1

SISTEMA DE SEGURANÇA SEM FIO PARA O POP-PI/RNP

Bolsista: Vinícius Pires de Moura Freire Orientador: Carlos Giovanni Nunes de Carvalho Coodenador: Nathan Franklin Saraiva de Sousa

Teresina Dezembro/2007

2

SUMÁRIO

1.0 RESUMO DO PROJETO......................................................................................................................6

2.0 JUSTIFICATIVA DE EXECUÇÃO DO PROJETO......................................................................................7

3. OBJETIVOS E METAS...........................................................................................................................8

4.0 SISTEMA IMPLANTADO ATERIORMENTE..........................................................................................9

4.1 WEP....................................................................................................................................................9 4.1.1 PROBLEMAS BEM DOCUMENTADOS DO WEP ...........................................................................9

4.2 ACESS POINT LINKSYS WAP55AG .....................................................................................................11 4.3 FERRAMENTAS PARA REDES SEM FIO ..............................................................................................13

4.3.1 KISMET .....................................................................................................................................13 4.3.2 AIRODUMP-NG.........................................................................................................................15 4.3.3 AIRCRACK-NG...........................................................................................................................15 4.3.4 AIREPLAY-NG............................................................................................................................16

5.0 SISTEMAS DE SEGURANÇA .............................................................................................................17

5.1 FERRAMENTAS UTILIZADAS NA SOLUÇÃO ESCOLHIDA ....................................................................17 5.1.1 SISTEMA OPERACIONAL ...........................................................................................................17 5.1.2 IPTABLES ..................................................................................................................................17 5.1.3 WIFIDOG ..................................................................................................................................18 5.1.4 POSTGRESQL ............................................................................................................................19 5.1.5 FREERADIUS .............................................................................................................................19 5.1.6 APACHE ....................................................................................................................................20 5.1.7 PHP...........................................................................................................................................20 5.1.8 PHPPGADMIN ..........................................................................................................................21

6.0 RESULTADOS..................................................................................................................................22

7.0 DIFICULDADES ENCONTRADAS.......................................................................................................24

ANEXOS ...............................................................................................................................................25

ANEXO 1 – TUTORIAL PARA INSTALAÇÃO DO SISTEMA DE SEGURANÇA WIRELESS UTILIZANDO WIFIDOG E FREERADIUS.......................................................................................................................25

INSTALAÇÃO DO SERVIDOR DE BANCO DE DADOS ................................................................................25 PREPARANDO O DEBIAN PARA A INSTALAÇÃO DO WIFIDOG-AUTH ......................................................26 CONFIGURANDO O AUTH SERVER .........................................................................................................27 CONFIGURANDO O POSTGRESQL ..........................................................................................................30 CONTINUAÇÃO DA INSTALAÇÃO DO WIFIDOG-AUTH............................................................................34 INSTALAÇÃO DO WIFIDOG GATEWAY....................................................................................................47

DHCP .................................................................................................................................................51 WIFIDOG-GATEWAY..........................................................................................................................52 AUTENTICAÇAO RADIUS....................................................................................................................56

ANEXO 2 - TUTORIAL PARA CONFIGURAR UM SISTEMA DE ACESSO SEM FIO SEGURO UTILIZANDO WINDOWS SERVER 2003......................................................................................................................59

RESUMO.................................................................................................................................................59 AUTENTICAÇÃO PEAP-MS-CHAP V2 .......................................................................................................60

DC1....................................................................................................................................................62 IAS1 ...................................................................................................................................................76 Wireless AP .......................................................................................................................................82

3

AUTENTICAÇÃO EAP-TLS ............................................................................................................................83 DC1....................................................................................................................................................83 IAS1 ...................................................................................................................................................89 CLIENT1 .............................................................................................................................................92 13. Se as credenciais estiverem corretas, CLIENT1 será conectado à rede sem fio. ......................98

BIBLIOGRAFIA ......................................................................................................................................99

4

ÍNDICE DE FIGURAS Figura 1 - Linksys WAP55AG ....................................................................................... 11

Figura 2 - Kismet............................................................................................................ 14

Figura 3 - Airodump-ng - Capturando pacotes............................................................... 15

Figura 4 - Aircrack-ng - desvendando chave WEP ........................................................ 16

Figura 5 – Wifidog ......................................................................................................... 19

Figura 6 – Apache – Servidor Web ................................................................................ 20

Figura 7 - phpPgAdmin .................................................................................................. 21

Figura 8 - Wifidog-Auth - Primeira tela de instalação ................................................... 28

Figura 9 - Wifidog-Auth - Segunda Tela de instalação.................................................. 29

Figura 10 - phpPgAdmin - Logando pela primeira vez.................................................. 32

Figura 11 - phpPgAdmin - criando usuário .................................................................... 32

Figura 12 - phpPgAdmin - Criando usuário wifidog...................................................... 33

Figura 13 - phpPgAdmin - Criando banco de dados wifidog......................................... 33

Figura 14 - phpPgAdmin - Banco de Dados criado ....................................................... 34

Figura 15 - Wifidog-Auth - Tela 3 ................................................................................. 35

Figura 16 - Wifidog-Auth - Permissões OK................................................................... 36

Figura 17 - Dependencias do Wifidog-Auth .................................................................. 37

Figura 18 - Wifidog-Auth - Configuração de acessp ao banco de dados ....................... 44

Figura 19 - Wifidog-Auth - Tela de configurações de Linguagem ................................ 44

Figura 20 - Criando uma conta de administrador do Portal ........................................... 45

Figura 21 - Acessando o Portal de Autenticação pela Primeira vez............................... 46

Figura 22 - Menu disponível para o administrador do portal ......................................... 46

Figura 23 - Criando a rede PoP-PI no Portal .................................................................. 55

Figura 24 - Adionando novo Node................................................................................. 57

Figura 25 - Página Principal da Rede PoP-PI................................................................. 58

Figura 26 - Disposição da Infra-estrutura do Sistema .................................................... 62

Figura 27 - Editando permissões padrão do Active Directory ....................................... 65

Figura 28 - Assistente para novos escopos..................................................................... 67

Figura 29 - Assistente para novos escopos - Servidor de nomes e de domínio e DNS.. 68

Figura 30 - Modificando as permissões de Administrador para o certificado................ 70

Figura 31 - Adicionando o grupo WirelessUsers para o domínio .................................. 73

Figura 32 - Adicionando usuários no grupo WirelessUsers ........................................... 74

Figura 33 - Adicionando computadores clientes ao grupo WirelessUsers..................... 75

Figura 34 - Certificados (Computador Local) ................................................................ 77

Figura 35 - Adicionando um novo cliente RADIUS ...................................................... 79

Figura 36 - Selecionando grupos .................................................................................... 80

Figura 37 - Propriedades do certificado modelo ............................................................ 85

Figura 38 - Configurando o modelo de certificado ........................................................ 86

Figura 39 - Editor de objeto de diretiva de grupo .......................................................... 87

Figura 40 - Solicitação de certificado automática .......................................................... 88

Figura 41 - Propriedades de Configurações de registro automático............................... 89

Figura 42 - Selecionar provedores EAP ......................................................................... 90

Figura 43 - Editando SmartCard ou outro certificado .................................................... 90

5

Figura 44 - Movendo o Smartcard ou outro certificado para o primeiro da lista de provedores EAP.............................................................................................................. 91

Figura 45 - Escolhendo uma rede sem fio para conectar................................................ 93

Figura 46 - Modificando as propriedades da rede sem fio pop ..................................... 94

Figura 47 - Escolhendo o tipo de EAP para a conexão .................................................. 95

Figura 48 - Ajustando as propriedades do PEAP para a conexão .................................. 96

Figura 49 - Propriedades EAP MSCHAPv2 .................................................................. 96

Figura 50 - Propriedades finais da Conexão................................................................... 97

Figura 51 - Inserindo as credenciais registradas no Active Directory para conectar à Rede Sem Fio ................................................................................................................. 97

6

1.0 RESUMO DO PROJETO

As redes sem fio tornaram-se uma realidade e ao que tudo indica

será o futuro da Internet. Já é possível ter acesso a grande rede de

computadores através de notebooks, palms e celulares em aeroportos, cyber

cafés, no campus da universidade e até mesmo interligar matriz e filial de uma

empresa, sem a presença de cabos.

As redes sem fio têm sido amplamente utilizadas por instituições e

empresas, por disponibilizar uma instalação rápida e simples; flexibilidade,

atendendo a pontos onde cabos não podem chegar; Escalabilidade, pois

assume facilmente diversas topologias de acordo com as necessidades e

apresenta uma manutenção de baixo custo. Porém existem desvantagens em

se optar em utilizar redes Wireless. Além de a implantação ter um custo muito

elevado, devido a equipamentos ainda serem caros, as medidas que garantem

a segurança e privacidade do tráfego de informações é o principal tema em

redes sem fio. Pois os métodos existentes ainda são vulneráveis e propícios a

serem “quebrados”.

Porém os riscos que afetam a integridade e confidencialidade das

informações trocadas em redes Wireless, podem ser minimizados através da

utilização em conjunto dos métodos de segurança existentes para este tipo de

rede.

Portanto, esse trabalho de pesquisa e implementação descreve os

principais conceitos e terminologias de segurança em redes sem fio, bem como

métodos que amenizam as vulnerabilidades e ferramentas que foram

utilizadas, detalhando suas principais funcionalidades. Ao final do trabalho,

encontra-se um tutorial do Sistema de Segurança em Redes sem Fio

implementado para a infra-estrutura de LAN (Local Área Network) no Ponto de

Presença da RNP no Piauí (PoP-PI/RNP), localizado na Fundação de Amparo

à Pesquisa do Estado do Piauí – FAPEPI.

7

2.0 JUSTIFICATIVA DE EXECUÇÃO DO PROJETO

Redes sem fio ou Wireless, que provém do inglês: wire (fio, cabo),

less (sem), é uma rede onde o compartilhamento de informações entre dois ou

mais dispositivos é feita sem a utilização de cabos, ou seja, a transmissão é

feita através de ondas de rádio.

As redes sem fio estão sendo cada vez mais utilizadas para prover

conectividade, seja por oferecer taxas de transmissão comparáveis as redes

guiadas e por disponibilizar acesso pelo ar, podendo desta forma está

acessível à rede sem a necessidade de estar conectado diretamente a um

cabo. Além de ser uma tecnologia relativamente recente, muitas

vulnerabilidades podem ser encontradas e outras ainda serão descobertas

transformando-a em um ambiente potencialmente inseguro.

Nesse contexto, pessoas mal intencionadas exploram as

vulnerabilidades das redes Wireless com uso de ferramentas desenvolvidas

especificamente para esta finalidade, podendo ter acesso à rede e

comprometer os equipamentos e serviços.

Com o intuito de garantir a integridade e confidencialidade das

informações trocadas em dispositivos Wireless, um sistema de segurança em

redes sem fio é de extrema importância para poder detectar e inibir possíveis

acessos não autorizados à rede. Para tal, foram utilizadas técnicas de

criptografia e softwares de autenticação.

8

3. OBJETIVOS E METAS

Este projeto irá analisar as vulnerabilidades das redes Wireless, as

técnicas de ataques e as ferramentas mais utilizadas por pessoas mal

intencionadas para o comprometimento destas redes, tendo como objetivo

apresentar soluções necessárias para que medidas de segurança possam ser

utilizadas.

Portanto o objetivo principal desse trabalho é conhecer as

características das redes sem fio com ênfase em segurança, o que torna

possível a implantação de uma Rede Local sem fio (WLAN) no Ponto de

Presença da RNP no Piauí (PoP-PI/RNP) e o desenvolvimento de um tutorial

com estratégias de segurança para estas redes.

A meta é analisar, planejar e implementar uma rede wireless com

foco em segurança. Garantindo desta forma um ambiente propício e seguro a

troca de informações. Além de construir um tutorial completo sobre redes sem

fio, a fim de disponibilizá-lo às instituições de ensino parceiras da RNP, como

também a outras entidades públicas e privadas interessadas no assunto.

9

4.0 SISTEMA IMPLANTADO ATERIORMENTE

O sitema implantado anteriormente no POP-PI era baseado utilizava

apenas a criptografia WEP (Wired Equivalent Privacy) implementada no Acess

Point Linksys WAP55AG. Nas próximas linhas este protocolo será detalhado,

assim como suas vulnerabilidades e as características deste Ponto de Acesso.

4.1 WEP

WEP é um padrão do IEEE 802.11, ratificado em 1999. Ele foi

desenvolvido na tentativa de inserir segurança no processo de autenticação,

confiabilidade e proteção na comunicação entre dispositivos Wireless. Porém é

inseguro devido à sua arquitetura.

