1

FACULDADE DE TECNOLOGIA DE CURITIBA FATEC- PR

ANDERSON DE SOUZA GOMES

GUILHERME ROBERTO MIRANDA STAMM

INFRAESTRUTURA DE REDES SEM FIO UTILIZANDO

AUTENTICAO RADIUS APLICADA EM LOCAL DE ALTA

DENSIDADE DE ACESSO.

CURITIBA

2013

2

ANDERSON DE SOUZA GOMES

GUILHERME ROBERTO MIRANDA STAMM

INFRAESTRUTURA DE REDES SEM FIO UTILIZANDO

AUTENTICAO RADIUS APLICADA EM LOCAL DE ALTA

DENSIDADE DE ACESSO.

Monografia apresentada na disciplina de Trabalho de Concluso de Curso (TCC) do Curso de Tecnologia em Redes de Computadores da Faculdade de Tecnologia de Curitiba (FATEC-PR), Coordenado pelo Mestre Gustavo hommerding Alt, para formao e como requisito Parcial Obrigatrio para elaborao do TCC, Orientado pelo Professor Esp. Fellipe Medeiros Veiga e Coordenado pelo Orlando Frizanco, Dr.

CURITIBA

2013

3

AGRADECIMENTO

Agradeo em primeiro lugar a Deus que iluminou o meu caminho durante

esta caminhada.

Agradeo tambm a minha futura esposa, Eretchusa, que de uma forma

indescritvel esteve do meu lado e por muitas vezes sendo meu norte nessa

jornada, me motivando e incentivando sempre.

Quero agradecer tambm meu filho Alyson, pela pacincia quando precisava da

minha ateno e soube aguardar eu estar disponvel e a todos os professores,

em especial o professor Fellipe Medeiros Veiga, pela dedicao e presena em

nossa orientao.

E no deixando de agradecer de forma grata e grandiosa meus pais, Ivan e

Neusa, a quem eu rogo todas as noites a minha existncia.

Anderson de Souza Gomes

Agradeo a Deus em primeiro lugar e em segundo lugar aos meus familiares que

direta ou indiretamente colaboraram para realizao deste trabalho, e em

especial a minha me Josmaira e meu Padrasto Marcio, pela compreenso apoio

e carinho durante esses anos de estudos.

Ao meu orientador Professor Fellipe Veiga que atravs de sua orientao sempre

oportuna durante os intervalos de aulas, esclarecendo minhas dvidas de forma

inteligente e incentivadora fazendo com que esse projeto pudesse ser realizado.

Ao Professor e mestre Dr. Frizanco pela sua orientao de como colocar esses

estudos nos padres ABNT assim com colocando sua experincia a nossa a

nosso dispor. Primeiramente ao meu colega que fez parceria comigo para que

esse trabalho fosse realizado e os colegas do curso que me ajudaram nos

trabalhos e por ter contribudo um descontrado ambiente de estudo que, por

conseguinte resultaram na motivao e concluso do curso, e a todo que de

forma direta ou indiretamente, contriburam para realizao dessa Monografia.

Guilherme Roberto Miranda Stamm

4

Se eu soubesse o que eu estava fazendo, no seria

chamada pesquisa.

(Albert Einstein).

"Pesquisar ver o que outros viram, e pensar o

que nenhum outro pensou".

(Albert Szent-Gyorgyi).

5

LISTA DE ILUSTRAES

Figura 1: Estrutura bsica de uma rede sem fio domstica...............................18

Figura 2: Estrutura de uma rede sem fio corporativa.........................................19

Figura 3: Padro 802.11....................................................................................25

Figura 4: Criptografia de rede sem fio...............................................................26

Figura 5: Servio RADIUS.................................................................................31

Figura 6: Active Directory - Servios de Diretrio..............................................37

Figura 7: Exemplo de importao e implementao de diretivas orientadas a

OU......................................................................................................................39

Figura 8: Demonstrao de Domnio.................................................................42

Figura 9: Demonstrao Florestas.....................................................................44

Figura 10: Esquema de um Controlador de Domnio........................................45

Figura 11: Exemplo de consulta DNS................................................................46

Figura 12: Rede em conformidade para implementao do servio RADIUS...48

Figura 13: Projeo da estrutura RADIUS na rede sem fio...............................50

Figura 14: Roteador Linksys E900 Face.........................................................52

Figura 15: Roteador Linksys E900 - Traseira (conectores e botes)................52

Figura 16: Pgina inicial E900...........................................................................53

Figura 17: Configurao de identificao de rede sem fio (SSID).....................54

Figura 18: Definies de segurana da rede sem fio........................................55

Figura 19: Servio de DNS................................................................................56

Figura 20: Servio de gerenciamento de certificados digitais............................57

Figura 21: Condies de meio de acesso para um cliente NAS........................57

Figura 22: Viso geral da tela do servidor NPS.................................................58

Figura 23: Tela de configurao do Cliente RADIUS........................................58

Figura 24: Configurao de solicitao de acesso servidor NAS......................59

6

Figura 25: Tela de configurao de segurana de acesso para o Cliente

NAS....................................................................................................................59

Figura 26: Tentativa de acesso rede TESTE_TCC........................................60

Figura 27: Aviso de ingresso em uma rede corporativa....................................60

Figura 28: Informaes de DHCP e DNS..........................................................61

Figura 29: Informaes de segurana...............................................................61

Figura 30: Testes de conexo a partir do dispositivo mvel..............................62

Figura 31: Testes de conexo em dispositivo mvel.........................................62

Figura 32: Frente Xirrus XR-1230H series.........................................................63

Figura 33: Frente Xirrus XR-1230H...................................................................63

Figura 34: Cisco Aironet 1552S.........................................................................64

7

LISTA DE TABELAS

Tabela 1: Comparao entre Cisco e Xirrus......................................................66

8

LISTA DE SIGLAS E ABREVIATURAS

AAA: Authentication, Authorization and Accounting

AD CS: Active Directory Certificate Services

AD: Active Directory

ADSL: Asymmetric Digital Subscriber Line

AES: Advanced Encyptation Standart

APs: Access Points

BDC: Backup Domain Controller

BSS: Basic Service Set

BYOD: Bring Your Own Device

CSMA/CA: Carrier Sense Multiple Access / Colision Avoidance

CSMA/CD: Carrier Sense Multiple Access / Collision Detection

CTS: Clear to Send

DC: Domain Controler

DES: Data Encryption Standard

DES: Data Encryption Standard

DHCP (Dynamic Host Configuration Protocol)

