC-MAC - Cipher Block Chaining Message
CCMP - Counter-Mode/Cipher Block Chaining Message Authentication Code Protocol
CPE - Costumer Premises Equipament
CSMA/CA – Carrier Sense Multiple Access / Collision Avoidance
DHCP - Dynamic Host Configuration Protocol
DSSS - Direct-Sequence Spread Spectrum
EAP - Extensible Authentication Protocol
EAPoL - Extensible Authentication Protocol over LAN
FHSS - Frequency Hopping Spread Spectrum
ICV - Integrity Check Value
IEEE - Institute of Electrical and Electronics Engineers
IETF - Internet Engineering Task Force
IV - Initializaton Vector
LAN - Local Area Network
LEAP - License Extensible Autentication Protocol
LOS - Line Of Sight
MAC - Media Access Control
MIC - Message Integrity Check
MIMO - Multiple-Input Multiple-Output
10
MSK - Master Session Key
NLOS – Non Line Of Sight
PCI - Peripheral Component Interconnect
PEAP - Protected Extensible Autentication Protocol
PMK - Pairwise Master Key
PPPoE - Point-to-Point Protocol over Ethernet
QoS – Quality of Service
RADIUS - Remote Authentication Dial-In User Service
RC4 - Ron´s Code #4
RFC - Request for Comments
RNS - Robust Security Network
SSID - Service Set Identifier
TKIP – Temporal Key Integrity Protocol
TLSP - Transporter Layer Security
TTLS - Tunneled Transport Layer Security
VPN - Virtual Private Network
WAN - Wide Area Network
WEP – Wired Equivalent Privacy
WiFi - Wireless Fidelity
WiMAX - Worlwide Interoperability for Microwave Access
WLAN – Wireless Local Area Network
WLANs – Wireless Local Area Networks
WMAN - Wireless Metropolitan Area Network
WMANs - Wireless Metropolitan Area Networks
WPA – Wi-Fi Protected Access
WPA2 - Wi-Fi Proteced Access 2
WPA-PSK - WPA-Pre Shared Key
XML - eXtensible Markup Language
SUMÁRIO
RESUMO ................................................................................................................................... 5
LISTA DE ILUSTRAÇÕES .................................................................................................... 6
LISTA DE TABELAS .............................................................................................................. 8
LISTA DE ABREVIATURAS ................................................................................................. 9
SUMÁRIO ............................................................................................................................... 11
INTRODUÇÃO ...................................................................................................................... 13
1. PADRÃO IEEE 802.16 ................................................................................................... 15
1.1 Funcionamento ........................................................................................................... 16
1.2 Família do Padrão 802.16 .......................................................................................... 18
1.3 WiMAX no Brasil ...................................................................................................... 20
2. REDE WIRELESS MESH .............................................................................................. 23
2.1 Padrão IEEE 802.11 ................................................................................................... 25
2.2 Equipamento Wireless Mesh - Meraki Mini .............................................................. 27
2.2.1 Meraki Mini Indoor ............................................................................................ 27
2.2.2 Meraki Mini Outdoor ......................................................................................... 28
2.2.3 Gerenciamento da rede ....................................................................................... 30
2.3 Outras tecnologias de redes Mesh .............................................................................. 31
2.4 Exemplos de uso de redes Mesh sem fio ................................................................... 32
3. TECNOLOGIAS EMPREGADAS EM PROVEDORES DE INTERNET “VIA
RÁDIO” ................................................................................................................................... 34
3.1 Equipamentos Necessários ........................................................................................ 34
3.1.1 Equipamentos para o Cliente .............................................................................. 35
3.1.2 Equipamentos para o Provedor ........................................................................... 39
12
3.2 Antenas Wireless ........................................................................................................ 41
4. Alguns Mecanismos de Segurança para Redes IEEE 802.11 ...................................... 43
4.1 WEP ........................................................................................................................... 43
4.1.2 Autenticação ....................................................................................................... 44
4.2 WPA (Wi-Fi Proteced Access) .................................................................................. 46
4.2.1 Autenticação ....................................................................................................... 47
4.3 WPA2 (Wi-Fi Proteced Access 2) ............................................................................. 49
4.4 Autenticação 802.1X ................................................................................................. 50
4.4.1 Extensible Authentication Protocol (EAP) ................................................................ 53
5. Implantando Autenticação em Redes Wireless ............................................................. 56
5.1 Protocolo RADIUS .................................................................................................... 57
5.2 pfSense ....................................................................................................................... 60
5.2.1 Portal Captivo ..................................................................................................... 61
5.2.1.1 Outras implementações de Portal Captivo.......................................................... 67
CONSIDERAÇÕES FINAIS ................................................................................................. 70
BIBLIOGRAFIA .................................................................................................................... 72
ANEXO A - Configuração do Servidor RADIUS ................................................................ 75
ANEXO B - Configuração de uma Estação Windows com Windows XP ......................... 83
ANEXO C - Configuração de uma Estação Linux .............................................................. 89
INTRODUÇÃO
As redes sem fio tornaram-se uma realidade e ao que tudo indica serão cada vez mais
prósperas na Internet. Já é possível ter acesso a grande rede de computadores através de
notebooks, palms e celulares, que seja em aeroportos, cyber cafés, nas universidades e até
mesmo interligando matrizes e filiais de empresas, sem a presença de cabos. A tecnologia de
comunicação wireless está ganhando mercado devido a sua praticidade e eficiência, estando
assim cada vez mais presente no dia-a-dia das pessoas.
Este trabalho retrata uma pesquisa sobre as novas tecnologias para Redes
Metropolitanas Sem Fio (WMAN) com o objetivo de levantar e conhecer melhor seu
funcionamento, equipamentos utilizados, características e também alguns exemplos de onde
estão presentes essas tecnologias. Além disso, foram abordadas nos estudos as atuais
ferramentas de segurança implantas nas redes wireless do padrão 802.11, bem como uma
solução para aumentar a sua segurança através da utilização de um servidor de autenticação.
A realização deste trabalho se deu devido à necessidade de aprofundar os
conhecimentos sobre tecnologias para comunicação sem fio, conhecendo novas tecnologias,
bem como conhecer mais sobre as formas de segurança de uma rede wireless e sobre HotSpot.
O trabalho está dividido como segue. No capítulo 1 é abordado o padrão IEEE 802.16,
denominado WiMAX, trazendo informações sobre o seu funcionamento, as variações do
padrão e um panorama da situação do WiMAX no Brasil. WiMAX surgiu com a finalidade de
se tornar uma alternativas as redes cabeadas.
O capítulo 2 apresenta o equipamento Meraki Mini mostrando suas características e
funcionalidades e apresentado o seu sistema de gerenciamento. Quanto aos equipamentos, os
mesmos implementam redes Wireless Mesh para ir expandindo o sinal até pontos mais
distantes.
14
No capitulo 3 é descrito o funcionamento da tecnologia que os provedores de Internet
via rádio utilizam bem como os equipamentos necessários para os clientes e para o provedor.
Em seguida, no capitulo 4, é abordado os mecanismos de segurança existentes
atualemente para segurança de redes wireless. Também é descrito seu funcionamento e
principais características.
Por fim, no capítulo 5, são descritas duas ferramentas implantadas nos testes efetuados
neste trabalho, um servidor de autenticação para usuários wireless e um mecanismo para a
implantação de um HotSpot.
1. PADRÃO IEEE 802.16
O padrão IEEE 802.16, mais conhecido como WiMAX “Worlwide Interoperability for
Microwave Access”, é um padrão de interface sem fio para Redes Metropolitanas (WMAN).
Esse padrão surgiu com o objetivo inicial de se tornar uma alternativa às redes de acesso
cabeadas, tais como DSL (Digital Subscriber Line) e cabo, quanto ao custo de infra-estrutura
e a dificuldade de atingir grandes áreas geográficas. Tem por objetivo oferecer acesso a banda
larga mais barato, para a última milha, ou usuário final. WiMAX é uma evolução das redes
Wi-Fi.
Segundo (SILVA et al., 2005), o padrão IEEE 802.16, terminado em Dezembro de
2001 e aprovado em Abril de 2002, fornece especificações de interface aérea, às
funcionalidades adicionais da camada física e às mudanças na camada de controle de acesso
ao meio para redes Metropolitanas sem fio.
A Tecnologia WiMAX objetiva diminuir os custos de infra-estrutura de banda larga
para conexão com o usuário final (last mile) e assim terá uma aceitação grande por parte dos
usuários, seguindo a tecnologia Wi-Fi (IEEE 802.11), e diminuirá ainda mais os custos da
tecnologia. Além disso, outro fator importante é que possibilitará, segundo a especificação,
altas taxas de transmissão de dados, e também contribuirá para a criação de uma rede de
cobertura de conexão de Internet similar à de cobertura celular, permitindo acesso à Internet
mesmo em movimento (ESTECA et al., 2007, p. 20).
Com o objetivo de promover e certificar a compatibilidade e a interoperabilidade de
equipamentos para a banda larga sem fio foi criado o WiMAX Fórum1, uma organização sem
fins lucrativos, formada pelos principais fabricantes de equipamentos e componentes de redes
1 http://www.wimaxforum.org.
16
e informática, que hoje conta com 470 membros, entre eles: Acer, AT&T, Intel, Ericsson,
Motorola, Microsoft.
1.1 Funcionamento
O sistema é composto basicamente por dois equipamentos: Estações Base e Estações
Terminais, também conhecidos como CPE (Costumer Premises Equipament). Da estação base
é feita uma transmissão e/ou a coleta dos dados para uma estação terminal dentro de uma
célula, e essa por sua vez fornece acesso a uma rede local (Wi-Fi por exemplo), ou
diretamente até os dispositivos dos usuários, como pode ser verificado na Figura 1.
Fonte: (http://www.teleco.com.br/wimax_tecnologia.asp).
Figura 1 - Ilustração de uma rede 802.16
Como WiMAX não “conversa” diretamente com 802.11 a/b/g, segundo (ESTECA et
al., 2007, p. 20), precisa-se de uma pequena antena receptora, que estará conectada no
computador ou notebook, plugada via placa de rede. Conforme o diretor de mobilidade digital
e comunicação da Intel, Ronaldo Miranda, a antena receptora pode ficar no topo de um
prédio, multiplicando a conexão para o condomínio, por exemplo, ou ao lado do gabinete do
PC mesmo, como se fosse um equivalente ao modem externo usado por Velox2 ou Speedy3.
Também pode ser utilizado um equipamento outdoor que funcione como uma bridge,
fazendo o “meio de campo” entre os padrões 802.16 e 802.11. Nesse caso, a empresa
Alvarion4 possui o equipamento BreezeMAX Wi² (o equipamento pode ser visto nas figuras 2
2 http://www.velox.com.br. 3 http://www.speedy.com.br. 4 http://www.alvarion.com.br.
17
e 3), possibilitando assim que pessoas com dispositivos equipados com Wi-Fi 802.11 a/b/g
possam utilizar a internet, sem a necessidade que cada usuário tenha que ter outra antena
adicional.
Fonte: (http://www.alvarion.com/upload/contents/291/BreezeMAX_Wi2_BreezeACCESS_Wi2_datasheet.pdf).
Figura 2 - Equipamento BreezeMAX Wi²
Fonte: (http://www.alvarion.com/upload/contents/291/BreezeMAX_Wi2_BreezeACCESS_Wi2_datasheet.pdf).
Figura 3 - Exemplo BreezeMAX Wi² em utilização
18
1.2 Família do Padrão 802.16
A primeira versão do padrão IEEE 802.16, lançada em 2001, consiste em sistemas
com visada direta (Line Of Sight - LOS) necessária para a propagação do sinal entre emissor e
receptor, operando nas freqüências de 10 a 66 GHz. Em 2003 foi aprovada a variação 802.16a
do padrão, que consiste num sistema sem a necessidade de visada direta (Non Line Of Sight -
NLOS), permitindo a utilização de freqüências mais baixas, de 2 a 11 GHz. O padrão original
permite a utilização somente de bandas licenciadas, já a variação do padrão permite a
utilização de bandas licenciadas e não licenciadas.
O padrão ostenta que as transmissões de dados podem chegar aos 70 Mbps, e atingir
uma distância de até 50 Km (radial), podendo assim atender diversos usuários, como pode ser
verificado na Figura 4.
Fonte: (http://informatica.hsw.uol.com.br/wimax1.htm).
Figura 4 - O Padrão 802.16 possibilita conexões sem fio NLOS e LOS
Outras variações do padrão foram publicadas. Abaixo segue uma breve descrição das
variações da família que compõem o padrão WiMAX (LIMA; SOARES; ENDLER, 2006):
19
• 802.16: define o padrão para redes Metropolitanas sem fio (WMAN), operando nas
freqüências 10 a 66 GHz;
• 802.16a: opera nas freqüências de 2 a 11 GHz, podendo alcançar taxas de
transferência de 70Mbps e um alcance de 50 km de raio, não necessitando linha de
visada (NLOS);
• 802.16b: foi acrescentado a utilização de freqüências de 5 a 6 GHz, e aspectos
relativos a qualidade do serviço (QoS);
• 802.16c: desenvolvido para aplicar interoperabilidade das freqüências;
• 802.16-REVd: atualização que consolida as revisões 802.16a e 802.16c, em um único
padrão, substituindo o padrão 802.16a como o padrão base. A alteração que mais pode
se destacar é a provisão de suporte para antenas MIMO (Multiple-Input Multiple-
Output), o que aumenta a confiabilidade do alcance com multipercurso. Facilita
instalações com o uso de antenas indoor;
• 802.16e: acrescenta mobilidade e portabilidade (WMANs móveis). Suporta
mobilidade veicular (até 150 Km/h), opera com largura de banda limitada (máximo de
5 MHz), funcionando com velocidade mais lenta e antenas menores. Operando nas
freqüências de 3,5 GHz pode oferecer concorrência a tecnologia celular com alcance
de 2 a 5 Km (nas cidades).