O algoritmo do WEP é simétrico uma vez que usa chaves

compartilhadas. As chaves criptográficas, chamadas de chaves WEP, devem

ser as mesmas no cliente e no access point.

O WEP é baseado em um processo criptográfico RC4. Ele emprega

uma chave secreta de 40 ou 104 bits que é compartilhada entre os clientes e o

access point da rede. Durante a transmissão do pacote um vetor de

inicialização (IV - Initialization Vector) de 24 bits é escolhido randomicamente e

é anexado à chave WEP para formar a chave de 64 ou 128 bits.

4.1.1 PROBLEMAS BEM DOCUMENTADOS DO WEP

Atualmente os access points de muitas redes utilizam uma simples

chave WEP que é compartilhada para todos os clientes. Com isso, a

10

integridade e o sigilo desta chave global são quase impossíveis de serem

gerenciadas.

A chave na realidade não consegue ser mantida em segredo. Como

esta chave deve ser programada em todos os dispositivos autorizados é

praticamente impraticável para redes com muitos clientes. Outro ponto

importante é a mudança desta chave. Caso necessário isso acarretaria a

modificação em todos os clientes.

Como dito anteriormente, qualquer dispositivo subtraído coloca em

risco a chave WEP global o que torna o ambiente potencialmente inseguro.

Entretanto, o maior problema com o WEP é a forma como é

concebido e utilizado. Desde que foi proposto, o algoritmo foi estudado e

inúmeras vulnerabilidades na implementação foram encontradas. A mais

conhecida é relacionada a determinados valores do IV que quando utilizados

podem fazer com que a chave WEP seja facilmente identificadas. Já chaves

com valores do IV arbitrários podem demorar algumas dezenas de minutos a

mais para serem quebradas.

Outro fator decisivo é que apesar de propor a “autenticação” e

privacidade, este algoritmo não provê de forma efetiva a autenticação de

dispositivos. Já que não suporta autenticação mútua, pois o access point não é

autenticado pelo cliente e a autenticação do cliente não consegue distinguir

dois hosts diferentes.

Dadas as vulnerabilidades da criptografia WEP, foi necessário

implementar outro sistema de segurança mais eficiente para o POP-PI.

11

4.2 ACESS POINT LINKSYS WAP55AG

Figura 1 - Linksys WAP55AG

O Acess Point adquirido pelo POP-PI para a implantação da Rede

Sem Fio foi o Dual-Band Wireless A + G Access Point da Linksys. Apesar de

possuir os padrões 802.11 A, B e G, ele deixa a desejar na segurança, pois

suporta apenas a criptografia WEP que, como já visto anteriormente, é fácil de

ser “quebrada” devido às falhas de segurança. Outra configuração de

segurança que pode ser feita no Access Point é Pre-Shared Key + RADIUS,

utilizando um servidor Radius que possui uma chave compartilhada e autentica

os usuários através de EAP-TLS ou PEAP. Esta opção deve apenas ser usada

quando um servidor RADIUS está conectado ao ponto de acesso.

Primeiramente é necessário selecionar o tipo de criptografia, TKIP ou AES.

Logo após, é necessário inserir o Endereço IP do Servidor RADIUS e o número

da porta, juntamente com a chave de autenticação compartilhada pelo ponto de

acesso e o servidor. Por último, pode-se inserir o período de renovação da

chave, que instrui o ponto de acesso a freqüência com que ele deve alterar as

chaves de criptografia. Os protocolos aqui descritos estão bem explicados no

Anexo 2.

É possível relacionar alguns pontos fracos na segurança deste ponto

de acesso:

12

• Não suporta WPA e WPA2: O Wi-Fi Protected Acess (WPA

e WPA2) foram implementados para aumentar o nível de segurança nas

redes sem fio, combatendo as vulnerabilidades da criptografia WEP.

Uma das melhores vantagens sobre o WEP é a implementação do

protocolo TKIP (Temporal Key Integrity Protocol), que troca as chaves

dinamicamente a medida que o sistema é utilizado. Quando isto se

combina com um vetor de inicialização (IV) muito maior, evita os ataques

de recuperação de chave ao qual o WEP está suscetível.

Adicionalmente à autenticação criptografada, o WPA também

melhora a integridade da informação cifrada. Ele implementa o MIC

(Message Integrity Code), também conhecido como “Michael”.

No WPA também foi inserido o EAP (Extensible Autentication

Protocol) – um modelo para autenticação dos usuários, que utilza o

padrão 802.11x e aceita vários métodos de autenticação, incluindo a

possibilidade de utilizar certificados digitais. Ele pode ser usado com

outras tecnologias, como um servidor RADIUS.

• Não suporta OpenWrt: OpenWrt é uma versão de Linux

para dispositivos embarcados como gateways residenciais. O suporte foi

originalmente limitado a série WRT54G Linksys. Os roteadores mais

populares são os da série WRT54G, WL500G e asus. OpenWrt usa,

principalmente, uma interface de linha de comando, mas também

apresenta uma interface GUI opcional baseado na Web. Existem

bastantes sistemas de segurança em redes sem fio para OpenWrt.

13

4.3 FERRAMENTAS PARA REDES SEM FIO

Durante o estudo da vulnerabilidade das redes sem fio, foram

utilizados alguns softwares específicos para as redes sem fio, desde os

programas de monitoramento das mesmas, até programas para a quebra das

chaves.

4.3.1 KISMET

Kismet é um software utilizado para detectar, monitorar e analisar

redes sem fios e seus pacotes. Ele funciona como um farejador (sniffer), pois

captura todos os pacotes da rede sem fio (802.11 a,b,g), sem estar conectado

nela. O kismet é compatível com todas as placas de rede sem fio que suportam

a modalidade de monitoração RFMON (monitor).

Além de funcionar como sniffer, este programa ainda gera dados

relacionados à localização aproximada do dispositivo monitorado. Isto é

realizado através da união das características do Kismet com um GPS. Outro

ponto favorável em relação às outras ferramentas é que automaticamente salva

todas as redes encontradas.

Ele foi utilizado no POP-PI em conjunto com o AirCrack-ng para

testar a vulnerabilidade da solução da rede sem fio que era implementada

(WEP).

14

Figura 2 - Kismet

15

4.3.2 AIRODUMP-NG

O Airodump-ng é uma ferramenta utilizada para a captura de

pacotes que trafegam na rede sem fio e é particularmente adequada para

coletar quadros IVs (vetor de inicialização do WEP) na intenção de usá-las com

o aircrack-ng.

Figura 3 - Airodump-ng - Capturando pacotes

4.3.3 AIRCRACK-NG

Aircrack é um programa de violação de chaves WEP e WPA-PSK

802.11 que pode recuperar chaves depois de capturar pacotes suficientes. Ele

implementa o ataque padrão FMS junto com alguns otimizações de ataques

conhecidas como KoreK, tornando assim o ataque muito mais rápido

comparado a outros programas de violação de WEP. Na verdade, Aircrack é

um conjunto de ferramentas de auditoria de redes sem fio. No POP-PI ele foi

16

utilizado para analisar os pacotes capturados pelo Kismet ou Airodump-ng e,

conseqüentemente, “quebrar” a chave do WEP.

Figura 4 - Aircrack-ng - desvendando chave WEP

4.3.4 AIREPLAY-NG

O Aireplay-ng é usado para injetar pacotes na rede. Sua função

principal é gerar tráfego para uso posterior no aircrack-ng para quebra de

chaves WEP e WPA-PSK.

17

5.0 SISTEMAS DE SEGURANÇA

Durante a fase de implementação do sistema de Segurança do

POP-PI foram realizados diversos testes para testar a eficiência de cada

sistema. Dentre os sistemas de segurança vistos durante o estudo estão:

Chillispot, NoCat, Wifidog (hotspots utilizando Radius), todos utilizando a

plataforma linux e um sistema implementado utilizando Windows Server 2003.

No final deste trabalho foram desenvolvidos tutoriais da instalação destes dois

últimos sistemas.

5.1 FERRAMENTAS UTILIZADAS NA SOLUÇÃO ESCOLHIDA

Nesta seção serão detalhadas as ferramentas utilizadas na solução

escolhida para o PoP-PI. Depois de descrita cada uma delas, será exposta (no

próximo capítulo) suas vantagens em relação à outra solução testada.

5.1.1 SISTEMA OPERACIONAL

O sistema operacional utilizado foi o Debian 4.0 “Etch” r0. Este S.O.

foi escolhido devido ao fato dos servidores do POP-PI já estarem configurados

nesta distribuição e terem sua eficiência comprovada, ao longo de vários anos.

5.1.2 IPTABLES

O Iptables atua como uma ferramenta de segurança, trabalhando

com filtragem de pacotes e é utilizado para criar as regras de Firewall e Nat. O

Iptables pode ser configurado para filtrar e até alterar dados empacotados, com

18

base em diversos critérios, como endereço de origem e destino de pacotes.

Com o Iptables pode-se implementar recursos no Kernel, como a ispenção de

posição de pacotes, aumentando muito a habilidade de um firewall e

consequentemente, protegendo o computador onde o mesmo foi instalado e

configurado.

5.1.3 WIFIDOG

O Wifidog é um projeto Open Source de solução de portal captivo

para aqueles que desejam operar um hotspot aberto ou rede de pontos de

acesso impedindo abuso da conexão com a Internet. O projeto foi iniciado por

Île Sans Fil e está continuamente em produção. Wifidog foi projetado para ter

um opcional controle de acesso centralizado, estatísticas de largura de banda e

conteúdo local específico para cada ponto de acesso. Ele não depende de

janelas utilizando JavaScript, portanto, ele funciona com qualquer plataforma

com um navegador Web, incluindo PDAs e telefones. Ele é desenvolvido em C

para facilitar a incorporar sistemas (foi projetado para o Linksys WRT54G, mas

é executado em qualquer plataforma Linux recente). Uma instalação Típica só

leva 30kb no I386, e uma instalação completa pode ser feita em 10 KB, se

necessário.

O Wifidog é dividido em duas partes: um servidor de autenticação

(Auth Server) codificado em PHP e usando um banco de dados PostgreSQL, e

um gateway Wifidog que se conecta ao Auth-Server utilizando as informaçoes

dadas pelos usuários do hotspot. Toda a administração e lógica estão no

servidor de autenticação e no gateway estão presentes somente as regras de

firewall para permitir ou negar acesso aos usuários.

19

Figura 5 – Wifidog

5.1.4 POSTGRESQL

O PostgreSQL é um SGBD (Sistema Gerenciador de Banco de

Dados) objeto-relacional de código aberto, com mais de 15 anos de

desenvolvimento. É extremamente robusto e confiável, além de ser

extremamente flexível e rico em recursos. Ele é considerado objeto-relacional

por implementar, além das características de um SGBD relacional, algumas

características de orientação a objetos, como herança e tipos personalizados.

A equipe de desenvolvimento do PostgreSQL sempre teve uma grande

preocupação em manter a compatibilidade com os padrões SQL92/SQL99.

5.1.5 FREERADIUS

O FreeRadius é um servidor RADIUS open source. Radius é um

protocolo amplamente empregado para disponibilizar acesso a redes com

autenticação, autorização e contabilização. Ele foi desenvolvido, originalmente

para uso em serviços de acesso discado, mas, pela sua simplicidade, eficiência

e facilidade de implementação, hoje é suportado por servidores de VPN e

acesso a redes sem fio.

RADIUS é uma tecnologia de autenticação, autorização e

contabilidade, usada para validar credenciais, autorizar certas credenciais em

20

um recurso de rede e manter registros de tempo, detalhes da conexão e

duração do acesso, respectivamente.

5.1.6 APACHE

Como o Wifidog autentica os clientes via browser, o Apache2 foi

escolhido para ser o servidor Web do sistema. O Apache vem nas principais

distribuições Linux e é um dos servidor web mais populares.

Figura 6 – Apache – Servidor Web

5.1.7 PHP

PHP é uma linguagem de programação utilizada para desenvolver

páginas dinâmicas da Web, sendo possível a sua mistura com o HTML. PHP é

acrônimo de Hypertext Preprocessor (pré-processador de hipertexto), uma

poderosa linguagem de programação open source, mundialmente utilizada,

principalmente no ambiente web.

No contexto deste trabalho, a instalação do PHP5 foi fundamental

para a realização do mesmo, pois o Wifidog e PhpPgAdmin precisam dele para

funcionar, já que suas páginas são desenvolvidas em PHP.