DHCP: Dynamic Host Configuration Protocol

DNS: Domain Name System

DS: Distribution System

EAP: Extensible Authentication Protocol

EAP-TLC: Extensible Authentication Protocol - Transport Layer Security

ESS: Extended Service Set

FQDN: Fully qualified domain name

GB: Gigabyte

HD: Hard Disk

HTTPS: HyperText Transfer Protocol Secure

IAS: Internet Authentication Service

IBSS: Independent Basic Sservice Set

IEEE: Institute of Electrical and Electronics Engineers

IETF: Internet Engineering Task Force

IP: Internet Protocol

IPSec: IP Security Protocol

9

ISP: Internet Service Provider

L2TP: Protocolo de encapsulamento de camada 2

LDAP: Lightweight Directory Access Protocol

LDS: Lightweight Directory Services:

MAC: Media Access Control

MD5: Message-Digest algorithm 5

MIMO: Multiple-input and multiple-output

MPPE: Microsoft point to point encryption

MSCHAP: Microsoft Challenge Handshake Authentication Protocol

MSFT: Microsoft

NAS: Network Access Server

NIST: Instituto Nacional de Padres e Tecnologia dos EUA

NPAS: Network Policy and Access Services

OU: Organizational Unity

PAP: Password Authentication Protocol

PAP-TLS: Password Authentication Protocol - Transport Layer Security

PDAs: Personal Digital Assistants

PPOP: Point-to-Point Protocol over Ethernet (PPPoE)

PPTP: Point to Point Tunneling Protocol

RADIUS: Remote Authentication Dial In User Service

RAM: Random Access Memory

RAS: Remote Access Server

RAS: Remote Access Server

RFC: Request for Comments

RMS: Rights Managenebte Services

RSA: Rivest-Shamir-Adleman

RSN: Robust Security Network

RTS: Request to Send

RTS/CTS: Request to Send / Clear to Send

SFP: Small Form-Factor Pluggable

SSID: Service Set IDentifier

STA: Station

TB: Terabyte

TKIP: Temporal Key Integrity Protocol

10

TLS: Transport Layer Security

UDP: User Datagram Protocol

UO: Unidades Organizacionais

UTP- Unshielded Twisted Pair

VPN: Virtual Private Network

WEP: Wired Equivalent Protection

WINS: Windows Internet Name Service

WLAN: Wireless Local Area Network

WPA: Wi-Fi Protect Access

WPA2: Wi-Fi Protect Access 2

XMS: Extended Messaging Service

11

RESUMO

O trabalho foi realizado com o objetivo de analisar a infraestrutura

tecnolgica da rede sem fio em ambiente de alta densidade de acesso com

autenticao por meio do Protocolo RADIUS consultando uma base no Active

Directory (AD), a importncia deste trabalho est em fazer conhecido, de forma

relevante, o tema e o procedimento da criao na prtica da infraestrutura de

redes sem fio utilizando autenticao RADIUS aplicada em local de alta

densidade, por ser um tema pouco aplicado, embora o foco deste seja alta

densidade o mesmo pode ser aplicado tambm em locais menores. Foi realizado

segundo uma metodologia de desenvolvimento que envolveu buscas, seleo e

o estudo das bibliografias, levantamento de ferramentas equipamentos para

construo da estrutura de redes, escolha de sistemas operacionais, protocolos

e bases utilizados; anlise comparativa com outros trabalhos, referente teoria

e a prtica utilizada no presente trabalho; e a concluso a que se chegou sobre

o melhor aproveitamento da rede sem fio em um ambiente com uma grande

massa de usurios. Assim, apresenta uma introduo, a metodologia, o

desenvolvimento, os resultados observados e a reviso bibliogrfica.

Palavras chave: Rede sem fio, Protocolo RADIUS, Active Directory, Unidades

Organizacionais, Autenticao via RADIUS.

12

ABSTRACT

The study was conducted with the objective of analyzing the

technological infrastructure of the wireless environment in high-density access

with authentication via RADIUS Protocol querying a base in Active Directory (AD),

the importance of it to make this known in a relevant theme and undeveloped

practice to be unusual, even though the focus of this density is high it can also be

applied to smaller locations. Was performed using a development methodology

involving search, selection and study of bibliographies, surveying equipment tools

for building the network structure, choice of operating systems, databases and

protocols used; comparative analysis with other studies concerning the theory

and practice used in this work, and the conclusion we reached on the best

utilization of the wireless network in an environment with a large mass of users.

Thus, presents an introduction, methodology, development, and the results

observed literature review.

Keywords: Wireless network, the RADIUS protocol, Active Directory,

Organizational Units, authentication via RADIUS.

13

SUMRIO 1.INTRODUO................................................................................................15

1.1 OBJETIVO GERAL............................................................................15 1.2 OBJETIVOS ESPECIFICOS..............................................................16 1.3 METODOLOGIA................................................................................17 1.4 JUSTIFICATIVA................................................................................17 2. REVISO BIBLIOGRAFICA...........................................................................18

2.1 CONCEITO SOBRE REDES SEM FIO..............................................18 2.2 HISTRICO.......................................................................................19 2.3 METODO DE ACESSO.....................................................................20 2.4 ALCANCE..........................................................................................21 2.5 SEGURANA....................................................................................23

2.6 PADRO 802.11................................................................................23 2.7 CRIPTOGRAFIA DE REDE SEM FIO................................................25

3. PROTOCOLO DE AUTENTICAO DE REDE SEM FIO..............................26 3.1 WEP WIRED EQUIVALENT PROTECTION...................................27 3.2 WPA WI-FI PROTECT ACCESS.....................................................27 3.3 WPA WI-FI PROTECT ACCESS 2..................................................28 3.4 WPA ENTERPRISE...........................................................................29 3.5 WPA2 PESSOAL E WPA2 ENTERPRISE......................................29 3.6 RADIUS REMOTE AUTHENTICATION DIAL IN USER SERVICE.31

3.6.1 RADIUS Em Rede sem Fio...................................................31 3.7 NAS NETORK ACCESS SERVER.................................................33