A tabela 1 complementa o assunto abordado nos parágrafos anteriores, trazendo um
resumo comparativo das principais características dos principais padrões da família 802.16.
20
Tabela 1 - Tabela comparativa: família de padrões IEEE 802.16 IEEE 802.16 IEEE 802.16a / REVd IEEE 802.16e
Homologação Dezembro de 2001 802.16a: Janeiro de 2003 802.16 REVd; junho de 2004
Dezembro de 2005
Freqüência 10-66 GHz 2-11 GHz 2-6 GHz
Condições do Canal LOS (Line of Sight)
NLOS (Non Line of Sight)
NLOS (Non Line of Sight)
Taxa de
Transmissão
Entre 32 e 134 Mbps (canal de 28 MHz)
Até 75 Mbps (canal de 20 MHz)
Até 15 Mbps (canal de 5 MHz)
Modulação QPSK, 16 QAM e 64 QAM
OFDM 256 sub-portadoras, OFDMA 64 QAM, 16 QAM, QPSK
OFDM 256 sub-portadoras, OFDMA 64 QAM, QPSK
Mobilidade Fixa Fixa e Portátil (Nômade) Mobilidade, roaming regional
Faixa de
Freqüência
20, 25 e 28 MHz Entre 1,5 e 20 MHz, com até 16 sub-canais lógicos
Entre 1,5 e 20 MHz, com até 16 sub-canais lógicos
Raio da Célula 2-5 Km 5-10 Km Alcance máximo de 50 Km dependendo do tamanho da antena, seu ganho e potência de transmissão (entre outros parâmetros)
2-5 Km
Fonte: LIMA; SOARES; ENDLER (2006)
1.3 WiMAX no Brasil
Como todo serviço de telecomunicações, a regulamentação é necessária ao
desenvolvimento e uso da tecnologia. No Brasil o órgão regulador responsável pela
normatização das tecnologias de telecomunicações é a Anatel - Agência Nacional de
Telecomunicações, que definiu as freqüências a serem utilizadas no Brasil. A tabela 2 mostra
as freqüências regulamentadas no Brasil:
21
Tabela 2 - Faixas de Freqüências regulamentadas no Brasil pela Anatel
Faixa Regulamentação Freqüências (MHz) Licença
2,6 GHz Res. 429 (13/02/06) 2500-2530 (FDD) 2570-2620 (TDD) 2620-2650 (FDD)
Sim
3,5 GHz Res. 416 (14/10/05) 3400 a 3600 Sim
5,0 GHz Res. 365 (10/05/04) 5150-5350 5470-5725 Livre de Licença
Fonte: (http://www.teleco.com.br/wimax.asp)
Segundo (PRADO, 2007), a maioria das implementações de WiMAX no Brasil
utilizará a faixa de freqüência 3,5GHz e as únicas empresas Brasileiras que adquiriram as
licenças de 3,5 GHz para WiMAX foram: as concessionárias Embratel e Brasil Telecom, a
operadora de telecomunicações para o mercado corporativo Neovia/DirectNet e os provedores
de Internet Grupo Editorial Sinos e WKVE.
Essas empresas compraram quantidade de blocos de freqüências em 3,5 GHz, na
licitação nº 003/2002/SPV-Anatel, promovido pela Anatel em fevereiro de 2003. A seguir,
segundo (PRADO, 2007), são apresentados os blocos de freqüências que as empresas
adquiriram na licitação de PMP (Ponto-Multiponto) da Anatel:
• Embratel (3.5 GHz = Regiões I, II e III e 04 pares de blocos nos Códigos de Área =
SP1 e RJ1);
• DirectNET (3.5 GHz = Região III);
• Grupo Editorial Sinos (3.5 GHz = 12 pares de blocos no Código de Área = RS1);
• Vant (19,9% Brasil Telecom) (3.5 GHz = 04 pares de blocos nos Códigos de Área =
CE1, PE1, BA1, MG1, MG2, MG4, RJ1, SP1, SP9, PR1, PR3 e RS1; 10.5 GHz = 01
par de blocos nos Códigos de Área = RJ1, SP1, PR1, PR3 e RS1);
• WKVE (3.5 GHz = 04 pares de blocos nos Códigos de Área = BA2, MG3, MG5,
MG7, ES1 e ES2).
Em julho de 2006 a Anatel iniciou uma nova licitação, nº 002/2006/SPV-Anatel, para
as sobras de freqüências nas faixas de 3,5 GHz, mas em setembro de 2006 foi suspensa pelo
Tribunal de Contas da União - TCU, sob a alegação de defasagem no valor do dólar utilizado
na determinação dos preços mínimos definidos no edital.
22
A tecnologia WiMAX tem tudo para dar certo no Brasil, mas para ser mais largamente
utilizada, depende de um novo leilão de faixas de freqüências, e que a Anatel faça a
homologação dos equipamento, só assim WiMAX vai deslanchar, e ficar acessível à
população.
WiMAX tem muito futuro, principalmente com o surgimento das primeiras cidades
digitais no Brasil, onde uma cidade inteira fica coberta com o sinal. Como alguns exemplos de
Cidades Digitais no Brasil, temos: Ouro Preto (MG)5, Jequié (BA)6, Piraí (RJ)7, Tiradentes
(MG)8, entre outras cidades.
5 http://www.cidadedigital.ufop.br. 6 http://www.jequie.ba.gov.br. 7 http://www.piraidigital.com.br. 8 http://www.tiradentes.mg.gov.br.
2. REDE WIRELESS MESH
As redes Wireless Mesh são uma alternativa ao WiMAX, pois com um custo
relativamente barato, consegue-se dar conectividade a uma grande área urbana.
Segundo (DIAS, 2007) as Redes Mesh Sem Fio (Wireless Mesh Networks) são redes
dinamicamente auto-organizadas e auto-configuradas, onde as estações adotam a arquitetura
ad hoc, tendo capacidade de comunicação direta uns com os outros sem a necessidade de uma
infra-estrutura ou ponto central.
Uma rede ad hoc é uma rede sem fio que é estabelecida sem a necessidade de infra-
estrutura ou administração centralizada. É formada por um grupo de terminais (ou nós) sem
fio, e a comunicação é levada a cabo por meio de mecanismos de armazenar e encaminhar os
pacotes. Um terminal que deseja enviar uma mensagem acessa o meio e transmite a sua
informação a um terminal vizinho. Caso a informação não seja destinada a este terminal
vizinho, o mesmo armazena a informação recebida, até encontrar um momento apropriado
para encaminhá-la a outro terminal, no caminho em direção ao destino da informação,
formando um enlace com múltiplos saltos entre a fonte e o destino. Os serviços de rede,
como, por exemplo, roteamento, controle de acesso ao meio e segurança, são realizados em
uma rede ad hoc de forma distribuída por todos os membros da rede (GALLEGO, 2005,
p.12).
Segundo (PRZYBYSZ; JÚNIOR, 2007) os nós de uma rede Mesh apresentam uma
localização fixa (mas não predeterminada), ao contrário das redes ad hoc tradicionais.
Atualmente, o tipo de enlace wireless mais comum para a implementação de redes Mesh é o
padrão IEEE 802.11.
As redes Mesh sem fio estão surgindo nos últimos anos como uma forte alternativa
para fornecer o acesso sem fio a internet e a outros serviços de telecomunicações, como
24
construção de cidades digitais, oferecendo infra-estrutura de comunicação sem fio em
ambiente metropolitano a todos os cidadãos, o que já vendo sendo realizado em cidades,
como por exemplo, Dublin, Taipei, Pittsburgh e Filadélfia. As redes Mesh são ótimas
alternativas para a construção de redes de acesso comunitárias permitindo o acesso à Internet
para aqueles que não podem arcar com os altos custos das conexões de banda larga tipo xDSL
ou cabo. Ela tem a vantagem de ser redes de baixo custo, fácil implantação e ser bastante
tolerante a falhas.
Na figura 5 é demonstrado um exemplo de uma rede Mesh, onde os terminais
comunicam-se entre si, roteando o tráfego, e todo tráfego é escoado para a internet através de
um único ponto.
Fonte: (http://www.prodeb.ba.gov.br/workshop/apresentacao_CPqD.ppt).
Figura 5 - Exemplo de Rede Mesh
Na figura 6 pode-se perceber uma das vantagens desse tipo de rede, que é a
escalabilidade e a redundância. No que diz respeito à redundância, como os nodos (mesh
router) dessa rede encontram-se interligados seguindo a topologia Mesh, a mesma torna essa
rede mais robusta, por permitir caminhos alternativos em caso de falha de algum desses
nodos. Também entre outras vantagens encontra-se o balanceamento de carga, o grande
25
alcance e a cobertura geográfica, e tudo isso com um custo relativamente baixo se comparado
com WiMAX por exemplo.
Fonte: (http://www.midiacom.uff.br/~schara/publications/Minicurso-Mesh-completo.pdf).
Figura 6 - Exemplo de Rede Mesh
2.1 Padrão IEEE 802.11
O IEEE desenvolveu uma especificação internacional para as WLAN (Wireless LAN),
que ficou identificado como IEEE 802.11. As redes wireless utilizam este padrão são
conhecidas como Wi-Fi.
A primeira especificação, IEEE 802.11 que foi lançada em 1997 define basicamente
todas as necessidades de estruturais necessárias para a utilização de redes sem fio, para isto
foram definidos protocolos de controle de acesso ao meio CSMA/CA, tipos de modulação
utilizados (FHSS e DSSS), criptografia (WEP) e principais componentes, placa de rede e
ponto de acesso (ABRAS; SANCHES, 2002, p.6). A velocidade máxima de transmissão é de
no máximo 2 Mbps.
Após a especificação do padrão 802.11 foram definidas várias variações para redes
sem fio, as principais variações foram: 802.11a, 802.11b e 802.11g. A tabela 3 contém as
principais características destas variações.
26
Tabela 3 - Principais características dos padrões 802.11 IEEE 802.11 IEEE 802.11a IEEE 802.11b IEEE 802.11g
Regulamentação Julho de 1997 Setembro de 1999 Setembro de 1999 Outubro de 2003
Banda Disponível 83,5 Mhz 300 Mhz 83,5 Mhz 83,5 Mhz
Freqüência e Técnica 2,4 a 2,4835 GHz DSSS, FHSS
5,15 a 5,35 GHz OFDM 5,75 a 5,825 GHz OFDM
2,4 a 2,4835 GHz DSSS
2,4 a 2,4835 GHz DSSS, OFDM
Taxa de Transmissão por Canal
2, 1 Mbps 54, 48, 36, 24, 18, 12, 9, 6 Mbps
11, 5,5, 2, 1 Mbps 54, 36, 33, 24, 22, 12, 11, 9, 6, 5,5, 2, 1 Mbps
Modulação DQPSK (2 Mbps DSSS) DBPSK (1 Mbps DSSS) 4GFSK (2Mbps FHSS) 2GFSK (1Mbps FHSS)
BPSK (6, 9 Mbps) QPSK (12, 18 Mbps) 16-QAM (24, 36 Mbps) 64-QAM (48, 54 Mbps)
DQPSK/CCK (11, 5.5 Mbps) DQPSK (2 Mbps) DBPSK (1 Mbps)
OFDM/CCK (6, 9, 12, 18, 24, 36, 48, 54 Mbps) OFDM (6, 9, 12, 18, 24, 36, 48, 54 Mbps) DQPSK/CCK (22, 33, 11, 5,5 Mbps) DQPSK (2 Mbps) DBPSK (1 Mbps)
Fonte: (http://www.inf.puc-rio.br/~inf2056/inf2056_files/menu/material/transparencias/silvamello/WLAN.pdf)
Com o avanço da segurança das conexões wireless do padrão 802.11, surgiram outros
protocolos que usam criptografia mais eficiente que o WEP. Abaixo é descrito sucintamente
os principais métodos de criptografia depois do WEP:
• WPA: Apresenta quatro principais características novas ao protocolo WEP: protocolo
TKIP (Temporal Key Integrity Protocol), código de integridade das mensagens (MIC
– Message Integrity Check), utiliza uma função hash para cálculo da chave, a chave
secreta passa a ser substituída a cada 10 mil pacotes enviados;
• WPA2: é uma certificação de produto disponível através da Wi-Fi Alliance, que
certifica o equipamento sem fio quanto à compatibilidade com o padrão IEEE 802.11i;
• 802.11i: utiliza criptografia AES (Advanced Encription Standard), tem como melhoria
a utilização de uma cifra de bloco baseado em uma rede de permutações em blocos de
até 256 bits e chaves de até 256 bits.