21

5.1.8 PHPPGADMIN

O phpPgAdmin é um script PHP que facilita várias tarefas de

gerenciamento de um servidor de bancos de dados PostgreSQL, desde a

criação de tabelas, views e execução de sentenças SQL até a criação de

usuários, etc. Para utilizar essa ferramenta, deve-se ter um servidor Apache

com suporte a PHP. A instalação do PHP deve ainda ter sido compilada com

suporte a bases PostgreSQL. Para isso, é necessário ter os pacotes php,

apache e php-pgsql instalados.

Figura 7 - phpPgAdmin

22

6.0 RESULTADOS

Como solução para o PoP-PI foi adotado um sistema de segurança

utilizando as ferramentas descritas no capítulo anterior, um tutorial de como

implementar este sistema está descrito em detalhes no Anexo 1 deste trabalho,

já o Anexo 2, contém um sistema seguro de acesso sem fio utilizando

Windows Server 2003. Cada sistema contém seus prós e contras. Abaixo são

listados os motivos da adoção do Wifidog utilizando FreeRadius no PoP-PI.

Apesar de possuir uma criptografia forte, o sistema implementado no

Windows Server 2003, possui um impasse para funcionar no PoP-PI, pois nele,

para que um Notebook, por exemplo, conecte na rede sem fio pela primeira

vez, deve obrigatoriamente logar no domínio para registrar-se no Active

Directory, e para isso ele precisa utilizar a rede cabeada do PoP, perdendo,

inicialmente a idéia de mobilidade. Como o PoP deseja disponibilizar acesso à

Internet aos visitantes, dando-lhes um login e senha, fica de mais fácil acesso

utilizar o Portal Wifidog para a autenticação dos usuários com criptografia via

radius.

Dadas as circunstancias descritas, o acesso a partir de PDA’s no

sistema do Windows Server 2003, fica bastante difícil, pois é complicado

conectar um PDA em uma rede cabeada para logá-lo no Active Directory. Esta

solução só seria viável a uma empresa que possui vários desktops e notebooks

compostos apenas com Windows XP SP 2, o que não é o caso do PoP-PI. Já o

Wifidog funciona com qualquer plataforma com um navegador Web, incluindo

PDA’s e telefones.

Uma vantagem do Wifidog, é que ele pode ser instalado nos

servidores já em funcionamento no PoP-PI, pois os mesmos utilizam de um

Sistema Operacional compatível, o Debian. Não necessitando, então, a compra

de novos servidores para estas funções específicas. Além disso, o PoP-PI não

possui licença do Windows Server 2003, o que o impossibilita de colocá-lo em

funcionamento por mais de trinta dias. Além de executar em um Sistema

23

Operacional Open Source, o Wifidog e o FreeRadius não necessitam de

pagamentos de taxas para o seu funcionamento.

Através do Wifidog, pode-se saber as estatísticas de acesso de cada

usuário, desde seu tempo de logado até seu consumo de banda. Outra fato

importante é que o portal de autenticação pode ser personalizado com um

Tema para o PoP-PI.

24

7.0 DIFICULDADES ENCONTRADAS

Durante a execução do trabalho foram encontradas diversas

dificuldades. A mais importante delas é a pouca quantidade de material

existente sobre os tipos de soluções de segurança em Redes Sem Fio. A

documentação para o Wifidog, por exemplo, não existe em português, as

línguas mais comuns são Francês e Inglês, mas nenhuma documentação é

detalhada o suficiente para tornar fácil a implantação deste sistema. Para suprir

esta dificuldade, foi elaborado um tutorial (presente no Anexo 1 deste trabalho)

para ser compartilhado com as Instituições Públicas de Ensino. Além disso,

este tutorial ficará disponível na Internet para aqueles que sentem a mesma

dificuldade.

25

ANEXOS

ANEXO 1 – TUTORIAL PARA INSTALAÇÃO DO SISTEMA DE

SEGURANÇA WIRELESS UTILIZANDO WIFIDOG E

FREERADIUS

Para a implementação dessa solução, foram utilizados os seguintes

itens de hardware:

1. Um computador IBM 1.5 Ghz, 256Mb de RAM com Debian 4.0 r.0

Etch e 2 placas de rede

2. 1 Access Point Linksys WAP55AG

A primeira coisa a ser feita é a atualização da lista de pacotes do

apt-get, para permitir que ele busque os pacotes mais atuais, quando

solicitado. O comando para atualizá-lo é:

apt-get update

O servidor de Autenticação (Wifidog Auth Server) requer o Apache e

PHP para funcionar corretamente. Pode-se instalá-los com o seguinte

comando:

apt-get install apache2 php5

INSTALAÇÃO DO SERVIDOR DE BANCO DE DADOS

A instalação de um servidor de banco de dados também é

necessária. O PostGreSQL foi selecionado para tal função. Sua versão 8.1 já

está disponível, porém foi escolhida a versão 7.4 para a implementação deste

trabalho.

26

apt-get install postgresql-7.4

Para configurar o PostgreSQL é necessário entrar editar o arquivo

postgresql.conf.

nano /etc/postgresql/7.4/main/postgresql.conf

Para habilitar conexões TCP/IP, deve-se descomentar a linha:

#tcpip_socket = false

E mudar para:

tcpip_socket = true

PREPARANDO O DEBIAN PARA A INSTALAÇÃO DO WIFIDOG-AUTH

Para instalar o Auth Server, é necessário instalar alguns pacotes:

apt-get install xml-core gettext mcrypt libapache2-mod-php5 php5-cgi

apt-get install php5-mcrypt php5-mhash php5-pgsql php-pear php5-xmlrpc

php5-curl

Para baixar a ultima versão do Wifidog-Auth é necessário,

primeiramente, instalar o Subversion:

apt-get install subversion

Já com o Subversion instalado, fica fácil baixar o Wifidog-Auth:

svn checkout https://dev.wifidog.org/svn/trunk/wifidog-auth

27

A pasta baixada dever ser movida para /var/www/ e logo após,

mudar o document root do Apache, para que quando a máquina for acessada

por um navegador, ao invés de ele abrir a página de teste do Apache , ele

passar a executar o Wifidog-Auth.

mv wifidog-auth/ /var/www/

Configuração do Apache2:

nano /etc/apache2/sites-available/default

E trocar a linha:

DocumentRoot /var/www/

Para:

DocumentRoot /var/www/wifidog-auth/wifidog

A linha que começa com RedirectMatch deve ser comentada, ela

fica por volta da linha 17.

Agora o Apache deve ser reiniciado:

/etc/init.d/apache2 restart

CONFIGURANDO O AUTH SERVER

Para instalar o Auth Server do próprio servidor, deve-se ir no

navegador web e digitar http://localhost/install.php.

Para instalar remotamente, é necessário instalar o servidor ssh,

através do comando:

28

apt-get install openssh-server less

Logo após, é necessário ir para http://dominio-do-auth-

server/install.php

Agora é só seguir as instruções da página, mas é ideal continuar a

acompanhar este tutorial, pois ele está mais bem detalhado. A Figura 8 mostra

a tela inicial acessada por install.php.

Figura 8 - Wifidog-Auth - Primeira tela de instalação

Para continuar a instalação, é necessário entrar com uma senha que

se encontra no arquivo /tmp/dog_cookie.txt. Esta é uma medida de segurança

adotada, caso alguém queira acessar o arquivo install.php. O campo username

deverá permanecer vazio, somente a senha será preenchida.

29

Figura 9 - Wifidog-Auth - Segunda Tela de instalação

Agora é necessário criar um usuário wifidog no PostgreeSql Para

ficar mais fácil a manipulação do banco de dados é interessante a instalação

do PhpPgAdmin. O download poderá ser feito em

http://phppgadmin.sourceforge.net.

Depois de concluído o download, é necessário descompactar o

arquivo e mover a pasta gerada com o nome de phpPgAdmin para

/var/www/wifidog-auth/wifidog, local onde foi definido que as páginas html do

servidor apache ficam armazenadas.

É necessário instalar o php5-pgsql, pois ele é um módulo das

funções em php que acessam o pgsql, essas funções são utilizadas pelo

phpPgAdmin

apt-get install php5-pgsql

Para acessar deve-se digitar no navegador o seu endereço:

http://localhost/phpPgAdmin

30

CONFIGURANDO O POSTGRESQL

Anteriormente o PostgreSql foi configurado para aceitar conexões

TCP/IP, agora a questão é configurá-lo para usar o método MD5 para

autenticações de clientes. Os arquivos de configuração do PostgreSQL estão

armazenados no diretório /etc/postgresql/7.4/main.

Por padrão, as credenciais de usuário não são definidas para

autenticação de cliente por MD5. Então, primeiro é necessário configurar o

servidor PostgreSQL para usar a autenticação de clientes por confiança. Para

isso, deve-se conectar a base de dados, configurar a senha e reverter a

configuração para a autenticação de clientes por MD5. Para habilitar a

autenticação de clientes por confiança, edita-se o arquivo

/etc/postgresql/7.4/main/pg_hba.conf

Todas as linhas existentes que usem a autenticação de clientes por

ident e MD5 devem ser comentadas, logo após é só adicionar a seguinte linha:

local all postgres trust sameuser

Reiniciando o servidor de banco de dados:

/etc/init.d/postgresql-7.4 restart

Assim que o servidor PostgreSQL for reiniciado com sucesso, é

essencial rodar o seguinte comando em um prompt de terminal para se

conectar ao banco de dados padrão de exemplo do PostgreSQL:

psql -U postgres -d template1

O comando acima conecta ao banco de dados template1 do

PostgreSQL como usuário postgres (Estes são usuários e bancos padrões).

Assim que conectar ao servidor PostgreSQL, aparecerá o prompt SQL. É

31

necessário executar os seguintes comandos SQL no prompt do psql para

configurar a senha para o usuário postgres.

template1=# ALTER USER postgres WITH ENCRYPTED PASSWORD

'senhaasercolocada';

Depois de configurar a senha, o arquivo

/etc/postgresql/7.4/main/pg_hba.conf deve ser editado para usar a autenticação

MD5. Deve-se comentar a linha confiança adicionada recentemente e adicionar

as seguintes linhas:

local all postgres md5 sameuser

host all all 127.0.0.1 255.255.255.255 trust

O PostgreSQL deve ser reiniciado.

Para que o PhpPgAdmin possa conectar no banco de dados, é

necessário fazer algumas modificações em suas configurações. O arquivo

/var/www/wifidog-auth/wifidog/phpPgAdmin/conf/config.inc.php deve ser

editado da seguinte forma:

$conf['servers'][0]['host'] = '';

deve ser alterado para:

$conf['servers'][0]['host'] = 'localhost';

E mudar de:

$conf['extra_login_security'] = true;

Para

$conf['extra_login_security'] = false;

32

Agora já é possível logar no phpPgAdmin com o usuário postgres e

a senha inserida nos passos anteriores.

Figura 10 - phpPgAdmin - Logando pela primeira vez

Deve-se clicar em criar usuário:

Figura 11 - phpPgAdmin - criando usuário

33

Figura 12 - phpPgAdmin - Criando usuário wifidog

E preencher os campos de acordo com o descrito abaixo:

Usuário: wifidog

Senha: wifidogtest

Seleciona-se Criar DB.

Depois de criado o usuário, deve-se logar no phpPgAdmin com o

usuário wifidog e criar o banco de dados wifidog, conforme Figura 13.

Figura 13 - phpPgAdmin - Criando banco de dados wifidog

34

Figura 14 - phpPgAdmin - Banco de Dados criado

CONTINUAÇÃO DA INSTALAÇÃO DO WIFIDOG-AUTH

Continuando a instalação do Wifidog, a próxima tela (Figura 15) é a

de verificações de permissões. Só é possível continuar a instalação depois que

nos campos Owner e Writable estiverem preenchidos com root e YES,

respectivamente.

35

Figura 15 - Wifidog-Auth - Tela 3

O portal de instalação gerou os comandos listados na Figura 15 para

executar e ficar tudo funcionando com relação às permissões. É necessário

copiar os comandos gerados e colá-los no terminal para serem executados.

Depois de executar todos os comandos, clica-se em refresh para atualizar os

dados e a tela ficará como na Figura 16.

36

Figura 16 - Wifidog-Auth - Permissões OK

Clica-se no botão Next.

A tela exibida agora é a tela de instalação de pacotes necessários

para acrescentar recursos ao Wifidog-Auth. Ela mostra o componente

necessário, o seu tipo, o status (se está instalado ou não) e uma breve

descrição, além de algumas sugestões de como instalar cada um. A Figura 17

representa esta tela.

37

Figura 17 - Dependencias do Wifidog-Auth

O portal dá as dicas para instalar as dependências, por exemplo, no

mcrypt, que é necessário ser instalado para quem quer usar autenticação

Radius, ele dá a seguinte dica:

“Para instalar pacotes de extensão php, é necessário ver pacotes

com nomes similares no gerenciador de pacotes da distribuição utilizada”.