3.8 APLICAO......................................................................................33 3.9 AUTENTICAO..............................................................................34 4. SERVIDOR DE SERVIOS DE DIRETRIO.................................................36 4.1 ACTIVE DIRECTORY........................................................................36 4.1.1 Objetos do Active Directory..................................................37 4.1.2 Funes do Active Directory.................................................37 4.2 UNIDADES ORGANIZACIONAIS (UO).............................................38 4.2.1 As Unidades Organizacionais usadas para:.........................38

4.3 GRUPOS DE TRABALHO E DOMINIOS...........................................39 4.3.1 Grupos de Trabalho..............................................................39 4.4 DOMNIO...........................................................................................40 4.5 ARVORES E FLORESTAS................................................................43 4.5.1 Arvores.................................................................................43 4.5.2 Florestas..............................................................................44 4.6 CONTROLADOR DE DOMINIO........................................................45 4.7 DNS DOMAIN NAME SYSTEM.....................................................45 5. TECNOLOGIA PARA AUTENTICAO VIA RADIUS...................................47 5.1 AUTENTICAO DE USURIOS NO ACTIVE DIRECTORY...........47 5.2 NPS NETORK POLICY SERVER...................................................48 5.3. LOCAIS USURIOS DE ALTA DENSIDADE....................................49 6. DESENVOLVIMENTO...................................................................................50

6.1 ESTUDO DE CASO RADIUS.............................................................50 6.1.1 Problema..............................................................................50 6.1.2 Arquitetura Proposta............................................................50

6.1.3 Ambiente de Testes.............................................................50 6.2 FERRAMENTAS DE APOIO..............................................................50 6.2.1 Software...............................................................................50

14

6.2.2 VMware Workstation 9.0.0 Build-812388.............................50 6.2.3 Hardware.............................................................................50

6.2.4 Access Point........................................................................50 6.3 INSTALAO DE SERVIO PARA AUTENTICAO......................51

6.3.1 Preparao..........................................................................51 6.3.2 Configurao do Roteador...................................................51 6.3.3 Configurao do Servidor.....................................................52 6.3.4 Teste de Funcionamento......................................................59 7. EQUIPAMENTO DE REDE SEM FIO PROPOSTO........................................63 7.1 XIRRUS.............................................................................................63 7.2 CISCO...............................................................................................64 8. COMPARAO CISCO X XIRRUS................................................................66 CONCLUSO....................................................................................................67 REFERNCIAS.................................................................................................69 ANEXOS............................................................................................................72

15

1. INTRODUO

Atualmente tem crescido o interesse por tecnologias de Redes sem

fio em ambientes de alta densidade, tendo em vista os eventos que esto por vir

para o Brasil, como a Copa do Mundo e as Olimpadas que tornaro nosso pas

foco das atenes em todo o mundo. A crer que a aplicao destes

conhecimentos de grande importncia para demonstrar nosso potencial

tecnolgico. Esse documento tem como tema Infraestrutura de redes sem fio

utilizando autenticao RADIUS aplicada em local de alta densidade de acesso,

consiste em transmitir dados em uma determinada rea, utilizando

equipamentos de grande alcance e colocados em locais estratgicos para cobrir

essa rea com grande acumulo de pessoas e seus dispositivos mveis,

utilizando o protocolo RADIUS que prove a autenticao dessas conexes para

ter controle desses acessos, juntamente o Active Directory permitindo que os

dados dos usurios fiquem salvos em estrutura de banco de dados centralizado.

Existem algumas dificuldades na implementao e utilizao dessa

tecnologia, alguns listados a seguir como:

Encontrar equipamentos com alta performance para

suportar grande quantidade de usurios;

Analisar a infraestrutura dessa rede e determinar

onde os equipamentos de hardware sero estrategicamente posicionados para

que haja melhor cobertura do sinal;

Inserir autenticao da conexo para o controle de

acesso;

Prover acesso de qualidade aos usurios;

Devido a essas dificuldades, buscamos solues relevantes e

maneiras de resolver essas questes propondo uma forma para tal

implementao.

1.1. OBJETIVO GERAL

O Objetivo estudar e analisar a infraestrutura tecnolgica da rede

sem fio voltada para locais com grande volume de acesso (Estdios de futebol,

aeroportos, Shoppings Centers) que possibilite atender usurios enquanto

estejam no local, propiciando acesso internet para que esses usurios

acessem suas redes sociais e as mdias sociais/eletrnicas.

16

1.2. OBJETIVOS ESPECFICOS

Relatar o conhecimento na rea de rede sem fio de alta densidade,

mostrando seus conceitos bsicos e identificando o Hardware e Software

disponvel para utilizao dessa rede;

Apresentar uma avaliao terica das caractersticas dos equipamentos

de alta performance, bem como apresentao das caractersticas e

funcionamento do sistema de autenticao com a utilizao do protocolo

RADIUS juntamente o servio de diretrio;

Estudo da infraestrutura tecnolgica de locais de alta densidade,

levantamento de requisitos e definies de processo para anlise desse

ambiente, e identificar solues a serem adotadas;

Analisar um estudo comparativo entre a teoria e a prtica, apresentando

as concluses e consideraes, mostrando as concluses a que se

chegaram a respeito desse trabalho.

1.3. METODOLOGIA

O trabalho foi desenvolvido como uma pesquisa bibliogrfica e

aplicada ao estudo de caso, ou seja, a aplicao de uma teoria na prtica,

seguindo os passos e como foram desenvolvidos conforme destacados a seguir.

Seleo e o estudo da bibliografia;

Levantamento de ferramentas para apoiar na

arquitetura proposta para instalao do servio de autenticao

RADIUS em conjunto com servio de diretrios;

Estudo de um caso real prtico ou divulgado na

literatura especializada;

Anlise comparativa entre a teoria e a prtica utilizada

no caso de estudo;

Concluses e consideraes.

Cada uma das etapas est detalhada no item que trata sobre o

desenvolvimento do trabalho, conforme a seguir.

1.4. JUSTIFICATIVA

Este trabalho apresenta um estudo baseado na anlise de

infraestrutura de redes sem fio, atravs do Active Directory, utilizando o protocolo

17

RADIUS, implementado no Windows Server 2008, como sistema operacional.

Ser mostrada em escala diminuda essa infraestrutura que poder ser usada

em lugares como estdios de futebol, aeroportos, Shoppings Centers e nos

eventos que aconteceram aqui no Brasil.