27
2.2 Equipamento Wireless Mesh - Meraki Mini
Visando a utilização das redes Mesh a empresa Meraki9 desenvolveu o equipamento
Meraki Mini, que no Brasil é distribuído pela empresa WNI10. O equipamento utiliza a
especificação 802.11b/g e estende a rede de internet através de repetidores, pois cada ponto
atinge um diâmetro de até 350 metros utilizando uma antena 2dBi ominidirecional, esse
alcance é tanto para as estações de trabalho quanto para os outros equipamentos Meraki Mini.
Existem duas opções de compra a Indoor e a Outdoor, a baixo segue as características
de cada uma das versões.
2.2.1 Meraki Mini Indoor
O equipamento indoor serve para captar o sinal dentro de uma residência ou
organização, e também funciona como um distribuidor, pois seu sinal tem um alcance de até
250 metros utilizando uma antena de 2dBi incluída no equipamento. Apesar de ser indoor
pode ser utilizado externamente também. A tabela 4 mostra as principais características do
equipamento Meraki Mini Indoor e a figura 7 mostra o equipamento.
Fonte: (http://meraki.com/images/n/hardware_mini_product.png).
Figura 7 - Visualização Meraki Mini Indoor
9 http://www.meraki.com. 10 http://www.wni.com.br.
28
O equipamento possui duas entradas: uma para ligar na energia elétrica e outra para
ligar o conector RJ45 (cabo de rede). Seu preço aproximado no Brasil é R$ 380,00.
Tabela 4 - Características Meraki Mini Indoor Rádio CPU 180 MHz MIPS, Memória de Flash 8MB e SDRAM de 32 MB
Norma / Compatibilidade IEEE 802.11b/g
Taxa de Transmissão 1, 2, 5.5, 6, 11, 12, 18, 24, 36, 48, 54 Mbps
Potência de Transmissão 60 mW (18 dBm)
Cobertura Indoor: 30-50 metros Outdoor: 100-250 metros
Conector de Antena RP-SMA, internal diversity chip antenna
Interface de Dados Ethernet 10/100 Mbps auto-crossover (RJ45)
Power over Ethernet 5,6 – 18 VDC (non 802.3af)
Consumo 3,5 W (2,5W com a porta Ethernet desconectada)
Dimensões 63 x 141 x 29 mm
Peso 100 g
Temperatura de Op. -4 °C ~ 49 °C
Certificações ANATEL, FCC Part 15, Section B and C; certified as module. CE Certified
Unidades Inclusas Antena omni 2dBi, Fonte de Alimentação CA 100~240 volts e Kit para fixação (Ventosas e adesivos)
Fonte: (http://www.wni.com.br/downloads/merakirev2.pdf)
2.2.2 Meraki Mini Outdoor
O equipamento outdoor possui quase as mesmas características do indoor, sendo que
as principais diferenças estão na potência do rádio que muda de 60 mW para 200 mW,
aumentando assim a sua área de cobertura. Outra diferença é que o equipamento recebeu uma
caixa de proteção para suportar os intempéries do tempo, como chuva, vento, frio. Pode
alcançar a distância de até 350 metros. Essa versão também suporta a substituição da antena
padrão por uma antena com maior ganho de potência, podendo assim atingir até 8 Km. Porém
dificilmente equipamentos, como notebook, conseguiram enviar o sinal de volta e essa
distância. Mas essa situação pode vir a servir para dar conectividade a um grupo de usuários
presentes em pontos remotos.
29
A tabela 5 mostra as principais características do equipamento Meraki Mini Outdoor e
a figura 8 mostra o equipamento. Seu preço aproximado no Brasil é R$ 770,00.
Fonte: (http://meraki.com/images/n/hardware_outdoor_product.png).
Figura 8 - Visualização Meraki Mini Outdoor
Tabela 5 - Características Meraki Mini Indoor Rádio CPU 180 MHz MIPS, Memória de Flash 8MB e SDRAM de 32 MB
Norma / Compatibilidade IEEE 802.11b/g
Taxa de Transmissão 1, 2, 5.5, 6, 11, 12, 18, 24, 36, 48, 54 Mbps
Potência de Transmissão 200 mW (23dBm)
Cobertura Indoor: 30-50 metros Outdoor: 100-250 metros Com Atena de ganho de potência pode alcançar até 8 Km
Conector de Antena RP-SMA, internal diversity chip antenna
Interface de Dados Ethernet 10/100 Mbps auto-crossover (RJ45)
Power over Ethernet 5,6 – 18 VDC (non 802.3af)
Consumo 3,5 W (2,5W com a porta Ethernet desconectada)
Dimensões 192.8x91.2x52.8 mm
Peso 340 g
Temperatura de Op. -28 °C ~ 54 °C
Certificações ANATEL, FCC Part 15, Section B and C; certified as module. CE Certified
Unidades Inclusas Antena omni 2dBi, Fonte de Alimentação CA 100~240 volts e 6 metros cabo Ethernet CAT 5.
Fonte: (http://www.wni.com.br/downloads/merakirev2.pdf).
30
A figura 9 dá um exemplo de uma rede utilizando as duas opções de equipamento
indoor e outdoor, com dois links de internet.
Fonte: (http://www.cioexecutiveday.com.br/downloads/2007/rs/WNI.pdf).
Figura 9 - Exemplo de rede utilizando equipamentos Meraki Mini
2.2.3 Gerenciamento da rede
Para o funcionamento da rede é necessário cadastrar todos os rádios Meraki Mini que
farão parte da rede, através do site Meraki Dashboard11. Sempre que for adicionado um novo
equipamento na rede, o mesmo deve ser adicionado no sistema de gerenciamento, para que
possa fazer parte da rede. Através do sistema de gerenciamento é possível ver quais
equipamentos estão ativos, quantos usuários estão conectados, implementar política de
trafego, limitar a banda para cada usuário, controlar os usuários que terão acesso a internet,
atualizações de firmware, e demais opções.
A figura 10 traz um exemplo do sistema de gerenciamento.
11 http://dashboard.meraki.com.
31
Fonte: (http://meraki.com/images/screenshots/dashboard-overview.gif).
Figura 10 - Tela do gerenciador, mostrando banda usada e distribuição dos equipamentos
2.3 Outras tecnologias de redes Mesh
Como vimos na seção anterior o equipamento Meraki Mini para redes Mesh, existem
também outros equipamentos de outras empresas para as mesmas finalidades.
Abaixo segue alguns equipamentos que implementam a tecnologia Mesh para
conectividade sem fio:
• Cisco Aironet 1500 Series12, neste equipamento pode-se utilizar a faixa de freqüência
4.9 GHz, com o objetivo de minimizarem o impacto da interferência dos dispositivos
não licenciados;
12 http://www.cisco.com/en/US/products/ps6548/prod_models_home.html.
32
• Strix Systems MeshStrix13: esse equipamento tem uma característica diferente dos
demais. Ele utiliza as duas faixas de freqüências 5,8 GHz e 2,4 GHz. A faixa 5,8 GHz
é utilizada para prover o backbone da rede, enquanto o 2,4 GHz é para atender o Wi-Fi
(LAN);
2.4 Exemplos de uso de redes Mesh sem fio
A fim de apresentar o aumento da utilização dessa tecnologia nos dias atuais, foram
levantados alguns exemplos de utilização da tecnologia Mesh. Abaixo alguns exemplos de
implantação e uso de redes Mesh sem Fio. Assim como os equipamentos Meraki Mini da
empresa Meraki, existem outras soluções que caminham no mesmo sentido, uma delas é o
Movimento FON14. O princípio do Movimento FON é de que cada usuário participante desse
movimento compartilhe sua conexão a internet banda larga, para outras pessoas próximas,
pela sua conexão Wi-Fi, criando um ponto de acesso FON, ou HotSpot FON. Deste modo os
participantes do Movimento FON passam a ter acesso a internet sem fio nas proximidades dos
HotSpot instalados. Para compartilhar o acesso a internet é necessário adquirir o equipamento
La Fonera15. Os participantes que compartilham internet têm acesso gratuito em qualquer
HotSpot FON, e as pessoas que não forem participantes (que não compartilharem a internet),
poderão usar a internet mediante a compra de créditos.
• Shopping de Curitiba16 foi o primeiro Shopping do Brasil a implementar a tecnologia
Wi-Mesh, baseado na solução Meraki Mini.
• Wayflex17 é o primeiro provedor Mesh do Brasil. O provedor, de Curitiba, utiliza dois
equipamentos, o Meraki Mini e o MeshStrix.
• Equipamento Meraki Mini foi implantado em Feira de Turismo na Venezuela. Foram
utilizados 20 nós Meraki Mini e dois links com a internet.
13 http://www.strixsystems.com/solutions/default.asp e www.wni.com.br/produtos/produto_detalhe.asp?cod=43. 14 http://www.fon.com. 15 La Fonera é um equipamento para compartilhar via wireless a internet, funcionando como um Acess Point. Maiores informações podem ser obtidas no endereço: http://www.fon.com. 16 http://www.ctcom.com.br/noticia.asp?id=271. 17 http://www.wayflex.com.br/.
33
• Utilizado em um bairro da cidade de Portland, no estado de Oregon – EUA.
Atenderam 1.000 pessoas em 250 unidades residenciais, foram instalados 80 nós
Meraki Mini e cerca de três links com a internet. A figura 11 mostra a ilustração do
bairro, atendida pela tecnologia.
Fonte: (http://www.wni.com.br/produtos/admin/arquivo/meraki_overview_2007_rev1_port.pdf).
Figura 11 - Bairro da cidade de Portland no EUA, com internet sem fio
• Escolas públicas de Tiradentes (MG)18 têm acesso a internet sem fio, utilizando a
tecnologia Aironet da Cisco.
18 http://www.ciscoredacaovirtual.com/redacao/manchetes/default.asp?Id=98.
3. TECNOLOGIAS EMPREGADAS EM PROVEDORES DE INTERNET
“VIA RÁDIO”
As WLANs (Wireless Local Area Network) - um dos vários tipos de redes locais sem
fio proporciona mobilidade e conexões em altas velocidades, que combinadas com preços
mais acessíveis, estão tornando-se populares. A expansão da utilização deste tipo de rede pode
ser notada também, pelo fato de que vários modelos de notebook já virem equipados com
placas de redes wireless (COSTA, 2006, p.1).
Com o aumento na necessidade das pessoas estarem conectadas a Internet, e a falta de
interesse das operadoras de telefonia em colocar um serviço de qualidade a preços baixos
(ADSL) em pequenas e médias cidades, se popularizaram os provedores de Internet “Via
Rádio”, com o diferencial de não haver a necessidade de possuir linha telefônica para o acesso
a Internet.
Outro motivo para os Provedores de Internet “Via Rádio” terem se disseminado com
tanta rapidez, é que no geral, os provedores utilizam o padrão 802.11b/g, que está bem
desenvolvido e estável, com ótimos equipamentos.
3.1 Equipamentos Necessários
Para implantar um Provedor de Internet via rádio, são necessários equipamentos para o
Provedor e para o Cliente, que possuem algumas diferenças entre si. Nos itens a seguir segue
uma breve descrição dos equipamentos necessários para a implantação desse serviço, tanto do
lado do cliente quanto do provedor.
35
3.1.1 Equipamentos para o Cliente
Para o cliente conseguir ter acesso a internet é necessário a utilização de alguns
equipamentos: placa PCI Wireless, antena direcional, cabos e conectores. Abaixo uma
descrição de cada um dos equipamentos necessários para o funcionamento:
• Placa PCI Wireless: são conectados aos computadores para receberem o sinal de
radiofreqüência. Essa placa custa em média R$ 80,00. Um exemplo pode ser visto na
figura 12.
Fonte: (http://www.dlink.com).
Figura 12 - Exemplo de Placa PCI Wireless
• Antena Direcional de Grade: a placa PCI wireless já possui uma antena, mas
geralmente essa antena funciona bem somente quando a distância não é tão grande e
não existem obstáculos significativos ao sinal (100-300 metros)19. Como geralmente o
cliente não fica tão próximo do provedor, se faz necessário a utilização de uma Antena
Direcional de Grade com uma potência maior (25 dBi), que possibilita o sinal alcançar
uma distância maior. Essa antena custa em média R$ 80,00. Um exemplo pode ser
visto na figura 13.
19 Conforme os obstáculos no caminho do sinal como, paredes, árvores, muros, o alcance pode cair drasticamente. Podendo chegar a 20 metros.
36
Fonte: (http://www.seitel.com.br/paginas/seitel/antena_grade.html).
Figura 13 - Exemplo de Antena Direcional de Grade
• Cabo Coaxial RGC 213: é o cabo que vai ligado na antena e na placa, para ser
efetuada a comunicação. Não é aconselhado cabos com tamanho superior a 10 metros
de comprimento, pois pode haver perda de sinal. Na figura 14 é possível visualizar o
cabo.
Fonte: (http://www.seitel.com.br/acessorios.html).
Figura 14 - Exemplo de cabo Coaxial RGC 213
• Conectores N: é necessário o uso de dois conectores, um em cada extremidade do
cabo. O N Fêmea é usado para ligar no adaptador pig tail e o N Macho é para conectar
a Antena de Grade. Na Figura 15 é possível visualizar o conector.
Fonte: (http://www.italbrasnet.com.br).
Figura 15 - Exemplo de Conector N Macho e Fêmea
37
• Adaptador Pig Tail: esse conector tem 20 cm, uma extremidade é ligada no conector N
Fêmea do cabo RGC 213 e a outra na placa PCI Wireless. Na figura 16 é possível
visualizar o adaptador.