Neste caso, utilizando o Debian, é possível pesquisar os pacotes do apt-get

através do comando apt-cache search “nomedopacote”.

O portal também dá a dica de utilizar o comando:

sudo apt-get install php5-mcrypt

Após instalar uma extensão php é necessário reiniciar o Apache. As

instruções do portal do wifidog devem ser seguidas para instalar os pacotes

necessários para a personalização do portal.

38

A autenticação Radius será usada nesta solução, logo, o freeradius

e as dependências relacionadas à autenticação para o portal deverão ser

instaladas. Elas são: mcrypt, mhash, xmlrpc, radius, Auth_RADIUS e

Crypt_CHAP. Os comandos para instalar estas dependências serão listadas a

seguir:

Freeradius:

apt-get install freeradius

Mcrypt:

apt-get install php5-mcrypt

Xmlrpc:

apt-get install php5-xmlrpc

Radius (peclStandard): Para instalar o Radius-1.2.5 é necessários instalar

antes o php5-dev através do comando

apt-get install php5-dev

Após instalar o pacote, pode-se instalar o Radius (peclStandard) através do

comando:

pecl install radius

Ao final da instalação é dado o aviso de que é necessário adicionar

“extension=radius.so” em php.ini localizado em /etc/php5/apache2/php.ini

/etc/init.d/apache2 restart

Auth_RADIUS: Deve-se clicar no link Auth_RADIUS correspondente à coluna

“Component” para ser encaminhado ao website onde será possível fazer o

39

download do pacote. Logo após deve-se renomear a pasta em que se encontra

o arquivo RADIUS.php para Auth e copiá-la para /var/www/wifidog-auth/wifidog

ou para /usr/share/php.

cp -R Auth /usr/share/php

Para instalar o Crypt pode-se proceder da mesma maneira do

Auth_Radius, como está descrito na coluna “Information”. Ou apenas baixando

o arquivo do site (link na coluna “Component”) e utilizar o comando:

pear install Crypt_CHAP-1.0.1.tgz

onde Crypt_CHAP-1.0.1.tgz é o nome do arquivo baixado do site.

Para os demais pacotes pearStandard instala-se da mesma

maneira.

Algumas outras dependências:

apt-get install php-pear

pear install XML_RPC

cd /tmp

wget http://ufpr.dl.sourceforge.net/sourceforge/phlickr/Phlickr-0.2.7.tgz

Para instalar é só ir diretamente até a página do mesmo:

http://drewish.com/projects/phlickr/ e fazer o download.

Antes de instalar o Phlicker, é necessário instalar o php5-curl

apt-get install php5-curl

pear install Phlickr-0.2.7.tgz

rm Phlickr-0.2.7.tgz

40

Abaixo se encontra toda a lista de Dependências do Wifidog-Auth.

Component

Click for the

component's website

Type Status Information

mbstring phpExtension OK Description: Required for core auth-server and RSS support

session phpExtension OK Description: Required for core auth-server

pgsql phpExtension OK Description: Required for auth-server to connect to

Postgresql database

Smarty localLib OK Description: Required for all parts of wifidog

simplepie localLib OK

Description: SimplePie is a dependency that provides an

RSS parser in PHP. It is required for RssPressReview. It is is

recommended to install it, if you do not, RSS feed options will

be disabled.

jpgraph localLib OK

Description: JpGraph is a Object-Oriented Graph creating

library for PHP. JpGraph is not currently used by Wifidog (it

will be use for statistic graphs in a later version). You can

skip this installation if your not a developper.

feedpressreview localLib OK

Description: Feed Press Review allows your athentication

server to produce RSS Feeds. It is recommended that it is

installed. If it is not installed, the RSS feed options will be

disabled.

gettext phpExtension OK Description: Almost essential: Without gettext, the auth-

server will still work, but you will loose internationalization

dom phpExtension OK Description: Required to export the list of HotSpots as a RSS

feed and for the geocoders

libxml phpExtension OK Description: Required to export the list of HotSpots as a RSS

feed and for the geocoders

mcrypt phpExtension OK Description: Required by the optional Radius

Authenticator

mhash phpExtension OK Description: Required by the optional Radius Authenticator

xmlrpc phpExtension OK Description: Required by the optional Radius Authenticator

ldap phpExtension OK Description: Required by the optional LDAP Authenticator

xml phpExtension OK Description: Required for RSS support

curl phpExtension OK Description: Allows faster RSS support and required if you

want to use Phlickr

gd phpExtension OK Description: Required if you want to generate graphical

statistics

xsl phpExtension OK Description: Required if you want to generate a node list

using XSLT stylesheets

41

radius peclStandard OK Description: Required by the optional Radius Authenticator

FCKeditor localLib Warning

Description: Required by content type FCKEditor (WYSIWYG

HTML)

Detection message: File /var/www/wifidog-

auth/wifidog/lib/FCKeditor/fckeditor.php not found

To install: Sorry, i couldn't find the source for FCKeditor in

installSourceUrl

FPDF localLib Warning

Description: Required if you want to be able to export the

node list as a PDF file

Detection message: File /var/www/wifidog-

auth/wifidog/lib/fpdf/fpdf.php not found

To install: Sorry, i couldn't find the source for FPDF in

installSourceUrl

php-openid localLib OK Description: Required for OpenID support (both as a

consumer and Identity provider)

gmp phpExtension Warning

Description: Required for good OpenID support (otherwise,

BCmath will be used, which is MUCH slower)

To install: To install this standard PHP extension, look for a

package with a similar name in your distribution's package

manager. Ex: For Debian based distributions, you may try

'sudo apt-get install php5-gmp'

BCmath phpExtension OK Description: Required for OpenID support, but ONLY if GMP

above is not available

Auth_RADIUS pearStandard Warning

Description: Required by the optional Radius Authenticator

Detection message: File Auth/RADIUS.php not found in

/var/www/wifidog-

auth/wifidog:.:/usr/share/php:/usr/share/pear

To install: Sorry, I don't know how to install a pearStandard

extension

Crypt_CHAP pearStandard Warning

Description: Required by the optional Radius Authenticator

Detection message: File Crypt/CHAP.php not found in

/var/www/wifidog-

auth/wifidog:.:/usr/share/php:/usr/share/pear

To install: Sorry, I don't know how to install a pearStandard

extension

Cache pearStandard Warning

Description: Required if you want to turn on the experimental

USE_CACHE_LITE in config.php

Detection message: File Cache/Lite.php not found in

/var/www/wifidog-

auth/wifidog:.:/usr/share/php:/usr/share/pear

To install: Sorry, I don't know how to install a pearStandard

extension

HTML_Safe pearStandard Warning Description: Optional for content type Langstring (and

subtypes) to better strip out dangerous HTML

42

Detection message: File HTML/Safe.php not found in

/var/www/wifidog-

auth/wifidog:.:/usr/share/php:/usr/share/pear

To install: Sorry, I don't know how to install a pearStandard

extension

Image_Graph pearStandard Warning

Description: Required if you want to generate graphical

statistics

Detection message: File Image/Graph.php not found in

/var/www/wifidog-

auth/wifidog:.:/usr/share/php:/usr/share/pear

To install: Sorry, I don't know how to install a pearStandard

extension

Image_Canva

s pearStandard Warning

Description: Required if you want to generate graphical

statistics

Detection message: File Image/Canvas.php not found in

/var/www/wifidog-

auth/wifidog:.:/usr/share/php:/usr/share/pear

To install: Sorry, I don't know how to install a pearStandard

extension

Image_Color pearStandard Warning

Description: Required if you want to generate graphical

statistics

Detection message: File Image/Color.php not found in

/var/www/wifidog-

auth/wifidog:.:/usr/share/php:/usr/share/pear

To install: Sorry, I don't know how to install a pearStandard

extension

Phlickr pearCustom OK Description: Required by content type FlickrPhotostream

43

Pacotes alternativos:

• Ldap:

apt-get install php5-ldap

• Gd:

apt-get install php5-gd

• Xsl:

apt-get install php5-xsl

• Cache:

Baixa-se do link disponível nas dependências e usa-se o comando:

pear install Cache-1.5.5RC4.tgz

• FCKeditor:

Baixa-se o arquivo compactado, descompacta-se e copia a pasta

FCKeditor contendo o arquivo fckeditor.php para a pasta lib do Wifidog-

Auth.

cp -R FCKeditor /var/www/wifidog-auth/wifidog/lib/

• FPDP:

Baixa-se o arquivo compactado, descompacta-se e copia a pasta fpdf

contendo o arquivo fpdf.php para a pasta lib do Wifidog-Auth.

cp -R fpdf /var/www/wifidog-auth/wifidog/lib/

HTML_Safel: Para instalá-lo é necessário instalar antes o pacote

XML_HTMLSax3, disponível no site http://pear.php.net/package

44

Image_Graph: o pacote Image_Canvas deve ser instalado antes do

Image_Graph, ao contrário não será possível a instalação.

Se no futuro for preciso instalar mais um pacote é possível voltar

para essa tela de dependências através do portal.

Próxima etapa: clicar em Refresh e logo após em Next.

A próxima tela é a configuração de acesso ao banco de dados. Esta

etapa já foi feita nos passos anteriores. Logo, basta clicar em Next. O resultado

tem que ser “Sucesso na Conexão.

Figura 18 - Wifidog-Auth - Configuração de acessp ao banco de dados

Figura 19 - Wifidog-Auth - Tela de configurações de Linguagem

45

A Figura 19 representa a tela de configuração da Linguagem do

portal de autenticação. Neste caso a preferência foi por Português do Brasil

(Brazillian Portuguese). Antes de clicar em Next, é necessário instalar o suporte

a multi-locales.

apt-get install locales-all

Figura 20 - Criando uma conta de administrador do Portal

Após configurar a linguagem do portal, é necessário criar uma conta

de administrador para o mesmo. A Figura 20 representa a criação desta conta.

Depois de completar todos estes passos, já é necessário acessar o

portal. Para isto basta digitar no navegador o endereço IP do servidor de

autenticação, ou se estiver acessando dele, basta digitar localhost. A Figura

21 representa bem o primeiro acesso ao portal de autenticação do Wifidog.

46

Figura 21 - Acessando o Portal de Autenticação pela Primeira vez

Para conectar ao portal pela primeira vez, basta clicar em Conectar

e digitar o nome de usuário (admin) e senha criados. Uma vez conectado, o

administrador do portal poderá configurar todo o processo de autenticação do

portal e suas características extras. Algumas delas serão detalhadas no

decorrer do tutorial.

Figura 22 - Menu disponível para o administrador do portal

47

O portal foi instalado corretamente, agora deve-se copiar o arquivo

install.php para uma pasta que não seja de acesso público. Se o arquivo

continuar no local onde está, o sistema se tornará vulnerável a ataques.

cd /var/www/wifidog-auth/wifidog

mv install.php ../install.php

INSTALAÇÃO DO WIFIDOG GATEWAY

Antes de colocar o Wifidog Gateway para funcionar, é necessário

certificar-se de ter um Proxy usando iptables. No próximo quadro de comandos,

segue a descrição do arquivo proxy.sh. É importante se certificar de que após

executado o script (proxy.sh) seja possível conectar à Internet por uma

interface sem fio ou por outro computador da rede cabeada, colocando no

mesmo um IP da mesma faixa e com o gateway sendo a máquina que o Proxy

foi executado. Não pode-se esquecer de colocar também o endereço de DNS

na máquina que fará acesso à internet. Somente depois que seja possível

navegar, pode-se concluir que o Proxy está correto e que já é possível seguir

com a instalação do Wifidog Gateway. Apesar do script está em Inglês, é fácil

compreendê-lo e ajustar os parâmetros. Eles devem ser modificados com

atenção, pois cada caso é um caso.

#!/bin/sh

# IPTABLES PROXY script for the Linux 2.4 kernel.

# This script is a derivitive of the script presented in

# the IP Masquerade HOWTO page at:

# www.tldp.org/HOWTO/IP-Masquerade-HOWTO/firewall-examples.html

# It was simplified to coincide with the configuration of

# the sample system presented in the Guides section of

# www.aboutdebian.com

#

48

# This script is presented as an example for testing ONLY

# and should not be used on a production proxy server.

#

# PLEASE SET THE USER VARIABLES

# IN SECTIONS A AND B OR C

echo -e "\n\nSETTING UP IPTABLES PROXY..."