O protocolo RADIUS um mecanismo de segurana na autenticao

via redes sem fio, de multi-plataforma e de fcil integrao com servidores de

logon, como o Active Directory. Pode ser utilizado de forma a garantir a

integridade dos dados a serem autenticados, podendo relatar a segurana de

dados como sendo uma justificativa da importncia deste trabalho, a fcil

integrao com servidores, a facilidade em relao ao acesso ao sistema

operacional original e a falta de trabalhos que relacionem protocolo RADIUS com

Active Directory para conhecimento dos acadmicos e profissionais da rea.

18

2. REVISO BIBLIOGRFICA

No mundo globalizado imprescindvel a convivncia e a utilizao

dos meios tecnolgicos, citando mais precisamente a Internet onde possvel

trocar informaes com o mundo todo. Para poder usufruir desse grande poder

de obteno de conhecimento necessrio pessoa estar ligada a uma rede,

seja ela com fio ou sem fio, e estar conectada a Internet, especificamente este

trabalho trata de redes sem fio.

Os sinais de redes sem fio, geralmente, so transmitidos por rdio

frequncia, sendo assim no necessitam de uma conexo fsica com

computadores, porm necessita-se apenas de uma antena para a comunicao.

Por meio desta rdio frequncia, forma-se uma rede sem fio onde ser possvel

transmitir dados por meio de ondas de rdio eletromagnticas (COMER, 2001).

2.1. CONCEITO SOBRE REDES SEM FIO

Redes sem fio so redes de computadores que permitem interligar,

ao menos, dois equipamentos utilizando-se de ondas eletromagnticas, sem a

necessidade de uma estrutura fsica de cabeamento. Elas esto, cada vez mais,

presentes no mundo devido necessidade constante de conexo a rede dos

vrios equipamentos mveis como notebooks e Personal Digital Assistants -

PDAs existentes no mercado (CARLESSI e MARTINS, 2012).

Na sequncia tem-se duas figuras exemplo de redes sem fio

exemplificando uma rede domstica (conexo simples) e uma corporativa

(conexo complexa)

Figura 1: Estrutura bsica de uma rede sem fio domstica. Fonte: UFRJ

19

Figura 2: Estrutura de uma rede sem fio corporativa. Fonte: Microsoft

2.2. HISTRICO

As redes wireless (como so conhecidos os padres de acesso rede

sem fio) tm criado novas prticas e novos usos do espao urbano que vo,

pouco a pouco, constituindo-se como lugares centrais da era da conexo. Vrias

cidades no mundo esto oferecendo Wi-Fi aos seus cidados, constituindo uma

verdadeira cidade desplugada. Cidades ao redor do mundo esto colocando

redes Wi-Fi em metrs, nibus, barcos, no meio rural, nos centros das cidades

(LEMOS e VALENTIM, 2013).

No Brasil comeam a aparecer experincias em pequenas cidades do

Rio de Janeiro, Cear e So Paulo, alm de aeroportos, cafs, hotis e

restaurantes de vrias capitais. A era da conexo est alterando a relao prtica

e imaginria do espao. Como afirma Steven Levy, Quando a geografia digital

trabalhar com a tecnologia wireless e web, o mundo tomar novas dimenses

(LEVY, 2004, p. 56).

No Brasil, o Wi-Fi ainda est comeando. Os nmeros sobre o

potencial do mercado Brasileiro ainda so controversos, mas h um bom espao

para o uso do Wi-Fi crescer entre as empresas nacionais e h possibilidade de

que ele passe a constituir-se como forma de oferta de acesso populao.

A tecnologia de redes locais sem fio (Wireless LAN ou WLAN) vem se

tornando componente crucial das redes de comunicao de computadores e

20

observa-se um crescimento a largos saltos de sua utilizao. Graas

aprovao do padro IEEE 802.11 em 1997, a tecnologia wireless saiu de um

ambiente de implementao restrito para se tornar uma soluo ampla e aberta

de provimento de mobilidade em todo tipo de cenrio. Desta forma, empresas

esto investindo alto em redes wireless para tirar vantagem da facilidade de

acesso mvel em tempo real s informaes. Com a diminuio do custo,

aumento da confiabilidade e praticidade da implantao de redes sem fio, em

relao s estruturas fixas cabeadas, crescente a utilizao dessa tecnologia

nas redes de comunicao de dados.

2.3. MTODO DE ACESSO

Utilizam um meio totalmente diferente de redes convencionais, o ar.

Devido a isso, preciso utilizar-se de tecnologias especficas para garantir uma

conexo eficiente entre os equipamentos da rede. Essas tecnologias devem

compensar a impossibilidade de proteo fsica do meio utilizado nas redes

wireless, fazendo com que estas obtenham um bom desempenho e estabilidade

mesmo em ambientes de meio de acesso poludo. (RUFINO, 2005). A faixa de

frequncia 2.4 GHz utilizada por uma vasta quantidade de equipamentos e

servios, por isso se diz que poluda ou suja, por isso se diz que poluda ou

suja, por ser usada tambm por aparelhos de telefone sem fio, Bluetooth, forno

de micro-ondas, babs eletrnicas e pelos padres 802.11b e 802.11g, Ibidem.

Um ponto muito importante a ser considerado em uma rede o meio

de comunicao, o meio atravs do qual os equipamentos da rede trocam

mensagens entre si.

No caso das redes sem fio, o meio o ar, isto faz com que os

equipamentos que tem a capacidade de se conectar a redes sem fio necessitem

um controle especfico de acesso ao meio.

Nas redes convencionais as estaes escutam o meio para saber se

existe outra estao transmitindo dados, caso exista outra estao utilizando o

meio, ela espera, caso o meio (neste caso, o cabo) no esteja sendo ocupado a

estao inicia sua transmisso. Este mtodo conhecido como CSMA/CD

(Carrier Sense Multiple Access/Collision Detection). Nas redes sem fio no

possvel que uma estao envie dados e ao mesmo tempo escute o meio, neste

caso um mtodo utilizado nas redes sem fio o CSMA/CA (Carrier Sense

21

Multiple Access/Colision Avoidance) que tenta evitar colises ao invs de

detect-las. Juntamente com o CSMA/CA um protocolo conhecido com o

RTS/CTS (Request to Send/Clear to Send) utilizado, sempre que uma estao

desejar enviar um pacote, ela ir primeiramente enviar um RTS (Request to

Send), uma estao que receber o RTS e no for a estao a qual a mensagem

se destina ir aguardar um tempo (enviado no mesmo pacote RTS) para tentar

acessar o meio. A estao que receber o RTS e for a destinatria da mensagem

RTS ir responder com uma mensagem CTS (Clear to Send), aps o emissor

receber a resposta da sua mensagem, ele poder enviar seu pacote de dados

propriamente dito. (SANTOS. C.J.M.2011)

Apesar de minimizar o problema das colises, este protocolo

acrescenta muito overhead e consome boa parte da banda disponvel, causando

uma diminuio no throughput da rede.