Fonte: (http://www.aquario.com.br).
Figura 16 - Exemplo de Conector Pig Tail
Como o comprimento do adaptador pig tail é pequeno, dependendo da distância entre
a antena e a placa se faz necessário um cabo maior. Como foi esclarecido nos itens acima,
existe a possibilidade de se confeccionar o cabo, utilizando os conectores N e o cabo RGC
213, ou também, a opção de cabos pig tail maiores com 8 e 10 metros. Na aquisição desse
cabo maior não há a necessidade utilizar os conectores; o cabo já vem pronto para o uso. A
única diferença é que o cabo que vem neste conector é o RGC 58. Um exemplo desse cabo
pode ser visualizado na figura 17. É importante lembrar que não se deve utilizar cabos com
comprimento superiores a 10 metros, pois nesse caso, pode haver perda de sinal.
Fonte: (http://www.seitel.com.br/cabos_proprietarios.html).
Figura 17 - Exemplo de cabo PigTail de 10 metros
O conjunto desses equipamentos é conhecido como Kit Cliente, e pode ser encontrado
em lojas de informática com preços em torno de R$ 290,00. Na figura 18 pode ser visto uma
ilustração dos equipamentos que compõe o Kit Cliente.
38
Fonte: Primária.
Figura 18 - Composição dos equipamentos do kit cliente
Quando a instalação do cliente não envolve somente um computador, como por
exemplo, edifícios ou até uma residência com dois ou mais computadores, se faz necessário a
utilização de um Access Point. Nesse caso não é necessário a placa PCI Wireless, e sim uma
placa de rede ethernet comum em cada um dos computadores, pois a antena fica ligada no
Access Point e desse Access Point, através de uma porta RJ-45, é fornecida conexão a um hub
ou switch, e este, por sua vez, fornece conexão a todos os computadores. Abaixo uma
pequena descrição desses dois equipamentos:
• Access Point: o Access Point substitui a placa PCI Wireless, e possibilita que várias
máquinas utilizam o mesmo sinal, através de uma única antena. Esses Access Point
geralmente possui duas ou quatro saídas RJ-45 (Ethernet). Na figura 19 é possível
observar um Access Point da Marca AP Router20, o WR254, este modelo custa em
médio R$ 290,00. No caso do equipamento abaixo, a antena é retirada, e no conector
dela é conectado a antena direcional de grade, de maior potência.
Fonte: (http://www.aprouter.com/wireless_content/aprouter_wr254_access_point_wireless_router.html).
Figura 19 - Access Point AP Router WR254
20 http://www.aprouter.com.
39
• Placa PCI Ethernet: com a utilização de um Access Point não é necessário a utilização
de uma placa PCI Ethernet wireless (802.11) e sim uma placa PCI Ethernet (802.3),
através de um cabo de rede tradicional. Essa placa custa em média R$ 30,00 e
geralmente vem de fábrica tanto em desktop quanto em notebook. Na figura 20 é
possível observar uma placa PCI Ethernet.
Fonte: (http://www.matvsul.com.br/).
Figura 20 - Exemplo de placa PCI Ethernet
3.1.2 Equipamentos para o Provedor
Para o provedor poder distribuir e receber o sinal de Internet são necessários alguns
equipamentos: antenas, rádios, servidores, cabo pig tail e caixa hermética; além de
equipamentos é necessário também uma licença denominada SCM21. A seguir, será feita uma
breve descrição dos itens necessários para um provedor poder operar:
• Licença: todo provedor de Internet Via Rádio para operar legalmente precisa de uma
licença de SCM19, emitida pela ANATEL (Agência Nacional de Telecomunicações).
Essa licença tem o valor aproximado de R$ 9.000,00, sendo pagamento único. Caso o
provedor seja detectado pela fiscalização atuando de forma ilegal, os equipamentos
serão lacrados e os responsáveis pagaram multas e sofreram processos.
• Rádios: o rádio utilizado pode ser o mesmo que foi apresentado na seção 3.1.1 no item
Access Point, sendo necessário um rádio para cada antena. Existem outros modelos de
rádio com mais potência, podendo o preço chegar até R$ 600,00.
21 Serviço de Comunicação Multimídia: é um serviço fixo de telecomunicações de interesse coletivo, prestado em âmbito nacional e internacional, no regime privado, que possibilita a oferta de capacidade de transmissão, emissão e recepção de informações multimídia, utilizando quaisquer meios, a assinantes dentro de uma área de prestação de serviço. Maiores informações podem ser encontradas em http://www.anatel.gov.br.
40
• Servidor: o provedor deverá possuir um ou mais servidores, por motivos de:
manutenção de assinantes liberando ou não acesso, controle de acesso, controle de
banda para utilização, Proxy, e demais controles afins.
• Antena Painel Setorial: o provedor deverá contar com no mínimo quatro antenas deste
tipo, pois cada antena cobre um ângulo de 90° totalizando 360°. Poderá haver a
necessidade de colocar repetidores devido ao tamanho da área de cobertura e a
quantidade de usuários, podendo assim ser necessário mais antenas. Na figura 21
pode-se observar um exemplo de antena painel setorial, e na figura 22 as quatro
antenas instaladas. Maiores informações sobre antenas constam na seção 3.2.
Fonte: (http://www.matvsul.com.br/).
Figura 21 - Exemplos de antena painel setorial
Fonte: (http://www.hyperlinktech.com/).
Figura 22 – Exemplos de quatro antenas painel setorial instaladas
• Cabo Pig Tail: descrito na seção 3.1.1.
• Caixa Hermética: se os rádios forem ficar expostos ao tempo, se faz necessário a
utilização dessas caixas herméticas para proteção do equipamento. Esta caixa custa em
média R$ 300,00. Na figura 23 podemos visualizar um modelo de caixa hermética.
41
Fonte: (http:// www.oiw.com.br/produtos/caixas_hermeticas/).
Figura 23 - Exemplo de uma caixa hermética
3.2 Antenas Wireless
Um item muito importante nas comunicações sem fio são as antenas. Basicamente
existem três tipos de antenas: Direcional de Grade, Setorial e Omnidirecional.
Segundo o site Wireless IP22, na hora da escolha do tipo de antena deve-se tomar
cuidado com três itens: distância, largura de onda e ganho:
• Distância: a antena a ser escolhida deve cobrir uma distância maior que a aplicação
necessária. Caso seja utilizada uma antena operando em sua capacidade máxima,
provavelmente os sinais chegarão mais fracos que o exigido pela aplicação;
• Largura da onda: expressa em graus, a largura de onda denota o alcance de um sinal.
Geralmente, quanto mais larga for a onda, mais curta será a área de cobertura. Por
outro lado, as ondas mais largas compensam os fatores ambientais, como o vento, que
afetam adversamente a desempenho da antena;
• Ganho: expresso em dbi, é o aumento da potência do sinal após processado por um
dispositivo eletrônico. Usualmente, ganhos maiores revertem em distâncias maiores,
contudo maiores distâncias exigem largura de onda menor e margem de erro muito
maior. Para evitar esses problemas, alguns fatores como vento e prédios existentes no
trajeto do sinal devem ser considerados no projeto da rede wireless.
22 www.wirelessip.com.br.
42
Cada uma destas antenas é utilizada para uma determinada aplicação. Abaixo serão
apresentadas algumas características destes três tipos de antenas:
• Direcional de Grade: como vista na seção 3.1.1, essas antenas servem tanto fazer a
comunicação com o cliente quanto para fazer enlaces ponto a ponto no caso de
necessitar estender o sinal (figura 24). A distância de alcance do sinal está vinculada a
sua potência: uma antena de grade com ganho de potência de 25 dBi tem um alcance
aproximado de 15 Km.
Fonte: (http:// www.seitel.com.br/).
Figura 24 - Exemplo Configuração Ponto a Ponto
• Setorial: como vista na seção 3.1.2, geralmente utilizados por provedores de acesso a
Internet sem fios, tem um alcance de aproximadamente 5 Km para 60º de cobertura e
10 Km para 90º de cobertura. Uma antena de 60º tem um custo aproximado de R$
200,00, e a de 90º com um custo mais elevado de aproximadamente R$ 800,00.
• Omnidirecional: são antenas que sozinhas conseguem prover 360º de área de cobertura
de sinal. São as antenas com menor alcance, de no máximo 1,5 Km. Na figura 25 pode
ser visualizado um exemplo desta antena.
Fonte: (http:// www.seitel.com.br/).
Figura 25 - Exemplo antena omnidirecional
4. Alguns Mecanismos de Segurança para Redes IEEE 802.11
A segurança de redes é freqüentemente tratada pelas camadas mais altas da pilha de
protocolos e na maioria das vezes é vista apenas como um problema da camada Aplicação.
Com o advento das redes locais sem fio (WLANs – Wireless Local Area Networks) este
paradigma de segurança sozinho se mostra inadequado. Essas redes se baseiam na
comunicação via ondas de rádio e, portanto, qualquer um possuindo um receptor de rádio
pode interceptar a comunicação. Além disso, qualquer um possuindo um transmissor de rádio
pode injetar dados na rede. Assim, as WLANs necessitam de componentes de segurança
presentes na camada enlace para proteger o acesso à rede e manter a confidência dos dados
que transitam na mesma (LINHARES; GONÇALVES, 2008, p.3). A seguir são apresentados
brevemente alguns dos métodos mais conhecidos para dotar de segurança a comunicação em
redes wireless 802.11.
4.1 WEP
Nas redes IEEE 802.11 o tráfego pode ser criptografado através da utilização do
protocolo WEP (Wired Equivalent Privacy). Este opera na camada de enlace de dados e
fornece criptografia entre o Ponto de Acesso (AP – Access Point) e os clientes da rede (modo
de infra-estrutura), como também na comunicação direta entre os clientes (modo ad-hoc). O
algoritmo é simétrico, uma vez que usa chaves compartilhadas. As chaves criptográficas,
chamadas de chaves WEP, devem ser as mesmas, tanto no cliente quanto no AP. Como
demonstrado na figura 26, a criptografia WEP só é aplicada ao tráfego do canal de
44
comunicação sem fio e, portanto, o tráfego roteado para fora da rede sem fio não possui
criptografia WEP.
Este protocolo utiliza um algoritmo de criptografia RC4 (Ron´s Code #4) para
criptografar os pacotes que são trocados dentro de uma rede wireless. Este algoritmo usa um
vetor de inicialização (IV – Initializaton Vector) de 24 bits e uma chave secreta compartilhada
k de 40 ou 104 bits. A partir desses dois parâmetros, o algoritmo gera uma seqüência
criptografada RC4 (k,v) de 64 ou 128 bits. Além disso, o protocolo WEP utiliza a CRC-32
(Cyclic Redundancy Checks) para calcular o checksum da mensagem, que é incluso no pacote.
Para garantir a integridade dos dados, ele envia uma mensagem ICV (Integrity Check Value)
logo após do checksum ser feito (BARCELOS; GONÇALVES; ALVES, 2008, p. 24).
Fonte: LINHARES; GONÇALVES (2008).
Figura 26 – Mecanismo WEP
4.1.2 Autenticação
O WEP oferece dois tipos de autenticação: o sistema aberto (open system) e chave
compartilhada (shared key).
O sistema aberto permite que qualquer dispositivo se associe a rede. Para isso é
necessário somente informar o SSID23 (Service Set Identifier), o qual é transmitido em
broadcast pela rede sem criptografia nenhuma. Para efetuar a conexão o dispositivo envia um
pedido de autenticação ao AP, e o AP lhe envia uma mensagem informando que o dispositivo
foi autenticado. Em seguida, o cliente se associa ao AP, conectando-se a rede.
A autenticação por chave compartilhada requer que o cliente e o ponto de acesso
possuam uma mesma chave, além do cliente possuir o SSID da rede. O dispositivo envia um
23 O SSID é um valor único, alfa-numérico, sensível a maiúsculas e minúsculas, com comprimento que varia de 2 até 32 caracteres, que é usado em WLANs como um nome da rede. Esta medida tem basicamente duas finalidades: segmentar as redes como uma maneira de segurança rudimentar e facilitar a associação com a rede.
45
pedido de autenticação ao AP que em seguida envia ao cliente um texto-plano (sem
criptografia), o qual é chamado de texto-desafio (challenge text). O cliente usa sua chave pré-
configurada para criptografar o texto-desafio, retornando o resultado ao AP. O AP o decifra
com sua própria chave e compara o texto obtido com o texto desafio originalmente enviado.
Caso o texto seja o mesmo, o cliente é autenticado, caso contrário o cliente não consegue se
associar a rede. A figura 27 ilustra uma tela de configuração de um AP, usando criptografia
WEP com uma chave de 64 bits.
Fonte: Primária.
Figura 27 - Tela de configuração de um AP com criptografia WEP, com chave de 64 bits.
Como o protocolo WEP foi o primeiro a ser criado para tentar garantir a segurança de
uma rede wireless, depois de algum tempo foram achadas algumas vulnerabilidades e falhas
que fizeram com que o protocolo WEP perdesse sua credibilidade.
Como o WEP não possui um protocolo para gerenciamento de chaves, as chaves
utilizadas pelos dispositivos não podem ser trocadas dinamicamente. Isso dificulta a
manutenção das redes, principalmente as de grande porte (redes coorporativas) uma vez que a
troca da chave deve se feita manualmente em cada máquina. Devido a isso, em geral, as
chaves não são trocadas com freqüência adequada, contribuindo para a redução da segurança.