# === SECTION A

# ----------- FOR EVERYONE

# SET THE INTERFACE DESIGNATION FOR THE NIC CONNECTED TO YOUR INTERNAL

NETWORK

# The default value below is for "eth0". This value

# could also be "eth1" if you have TWO NICs in your system.

# You can use the ifconfig command to list the interfaces

# on your system. The internal interface will likely have

# have an address that is in one of the private IP address

# ranges.

# Note that this is an interface DESIGNATION - not

# the IP address of the interface.

# Enter the internal interface's designation for the

# INTIF variable:

INTIF="eth0"

# SET THE INTERFACE DESIGNATION FOR YOUR "EXTERNAL" (INTERNET) CONNECTION

# The default value below is "ppp0" which is appropriate

# for a MODEM connection.

# If you have two NICs in your system change this value

# to "eth0" or "eth1" (whichever is opposite of the value

# set for INTIF above). This would be the NIC connected

# to your cable or DSL modem (WITHOUT a cable/DSL router).

# Note that this is an interface DESIGNATION - not

# the IP address of the interface.

49

# Enter the external interface's designation for the

# EXTIF variable:

EXTIF="eth1"

# ! ! ! ! ! Use ONLY Section B *OR* Section C depending on

# ! ! ! ! the type of Internet connection you have.

# === SECTION B

# ----------- FOR THOSE WITH STATIC PUBLIC IP ADDRESSES

# SET YOUR EXTERNAL IP ADDRESS

# If you specified a NIC (i.e. "eth0" or "eth1" for

# the external interface (EXTIF) variable above,

# AND if that external NIC is configured with a

# static, public IP address (assigned by your ISP),

# UNCOMMENT the following EXTIP line and enter the

# IP address for the EXTIP variable:

EXTIP="200.137.160.139"

# === SECTION C

# ---------- DIAL-UP MODEM, AND RESIDENTIAL CABLE-MODEM/DSL (Dynamic IP) USERS

# SET YOUR EXTERNAL INTERFACE FOR DYNAMIC IP ADDRESSING

# If you get your IP address dynamically from SLIP, PPP,

# BOOTP, or DHCP, UNCOMMENT the command below.

# (No values have to be entered.)

# Note that if you are uncommenting these lines then

# the EXTIP line in Section B must be commented out.

#EXTIP="`/sbin/ifconfig ppp0 | grep 'inet addr' | awk '{print $2}' | sed -e 's/.*://'`"

50

# -------- No more variable setting beyond this point --------

echo "Loading required stateful/NAT kernel modules..."

/sbin/depmod -a

/sbin/modprobe ip_tables

/sbin/modprobe ip_conntrack

/sbin/modprobe ip_conntrack_ftp

/sbin/modprobe ip_conntrack_irc

/sbin/modprobe iptable_nat

/sbin/modprobe ip_nat_ftp

/sbin/modprobe ip_nat_irc

echo " Enabling IP forwarding..."

echo "1" > /proc/sys/net/ipv4/ip_forward

echo "1" > /proc/sys/net/ipv4/ip_dynaddr

echo " External interface: $EXTIF"

echo " External interface IP address is: $EXTIP"

echo " Loading proxy server rules..."

# Clearing any existing rules and setting default policy

iptables -P INPUT ACCEPT

iptables -F INPUT

iptables -P OUTPUT ACCEPT

iptables -F OUTPUT

iptables -P FORWARD DROP

iptables -F FORWARD

iptables -t nat -F

# FWD: Allow all connections OUT and only existing and related ones IN

iptables -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT

51

# Enabling SNAT (MASQUERADE) functionality on $EXTIF

iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE

echo -e " Proxy server rule loading complete\n\n"

# Chris's rule to stop port 22 traffic

iptables -A INPUT -p tcp -i $INTIF --dport 22 -j DROP

Agora é necessário copiar o arquivo proxy.sh para

/etc/init.d/proxy.sh, mudar sua permissão e fazer com que ele seja executado

sempre que o Debian reiniciar.

DHCP

O Debian utilizado para a instalação do Wifidog Gateway, deve ser

também um servidor DHCP. Para isto, é necessário instalar o DHCPD e

configurá-lo. O comando para instalá-lo é:

apt-get install dhcp

Quando o DHCP estiver instalado, deve-se pará-lo para mudar suas

configurações:

/etc/init.d/dhcp stop

É necessário selecionar a placa de rede que o servidor DHCP vai

utilizar e selecionar um intervalo de endereços IP e outras informações da rede

para serem dadas aos PC’s clientes. para serem dados aos clientes.

Para alterar a interface de rede que o servidor DHCP irá operar, é

preciso editar o arquivo /etc/init.d/dhcp, a variável para editar chama-se

INTERFACES (o valor padrão pode estar correto):

52

# Defaults

INTERFACES="eth0"

A interface configurada em /etc/default/dhcp deve receber o mesmo

valor em /etc/init.d/dhcp, ela deve ser a interface correspondente à Intranet.

Para mudar as configurações do servidor DHCP é necessário editar

o arquivo /etc/dhcpd.conf. Após o quadro, está sendo explicado o que

significa cada valor nestas configurações.

subnet 10.10.10.0 netmask 255.255.255.0 {

range 10.10.10.10 10.10.10.30;

option domain-name-servers 200.137.160.130;

option routers 10.10.10.159;

option subnet-mask 255.255.255.0;

option broadcast-address 10.10.10.255;

default-lease-time 600;

max-lease-time 7200;

}

WIFIDOG-GATEWAY

Resolvida a questão do Proxy e o dhcp tendo um perfeito

funcionamento, pode-se instalar o Wifidog Gateway. Para isso basta navegar

até a pasta /usr/src/ e gravar uma cópia do Wifidog-gateway, disponível em

http://sourceforge.net/project/. A cópia vem compactada, para descompactar e

instalar, executa-se os seguintes comandos:

gunzip wifidog-1.1.4.tar.gz

tar -xvf wifidog-1.1.4.tar.

53

./configure

make

make install

Depois de instalado, é necessário alterar o arquivo wifidog.conf.

Nele encontram-se vários parâmetros que precisam ser preenchidos para que

o Wifidog-Gateway seja configurado corretamente. Os principais parâmetros

são listados abaixo:

� GatewayID: Geralmente recebe o endereço MAC do Ponto de

Acesso. Além de ser configurado no wifidog.conf, deve existir um node

configurado no portal de autenticação com este mesmo GatewayID. Este

identificador irá identificar o hotspot.

� ExternalInterface: É a interface externa, ou seja, a que está

conectada à internet e isolada da rede Interna.

� GatewayInterface: É o endereço de IP do gateway.

� AuthServer: Configura o Servidor de Autenticação. No campo

Hostname, deve ficar o endereço IP do Wifigog-Auth. E no campo Path,

deve ser colocada a pasta onde o Auth-Server está localizado, com

relação o DocumentRoot do Apache.

� CheckInterval: É o intervalo em segundos que o Wifidog irá

verificar se o cliente ainda está disponível e atualizará o Serviço de

autenticação central com estatísticas de cliente. Com muitos clientes e

pontos de acesso pode-se gerar um uma quantidade razoável de carga

para o auth-server. Aumentar CheckInterval para um valor como 120, ou

180 segundos deve ser razoável. O padrão é 60 segundos.

� ClientTimeout: Se após (ClientTimeout * CheckInterval)

segundos o cliente não deu sinal de resposta, ele será deslogado. Com

54

CheckInterval definido como 60 segundos, isso equivale a 5 minutos. Se

você tiver alterado CheckInterval para um maior tempo limite (como 120

segundos) talvez deva reduzir o ClientTimeout para algo como 2 ou 3.

� FirewallRuleSet: Regras de Firewall para os usuários. Eles são

divididos em:

■ FirewallRuleSet global: Usado para aplicar regras de

firewall para todos os usuários.

� Exemplo: FirewallRule allow tcp port 80 to

200.137.160.130 (permite acesso ao site da FAPEPI)

■ FirewallRuleSet validating-users: Utilizado para aplicar

regras para usuários que estão se cadastrando por e-mail. Este

tipo de usuário não será utilizado no PoP-PI.

■ FirewallRuleSet known-users: Regras aplicadas a

usuários conhecidos, ou seja, aqueles cadastrados no sistemas e

logados no site.

� Exemplo: FirewallRule allow to 0.0.0.0/0

■ FirewallRuleSet unknown-users: Regras aplicadas à

usuários não conhecidos, ou seja, aqueles que não estão logados

no hostpot.

� Exemplo:

FirewallRuleSet unknown-users {

FirewallRule allow udp port 53

FirewallRule allow tcp port 53

FirewallRule allow udp port 67

55

FirewallRule allow tcp port 67

}

■ FirewallRuleSet locked-users: Regras aplicadas somente

à usuário bloqueados no sistema.

O arquivo wifidog.conf deve ser movido para

/usr/local/etc/wifidog.conf.

Agora deve-se ir até o portal de autenticação, logar-se e clicar em

Administração de Rede e editá-la. Como mostra a figura.

Figura 23 - Criando a rede PoP-PI no Portal

56

AUTENTICAÇAO RADIUS

A parte mais importante quando se cria a rede é Nework

Authentication, pois é nela que é configurada a autenticação da Rede. Ela

pode ser sem criptografia (local), utilizando LDap ou utilizando Radius (este foi

o adotado pelo PoP-PI).

Para configurar a autenticação via RADIUS, deve-se primeiramente

configurar o freeradius.No arquivo /etc/freeradius/clients.conf ,deve-se

adicionar um cliente com o ip do servidor. Ex:

# Definicao do cliente 10.10.10.159

client 10.10.10.159 {

secret = testing123 #segredo do radius

shortname = hotspot #nome da máquina

nastype = other

}

No arquivo /etc/freeradius/users, deve-se adicionar um usuário (o

admin) com os mesmos valores configurados no wifidog.

Para testar se está funcionando basta utilizar o comando radtest,

que possui os seguintes parâmetros:

radtest usuario senha servidor:porta portaNas segredoradius

Onde:

usuário, senha - login do usuário e senha;

servidor - endereço ip ou FQDN do servidor radius;

portaauth - porta no SERVIDOR onde o serviço radius atende solicitações de

autenticação;

57

portaNas - porta do NAS, pode ser uma porta eletrônica (número do modem)

ou virtual, apenas para controle. Para testes, coloca-se qualquer valor

numérico.

segredoradius - quando faz uma solicitação de autenticação, o endereço ip tem

que estar cadastrado no arquivo clients.conf do servidor num par de

IP/segredo. O IP será descoberto pelo servidor através do parâmetro NAS-IP-

Address, o segredo você tem que ser informado neste parâmetro.

Voltando à criação da Rede PoP-PI no portal, em Network

Authenticator class, seleciona-se AuthenticatorRadius. Qualquer dúvida nos

parâmetros, é só ver quais os parâmetros do arquivo

AuthenticatorRadius.php que disponível no wifidog-auth. No caso do PoP-PI,

os parâmetros adotados foram: ‘default-network’,

’10.10.10.159’,1812,1813,’chavesecreta’,’CHAP_MD5’.

Também é possível dizer qual a latitude e longitude do local, para

que seja possível visualizar o local exato através de fotos de satélite. O

endereço para descobrir a latitude e a longitude de qualquer local é

http://www.itouchmap.com/?r=v&st=l2

Figura 24 - Adionando novo Node

Um novo node deve ser adicionado para que o wifidog funcione

corretamente. Para isso, deve-se clicar em Administração de nós e Editar, O

58

GatewayID deve ser o mesmo configurado no arquivo wifidog.conf, ou senha o

endereço MAC do Access Point.

Figura 25 - Página Principal da Rede PoP-PI

A partir de agora, todo login pode ser feito através de autenticação

Radius.Para testar testar o Wifidog-Gateway, pode-se utilizar o seguinte

comando:

wifidog –f –d 7

A partir do momento que estiver utilizando o wifidog-gateway, todo

cliente que se conectar na rede sem fio, será redirecionado para a página

mostrada na Figura 25 e suas permissões atenderão ao que está permitido ou

bloqueado nas regras de firewall implementadas no arquivo wifidog.conf.

59

ANEXO 2 - Tutorial para Configurar um Sistema de Acesso Sem

Fio Seguro Utilizando Windows Server 2003

RESUMO

Este guia descreve como configurar um Sistema de Acesso Seguro

Sem Fio através do padrão IEEE 802.1X empregando os seguintes protocolos

de autenticação: Protected Extensible Authentication Protocol (PEAP),

Microsoft Challenge-Handshake Authentication Protocol versão 2 (MSCHAP

v2) e o Extensible Authentication Protocol-Transport Layer (EAP-TLS) em um

Sistema usando um access point (AP) e três computadores. Dos três

computadores, um será o Cliente sem fio (Wirelesss Client); um será o

controlador de domínio (Domain controller) que também será a Autoridade de

Certificação (CA), o servidor DHCP (Dynamic Host Configuration protocol) e o

servidor de DNS (Domain Name System) e o último será um servidor de

Serviço de Autenticação da Internet (IAS) que atuará como um servidor de

Autenticação remota Dial-In de Serviço de usuário (RADIUS - Remote

Authentication Dial-In User Service).