2.4. ALCANCE

Diante deste crescimento acelerado, considera-se que a implantao

de tecnologia de comunicao wireless uma boa alternativa para locais em que

a paralisao das atividades em virtude de obras durante o perodo de

implantao de redes fixas cabeadas torna-se impossvel. Alm disso, redes

wireless so ideais para empresas e instituies onde a verba que custeia o

projeto e a aquisio do material a ser utilizado limitada. Perante a limitao

de recursos, se faz necessrio desenvolver alternativas de distribuio de pontos

de transmisso que, em um cenrio ideal, atenda a uma determinada demanda

de usurios garantindo-lhes um sinal de qualidade.

O planejamento adequado da localizao dos pontos de acesso

tambm conhecidos como Access Points, ou simplesmente APs e antenas

transmissoras de sinal so vitais para assegurar o funcionamento adequado do

sistema de comunicao. Contudo, as variveis envolvidas para tomada desta

deciso tornam o problema complexo. Segundo Najnudel (2004), para garantir o

bom funcionamento de uma rede wireless em um ambiente fechado (indoor)

deve-se levar em considerao, de forma geral, as seguintes variveis de

deciso: o posicionamento e a quantidade de concentradores para escoar o

trfego de utilizao, a frequncia de funcionamento dos dispositivos, a

22

interferncia exercida pelos obstculos encontrados no local, a polarizao e a

diversidade das antenas. (CAMPDEVILLE e VIANNA, 2013).

De acordo com o objetivo desejado, duas grandes classes de

problemas de localizao podem ser definidas: a classe dos problemas de

cobertura que foca na distncia mxima entre qualquer cliente e a facilidade

designada para atendimento e a classe dos problemas de localizao de

medianas que trata da minimizao de distncias mdias ou totais entre os

clientes e os centros de atendimento (facilidades). Em ambas as classes,

decises so tomadas sobre onde localizar facilidades, considerando clientes

que devem ser servidos de forma a otimizar um certo critrio.

Ao se planejar uma rede WLAN, necessrio levar em considerao

alguns conceitos bsicos de rdio transmisso como: ganho, frequncia,

polarizao do sinal, diversidade de antenas e interferncias; alm disso,

importante observar outros dois fatores importantes para propagao do sinal:

quantidade e posicionamento de concentradores para garantir a qualidade do

sinal e o escoamento do trfego pretendido.

Uma das grandes dvidas ao se montar uma rede wireless o alcance

do sinal, um fator que varia imensamente em funo dos obstculos encontrados

pelo caminho e a qualidade das antenas utilizadas. De acordo com os

fabricantes, o alcance pretendido para as redes wireless de 30 metros em

ambientes fechados e de 150 metros em ambientes abertos. No entanto, estes

so valores estimados obtidos atravs de testes padronizados, o que no

garante um cenrio real correspondente, pois neste h influncia de fatores

importantes como: o ganho das antenas instaladas no ponto de acesso e no

cliente, a potncia dos transmissores, os obstculos e fontes de interferncia

presentes no ambiente.

A cobertura de uma rea diz respeito ao estabelecimento de

comunicao entre os vrios pontos que funcionam sob um mesmo sistema de

telecomunicaes. No caso de redes sem fio, a comunicao ocorre atravs de

APs (Access Points) que emitem sinais por meio de um canal pr-determinado

para que seja feita a comunicao entre ele e os demais equipamentos dos

usurios que podem ser estaes de trabalho desktop, notebooks, tablets ou

celulares.

23

2.5. SEGURANA

As Redes sem fio tem se popularizado nos ltimos anos, e com isso

adquiriu grande destaque pelas suas caractersticas de mobilidade, flexibilidade,

simplicidade de instalao e pelo seu baixo custo. Contudo essa facilidade traz

risco segurana dessa rede devido a um dos principais problemas que a

instalao de equipamentos inadequada, entre outros fatores como, por

exemplo, o prprio meio de transmisso que deixam as redes expostas porque

seus dados so transmitidos atravs de ondas pelo ar, e por isso deixa redes

domsticas ou corporativas com vulnerabilidades. Por causa disso deve-se

adotar as medidas necessrias para dificultar ao mximo o acesso de possveis

invasores na rede.

2.6. PADRO 802.11

O IEEE 802.11 foi definido pelo Institute of Electrical and Electronics

Engineers (IEEE) para padronizar as camadas fsicas e de controle de acesso

ao meio (MAC) nas redes sem fio, o padro compe uma srie de normas para

equipamentos que utilizam a tecnologia de redes sem fio, atravs do qual

possvel, equipamentos de diferentes fabricantes interoperarem sem problemas

de compatibilidade.

O primeiro padro IEEE 802.11 foi aprovado em 1997, em 1999 dois

novos padres foram aprovados, o 802.11a e o 802.11b utilizando as frequncias

de 5GHz e 2,4GHz respectivamente. De 1999 at 2009 vrias novas features

foram incorporadas ao padro, at que foi aprovada a verso IEEE 802.11n.

Segundo descrito na norma IEEE, 2007 as redes sem fio diferem das

redes tradicionais (cabeadas) nas seguintes caractersticas.

Apesar de no ser uma regra, nas redes convencionais um endereo

MAC geralmente implica em um endereo fsico da estao que possui tal

endereo.

Em uma rede sem fio o endereo MAC no implica em um endereo

fsico, uma vez que as estaes so mveis. A interface da estao com o meio

(uma porta ethernet, por exemplo) em uma rede cabeada protegida de outros

sinais que no sejam provenientes de outra estao da mesma rede, enquanto

que em uma rede wireless isto no ocorre, sinais de estaes ou pontos de

24

acesso de outras redes podem interferir. Alm disso, o meio utilizado nas redes

wireless consideravelmente menos confivel.