Visto que o WEP é um mecanismo fortemente baseado no segredo de sua chave, é necessário
que haja a troca freqüente da mesma (LINHARES; GONÇALVES, 2008, p.7).
46
4.2 WPA (Wi-Fi Proteced Access)
O WPA foi uma solução proposta a curto prazo enquanto não acontecia a ratificação
do padrão IEEE 802.11i24.
O WPA é uma evolução do WEP. Ele veio melhorar a criptografia dos dados ao
utilizar um protocolo de chave temporária TKIP (Temporal Key Integrity Protocol). O TKIP
utiliza o algoritmo RC4 como suporte de criptografia, permite que as mudanças de chaves
ocorram frame a frame e sincronizadas automaticamente entre o ponto de acesso e o
dispositivo. O chaveamento global trabalha anunciando as novas chaves aos usuários, e o
TKIP determina que chaves de cifragem sejam usadas e se responsabiliza em mudar a chave
de cada frame (AMARAL, 2006, p.38). Acrescenta algumas características novas ao
protocolo WEP, sendo elas (LINHARES; GONÇALVES, 2008, p.8):
• adicionar um novo código de integridade das mensagens (MIC – Message Integrity
Code) de 64 bits, para verificar se o conteúdo de um quadro de dados possui alterações
por erros de transmissão ou manipulação de dados. O MIC é obtido através de um
algoritmo conhecido como Michael25;
• aumentar o tamanho do IV para 48 bits, e passa a introduzir regras para a escolha e
verificação de IVs, a fim de dificultar ataques de repetição e o reuso de IVs;
• passar automaticamente a distribuir e derivar chaves que serão utilizadas para a
criptografia e integridade dos dados. Isso resolve o problema do uso da chave
compartilhada estática do WEP.
• utilizar conceito de chaves temporais, no qual há uma hierarquia de chaves. Há uma
chave mestra (PMK – Pairwise Master Key), de onde derivam outras chaves, como a
chave de criptografia de dados e a chave de integridade de dados;
• trabalhar em dois modos de funcionamento. Um destinado a redes domésticas e
pequenos escritórios, e outro destinado a rede de grandes instituições (redes
24 O IEEE 802.11i especifica características desejáveis para um novo tipo de comunicação segura em rede sem fios, chamado de rede robusta de segurança (RSN - Robust Security Network). É uma força tarefa criada para resolver questões de segurança do 802.11 MAC, com o objetivo de melhorar a criptografia em redes 802.11 a,b,g. 25 Michael é uma função hash com criptografia chaveada, que produz uma saída de 64 bits. A segurança do Michael baseia-se no fato de que o valor do MIC é criptografado e desconhecido pelo atacante.
47
corporativas). A principal diferença entre os dois tipos está na forma de autenticação,
pois em redes corporativas é utilizado um servidor de autenticação centralizado.
• ser projetado para ser implementado através de uma atualização de software
(firmware) nos equipamentos existentes com o hardware utilizado pelo WEP.
4.2.1 Autenticação
Há dois tipos de autenticação para o protocolo WPA. Um direcionado para redes
corporativas que utiliza um servidor de autenticação 802.1x/EAP (assunto abordado na Seção
4.4 deste capítulo), e outro, mais simples, projetado para pequenas redes em escritórios e
redes domésticas. Estes dois tipos de autenticação são denominados WPA Corporativo e
WPA Pessoal, respectivamente (LINHARES; GONÇALVES, 2008, p.9). A seguir mais
algumas informações sobre estes tipos de autenticação:
• WPA Pessoal: como um usuário comum não é capaz de instalar e fazer a manutenção
de um servidor de autenticação, criou-se o WPA-PSK (WPA-Pre Shared Key) que é
uma Passphrase26, previamente compartilhada entre o AP e os clientes. Neste caso, a
autenticação é feita pelo AP. A chave é configurada manualmente em cada
equipamento pertencente à rede e pode variar de 8 a 63 caracteres ASCII. A figura 28
ilustra um AP configurado com criptografia WPA-PSK (WPA Pessoal) com protocolo
TKIP.
• WPA Corporativo: o AP não é responsável por nenhuma autenticação. Tanto a
autenticação do usuário quanto do dispositivo é feita por um servidor de autenticação.
É utilizada uma infra-estrutura complementar formada por um servidor que usa o
protocolo de autenticação 802.1x (assunto abordado na Seção 4.4 deste capítulo) em
conjunto com algum tipo de EAP (Extensible Authentication Protocol). A figura 29 é
apresentado um esquema simplificado do uso do WPA corporativo, onde a
autenticação do usuário é realizada por um servidor de autenticação RADIUS (assunto
abordado no capítulo 5 deste trabalho), quando um cliente solicita uma autenticação, o
26 Expressão – Passe.
48
AP repassa ao servidor de autenticação, e este verifica em sua base de dados se as
credenciais apresentadas pelo solicitante são válidas, em caso positivo o cliente é
autenticado e uma chave chamada Master Session Key (MSK) lhe é enviada.
Fonte: Primária.
Figura 28 - Ilustração de um AP Configurado com WPA-PSK
Fonte: LINHARES; GONÇALVES (2008).
Figura 29 - Ilustração Autenticação WPA Corporativo
49
4.3 WPA2 (Wi-Fi Proteced Access 2)
O WPA2 foi desenvolvido pelo Wi-Fi Alliance, baseado no 802.11i. As únicas
diferenças implementadas em relação do WPA são, basicamente, os novos algoritmos de
criptografia e de integridade para suprir as deficiências de WEP e WPA.
O 802.11i define o aperfeiçoamento da segurança da Camada MAC para 802.11.
Também pretende lidar com fraquezas em alguns modos existentes de criptografia e
autenticação do 802.11 e fornecer um único padrão unificado para outros modos relacionados
de criptografia e autenticação do 802.11.
Algumas partes do 802.11i descrevem tecnologias que são completamente novas para
802.11 (tais como a criptografia tipo AES), e outras partes de 802.11i incluem tecnologias que
existiam antes (como 802.1X). O 802.11i e o WPA2 são essencialmente similares.
Segundo (LINHARES; GONÇALVES, 2008) o mecanismo de autenticação no WPA2
é, basicamente, o mesmo do WPA descrito na Seção 4.2. O maior avanço na autenticação é
uma preocupação com o roaming. Quando um usuário se autentica, há uma série de
mensagens trocadas entre o AP e o cliente. Essa troca de mensagens introduz um atraso no
processo de conexão. Quando um cliente desloca-se de um AP para outro, o atraso para
estabelecer a associação pode causar uma interrupção notória da conexão, principalmente em
tráfego de voz e vídeo. Para minimizar este atraso de associação, o equipamento pode dar
suporte a PMK Caching e Preauthentication.
O PMK Caching consiste no AP guardar os resultados das autenticações dos clientes.
Se o cliente voltar a se associar com o AP, estas informações guardadas são utilizadas para
diminuir o número de mensagens trocadas na re-autenticação. Já no Preauthentication,
enquanto o cliente está conectado a um AP principal, ele faz associações com outros APs cujo
sinal chega até ele. Desta forma, quando há uma mudança de AP não há perda de tempo com
a autenticação.
Quanto à integridade e confiança, o WPA2 utiliza o protocolo CCMP (Counter-
Mode/Cipher Block Chaining Message Authentication Code Protocol). Tem esse nome, pois
utiliza uma combinação de dois modos de operação: o CBCBTR (Cipher Block Chaining
Counter mode) e o CBC-MAC (Cipher Block Chaining Message). O CCMP é baseado no
50
AES (Advanced Encryption Standard) que é um Block Cipher27
. O modo de operação do AES
implementado pelo WPA2 é o CCM cujas chaves e blocos são de 128 bits (LINHARES;
GONÇALVES, 2008, p.13).
4.4 Autenticação 802.1X
O protocolo 802.1X é um padrão do IEEE que oferece autenticação, controle de
acesso e gerência da distribuição de chaves criptográficas usadas para proteger o tráfego tanto
em redes locais com fio como sem fio.
Surgiu como uma solução para os problemas de autenticação encontrados no IEEE
802.11, fornecendo suporte à praticamente qualquer método de autenticação existente. Sua
aplicabilidade alcança desde as grandes empresas, que necessitam de soluções escaláveis e
robustas, passando pelas redes públicas (HotSpots) que funcionam em universidades e
aeroportos, alcançando também os usuários domésticos (SILVA; DUARTE, 2008).
O 802.1X oferece um esquema de autenticação de alta segurança, podendo utilizar
certificados de cliente ou senhas e nomes de usuários, além de separar a autenticação de
usuário e de computador. Para isso, o 802.1X utiliza um ponto de acesso para acesso à rede
(gateway) e um servidor de autenticação, além de um protocolo criado pelo IETF (Internet
Engineering Task Force) chamado Extensible Authentication Protocol (EAP) para
desempenhar a conversação de autenticação entre o usuário e o servidor (ANDRADE, 2006,
p.43).
Um servidor de autenticação muito utilizado pelas redes sem fio é o RADIUS (Remote
Authentication Dial-In User Service) (assunto abordado no capítulo 5 deste trabalho), que tem
como função autenticar as credenciais dos usuários e autorizar os usuários válidos, além de
dar suporte a autenticações do tipo EAP que utiliza senhas, certificados digitais ou outros
tipos de credencial.
O IEEE 802.1X garante compatibilidade entre o Protocolo de Integridade Temporal de
Chave (Temporal Key Integrity Protocol – TKIP), que foi desenvolvido para solucionar o
problema de chave estática do WEP, e o Padrão de Criptografia Avançada (Advanced
27 Cifrador que opera com um grupo de bits com tamanho fixo. Em contraste com o RC4 que cifra bit a bit, o Block Cipher cifra um bloco de bits por vez.
51
Encryption Standard – AES), que é um mecanismo forte de criptografia. Para adoção do
TKIP será necessário uma simples atualização de software enquanto o AES exige a
substituição do hardware (SILVA; DUARTE, 2008, p.3).
O IEEE 802.1X é um protocolo de comunicação utilizado entre o AP e o servidor de
autenticação. Este protocolo foi amplamente utilizado pelas redes cabeadas e se mostrou
também adequado às redes wireless.
Segundo (VERISSIMO, 2003) existem 3 participantes de uma transação usando o
protocolo 802.1X: suplicante, servidor de autenticação e autenticador. Segue abaixo maiores
informações sobre cada um deles:
• Suplicante: um usuário ou um cliente que quer ser autenticado. Ele pode ser
qualquer dispositivo sem fio.
• Servidor de autenticação: um sistema de autenticação, tipo RADIUS, que faz a
autenticação dos clientes autorizados.
• Autenticador: o dispositivo que age como um intermediário na transação, entre
o suplicante e o servidor de autenticação. O ponto de acesso na maioria dos
casos.
Neste protocolo tanto o suplicante quanto o autenticador são autenticados pelo
servidor de autenticação, sendo chamado de autenticação mútua. A figura 30 demonstra esse
processo.
52
Fonte: (http://www.abc.org.br/~verissimo/textos/802117.jpg).
Figura 30 - Autenticação Mútua 802.1X
Esta autenticação mútua no 802.1X é descrita sucintamente a seguir:
1. Um suplicante inicia uma conexão com o autenticador. O autenticador detecta
a inicialização e abre a porta para o suplicante, todo o tráfego que não for
referente à autenticação é bloqueado;
2. O autenticador pede a identidade ao suplicante;
3. O suplicante responde com sua identidade;
4. O autenticador repassa a identidade a um servidor de autenticação;
5. O servidor de autenticação autentica a identidade do suplicante, e envia uma
mensagem de ACCEPT ao suplicante;
6. O autenticador então libera o tráfego ao suplicante;
7. O suplicante pede a identidade do servidor de autenticação;
8. O servidor de autenticação responde com sua identidade;
9. O suplicante autentica o servidor de autenticação e só então os dados são
liberados para trafegar na rede.
53
4.4.1 Extensible Authentication Protocol (EAP)
Um modelo para autenticação também foi definido no WPA, conhecido como EAP,
que utiliza o padrão 802.1x e permite vários métodos de autenticação, incluindo a
possibilidade de certificação digital. Este padrão pode ser utilizado em conjunto com outras
tecnologias existentes, como o servidor de autenticação RADIUS (LACERDA, 2007, p.19).
O EAP é um framework28 de autenticação, que prove vários métodos de autenticação
para redes wired e wireless.
O EAP é responsável por criar um canal de comunicação seguro entre o cliente
(suplicante) e o servidor de autenticação, por onde as credenciais irão trafegar. Toda a
transação de autenticação do 802.1X é encapsulada em mensagens EAP sobre Redes Locais
(EAPoL - Extensible Authentication Protocol over LAN). Fisicamente o cliente (suplicante) se
comunica com o autenticador através do protocolo EAPoL e o autenticador, por sua vez, se
comunica com o servidor de autenticação através do protocolo 802.1X, conforme pode ser
visto na figura 31.
Fonte: LINHARES; GONÇALVES (2008).
Figura 31 – Autenticação 802.1X / EAP
O EAP por ser um protocolo de autenticação conectável, localizado nas camadas
superiores, não existindo nenhum tipo de EAP específico para 802.1X. Os diferentes métodos
de EAP podem ser utilizados para resolver problemas distintos, dependendo da necessidade
28 Um framework é um conjunto de componentes de software que provêem uma arquitetura e estrutura básica para o desenvolvimento de uma aplicação. É uma aplicação semi-pronta que deve ser estendida e personalizada.