60

Este guia provê informação detalhada sobre como é possível utilizar três

computadores e um ponto de acesso (Access point - AP) para criar um sistema

que configure e teste a segurança do acesso Sem fio utilizando os seguintes

Sistemas Operacionais: o Microsoft® Windows® XP Professional, service Pack

2 (SP2) e a versão de 32 bits do Windows Server™ 2003, Service Pack 1

(SP1).

Neste tutorial é apresentado um passo a passo através da

configuração requerida pelos protocolos de Autenticação: Protected Extensible

Authentication Protocol com o Microsoft Challenge-Handshake Authentication

Proto1col second Version (PEAP-MS-CHAP v2), em seguida são apresentados

os passos para autenticação do EAP-TLS.

Este Tutorial foi baseado no guia da Microsoft Corp®: Step-by-Step

Guide for Setting Up Secure Wireless Access in a Sistema, publicado em abril

de 2005.

Nota:

As instruções que seguem são para a configuração de um sistema

usando um número de computadores mínimo. Computadores individuais são

necessários para separar os serviços oferecidos na rede e mostrar claramente

a funcionalidade desejada. Porém este teste foi feito com um computador

utilizando duas máquinas virtuais com Windows Server 2003 e um computador

com Windows XP SP 2, para economizar no número de computadores.

AUTENTICAÇÃO PEAP-MS-CHAP v2

A infra-estrutura para um Sistema de rede sem fio consiste em três

computadores trabalhando da seguinte forma:

• Um computador rodando o Microsoft Windows Server 2003 com o

Service Pack 1 (SP1), Enterprise Edition, chamado DC1 que atuará como:

servidor DNS, servidor DHCP e Autoridade de certificação (CA).

61

• Um computador rodando o Microsoft Windows Server 2003 SP1, Standard

Edition, chamado IAS1 que atuará como um servidor de Autenticação

(RADIUS) remota de usuário.

• Um computador rodando Windows XP Professional with SP2, chamado

CLIENT1 que atuará como um Cliente sem Fio.

Antes de começar:

Ao instalar o Windows Server 2003, SP1 em cada servidor desse

sistema é necessário instalar também o Firewall do Windows, que será

colocado desativado, como padrão. Após o IAS ser configurado, deverá ser

ativado e configurado o Firewall do Windows atentando-se para as exceções

na comunicação entre computadores da rede. No controlador de domínio, o

Firewall do Windows pode ficar desativado. Em cada computador cliente, o

Firewall do Windows é ativado automaticamente quando o Windows XP SP2 é

instalado. O Firewall irá permanecer ativado em cada computador cliente.

Além disso, deve-se ter certeza de que há um ponto de rede sem fio (Access

Point - AP) conectado ao segmento de rede local para clientes sem fio. O

Firewall do AP é controlado por softwares manufaturados. Por causa desse tipo

de sistema, não se deve ativar o Firewall do AP.

Importante:

Antes de configurar o sistema, deve-se ter certeza de que foram

baixados os mais recentes drivers para adaptadores sem fio no CLIENT1 para

garantir que a performance do adaptador ocorra corretamente enquanto estiver

rodando no Windows XP Professional com SP2.

A figura abaixo apresenta a disposição do Sistema:

62

Figura 26 - Disposição da Infra-estrutura do Sistema

O sistema de rede sem fio representa o segmento de rede de uma

Intranet. Todos os computadores da intranet, incluindo o Access Point, estão

conectados por um Hub comum ou um switch de duas camadas. Endereços

privados de 172.16.0.0/24 são usados no segmento de rede da intranet.

CLIENT1 obtêm o endereço IP usando o DHCP. As próximas seções

descrevem como configurar cada um dos componentes do sistema. Para criar

este sistema, configuram-se os computadores na ordem apresentada.

DC1

DC1 é um Computador executando Windows Server 2003 com SP1,

Enterprise Edition, que está executando as seguintes funções:

• Um controlador de domínio para o domínio exemplo.com

• Um servidor DNS para o domínio exemplo.com

63

• Um servidor DHCP para o segmento de rede da intranet

• A autoridade de CERTIFICAÇÃO para o domínio exemplo.com

Nota:

O Windows Server 2003 com SP1, Enterprise Edition, é usado de

modo que a certificação automática do usuário e das estações de trabalho pela

autenticação EAP-TLS possam ser configuradas. Isto é descrito na seção

“Autenticação EAP-TLS” deste tutorial. A certificação automática e a renovação

automática facilitam a implantação de certificados e proporcionam a segurança

através de uma expiração e renovação automática de certificados.

Para configurar o DC1 para estes serviços, realizam-se os seguintes passos:

Instalação e configuração básica

1. Instala-se o Windows Server 2003, SP1, Enterprise Edition, como um

servidor dedicado.

2. Configura-se o protocolo TCP/IP com o endereço IP de 172.16.0.1 e a

máscara de sub-rede 255.255.255.0.

Configuração do Computador como controlador de Domínio

1. Para iniciar o Assistente de Instalação do Active Directory, clica-se em

Iniciar, Executar, digita-se dcpromo.exe, e depois clica-se em OK.

2. Na caixa de diálogo “Bem Vindo ao Assistente de Instalação do Active

Directory”, clica-se em Avançar.

3. Na caixa de diálogo “Compatibilidade do Sistema Operacional”, clica-se

em Avançar.

64

4. Verifica-se se a opção: “Controlador de domínio para um novo domínio”

está selecionada e clica-se em Avançar.

5. Verifica-se se o “Domínio em uma nova floresta” está selecionado e

depois clica-se em Avançar.

6. Verifica-se se a opção: “Não, apenas instalar e configurar DNS neste

computador” está selecionada, depois clica-se Avançar.

7. Na página “Novo nome de domínio”, escreve-se exemplo.com, e clica-se

em Avançar.

8. No “Nome do domínio NetBIOS”, confirma-se que o nome do domínio

Netbios é EXEMPLO, depois clica-se em Avançar.

9. Aceita-se a pasta padrão do banco de dados e diretórios dos logs e

clica-se em avançar.

10. Na caixa de diálogo “Volume de sistema compartilhado”, verifica-se se a

localização padrão da pasta é a correta. Clica-se em avançar.

11. Caso dê algum erro no DNS, deve-se marcar: Instalar e configurar o

servidor DNS neste computador e clicar em Avançar.

12. Na página de permissões, verifica-se se a caixa “Permissões compatíveis

somente com os sistemas operacionais de servidor Windows 2000 ou

Windows Server 2003” está selecionada, como o mostrado na figura abaixo.

Clica-se em Avançar.

65

Figura 27 - Editando permissões padrão do Active Directory

13. Na página: “Senha do administrador do modo de restauração dos

serviços de diretório”, deixa-se a caixa de senha em branco e clica-se em

Avançar.

14. Revisa-se as informação na “Página de Resumo”, depois clica-se em

Avançar.

15. É provável que seja requisitado o CD de instalação do Windows Server

2003 para completar a configuração. Na página: “Concluindo o Assistente

para instalação do Active Directory”, clica-se em Concluir.

16. Quando aparecer a janela “Reiniciar o Computador” clica-se em

Reiniciar Agora.

66

Elevação de nível do Domínio Funcional

1. Abre-se “Domínios e relações de confiança do Active Directory” da

pasta Ferramentas Administrativas, e então clica-se com o botão direito do

mouse no nome de domínio exemplo.com.

2. Clica-se em “Aumentar o nível funcional do domínio…”, e então

seleciona-se Windows Server 2003.

3. Clica-se em Aumentar, depois em OK, e então clica-se em OK

novamente.

Instalação e Configuração do DHCP

1. Vai-se até o Painel de Controle, “Adicionar ou remover programas,

Adicionar/Remover componentes do Windows” e instala-se o Protocolo de

configuração dinâmica de hosts (DHCP) que está em Serviços de Rede.

2. Abre-se o snap-in do DHCP da pasta “Ferramentas administrativas” e

seleciona-se dc1.exemplo.com.

3. Clica-se em Ação, e então se clica em Autorizar para autorizar o serviço

DHCP.

4. No console da árvore, clica-se com o botão direito em dc1.exemplo.com e

depois clica-se em Novo Escopo.

5. Em “Bem vindos ao “Assistente para novos escopos”, clica-se em

Avançar.

6. Na página “Nome do escopo”, escreve-se “CorpNet” em Nome.

7. Clica-se em Avançar. Na página “Intervalo de endereços IP”, em

Endereço IP inicial coloca-se 172.16.0.10, em Endereço IP final coloca-se

67

172.16.0.100, e em Comprimento coloca-se “24”. Isto é apresentado na figura

que segue.

Figura 28 - Assistente para novos escopos

8. Clica-se em Avançar. Em Adicionar exclusões, clica-se em Avançar.

9. Na página “Lease Duration”, clica-se em Avançar.

10. Em Opções de Configurações do DHCP, clica-se em “Sim, desejo

configurar essas opções agora.”

11. Clica-se em Avançar. Na página “Roteador (gateway padrão)”, clica-se

em Avançar.

12. Na página “Servidor de nomes de domínio e DNS”, em Domínio pai

deve-se colocar exemplo.com. Em Endereço IP coloca-se 172.16.0.1, e então

clica-se em Adicionar. Isto está apresentado na figura abaixo.

68

Figura 29 - Assistente para novos escopos - Servidor de nomes e de domínio e DNS

13. Clica-se em Avançar. Na página “Servidores WINS”, clica-se em Avançar.

14. Na página “Ativar escopo”, clica-se em “Sim, desejo ativar este escopo

agora”. Este passo está mostrado na figura.

15. Clica-se em Avançar e depois em Concluir.

Instando Serviços de Certificado

1. No Painel de Controle, abre-se Adicionar ou remover programas, e

então clica-se em Adicionar/Remover componentes do Windows.

2. Na página Assistente de componentes do Windows, seleciona-se

Serviços de certificado, e então clica-se em Avançar.

3. Na página “Tipo de autoridade de certificação”, seleciona-se

“Autoridade de certificação raiz corporativa”.

69

4. Clica-se em Avançar. Na caixa “Nome da autoridade de certificação”

coloca-se Exemplo CA, e então clica-se em Avançar. As configurações

padrões na página “Configuração de banco de dados de certificados”

devem ser aceitas.

5. Clica-se em Avançar.

6. Clica-se em OK depois de ler o alerta sobre a instalação do IIS. Após

completar a instalação, clica-se em Concluir.

Verificando as permissões de Administrador para o certificado

1. Clica-se em Iniciar, depois em Ferramentas administrativas, e logo após

em Autoridade de certificação.

2. Clica-se com o botão direito em Exemplo CA, e com o esquerdo em

Propriedades.

3. Em “Segurança”, clica-se em Administradores e em “Nomes de grupo

ou de usuário”.

4. Em “Permissões para Administradores”, verifica-se se as opções abaixo

foram selecionadas para permitir: “Emitir e gerenciar certificados”,

“Gerenciar autoridade de certificação” e “Solicitar certificados.” Elas

devem ser selecionadas como mostrado na figura abaixo.

70

Figura 30 - Modificando as permissões de Administrador para o certificado

5. Clica-se em OK para fechar a caixa de diálogo de “Propriedades de

Exemplo CA” e então fecha-se a “ Autoridade de certificação”.

Adicionando computadores ao domínio

1. Abre-se o snap-in de “Usuários e computadores do active directory”.

2. Na árvore de console, expande-se exemplo.com.

3. Clica-se com o botão direito em “Usuários”, clica-se em “Novo”, e então

clica-se em “Computador.”

4. Na caixa de diálogo: “Novo Objeto – Computador”, em Nome do

computador coloca-se IAS1.

71

5. Clica-se em Avançar. Na caixa de diálogo “Gerenciado” clica-se em

Avançar. Na caixa de diálogo “Novo Objeto – Computador” clica-se em

Concluir.

6. Repete-se os passos 3-5 para criar contas adicionais do computador

com os seguintes nomes: IIS1 e CLIENT1.

Permitindo acesso sem fio para computadores

1. Na árvore do console, em Usuários e computadores do active directory”,

clica-se na pasta Usuários, com o botão direito clica-se em CLIENT1, com o

esquerdo em Propriedades, e então clica-se em Discagem.

2. Seleciona-se Permitir acesso, e então clica-se em OK.

Adicionando Usuários ao domínio

1. Na árvore de console “Usuários e computadores do active directory”,

clica-se com o botão direito em “usuários”, depois em “Novo”, e então clica-

se em “Usuário”.