O padro IEEE 802.11 prev que as redes sem fio suportem estaes

mveis e no apenas portteis, uma estao porttil pode sair de um ponto e

atuar em outro ponto fsico, porm ela ir apenas funcionar em um dos pontos,

enquanto que uma estao mvel deve seguir conectada rede enquanto se

move de um ponto ao outro.

Ainda, baseando-se no que descreve a norma IEEE 802.11 os

seguintes componentes fazem parte de uma arquitetura de rede sem fio.

BSS (Basic Service Set): Pode ser descrita como uma

clula ou a rea de cobertura de uma rede sem fio. Existe ainda outro tipo de

BSS, conhecido por IBSS (Independent BSS), que nada mais do que duas

estaes conectadas entre si atravs de uma rede ad hoc.

STA (Station): Estaes que se conectam a rede sem

fio, podem ser PC`s, notebooks, PDA`s, smartphones, tablets, etc. Uma estao

um membro dinmico de uma BSS, para se tornar membro de uma BSS uma

estao passa por um processo de sincronizao, s ento possvel que a

estao tenha acesso aos servios da BSS.

DS (Distribution System): O DS uma interconexo

entre as BSS`s, geralmente ligando um AP (Access point) a outro.

ESS (Extended Service Set): Uma rede com mais de

uma BSS interligadas atravs de um DS chamada de ESS, ou seja, o conjunto

de BSS`s que compem uma rede wireless uma ESS, vale lembrar que um DS

no considerado como parte integrante de uma ESS. Estaes conectadas a

uma BSS de uma ESS podem transitar na rea de cobertura de toda a ESS

(independente de qual BSS essa estao esteja conectada) de modo

transparente s outras camadas da rede.

AP (Access Point): Equipamento utilizado para

interligar as STA com as BSS.

Ex: roteadores wireless.

25

Figura 3 contm informaes do padro IEEE 802.11 Fonte: Site PPLWare

2.7. CRIPTOGRAFIA DE REDE SEM FIO

Tcnicas de criptografia tm sido amplamente utilizadas para proteger

as comunicaes de dados. Por meio dessas tcnicas, os dados so cifrados de

forma que podem ser lidos somente pelo destinatrio da mensagem. Os dados

cifrados so protegidos contra o acesso, a leitura e a modificao no

autorizadas. Todas as operaes criptogrficas dependem de chaves de

criptografia.

A manuteno das chaves e de todo o material criptogrfico

relacionado conhecida como gerenciamento de chaves. Esquemas de

gerenciamento de chaves devem considerar a gerao, armazenamento,

distribuio, proteo e revogao das chaves, bem como devem garantir que

elas estejam disponveis aos ns autnticos. Os sistemas de criptografia, ou

criptossistemas, podem ser classificados em simtricos e assimtricos,

dependendo da forma com a qual as chaves criptogrficas so criadas, mantidas

e utilizadas.

Segundo (Lima, et~al. 2003) a criptografia simtrica utiliza uma nica

chave secreta para cifrar e decifrar mensagens. A criptografia assimtrica,

tambm conhecida como criptografia de chaves pblicas, utiliza um par de

chaves para cada n: uma chave pblica e outra privada. A chave pblica

distribuda livremente na rede, enquanto a chave privada conhecida apenas

pelo seu proprietrio. Uma mensagem cifrada com a chave pblica pode ser

decifrada somente com a sua respectiva chave privada e vice-versa. Essa

26

tcnica criptogrfica garante a confidencialidade das mensagens trafegadas,

como tambm a autenticidade do emissor e receptor.

Assinatura Digital muito usada com chaves pblicas. Trata-se de um

meio que permite provar que um determinado documento eletrnico de

procedncia verdadeira. Quem recebe um documento assinado digitalmente usa

a chave pblica fornecida pelo emissor para se certificar da origem. Alm disso,

a chave integrada ao documento, isso implica que qualquer alterao realizada

nas informaes vai invalidar o documento. Ao procurar-se pelo entendimento

tem-se que assinatura digital firmar com seu nome digitalmente, sendo uma

identificao composta por nmeros. um mtodo que garante a chegada de

uma mensagem sem ter sido alterada no seu caminho at seu destino final.

(SOUZA e SILVA, 2013)

Figura 4: Criptografia de rede sem fio.

Fonte: Culturamix

3. PROTOCOLOS DE AUTENTICAO DE REDE SEM FIO

Para se comunicar os pacotes podem ser enviados em texto puro pelo

ar ou serem criptografados. Existem vrios esquemas criptogrficos, como o

WEP, WPA e WPA2. Cada um ser discutido com detalhes a frente.

27

3.1. WEP - WIRED EQUIVALENT PROTECTION

O Wired Equivalent Protection, mais conhecido simplesmente como

WEP, um protocolo de segurana presente no primeiro padro IEEE 802.11 e

pretende proteger o trfego contra escuta de pacotes e impedir que clientes no

autorizados se conectem a pontos de acesso. Desde a sua introduo em 1999,

diversas falhas foram descobertas no WEP que levaram a sua depreciao em

2004, com a introduo do WPA2. Todos os ns de uma rede que utilize WEP

devem saber uma chave WEP de 64 bits ou 128 bits. Normalmente essa chave

representada em dgitos hexadecimais. Uma rede WEP pode estar configurada

com dois mtodos de autenticao: Open System ou Shared Key (MORAIS,

2013).

Quando um cliente tenta se associar a um ponto de acesso, caso a

rede utilize o mtodo Open System, a autenticao sempre bem sucedida (a

menos que existam filtros por endereos MAC) e o cliente consegue associar-se

sem provar que sabe chave WEP. Porm, assim que ele tentar enviar algum

pacote, se no possuir a chave correta, falhara, pois o AP vai gerar um

keystream diferente e o pacote no ser descriptografado corretamente. Se a

rede utiliza o mtodo Shared Key, aps receber um Authentication Request o AP

envia um desafio consistindo de uma sequncia aleatria de bits em texto puro.

O cliente criptografa este desafio com a chave WEP e envia de volta para o AP.

Se aps descriptografar o AP conseguir obter de volta o mesmo desafio, a

autenticao aceita.