54
da rede. O EAP é um protocolo geral para autenticação que permite que os pontos de acesso à
rede suportem múltiplos métodos de autenticação, tais como: TLSP, PEAP, TTLS e LEAP.
Algumas características desses métodos são apresentadas a seguir (ANDREADE, p.43):
• TLS (Transporter Layer Security): O TLS é um padrão do IETF, proposto pela
Microsoft, que oferece autenticação mútua através da utilização de certificados
digitais. Esses certificados são configurados em cada usuário da rede sem fio e,
também, no servidor de autenticação estabelecendo, assim, uma sessão de TLS
criptografada entre eles. Além disso, o TLS permite geração de chaves criptográficas.
• PEAP (Protected Extensible Autentication Protocol): O PEAP é um método de
autenticação que a executa em dois momentos. No primeiro, uma sessão TLS é
estabelecida para o servidor, permitindo que o cliente autentique o servidor usando o
certificado digital do servidor. Em seguida, um segundo método EAP é encapsulado
na sessão PEAP para autenticar o cliente ao servidor, pois o PEAP não oferece
certificados nos clientes.
• TTLS (Tunneled Transport Layer Security): O TTLS consiste em um protocolo
realizado em dois estágios de forma similar ao PEAP, utilizando uma sessão TLS para
proteger determinada autenticação de cliente encapsulado. Além dos métodos de
encapsulamento EAP, o TTLS pode usar versões não EAP para protocolos de
autenticação.
• LEAP (License Extensible Autentication Protocol): O LEAP é um método EAP
proprietário desenvolvido pela Cisco System que usa senhas para autenticar apenas o
usuário à WLAN, não ao computador. O fato de não haver essa autenticação gera
alguns problemas, como a execução incorreta das diretivas de grupo da máquina,
falhas de configurações de instalação de softwares, perfis móveis e scripts de logon
além dos usuários não poderem alterar suas senhas que foram expiradas. O LEAP
também possui algumas vulnerabilidades de segurança, como a suscetibilidade a
ataques por intercepção e a ataques de dicionário off-line, permitindo que invasores
consigam senhas de usuários válidos. Outro problema do LEAP está relacionado à
interoperabilidade, já que ele só funciona em hardwares e softwares da Cisco e de
alguns outros fornecedores.
55
A figura 32 ilustra um AP configurado com o protocolo 802.1X / EAP.
Fonte: Primária.
Figura 32 - Ilustração de um AP configurado com 802.1X/EAP
5. Implantando Autenticação em Redes Wireless
A fim de implantar uma rede wireless pública, buscou-se por tecnologias apropriadas
para que uma rede dessa natureza possa ficar ao mesmo tempo segura e acessível. Diante
disso foram avaliadas algumas tecnologias para essa necessidade, e duas tecnologias foram
escolhidas: a utilização de um servidor de autenticação e o emprego de um mecanismo que
funcione como um Gateway29, implementando o conceito de Portal Captivo, que consiste em
capturar todo tráfego de um usuário não autenticado e direcionar para uma página WEB de
login.
Autenticar significa reconhecer como válido. Por exemplo, quando se vai a um
cartório autenticar um documento, o processo se resume a uma comparação da cópia com o
original e um reconhecimento do mesmo como uma cópia válida. Simplificando esse
exemplo, podemos imaginar uma base de dados de autenticação como o conjunto de
informações necessárias para a validação de um dado duvidoso, que no caso do cartório seria
a imagem do documento original.
Um servidor é um sistema de computação que fornece serviços a uma rede de
computadores. Esses serviços podem ser de natureza diversa, como por exemplo, arquivos e
correio eletrônico. O termo servidor é largamente aplicado a computadores completos,
embora um servidor possa equivaler a um software ou a partes de um sistema computacional,
ou até mesmo a uma máquina que não seja necessariamente um computador.
A história dos servidores está relacionada às redes de computadores. As redes,
inicialmente, permitiam a comunicação entre diversos computadores e, com o crescimento
destas, surgiu à idéia de dedicar alguns computadores para prestar algum serviço à rede.
29 Gateway é uma máquina intermediária geralmente destinada a interligar redes.
57
No caso da autenticação em redes, esse processo diz respeito à validação do usuário
como apto para o acesso aos recursos disponibilizados. Dessa forma, a base para autenticação
precisa conter, no mínimo, informações que permitam a identificação dos usuários existentes.
5.1 Protocolo RADIUS
O protocolo RADIUS, descrito pela RFC 286530, é um padrão aprovado para a
utilização em processos de autenticação. É um método amplamente empregado para a
validação de dispositivos e usuários e geração de chaves, tanto em redes cabeadas quanto em
ambientes sem fio. Foi desenvolvido, originalmente, para uso em serviços de acesso discado,
mas pela sua simplicidade, eficiência e facilidade de implementação, hoje é suportado por
servidores de VPN, AP’ s e outros tipos de acesso a redes (COSTA, 2006, p.9).
O protocolo do RADIUS disponibiliza o acesso baseado em três premissas:
Autenticação, Autorização e Contabilização – AAA (Authentication, Authorization,
Accounting). A função do RADIUS é centralizar as atividades de autenticação, autorização e
contabilização permitindo assim uma gerência aglutinada de todos esses serviços (AMARAL,
2006, p.60).
O funcionamento do servidor RADIUS integrado ao padrão 802.11 é realizado
utilizando o modelo de desafio, que é descrito a seguir (AMARAL, 2006, p.61):
1. o suplicante deve se autenticar com o autenticador, usando o RADIUS sobre
EAP;
2. o suplicante deve começar uma associação 802.1x;
3. mais de uma chave intermediária é negociada entre o autenticador e o
suplicante, dificultando o processo de autenticação, e com isso aumentando a
segurança;
4. a associação 802.1x toma lugar depois que a fase de associação da camada
802.11 está completa com o AP;
5. ao final da associação o suplicante tem uma chave para aquela sessão;
30 RFC (Request for Comments) é um documento que descreve os padrões de protocolos da Internet. Maiores
informações sobre a RFC 2865 podem ser acessadas pelo endereço: http://www.faqs.org/rfcs/rfc2865.html.
58
A figura 33 ilustra o processo de autenticação baseado em RADIUS em um ambiente
de rede sem fio.
Fonte: AMARAL (2006).
Figura 33 - Ilustração da Autenticação 802.1x em redes sem fio.
Foram realizados alguns testes com o RADIUS, onde foi utilizada a distribuição
FreeRadius31, versão 1.1.7. Foi utilizado um computador com a seguinte configuração de
hardware e software:
• Processador P4 2.0 GHz;
• 512MB memória RAM;
• HD 20GB;
• Sistema Operacional Linux Fedora Core 832;
• Placa de Ethernet;
• Leitor de DVD (mídia de instalação é em DVD).
Além do servidor foram utilizados mais alguns equipamentos nos testes. A seguir a
descrição destes equipamentos:
• Modem ADSL D-link 500B;
31 FreeRADIUS é um servidor RADIUS open source, maiores informações podem ser acessadas no site http://www.freeradius.org/. 32 Informações sobre o Fedora podem ser encontradas em http://fedoraproject.org/.
59
• Switch + AP integrado D-Link DIR-300;
Neste trabalho optou-se pela utilização do FreeRadius por ser open source e ter
bastante documentação e materiais explicativos na Internet.
A figura 34 demonstra a topologia da rede utilizada como teste: Internet chegando ao
Modem ADSL, este conectado a interface WAN do AP, e o servidor RADIUS conectado a
interface LAN do AP através de uma conexão Ethernet.
Fonte: Primária.
Figura 34 - Topologia da rede utilizada nos testes com FreeRadius
Foi elaborado um tutorial detalhando todos os passos, desde a sua instalação até como
configurar as estações para que as mesmas sejam autenticadas. O tutorial se encontra nos
Anexos A, B e C deste trabalho.
WAN LAN
60
5.2 pfSense
O pfSense33 é um sistema utilizado em gateways de rede, que oferece diversos
serviços, em especial aos hosts que se encontram na rede interna a ele, funcionando como um
Firewall e faz o compartilhamento da Internet. Ele é baseado no sistema operacional
FreeBSD34
. Uma de suas finalidades é segurança de acessos, porém é composto de um
conjunto de softwares que o torna robusto para controle de banda. Sua configuração e
instalação são extremamente simples, e a maioria de seus comandos é executada através de
interface gráfica desenvolvida em PHP.
A seguir são relacionadas algumas das funcionalidades do pfSense:
• Portal Captivo (ou Captive Portal);
• PPPoE (Point-to-Point Protocol over Ethernet)35 Server;
• Firewall;
• Balanceamento de carga de entrada e saída;
• Estatísticas de utilização da rede;
• DHCP;
• Controle de Banda;
• Mediante instalação de uma placa PCI Wireless compatível ele passa a operar
também como um AP.
Para efetuar a instalação do sistema, deve-se acessar o website do programa, efetuando
o download de um LiveCD (arquivo de boot para ser gravado em um CD). Após dar boot com
esse CD, será necessário configurar as interfaces LAN (interface conectada a rede local) e
WAN (interface conectada a Internet), prosseguindo com a instalação do sistema. Após a
instalação deve-se definir o endereço IP do servidor. Para administrar e configurar os recursos
do pfSense, basta acessar de qualquer browser de Internet, dentro da rede local, o endereço de
IP definido na instalação.
33
Maiores informações sobre o pfSense podem ser encontradas em http://www.pfsense.com. 34 O FreeBSD é um sistema operacional open source do tipo Unix descendente do BSD desenvolvido pela Universidade de Berkeley. Maiores informações em http://www.freebsd.org/. 35 PPPoE é um protocolo para conexão de usuários em uma rede Ethernet a Internet. Seu uso é típico nas conexões de um ou múltiplos usuários em uma rede LAN à Internet através de uma linha DSL, de um dispositivo wireless (sem fio) ou de um modem de cabo.
61
Neste trabalho optou-se pela utilização do pfSense, primeiramente por ser uma
ferramenta de uso livre, e segundo por ser um sistema de fácil utilização e configuração.
A seguir será descrito com um maior nível de detalhamento o tema Portal Captivo,
uma das funcionalidades do pfSense utilizadas nesse trabalho, em especial para implementar
um HotSpot.
5.2.1 Portal Captivo
Portal Captivo é um sistema geralmente utilizado em pontos de acesso WLAN
(HotSpot36). Este sistema consiste em redirecionar todas as requisições de acesso a Internet a
uma página da WEB. Essa página pode conter propagandas de qualquer natureza, e/ou pode
ser uma página para autenticação de usuários. Caso seja uma página de autenticação de
usuários, o cliente só terá acesso a Internet mediante login, onde será solicitado usuário e
senha. Caso não possua usuário e senha, o acesso a Internet não é liberado.
Neste trabalho foram efetuados alguns testes com o pfSense, com mais ênfase no
Portal Captivo. Para demonstrar o funcionamento deste recurso, foi configurado um servidor
com o pfSense instalado. Um dos pontos positivos desde software é a sua baixa exigência de
hardware, pois um computador com no mínimo 128MB de memória RAM já é suficiente para
rodar o sistema. A seguir é descrito a relação de hardware e software utilizada na
configuração do servidor:
• Processador K6II-500MHz;
• Software pfSense versão 1.2;
• 128MB Memória RAM;
• HD 2.5GB;
• Duas interfaces Ethernet;
Além do servidor foram utilizados mais alguns equipamentos nos testes. A seguir é
apresentada a relação destes equipamentos:
• Modem ADSL D-link 500B;
36 HotSpot é o nome dado ao local onde a tecnologia Wi-Fi está disponível, geralmente em locais públicos como cafés, restaurantes, hotéis e aeroportos onde é possível conectar-se à Internet utilizando qualquer computador portátil com conexão Wireless.
62
• Switch + AP integrado D-Link DIR-300;
• Computador para acessar a interface WEB de configuração.
A figura 35 demonstra a topologia da rede utilizada no teste: Internet chegando ao
Modem ADSL, este conectado em uma das interfaces Ethernet, denominada WAN, do
servidor com pfSense instalado. A outra interface Ethernet do pfSense, denominada LAN,
conectada ao AP, e o servidor RADIUS conectado ao AP através de uma conexão Ethernet.
Fonte: Primária.
Figura 35 - Topologia da rede utilizada nos testes pfSense
Quase toda as configurações do pfSense se dão por uma interface WEB. A figura 36
apresenta a tela inicial do pfSense.
63
Fonte: Primária.
Figura 36 - Tela Inicial do pfSense
Para habilitar a função de Portal Captivo, deve-se ir ao Menu “Services”, depois
“Captive Portal”, na página que ira abrir deve-se clicar na opção “Enable captive portal”. A
tabela 6 traz as principais opções que o sistema possui, juntamente com uma breve descrição.
64
Tabela 6 - Principais opções de configurações do Portal Captivo Opção Descrição
Interface Deve-se selecionar em qual interface irá atuar o sistema. Neste caso LAN.
Idle timeout Tempo em minutos para que o sistema desconecte o usuário quando a conexão não tiver conectividade. Caso o usuário fique o tempo definido sem acessar a Internet, ele será desconectado.