2. Na caixa de diálogo “Novo Objeto – Usuário”, em Nome, coloca-se

WirelessUser e em Nome de logon do usuário digita-se WirelessUser.

Conforme o apresentado na figura que segue.

72

3. Clica-se em Avançar. Na caixa de diálogo “Novo Objeto - Usuário”

escolhe-se uma senha qualquer e confirma-se. Desmarca-se a opção: “O

usuário deve mudar senha no próximo logon” e então, clica-se em

Avançar.

4. Na caixa de diálogo “Novo Objeto – Usuário” clica-se em Concluir.

Permitindo acesso sem fio para usuários

1. Na árvore de console “Usuários e computadores do active directory”,

clica-se na pasta “Usuários”, com o botão direito clica-se em “WirelessUser”,

e com o esquerdo em “Propriedades”, e então clica-se em “Discagem“.

73

2. Seleciona-se Permitir acesso, e então clica-se em OK.

Adicionando grupos para o domínio

1. Na árvore de Console “Usuários e computadores do active directory”,

clica-se com o botão direito, com o esquerdo em Novo, e então clica-se em

Grupo.

2. Na caixa de diálogo “Novo Objeto – Grupo”, em Nome do grupo coloca-

se WirelessUser, e então clica-se em OK. Conforme apresentado na figura

que segue.

Figura 31 - Adicionando o grupo WirelessUsers para o domínio

74

Adicionando Usuários no grupo WirelessUsers

1. No painel de detalhes de “Usuários e computadores do Active

Directory”, dá-se dois cliques em “WirelessUsers”.

2. Clica-se em “Membros”, e então clica-se em Adicionar.

3. Na caixa de diálogo “Selecione Usuários, Contatos, Computadores, ou

Grupos”, em “Digite os nomes de objetos a serem selecionados”, coloca-

se wirelessuser. Conforme apresentado na figura que segue.

Figura 32 - Adicionando usuários no grupo WirelessUsers

4. Clica-se em OK. Na caixa de diálogo “Diversos nomes encontrados”

clica-se em OK novamente. A conta de usuário “WirelessUser” é adicionada

ao grupo “WirelessUsers”.

5. Clica-se em OK para salvar as alterações no grupo “WirelessUsers”.

75

Adicionando Computadores Clientes ao Grupo “WirelessUsers”

1. Repete-se os passos 1 e 2 do procedimento “Adicionando usuários no

grupo WirelessUsers”.

2. Na caixa de diálogo “Selecione Usuários, Contatos, ou Computadores”,

no campo “Digite os nomes de objetos a serem selecionados” coloca-se

client1.

3. Clica-se em “Tipos de objeto”, limpa-se as caixas de seleção de

“Usuários” e então seleciona-se a caixa de seleção de “Computadores”.

Conforme apresentado na figura que segue.

Figura 33 - Adicionando computadores clientes ao grupo WirelessUsers

4. Clica-se em OK duas vezes. A conta do computador “CLIENT1” será

adicionada ao grupo “WirelessUsers”.

76

IAS1

IAS1 é um computador rodando o Windows Server 2003, SP1,

Standard Edition, que fornece serviços de Autenticação RADIUS e autorização

para o AP sem fio. Para configurar IAS1 como um servidor RADIUS, é

necessário seguir os próximos passos.

Instalação e Configurações Básicas

1. Instala-se o Windows Server 2003, SP1, Standard Edition, com o nome

IAS1 no domínio exemplo.com.

2. Para a conexão na Intranet local, configura-se o protocolo TCP-IP com o

seguinte endereço IP 172.16.0.2, máscara de sub-rede 255.255.255.0, e

servidor DNS 172.16.0.1.

Instalação e Configurações Básicas

1. Instala-se o Serviço de autenticação da internet como um “Serviço de

Rede” utilizando-se, para isso, “Adicionar ou remover programas” no Painel

de Controle.

2. Na pasta “Ferramentas administrativas”, abre-se o Serviço de

autenticação da Internet.

3. Clica-se com o botão direito em “Serviço de autenticação da Internet”, e

então clica-se em “Registrar servidor no Active Directory”. Quando a caixa

de diálogo “Registrar o servidor de autenticação da Internet no Active

Directory” aparecer, clica-se em OK.

77

Criando Certificados (Computador Local)

1. Cria-se um “MMC console” no servidor IAS que contém os Certificados

(computador local).

2. Clica-se em Iniciar, depois em Executar, coloca-se “mmc” e então clica-se

em OK.

3. No menu “Arquivo”, clica-se em “Adicionar/Remover” e então clica-se

em Adicionar.

4. Dá-se dois cliques em “Certificados, Adicionar, Conta de computador” e

então clica-se em Avançar.

5. Clica-se em “Computador Local”, Concluir, Fechar e depois clica-se em

OK. Os Certificados (Computador Local) estão apresentados na figura que

segue.

Figura 34 - Certificados (Computador Local)

Nota:

PEAP com MS-CHAP v2 requer certificados nos servidores IAS, mas não são

necessários nos Clientes sem fio. A certificação automática dos certificados dos

computadores pode ser usada para simplificar a implantação. De qualquer

78

forma, nesta seção, um certificado é manualmente requisitado pelo computador

IAS1 pois a certificação automática dos certificados não está configurada. Isto

está descrito na próxima seção deste tutorial “Autenticação EAP-TLS".

Requisição de certificado para computador

1. Clica-se com o botão direito na pasta “Pessoal”, em “Todas as tarefas”,

em “Solicitar novo certificado” e em Avançar.

2. Clica-se em “Computador”, “Tipos de certificados”, e então clica-se em

Avançar.

3. Em Nome amigável, coloca-se “IAS Server1 Certificate”.

4. Clica-se em Avançar e depois em Concluir.

5. A mensagem “Êxito na solicitação do certificado” aparecerá. Clica-se

em OK.

Adicionando um Ponto de Acesso (AP) como um Cliente RADIUS

1. Na árvore de console “Serviço de autenticação da Internet”, clica-se com

o botão direito em “Clientes RADIUS”, e depois em “Novo Cliente RADIUS”.

2. Na página “Nome e endereço” de “Novo Cliente RADIUS” coloca-se

“WirelessAP” em “Nome amigável”. Já no “Endereço do cliente (IP ou

DNS)” coloca-se 172.16.0.3, e então clica-se em Avançar.

3. Clica-se em Avançar. Na página “Informações adicionais” do Assistente

para novo Cliente RADIUS, em Segredo compartilhado, coloca-se um

segredo compartilhado para o AP sem fio, e então faz-se novamente para

confirmar em “Confirmar o segredo compartilhado”, conforme o

apresentado na figura que segue. O segredo compartilhado colocado precisa

79

combinar com a configuração do segredo compartilhado do RADIUS na

configuração do AP sem fio.

Figura 35 - Adicionando um novo cliente RADIUS

4. Clica-se em Concluir.

Criando e Configurando uma diretiva de acesso remoto

1. Na árvore de console do Serviço de autenticação da Internet, clica-se com o

botão direito em “Diretivas de acesso remoto”, e então clica-se em ‘Nova

diretiva de acesso remoto”.

2. Na página “Bem vindo ao ‘Assistente de nova diretiva de acesso

remoto’, clica-se em Avançar.

80

3. Em “Método de configuração de diretiva”, coloca-se “Acesso sem fio

para a intranet” em Nome da diretiva.

4. Clica-se em Avançar. Na página “Método de acesso”, seleciona-se “Sem

fio”.

5. Clica-se em Avançar. Na página “Acesso de usuários ou grupos”,

seleciona-se o Grupo.

6. Clica-se em Adicionar. Na caixa de diálogo “Selecionar grupos”, clica-se

em Locais, seleciona-se exemplo.com, e então clica-se em OK.

7. No local “Digite os nomes de objetos a serem selecionados”, coloca-se

“WirelessUsers” na caixa. Conforme o apresentado na figura abaixo.

Figura 36 - Selecionando grupos

8. Clica-se em OK. O grupo “WirelessUsers” do domínio exemplo.com é

adicionado a lista de grupos de “Acesso de usuários ou grupos”.

9. Clica-se em Avançar. Na página “Métodos de autenticação”, a

autenticação do EAP protegido (PEAP) é selecionada por padrão e

configurada para se usar o PEAP-MS-CHAP v2.

81

10. Clica-se em Avançar. Na página “Concluindo o assistente de ‘Nova

diretiva de acesso remoto'”, clica-se em Concluir.

Configuração do Firewall do Windows no IAS1

1. Clica-se em Iniciar, Painel de Controle, e em seguida Firewall do

Windows.

2. Na caixa de diálogo do Firewall do Windows, clica-se em Ativado, e então

clica-se em Exceções.

3. Clica-se em Adicionar porta, e na caixa de diálogo do “Adicionar porta”,

coloca-se no campo Nome “Acesso RADIUS”, e no campo Número da porta,

coloca-se 1812, depois seleciona-se UDP como o tipo de tráfego a ser

processado pela porta. Em seguida, clica-se em OK.

4. Clica-se em Adicionar porta novamente, na caixa de diálogo de

“Adicionar porta”, coloca-se no campo Nome “Autenticação RADIUS”, e no

campo Número da porta, coloca-se 1813 depois seleciona-se UDP como o

tipo de tráfego a ser processado pela porta. Em seguida, clica-se em OK.

5. Na página de exceções, verifica-se se as duas portas adicionadas

anteriormente estão selecionadas.

6. Clica-se em Avançado, e então clica-se em Configurações para o Log de

segurança.

7. Na caixa de diálogo “Log de segurança” seleciona-se, “Registrar em log

os pacotes eliminados” e “Registrar em log as conexões bem-sucedidas”.

O arquivo e o local de destino do log ficam em “Nome”.

Favor, referir-se a pasta de log em caso de precisar adicionar mais portas na

lista de exceções. O arquivo de log também permite que sejam vistos os

pacotes capturados pelo Firewall do Windows e as conexões TCP realizadas

com sucesso.

82

8. Clica-se em OK duas vezes, para fechar o Firewall do Windows.

Wireless AP

O acesso e a configuração do Ponto de Acesso podem ser

configurados por qualquer computador da rede; entretanto, é preciso saber o

endereço IP padrão do AP para acessá-lo.

Configurando o ponto de acesso sem fio

1. Digita-se na barra de endereços do navegador o endereço IP do Acess

Point.

2. A configuração do AP deve ser da seguinte maneira:

• O nome da rede (SSID) é pop (neste caso).

• O endereço IP 172.16.0.3 com máscara 255.255.255.0 na interface

Ethernet.

• Modo de Segurança: Pre-Shared Key + RADIUS

• O servidor RADIUS possui o endereço IP 172.16.0.2, opera via UDP na

porta 1812, e possui um segredo compartilhado inserido anteriormente no

servidor IAS.

83

Autenticação EAP-TLS

Extensible Authentication Protocol-Transport Layer Security (EAP-

TLS) requer certificados de Computador e de usuário no cliente sem fio, a

adição do EAP-TLS como um tipo de EAP à diretiva de acesso remoto para

acesso sem fio e uma reconfiguração da conexão de rede sem fio.

DC1

Para configurar o DC1 para fornecer registro automático de

certificados para Computador e Usuário, executa-se as seguintes etapas.

Instalando Snap-in dos Modelos de Certificados

1. Clica-se em Iniciar, Executar, digita-se mmc, e clica-se em OK.

2. No menu Arquivo, clica-se em Adicionar/remover snap-in, e logo após

em Adicionar.

3. Em Snap-in, clica-se duas vezes em Modelos de certificado, clica-se em

Fechar, e em seguida em OK.

4. Na árvore de console, é preciso clicar em Modelos de certificado. Todos

os modelos de certificado serão exibidos no painel de detalhes. Isso é

mostrado na figura a seguir.

84

Criando modelo de Certificado para Usuários Sem-Fio

1. No Painel de Detalhes do snap-in Modelos de certificado, clica-se no

modelo Usuário.

2. No menu Ação, clica-se em Duplicar modelo.

3. Na caixa Nome para exibição do modelo, escreve-se Certificado Modelo

Para Usuários Sem Fio. Isto é mostrado na figura a seguir.

85

Figura 37 - Propriedades do certificado modelo

Configurando o Modelo de Certificado

1. Na caixa de diálogo Propriedades do Novo Modelo, verifica-se que a

opção Publicar o certificado no Active Directory está selecionada.

2. Clica-se na aba Segurança.

3. Na lista Nomes de grupo ou de usuário, clica-se em Usuários do

domínio.

4. Na lista Permissões para Usuários do domínio, seleciona-se as opções

Ler, Registrar, e Registrar automaticamente.