3.2. WPA - WI-FI PROTECT ACCESS

O protocolo WPA (Wi-Fi Protect Access), um protocolo posterior ao

WEP, trouxe algumas modificaes como autenticao de usurios, para isto faz

uso do padro 802.1x e EAP (Extensible Authentication Protocol), podendo

tambm ser utilizado com chaves compartilhadas, dessa forma se comporta

exatamente como o WEP. Oferece segurana para diferentes tipos de redes,

atendendo desde pequenas redes domesticas at grandes corporaes. O WPA

apresenta dois grupos de chaves so elas:

Pairwise Key: utilizado para que haja comunicao direta entre duas estaes

ou entre o Access Point e uma estao. Este tipo de comunicao denomina-se

28

unicast, sendo necessrio que exista uma chave conhecida apenas pelas duas

partes da comunicao. (CARAA e PENNA, 2009)

Group Key: Utilizado para comunicao quando uma estao deseja comunicar-

se com todas as outras estaes da rede, denomina-se broadcast. Neste caso,

utilizada uma chave que conhecida por todas as estaes. O Group Key

tambm utilizado para comunicaes do tipo multicast, onde uma estao

deseja se comunicar com um grupo especfico de estaes.

O funcionamento do WPA, como dito anteriormente destinado a

ambientes residenciais e ambientes corporativos. (CARAA e PENNA, 2009)

3.3. WPA2 WI-FI PROTECT ACCESS 2

Como o WPA, o WPA2 proporciona para empresas e usurios de Wi-

Fi um alto nvel de garantia para que seus dados permaneam protegidos e que

somente usurios autorizados tenham acesso as suas redes sem fios. O WPA2

est baseado no IEEE final 802.11i, emenda do padro 802.11, ratificado em

junho de 2004. Segundo muitos analistas esse padro 802.11i era exatamente

o que faltava para estimular implementaes seguras de redes wireless nas

empresas.

A principal mudana entre o WPA2 e o WPA o mtodo criptogrfico

utilizado. O WPA2 utiliza o Advanced Encyptation Standart (AES) em conjunto

com o TKIP com chave de 256 bits, que um mtodo muito mais poderoso da

mesma forma que o WPA, o WPA2 usa tecnologia de autenticao IEEE

802.1X/EAP (DUARTE, 2010).

O WPA2 oferece proteo avanada de ataques de rede sem fios

baseado em um padro de autenticao mtua mais forte e criptografia

avanada para proteger a rede sem fios de uma variedade de ameaas e

ataques.

29

3.4. WPA ENTERPRISE

No modo enterprise, cada usurio possui uma chave nica para

acessar a WLAN. Fornecendo assim um nvel alto de privacidade individual. O

WPA utiliza o TKIP que emprega um padro de criptografia que calcula e emite

chaves de criptografia para cada pacote de dados comunicado em cada sesso

de cada usurio, tornando extremamente difcil quebrar essa barreira. No WPA2,

o padro de criptografia usado o AES que mais forte que TKIP, provendo

ento uma proteo adicional de rede.

3.5. WPA2-PESSOAL E WPA2-ENTERPRISE

WPA2 teve uma significativa melhora na srie de padres 802.11 de

segurana em redes sem fio e apareceram recentemente nos padres WPA2-

Pessoal e WPA2-Enterprise, que aperfeioaram as tcnicas de segurana

correspondente proteo dos dados e aos acessos e autenticaes dos

usurios dos dois padres anteriores. Utiliza o algoritmo de criptografia

denominado AES (Advanced Encription Standard, ou Padro Avanado de

Criptografia). Em Criptografia, o Advanced Encryption Standard (AES, ou

Padro de Criptografia Avanada, em portugus), tambm conhecido por

Rijndael, uma cifra de bloco adotada como padro de criptografia pelo governo

dos Estados Unidos. Espera-se que seja utilizado em todo o mundo e analisada

extensivamente, assim como foi seu predecessor, o Data Encryption Standard

(DES). O AES foi anunciado pelo NIST (Instituto Nacional de Padres e

Tecnologia dos EUA) como U.S. FIPS PUB (FIPS 197) em 26 de Novembro de

2001, depois de 5 anos de um processo de padronizao. Tornou-se um padro

efetivo em 26 de Maio de 2002. Em 2006, o AES j um dos algoritmos mais

populares usados para criptografia de chave simtrica.

3.6. RADIUS - Remote Authentication Dial In User Service

O RADIUS um protocolo utilizado para disponibilizar acesso a redes

utilizando a arquitetura AAA (AAA, Authentication, Authorization, and

Accounting). Inicialmente foi desenvolvido para uso em servios de acesso

discado. Atualmente tambm implementado em pontos de acesso sem fio e

outros tipos de dispositivos que permitem acesso autenticado a redes de

computadores. (CHAVES, 2010) O desenvolvimento do RADIUS comeou de

30

fato em 1994, quando Steve Willens e Carl Rigney da Livingston Enterprise (hoje

conhecida como Lucent) abriram o cdigo fonte do servidor RADIUS para que

outros desenvolvedores da Merit Networks, uma pioneira em criao de solues

para Internet na poca, pudessem ajudar na construo do que hoje um dos

servios mais utilizados na rede.

O RADIUS foi construdo para atender uma necessidade de mercado

da poca. Naquele tempo, precisava-se de um produto que autenticasse,

autorizasse e fizesse acompanhamento e monitoramento do uso de recursos de

rede usado pelos usurios. Depois de uma primeira reunio entre os

desenvolvedores dessas duas empresas, nasceu uma verso muito superficial

do RADIUS.

Hoje em dia, tanto a Lucent quanto a Merit Networks oferecem

servios de Internet ao pblico baseado no RADIUS sem nenhum tipo de

cobrana.

Remote Authentication Dial In User Service - RADIUS um protocolo

de rede que prov gerenciamento centralizado de autenticao, autorizao e

contas para que outros computadores se conectem e utilizem servios de rede.

Foi desenvolvido em 1991 pela Livingston Enterprises, Inc., em 1991 como um

protocolo de acesso, autenticao e contas a servidores, e mais tarde virou um

dos padres da Internet Engineering Task Force (IETF).

Devido ao amplo suporte e ubiquidade do protocolo RADIUS,

frequentemente usado por provedores de Internet e empresas para gerenciar

acesso Internet ou redes internas, redes sem fio e servios integrados de E-

mail.