Hard timeout Tempo máximo em minutos que a conexão ficará ativa. Após esse tempo o usuário é desconectado.
Logout popup window Se esta opção estiver marcada, após o usuário efetuar login aparecerá uma janela com o botão “disconnect”, caso ele desejar sair de seu login.
Redirection URL
Se esta opção estiver marcada e o endereço WEB devidamente preenchido, o usuário, após seu login, será automaticamente redirecionado para essa página. Caso esta opção não esteja marcada ele será redirecionado para a página por ele solicitada.
Concurrent user logins Se esta opção estiver marcada, o sistema vai permitir que somente o mais recente login de um mesmo usuário fique ativo.
Authentication Oferece três opções para a autenticação do usuário: Sem Autenticação, Autenticação Local e Autenticação por RADIUS.
Portal page contents
Local para fazer upload da página que irá ser mostrada ao usuário em seu primeiro acesso. Sempre que o usuário tentar acessar a Internet será direcionado para está página. Caso não seja feito upload de nenhuma página, o sistema utilizará uma página padrão.
Fonte: Primária.
Quanto à opção de “Authentication”, como mencionado na tabela 6, existe a
possibilidade de escolha entre três tipos de autenticação:
• sem autenticação: o usuário é redirecionado para uma página padrão, a não ser
que tenha sido feito upload de uma página personalizada. Nesta página basta
ele clicar em “Login” para obter acesso a Internet;
• autenticação local: são cadastrados usuários e senhas dentro do próprio
sistema, bastando para isso escolher a opção “Users”, que se encontra na tela
principal de configuração do Portal Captivo, para cadastrá-los;
• autenticação por RADIUS: o sistema utilizará um servidor com RADIUS
instalado para efetuar a autenticação dos usuários.
Aproveitando a implementação de um servidor RADIUS, que foi descrita
anteriormente, foi utilizada no Portal Captivo do pfSense a opção de Autenticação por
65
RADIUS, bastando para isso o preenchimento de algumas informações como: “IP address”,
“Port” e “Shared secret”, informações essas apresentadas na figura 37. Não se deve esquecer
de cadastrar o IP do pfSense no arquivo “clients.conf” nas configurações do FreeRadius37.
Após essa configuração, o pfSense ira trabalhar em cooperação com o FreeRadius, na
autenticação dos usuários.
Fonte: Primária.
Figura 37 - Autenticação do Portal Captivo habilitada com RADIUS
Onde:
• IP address: endereço IP do servidor RADIUS;
• Port: número da porta de escuta do servidor RADIUS;
• Shared secret: senha definida no arquivo “clients.conf” nas configurações do
FreeRadius.
Para um usuário poder efetuar login no Portal Captivo, ele deve estar cadastrado no
arquivo “users” nas configurações do FreeRadius. A forma de cadastro dos usuários é
descrito na figura abaixo:
Onde:
• teste: nome do usuário cadastrado;
• 123: senha do usuário cadastrado.
37 Para maiores informações consultar Anexo A deste trabalho.
66
A figura 38 demonstra a tela de login padrão que aparece ao usuário quando ele tenta
acessar a Internet em uma rede “administrada” pelo pfSense.
Fonte: Primária.
Figura 38 - Tela de login padrão do Portal Captivo
Para os testes, a fim de avaliar a integração e funcionamento dessa tecnologia com os
demais elementos da rede, foi desenvolvida uma página personalizada. Essa tela de login pode
ser visualizada na figura 39.
67
Fonte: Primária.
Figura 39 - Tela de login Personalizada para o teste com Portal Captivo
5.2.1.1 Outras implementações de Portal Captivo
No decorrer das pesquisas efetuadas, foram localizados vários softwares que se
propõem a executarem as funcionalidades de Portal Captivo. A seguir seguem alguns desses
softwares, juntamente com uma breve descrição:
• M0n0wall38: software baseado no projeto do pfSense. Um detalhe muito
interessante do M0n0wall é de que ele não necessita ser instalado. Após
acessar o website do programa, é possível fazer o download de um LiveCD
(arquivo de boot para ser gravado em um CD). Após dar boot com esse CD,
será necessário configurar as interfaces LAN e WAN e definir o endereço IP
do servidor. Após efetuar essas configurações, já é possível acessar a sua
38
Maiores informações sobre o M0n0wall podem ser encontradas em http://m0n0.ch/wall/.
68
interface gráfica desenvolvida em PHP para efetuar as demais configurações.
Todas essas configurações são gravadas num arquivo XML (eXtensible
Markup Language), sendo esse arquivo armazenado em um disquete de
1.44MB ou um dispositivo com memória flash (pen drive). Suas configurações
são quase todas baseadas em páginas em PHP;
• BrazilFW39: baseado no Coyote Linux roda em computadores com no mínimo
16MB de memória RAM, e também roda sem ter a necessidade de ser
instalado. Funciona como um Firewall e faz o compartilhamento de Internet.
Um ponto favorável e interessante deste programa é que podem ser instaladas
novas ferramentas, denominadas de Add-Ons. O BraziFW possui um Add-On
para trabalhar com Portal Captivo o Easy Captive. Suas configurações são
quase todas baseadas em páginas em PHP;
• ChilliSpot40: pode ser instalado em um computador com praticamente
qualquer distribuição Linux. Suas configurações seguem o padrão de quase
todos os programas em Linux, que são por arquivos de texto. Tem uma versão
sob forma de firmware que pode ser instalada em alguns modelos de AP.
Além das soluções acima, nessa pesquisa também foram encontradas outras soluções
para Portal Captivo, tais como: WifiDog41, NoCatAuth
42, OpenSplash43. Porém, nenhuma
delas foi possível completar com sucesso a instalação e/ou utilização, por falta de experiência,
compatibilidade com o S.O., falta de materiais explicativos e/ou referências das mesmas na
Internet.
Pelo que foi apresentado e observado nos testes e experimentações, as tecnologias de
autenticação, através do FreeRadius e a de Portal Captivo, com o uso do pfSense,
demonstraram que são adequadas para as situações onde há a necessidade de controlar os
usuários de redes wireless. O FreeRadius sozinho é mais indicado para aumentar a segurança
de uma rede wireless, já que cada usuário da rede terá seu próprio usuário e senha de acesso,
ao contrário da segurança atual (WEP, WPA, WPA2) onde se tem uma senha única para todos
usuários da rede. Já o pfSense com o Portal Captivo, avaliado neste trabalho, é mais indicado
para usuários que necessitam de autenticação para fazer uso de redes wireless em ambientes 39 Maiores informações sobre o BrazilFW podem ser encontradas em http://www.brazilfw.com.br. 40 Maiores informações sobre o Chillispot podem ser encontradas em http://www.chillispot.info. 41 Maiores Informações sobre o WifiDog podem ser encontradas em http://dev.wifidog.org/. 42 Maiores Informações sobre o NoCatAuth podem ser encontradas em http://nocat.net/. 43 Maiores Informações sobre o OpenSplash podem ser encontradas em http://www.opensplash.org.
69
públicos, tais como: aeroportos, restaurantes, hotéis, entre outros, podendo ser utilizado,
inclusive, também como uma forma de publicidade.
CONSIDERAÇÕES FINAIS
Após a realização deste trabalho, conclui-se que a cada momento surgem
equipamentos e tecnologias novas para comunicação e segurança de redes wireless, e que
estão cada vez mais estas tecnologias estão presentes nas cidades, facilitando o acesso à
Internet pelas pessoas. Como exemplo pode ser citado o aumento significado na implantação
de HotSpots para disponibilizar Internet em locais públicos.
Quanto à comunicação de redes sem fio, foram descritas algumas soluções para Redes
Metropolitanas Sem Fio (WMAN), levantando aspectos técnicos e teóricos sobre suas
características, funcionamento e equipamentos necessários. Não foram abordadas todas as
soluções existentes, mas as que mais chamaram a atenção devido ao funcionamento como, por
exemplo, a solução da empresa Meraki, o Meraki Mini, que é um equipamento simples, fácil
de instalar e funciona repetindo o sinal entre os equipamentos, facilitando o compartilhamento
de Internet.
A escolha pela ferramenta pfSense se deu pelo fato de que nenhuma das outras
ferramentas citadas no trabalho, foi possível completar com sucesso a instalação e/ou
utilização.
Já no que diz respeito à segurança das redes sem fio foi abordada duas soluções, uma
visando aumentar a segurança das atuais redes wireless no padrão 802.11 com a utilização de
um servidor de autenticação RADIUS, e outra implantando um HotSpot utilizando o conceito
de Portal Captivo. Foram realizados testes com as soluções e apresentadas nesse trabalho,
sendo descrita uma possível solução para sua utilização. Enfim, pelas avaliações feitas com
essas duas tecnologias, pode-se afirmar que, atualmente, são soluções apropriadas para as
situações descritas nesse trabalho, ou seja, um mecanismo de autenticação e de Portal Captivo
em redes expostas a um grande público e/ou que não se tem controle.
71
Como trabalho futuro, essa pesquisa pode ter continuidade na investigação e/ou
desenvolvimento de uma ferramenta livre que possibilite o controle de horas de uso da rede
pelos usuários, em HotSpot públicos. Poderia ser algo semelhante à compra de créditos de
horas para acessar a Internet nessas redes.
BIBLIOGRAFIA
ABRAS, Gustavo Eduardo; SANCHES, Jayme César Guarenghi. Wireless LAN. 2002. Monografia – Pontifícia Universidade Católica do Paraná, Curitiba, 2002. Disponível em: <http://www.ppgia.pucpr.br/~jamhour/Download/pub/Outros/Monografia%20WLAN.pdf>. Acesso em 15 out. 2007. AMARAL, Érico Marcelo Hoff do. Segurança em redes Wireless Proposta de um serviço de
autenticação Baseado em Agentes – O Caso CRSPE. 2006. Monografia – Universidade Federal de Santa Maria, Santa Maria, 2006. Disponível em: <http://www-new.inf.ufsm.br/bdtg/arquivo.php?id=29&download=1>. Acesso em 30 de abr. 2008. ANDRADE, Lidiane Parente. Análise das Vulnerabilidades de segurança existentes nas redes
locais sem fio: um estudo de caso do projeto WLACA. 2006. Monografia – Universidade Federal do Pará, Belém, 2006. Disponível em: <http://www.lprad.ufpa.br/~margalho/wdeec/tcc.pdf>. Acesso em: 07 maio 2008. BARCELOS, João Paulo Malheiros de; GONÇALVES, Raphael Guimarães; ALVES, Nilton Jr.. O Padrão 802.11. Disponível em: <ftp://ftp2.biblioteca.cbpf.br/pub/apub/2003/nt/nt_zip/nt00303.pdf>. Acesso em 30 de abr. 2008. BREUEL, Cristiano Malanga. Redes em malha sem fios. Disponível em <http://grenoble.ime.usp.br/movel/Wireless_Mesh_Networks.pdf>. Acesso em: 12 out. 2007. COSTA, Nilmara Goulart Peres. Proposta para migração de um ponto de Rede Wireless
comercial, de um Provedor de Internet via Rádio, para estrutura configurada em Software
Livre. 2006. Monografia – Universidade Federal de Lavras, Lavras, 2006. Disponível em: <http://www.ginux.ufla.br/files/mono-NilmaraCosta.pdf>. Acesso em: 10 maio 2008. DIAS, Gustavo Neves. Estudo do Modo de Operação Mesh do Padrão IEEE 802.16 e
Sugestão de Mecanismo Adaptativo para Provisionamento de QoS Aplicado às Rede Sem Fio. Disponível em: <http://www.ravel.ufrj.br/arquivosPublicacoes/cps865_mono_GustavoDias.pdf>. Acesso em: 12 out. 2007.