5. Clica-se na aba Nome de entidade e desmarca-se as opções Incluir nome

de email no nome da entidade e Nome de email. Isso é mostrado na figura a

seguir.

86

Figura 38 - Configurando o modelo de certificado

Importante:

Essas duas opções estão desativadas nesse exemplo porque um

nome de email não foi inserido para a conta WirelessUser em computadores e

Usuários snap-in do Active Directory. Caso não seja usada, desativa-se as

duas opções ou o registro automático tentará usar email, o que resultará em

erro de registro automático.

6. Clica-se em OK.

Ativando o Modelo de Certificado

1. Em Ferramentas Administrativas, abre-se Autoridade de certificação.

2. Na árvore de console, expande-se Exemplo CA, e clica-se em Modelos de

certificado.

87

3. No menu Ação, aponta-se para Novo, e clica-se em Modelo de certificado

a ser emitido.

4. Clica-se em Certificado Modelo Para Usuários Sem Fio.

5. Clica-se em OK. E abre-se o snap-in Usuários e computadores do active

directory.

6. Na árvore de console, clica-se duplamente em Usuários e computadores

do active directory, No domínio exemplo.com clica-se com o botão direito e

logo em seguida em Propriedades.

7. Na aba Diretiva de grupo, clica-se em Default Domain Policy, e logo após

em editar Editar. Isto faz abrir o snap-in Editor de objeto de diretiva de

grupo.

8. Na árvore de console, expande-se Configuração do Computador,

Configurações do Windows, Configurações de segurança, e Diretivas de

chave pública. Agora clica-se em Configurações de solicitação automática

de certificado. A figura representa o resultado.

Figura 39 - Editor de objeto de diretiva de grupo

9. Clica-se com o botão direito em Configuração de solicitação automática

de certificado, aponta-se para Novo, e então clica-se em Solicitação de

certificado automática

88

10. Na página “Bem vindo ao ‘Assistente para instalação de solicitação

automática de certificados’”, clica-se em Avançar.

11. Na página Modelo de certificado, clica-se em Computador.

12. Clica-se em Avançar. Na página “Concluindo o ‘Assistente para

instalação de solicitação automática de certificados’”, clica-se em

Concluir. O tipo de certificado “Computador” agora aparece no painel de

detalhes do Editor de objeto de diretiva de grupo snap-in, como pode ser visto

na figura a seguir.

Figura 40 - Solicitação de certificado automática

13. Na árvore de console, expande-se Configuração do usuário,

Configurações do Windows, Configurações de segurança e Diretivas de

chave pública.

14. No painel de detalhes, dá-se um duplo clique em Configurações de

registro automático.

15. Clica-se em Registrar Certificados Automaticamente. Seleciona-se

Renovar certificados expirados, atualizar certificados pendentes e

89

remover certificados revogados. Seleciona-se a opção Atualizar

certificados que usam modelos de certificado, conforme a figura a seguir.

Figura 41 - Propriedades de Configurações de registro automático

16. Clica-se em OK.

IAS1

Configurando o IAS1 para usar a autenticação EAP-TLS

1. Abre-se o Serviço de autenticação da Internet snap-in.

2. Na árvore de console, clica-se em Diretivas de acesso remoto.

3. No painel de detalhes, clica-se duplamente em Acesso sem fio para a

intranet. A caixa de diálogo Propriedades de acesso sem fio para a Intranet

aparecerá.

90

4. Clica-se em Editar perfil, e então clica-se na aba Autenticação.

5. Na aba Autenticação, clica-se em Métodos EAP. A caixa de diálogo

Selecionar provedores EAP aparecerá. Isto é mostrado na figura a seguir.

Figura 42 - Selecionar provedores EAP

6. Clica-se em Adicionar. A caixa de diálogo Adicionar EAP aparecerá.

7. Clica-se em SmartCard ou outro certificado e depois clica-se em OK. O

tipo SmartCard ou outro certificado é adicionado na lista de provedores EAP.

8. Clica-se em Editar. A caixa de diálogo Propriedades do cartão inteligente

ou outro Certificado aparecerá. Ela está sendo mostrada na figura abaixo.

Figura 43 - Editando SmartCard ou outro certificado

91

9. As Propriedades do Certificado emitido para o Computador IAS1 são

exibidas. Esta etapa verifica que IAS tem um certificado aceitável instalado

para executar a autenticação EAP-TLS. Clica-se em OK.

10. Clica-se em Mover para cima para fazer com que o provedor EAP

“SmartCard ou outro certificado” seja o primeiro da lista, como mostra a figura

a seguir.

Figura 44 - Movendo o Smartcard ou outro certificado para o primeiro da lista de provedores EAP

11. Clica-se em OK para salvar as mudanças do provedor EAP. Clica-se em

OK para salvar as mudanças da configuração do perfil.

12. É necessário clicar em OK para salvar as diretivas de acesso remoto. Isto

permitirá a diretiva de acesso remoto Acesso sem fio para a Intranet autorizar

conexões sem fio utilizando o método de autenticação EAP-TLS.

92

CLIENT1

CLIENT1 é um Computador executando o Windows XP Professional

com SP2, que atua como um cliente sem fio e obtém acesso aos recursos da

intranet através do AP sem fio. Para configurar CLIENT1 como um cliente sem

fio utilizando PEAP-MS-CHAP v2, executa-se as seguintes etapas:

Instalação e configuração básica

1. O CLIENT1 deve ser conectado à Intranet através de um cabo Ethernet

conectado ao Switch.

2. Após estar conectado à Intranet, ele precisa entrar no domínio

exemplo.com.

Observação: O Firewall do Windows é ativado automaticamente

no Windows XP SP2 e não é necessário desativá-lo. Além disso, é necessário

frisar que um computador só pode se conectar à rede sem fio se ele logar no

domínio alguma vez, logo esse sistema está perdendo no quesito de

praticidade, já que para que um notebook seja conectado, ele precisa conectar

à rede a cabos primeiro, logar no domínio e só depois conectar à rede sem fio.

Depois de logar no domínio a primeira vez, ele sempre poderá conectar,

independente da rede cabeada.

93

Configurando a conexão com da rede sem fio

A Rede Sem-Fio do POP-PI foi configurada para utilizar uma chave

pré-compartilhada e um servidor RADIUS. O ssid da rede é pop. Abaixo estão

as etapas para configurar a conexão no cliente.

1. O primeiro passo é deslogar do computador local e logar usando a conta

WirelessUser no domínio exemplo.com.

2. Ativa-se a conexão sem fio e clica-se em Exibir redes sem fio

disponíveis.

3. Escolhe-se a rede configurada (neste caso a rede pop) e clica-se em

Conectar.

Observação: É possível notar que a rede configurada está sendo

exibida como uma Rede sem fio com segurança habilitada (WPA). Porém

este dado está incorreto, pois o Acess Point utilizado (WAP55AG) não suporta

WPA.

Figura 45 - Escolhendo uma rede sem fio para conectar

94

4. Ao tentar conectar, aparece um balão contendo uma mensagem de erro: O

Windows não encontrou um certificado para a rede pop.

5. Para resolver este problema, é necessário clicar em Alterar ordem das

redes preferenciais, clica-se na aba Redes Sem Fio.

6. Seleciona-se a rede configurada (pop) e clica-se em Propriedades. Na aba

Associação da janela aberta, escolhe-se a autenticação de rede como WPA

e criptografia de dados como AES, de acordo com a figura.

Figura 46 - Modificando as propriedades da rede sem fio pop

7. Na aba Autenticação, escolhe-se o EAP protegido (PEAP) como Tipo de

EAP e marca-se a opção Autenticar como computador se houver as

informações disponíveis.

95

Figura 47 - Escolhendo o tipo de EAP para a conexão

8. Clica-se em Propriedades do Tipo de EAP.

9. Na janela Propriedades EAP protegidas, seleciona-se Validar certificado

do servidor e em Selecionar método de autenticação escolhe-se EAP-

MSCHAP v2 e clica-se em Configurar. A próxima figura mostra como deve

ficar preenchida esta janela.

96

Figura 48 - Ajustando as propriedades do PEAP para a conexão

10. Na janela Propriedades EAP MSCHAPv2, a opção Usar meu nome e

minha senha de logon do Windows automaticamente (e o domínio, se

houver) não deve ser selecionada. Clica-se em OK e na janela Propriedades

EAP protegidas, clica-se em OK.

Figura 49 - Propriedades EAP MSCHAPv2

11. Na janela pop Propriedades e na aba Conexão, seleciona-se

Conectar-se quando esta rede estiver ao alcance.

97

Figura 50 - Propriedades finais da Conexão

12. Agora é só voltar à janela Escolha uma rede sem fio, selecionar a rede

configurada (pop) e clicar em Conectar. Abrirá uma janela solicitando que

sejam digitadas as credenciais. Elas devem ser preenchidas com o Nome de

usuário sendo wirelessuser e a senha sendo a mesma configurada no Active

Directory anteriormente. Clica-se em OK. A figura representa a janela Digite as

credenciais.

Figura 51 - Inserindo as credenciais registradas no Active Directory para conectar à Rede Sem Fio

98

13. Se as credenciais estiverem corretas, CLIENT1 será conectado à rede

sem fio.

99

BIBLIOGRAFIA

[1] Gimenes, Eder Coral e Capozzi, Ricardo A. Segurança em Redes

Wireless. Mauá, Brasil : s.n., 2005.

[2] Soares, Walace. PHP 5 Conceitos, Programação e Integração com Banco

de Dados. São Paulo : Érica, 2004. 523 p.

[3] Duarte, Luíz Otávio e Cansian, Adriano Mauro. Análise de

Vulnerabilidades e Ataques Inerentes a Redes a Redes Sem Fio 802.11x. São

José do Rio Preto : UNESP - Laboratório ACME de Pesquisa em Segurança,

2003.

[4] Costa, Nilmara Goulart Peres e Uchôa, Joaquim Quinteiro. Proposta

para migração de um ponto de Rede Wireless comercial, de um Provedor de

Internet via Rádio, para estrutura configurada em Software Livre. [Monografia]

Lavras : s.n., 2006.

[5] Microsoft. Step-by-Step Guide for Setting Up Secure Wireless Access in a

Test Lab. s.l. : Microsoft Corp®, April - 2005.

[6] Aircrack-ng. Aircrack-ng. [Online] http://www.aircrack-ng.org.

[7] Brandao, Patrick. Freeradius - servidor radius eficiente e completo.

VivaoLinux. [Online] [Citado em: 10 de Dezembro de 2007.]

http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=1842.

[8] Kismet. [Online] [Citado em: 03 de Setembro de 2007.]

http://www.kismetwireless.net/.

100

[9] PhpPgAdmin. [Online] [Citado em: 21 de Novembro de 2007.]

http://phppgadmin.sourceforge.net/.

[10] PostGreSql. Posgresql. [Online] [Citado em: 20 de 11 de 2007.]

http://www.postgresql.org.br/.

[11] Wifidog. Wifidog - A Captive Portal Suite. [Online] [Citado em: 10 de

Outubro de 2007.] http://www.wifidog.org.

[12] Rede Nacional de Ensino e Pesquisa (RNP), “As Tecnologias de Redes

Wireless”. Disponível em: http://www.rnp.br/newsgen/9805/wireless.html.

Acessado em agosto de 2007.

[13] Clube do hardware, “Habilitando Segurança em Redes Wireless”.

Disponível em: http://www.clubedohardware.com.br/artigos/963. Acessado em

Agosto de 2007.

[14] Fórum: Segurança Wireless, InfoSecurity. Disponível em:

http://www.istf.com.br/vb/forumdisplay.php?f=114. Acessado em Agosto de

2007.

[15] Carrión, Demetrio. Monografia: Implementação de um Ponto de

Acesso Seguro para Redes 802.11. COPPE – UFRJ .

[16] Junior, Carlos Alberto; Brabo, Gustavo; Amoras, Rômulo Augusto.

Monografia: Segurança em redes Wireless Padrão IEEE 802.11b:

Protocolos WEP, WPA e Análise de Desempenho. UNAMA – 2004.

[17] Santos, C. Izabela, “WPA: A Evolução do WEP”. Disponível em:

http://www.lockabit.coppe.ufrj.br/rlab/rlab_textos?id=70. Acessado em Agosto

de 2007.

101

[18] MICROSOFT, “Visão Geral da Atualização de Segurança WPA no

Windows XP”. Disponível em: http://support.microsoft.com/kb/815485/1.

Acessado em Agosto de 2007.

[19] Wi-Fi Aliance. Disponível em: http://www.wi-fi.org/. Acessado em Agosto

de 2007