73
DIAS, Gustavo Neves. Estudo sobre o Padrão IEEE 802.16 para Redes Metropolitanas Sem
Fio de Banda Larga. Disponível em: <http://www.ravel.ufrj.br/arquivosPublicacoes/cos762_mono_GustavoDias.pdf>. Acesso em: 13 set. 2007. DUNCAN, Isabela Barreto. Modelagem e Análise do Protocolo IEEE 802.11. 2006. Dissertação (Mestrado) – Universidade Federal do Rio de Janeiro, Rio de Janeiro, 2006. Disponível em: <http://www.land.ufrj.br/laboratory/repository/upfiles/mastersthesis/dissertacao_isabela.pdf>. Acesso em: 14 out. 2007. ESTECA, Alexandre Eduardo Morales; CAIRES, Richard Roberto; BARNABÉ, Gustavo Riveiro; RODRIGUES, Rodrigo da Silva. Transmissão de Dados na Tecnologia WiMAX. 2007. Monografia – Centro Universitário Salesiano de São Paulo, Campinas, 2007. Disponível em: < http://www.galehp.com.br/orientacoes/2007/TCC WIMAX.pdf>. Acesso em: 04 set. 2007. GALLEGO, David Alfonso Muñoz. Estimação de Capacidade de Redes Sem Fio do Tipo
Mesh. 2005. Dissertação (Mestrado) – Universidade Estadual de Campinas, Campinas, 2005. Disponível em: <http://libdigi.unicamp.br/document/?code=vtls000402921>. Acesso em: 12 out. 2007. LACERDA, Pablo de Souza. Análise de Segurança em Redes Wireless 802.11X. 2007. Monografia – Universidade Juiz de Fora, Juiz de Fora, 2007. Disponível em: <http://www.ice.ufjf.br/index2.php?option=com_docman&task=doc_view&gid=5&Itemid=74>. Acesso em: 07 maio 2008. LIMA, Luciana dos Santos; SOARES, Luiz Fernando Gomes; ENDLER, Markus. WiMAX:
Padrão IEEE 802.16 para Banda Larga Sem Fio. 2006. Monografia – Pontifícia Universidade Católica do Rio de Janeiro, Rio de Janeiro, 2006. Disponível em: <ftp://ftp.inf.puc-rio.br/pub/docs/techreports/06_29_lima.pdf>. Acesso em: 20 ago. 2007. LINHARES, André Guedes; GONÇALVES, Paulo André da S. Uma Análise dos
Mecanismos de Segurança de Redes IEEE 802.11: WEP, WPA, WPA2 e IEEE 802.11w*. Disponível em <http://www.unibratec.com.br/jornadacientifica/diretorio/UFPEAGL.pdf>. Acesso em 28 de abr. 2008. PRADO, Eduardo. WiMAX no Brasil. Disponível em: <
http://www.teleco.com.br/wimax.asp>. Acesso em: 10 set. 2007. PRZYBYSZ, André Luiz; JÚNIOR, Olavo José Luiz. Infra-Estrutura e Roteamento em redes
Wireless Mesh. Disponível em: <http://www.ppgia.pucpr.br/~jamhour/Download/pub/Mestrado/Infra-estrutura%20e%20Roteamento%20em%20Redes%20Wireless%20Mesh.pdf>. Acesso em: 12 out. 2007. SILVA, Luiz Antonio F. da; DUARTE, Otto Carlos M. B. Duarte. RADIUS em Redes Sem
Fio. Disponível em: <http://www.gta.ufrj.br/~lafs/arqs/RADIUS_em_Redes_sem_Fio.pdf>. Acesso em: 07 maio 2008.
74
SILVA, Mônica F. da Silva; CÂMARA, Jeferson; ABALÉM, Antônio J. G.; STANTON, Michael A.. Redes Sem Fio Metropolitanas Baseadas no Padrão 802.16: Um Estudo de Caso Para Belém-PA. Trabalho Apresentado no XXV Congresso da Sociedade Brasileira de Computação, São Leopoldo, 2005. Disponível em: <http://www.sbc.org.br/bibliotecadigital/download.php?paper=174>. Acesso em: 27 abr. 2007. VERISSIMO, Fernando. Estado da Arte: segurança em camada de enlace do padrão IEEE
802.11. 2003. Monografia – Universidade Federal do Rio de Janeiro, Rio de Janeiro, 2003. Disponível em: <http://www.cos.ufrj.br/~ferver/Set2003.pdf>. Acesso em: 08 maio 2008.
ANEXO A - Configuração do Servidor RADIUS
1) Instalar Fedora Core 8, selecionando a instalação personalizada e marcando as
seguintes opções: Servidor WEB, Servidor MYSQL e Desenvolvimento KDE;
2) Digitar no shell com permissões de root: yum -y install freeradius-mysql. Esse
comando instalará o FreeRadius com suporte a MySql;
3) Após a instalação, todos os arquivos de configuração do FreeRadius estarão no
diretório /etc/raddb/, sendo que os principais arquivos que serão utilizados são:
• radiusd.conf: principal arquivo de configuração. Nele configuram-se todos
os parâmetros do servidor;
• clients.conf: configuração dos dispositivos que poderão efetuar consultas
ao RADIUS, tais como: AP, switch, etc;
• users: base de usuários. Neste arquivo serão cadastradas as credenciais dos
usuários (usuários e senhas).
4) Para alterar os arquivos de configuração, pode ser utilizado qualquer editor. Nesta
demonstração é utilizado o joe (para instalar digite o comando yum –y install joe).
5) Para um teste inicial, será alterado o arquivo radiusd.conf. Nesse arquivo serão
alteradas algumas configurações, tais como o endereço IP e porta do servidor e opções
de log. Devem ser alterados somente os itens abaixo:
76
USER e GROUP devem ser alterados para os usuários que tenham permissão de
leitura e escrita nos arquivos mencionados no item 3.
BIND_ADDRESS e PORT devem ser trocados pelo endereço IP e porta que o
RADIUS irá receber as requisições. A porta padrão do RADIUS é a 1812.
A seguir será modificada a opção que cuida do registro das autenticações no
log do FreeRadius:
Aqui será colocado YES nas três linhas:
• log_auth: gravará todas tentativas de autenticação no arquivo de log do
RADIUS, que está disponível em /var/log/radiusd/radius.log;
• log_auth_badpass: gravará no log tentativas de autenticação com login
e/ou senhas incorretos, mostrando a senha;
• log_auth_goodpass: gravará no log tentativas de autenticação com login e
senhas corretas, mostrando a senha.
Como esta implantação é para fins de experimentação, foi definido YES em
todas as opções. Mas, por motivos de segurança, é aconselhável deixar as duas
últimas opções como NO, pois no arquivo de log aparecerá a senha dos usuários que
tentaram autenticar.
6) A seguir é apresentado como se cadastra um usuário. Isso foi feito para fins de teste,
devendo ser acrescentado no final do arquivo users, a seguinte linha:
Onde:
• teste: é o nome de usuário;
• 123: é a senha do usuário.
77
7) A seguir será concedida permissão para os equipamentos que podem fazer consultas
ao RADIUS, também chamado de NAS (Network Authentication Server). Neste caso
será a própria máquina que está sendo configurado o servidor (localhost). Deve ser
alterado o arquivo clients.conf, para adicionar os equipamentos que poderão efetuar
consultas no RADIUS. Deve ser acrescentando as linhas descritas abaixo no final do
arquivo:
Onde:
• client 192.168.0.2: deve-se trocar pelo endereço IP da interface que
executará a consulta;
• secret: senha que irá permitir o NAS realizar a consulta. O NAS deve
possuir a mesma senha;
• shortname: nome do dispositivo que irá realizar a consulta. Útil para
verificar no arquivo de log de onde partiu a consulta;
• nastype: é o tipo do NAS (other é padrão).
8) A seguir, será necessário iniciar o servidor RADIUS. Para isso deve-se digitar no shell
o comando /etc/init.d/radiusd start. Caso ocorrer algum erro, verifique todos os
passos executados até aqui. Se estiver tudo correto, deve aparecer uma mensagem
semelhante com esta a baixo:
9) O próximo passo é executar um pequeno teste para verificar se as configurações estão
corretas. Para isso, digite no shell o comando radtest teste 123 192.168.0.2:1812
1812 senharadius, onde:
• radtest: comando para executar teste;
• teste: usuário para login;
• 123: senha para login;
78
• 192.168.0.2:1812: endereço IP do servidor RADIUS juntamente com a
porta de escuta;
• 1812: porta do NAS (padrão 1812);
• senharadius: senha do NAS predefinida no passo 7.
A resposta obtida deve ser algo parecido com o exibido na figura abaixo:
10) Agora, será alterado o arquivo clients.conf, acrescentando o AP usado para esse teste,
permitindo assim que ele possa efetuar consultas no servidor RADIUS. Deve-se seguir
a mesma linha do item 7, onde no client 192.168.0.1 deve-se colocar o endereço IP do
AP, conforme apresentado abaixo.
11) A seguir será alterado um arquivo não muito utilizado, o eap.conf (localizado no
diretório /etc/raddb). Nesse arquivo são definidos os mecanismos de EAP suportados.
Deve-se alterar somente as seguintes linhas apresentadas abaixo:
Na função TLS deve-se retirar o comentário de todas as linhas, conforme apresentado
abaixo.
79
Na função TTLS deve-se retirar o comentário de todas as linhas, conforme
apresentado abaixo.
Na função PEAP deve-se tirar o comentário de todas as linhas, conforme apresentado
abaixo.
12) O próximo passo será editar o arquivo radiusd.conf, para efetuar as mudanças
apresentadas a seguir, que visam algumas configurações quanto à autenticação dos
clientes e dos AP.
Verificar se a linha abaixo está sem comentário.
Alterar as seguintes linhas abaixo na função thread pool.
Na função PAP, efetuar a seguinte alteração.
Verificar se a linha apresentada abaixo está sem comentário.
Na função MSCHAP, as linhas abaixo devem estar sem comentários:
80
Após a função apresentada acima, acrescentar:
Na função FILES, as linhas abaixo devem estar sem comentários:
Na função AUTHORIZE, as linhas abaixo devem estar sem comentários:
Na função AUTHENTICATE, as linhas abaixo devem estar sem comentários:
13) O próximo passo será cadastrar um novo usuário para usufruir do sistema de
autenticação PEAP-MS-CHAPv2. Para isso, deve-se acrescentar no final do arquivo
users, a linha que segue abaixo:
Onde:
• marcelo: é o nome de usuário;
• 123: é a senha do usuário.
14) Após, deve-se executar o comando abaixo para criar novos certificados para a
comunicação entre AP e Servidor RADIUS:
15) Após todas estar alterações, deve-se reiniciar o servidor RADIUS. Primeiro de ser
parado o serviço, e após iniciá-lo novamente com os comandos apresentados abaixo:
81
16) A última configuração no servidor é verificar se nas opções de Firewall, o serviço do
RADIUS está liberado. Se não estiver, deve ser liberado, caso contrário o RADIUS
não responderá a requisições de outras máquinas. A seguir segue uma figura ilustrando
esse passo. Para acessar o Firewall, deve-se ir ao Menu Sistema, Administração e
Firewall.
17) Para testar toda a configuração feita até agora, e verificar se o servidor RADIUS está
funcionando corretamente sem a necessidade de um AP instalado, pode-se utilizar o
software para Windows NTRadPing44. Para isso, basta que o computador que vai
executar esse programa esteja cadastrado no arquivo clients.conf. Abaixo segue a tela
do programa com os dados já preenchidos:
44 http://www.mastersoft-group.com/download/
82
18) No arquivo de log, pode-se ver o registro das tentativas de autenticação. A figura
abaixo mostra duas tentativas: uma válida e uma inválida.
19) Por último, será configurado o AP, indicando para ele o endereço IP do servidor
RADIUS, porta e o secret (definido no passo 10). Além disso, deve ser selecionado o
modo WPA/WPA2 com EAP. Abaixo segue uma ilustração dessa tela de configuração
do AP:
ANEXO B - Configuração de uma Estação Windows com Windows XP
1) Abra o Gerenciador de Redes Sem Fio, acesse a rede que foi configurada. Dessa
forma, o seu perfil será adicionado. Após escolher a opção “Alterar configurações
avançadas”. A imagem pode ser vista a abaixo:
2) Na janela seguinte selecione a Guia “Redes Sem Fio”, selecionando a rede adicionada
e clique no botão “Propriedades”, conforme apresentado na figura a baixo:
84
3) Por padrão o Windows XP ao identificar uma rede wireless com 802.1x habilitado,
seleciona como credenciais de autenticação por certificado digital (EAP-TLS), que é
baseado em certificado digital (uma mensagem de que não pode encontrar o
certificado para validar-se na rede deve ser indicado na barra do menu iniciar, próximo
ao relógio do sistema). Porém como a intenção é de utilizar usuário e senha, é
necessário alterar a configuração para que seja solicitado este modelo de autenticação
(EAP-PEAP-MSCHAPv2).
4) Após escolher a opção “Propriedades” na figura acima, na nova janela que se abriu,
selecione a guia “Autenticação”. Na opção “Tipo de EAP”, selecione a opção
“Protected EAP (PEAP)” e, por último, clique no botão “Propriedades” como
apresentado na figura abaixo:
85
5) Na nova janela que irá abrir, desmarque a opção “Validar Certificado do Servidor”, na
opção “Selecionar Método de Autenticação” marque a opção “Senha Segura (EAP-
MSCHAP v2)” e, por fim, marque a opção “Habilitar Reconexão Rápida”, após clique
no botão “Configurar”, como pode se visto na figura abaixo:
86
6) Na última tela desmarque a opção “Usar meu nome e minha senha...” e clique em OK,
como pode ser ver na figura abaixo:
7) Após todos os passos efetuados, aparecerá uma mensagem, na barra do menu iniciar,
próximo ao relógio do sistema, que pode ser vista na figura abaixo. Efetue um clique
em cima desta mensagem.
87
8) Na janela que irá abrir, deve ser digitado o usuário e senha cadastrados no arquivo
users do FreeRadius, como mostra na figura abaixo, após clique em “OK”.
9) Feito isso, já se pode usar a Internet de maneira segura, com uma conexão
criptografada. Na figura abaixo é apresentado o status da conexão com segurança
habilitada, fazendo uso do WPA2.
88
ANEXO C - Configuração de uma Estação Linux
Foi efetuada uma configuração na distribuição Ubuntu 7.04. Para selecionar a rede
wireless, deve-se acessar o gerenciador de redes do Ubuntu, localizado no canto direito
superior da tela (ao lado do relógio). Após deve ser selecionada a rede, como pode ser visto na
figura abaixo.
Após selecionar a rede, devem ser alteradas algumas opções para a configuração da
rede. Basicamente, as informações necessárias para essa configuração seguem as mesmas da
configuração de uma estação Windows (Anexo B), sendo um pouco mais simples. Na figura
abaixo pode ser visualizada a tela de configuração da conexão, já configurada. Uma vez
configurada, deve-se clicar no botão “Conectar”.
90