O RADIUS um protocolo cliente/servidor que funciona na camada

de aplicao, usando UDP como o protocolo de transporte. O servidor de acesso

remoto, o servidor de VPN (Virtual Private Network, ou rede virtual privada), o

switch de rede com autenticao baseada em portas, o servidor de acesso

rede (Network Access Server, NAS), todos eles so gateways que controlam o

acesso rede, e todos possuem um componente cliente do RADIUS que se

comunica com o servidor RADIUS, que normalmente um processo rodando em

background em um servidor Windows ou UNIX. (SANTOS, 2012)

O protocolo RADIUS desempenha trs funes, autenticar usurios

e/ou dispositivos antes de conceder acesso rede, autorizar usurios e/ou

31

dispositivos a determinados servios de rede e manter um registro de uso destes

servios (accounting).

Fase de Autenticao: quando um servidor recebe uma chamada

atravs de uma identificao do usurio, o servidor verifica se as informaes do

cliente conferem com os requisitos do usurio. Essa verificao ser efetuada

no banco de dados do servidor, se for validada passar para prxima etapa de

autorizao, caso contrrio o servidor RADIUS envia a negao do acesso.

Fase de Autorizao: nesta fase pode-se destacar os direitos,

privilgios e restries que clientes e usurios possuiro, de acordo com a tabela

criada no banco de dados. Esta etapa importante porque normal que hajam

usurios com privilgios diferentes e assim devem ser tratados de maneira

distinta.

Fase de Contabilizao: Esta a fase que a partir que o usurio ou o

cliente j esteja autenticado, todo e qualquer tipo de acontecimentos, referentes

aos seus usurios, registrado para que possam ser analisados e processados

futuramente em uma base de dados. Isso numa corporao que fornece acesso

aos seus funcionrios rede local, esta funo, importante para fins de

auditoria e verificao dos tempos de utilizao.

Figura 5: Servio RADIUS Fonte: Technet.Microsoft

3.6.1. RADIUS em Rede sem Fio

O RADIUS muito disponibilizado em redes sem o porqu simples,

eficiente e suportado por diversos dispositivos, o que facilita a implantao de

autenticao em redes sem o em malha. O funcionamento do RADIUS e

baseado na arquitetura cliente-servidor. Normalmente o cliente RADIUS e

32

caracterizado por representar roteadores, switches, pontos de acesso ou

qualquer outro dispositivo que seja um intermediador entre os dispositivos

existentes em um ambiente de rede. J o servidor RADIUS e executado em um

servidor que centraliza a comunicao a com os clientes RADIUS.

(DONATANGELO, 2006)

Durante o funcionamento do RADIUS, diversos pacotes so

transmitidos nas atividades de a autenticao e autorizao e contabilizao.

Alm disso, os pacotes so utilizados para atender diferentes estados, de

requisio e de resposta, da entidade autenticadora. Todos so definidos no

dicionrio e biblioteca do RADIUS, o que simplifica a sua utilizao.

(DONATANGELO, 2006)

Mesmo j possuindo uma gama de recurso, possvel que sejam

implementadas novas funes ou at modificaes na estrutura dos pacotes,

possibilitando assim, que o RADIUS consiga suprir necessidades especficas. O

fato de ser possvel se fazer modificaes no RADIUS possibilitou que diferentes

aplicaes fossem desenvolvidas para atender as necessidades de certos

sistemas operacionais e servios de diretrios utilizados em um ambiente de

comunicao. Esta flexibilidade foi a responsvel pela expanso e utilizao,

principalmente para autenticao em redes sem fio. (DONATANGELO, 2006)

Os pontos de acesso sem fio devem exigir autenticao e autorizao

do n sem fio antes que os dados possam ser enviados e recebidos da rede que

est conectada ao ponto de acesso sem fio. Para fornecer sua prpria

autenticao e autorizao, cada ponto de acesso sem fio deve exigir um banco

de dados de conta de usurio com credenciais de autenticao de cada usurio

e um conjunto de regras pelas quais, a autorizao concedida. Como isso

difcil de gerenciar, alguns pontos de acesso sem fio so clientes RADIUS que

usam o protocolo RADIUS padro da indstria para enviar mensagens sobre

contabilizao e solicitao de conexo para um servidor RADIUS central. O

servidor RADIUS tem acesso a um banco de dados de conta de usurio e a um

conjunto de regras para conceder autorizao (SOUZA, 2007).

O servidor RADIUS processa a solicitao de conexo do ponto de

acesso sem fio e aceita ou rejeita a solicitao de conexo. O RADIUS foi

idealizado para centralizar as atividades de Autenticao, Autorizao e

33

Contabilizao, visto que o crescente nmero de sistemas independentes

inviabiliza a administrao descentralizada (SOUZA, 2007).

3.7. NETWORK ACCESS SERVER - NAS

O NAS (roteador wireless, por exemplo) considerado um cliente

para o servidor RADIUS. O cliente responsvel por enviar todas as informaes

dos usurios que querem utilizar o seu servio ao servidor RADIUS, que ir

verificar a autenticidade dos usurios finais e informar a sua validade para o

NAS, que por sua vez envia uma resposta aos usurios finais. O NAS apenas

recebe alguns parmetros do servidor RADIUS para controlar o uso dos recursos

disponveis, como por exemplo, qual o tempo mximo que o usurio dever

ficar conectado e quais so os limites de acesso para este usurio (SANTOS

J.P. 2011).

3.8. APLICAO

O Protocolo RADIUS Baseado no modelo cliente/servidor, que

forma um sistema de gerenciamento que contm o Network Access Server

(NAS), que funciona como cliente e o RADIUS como servidor, e eles trocam

mensagens entre si para prover a autenticao da rede.

O utilizador, o NAS e o servidor trocam mensagens entre si quando o

utilizador pretende se autenticar para utilizar um determinado servidor de rede.

Uma mensagem RADIUS consiste num pacote contendo um cabealho RADIUS

com o tipo de mensagem, podendo ainda ter atributos associados mensagem,

cada atributo RADIUS especfica uma parte de informao sobre a tentativa de

ligao. Por exemplo, existem atributos RADIUS para o nome de utilizador, para

a palavra passe do utilizador, para o tipo de servio pedido pelo utilizador e para

o endereo Internet Protocol - IP do servidor de acesso.

Os atributos RADIUS so utilizados para transmitir informaes entre

clientes RADIUS, proxies RADIUS e servidores RADIUS. Quando um utilizador

da rede deseja utilizar um servio ele envia os seus dados para o NAS.

O NAS responsvel por adquirir todos os dados do utilizador, que

normalmente so o nome de utilizador e a respectiva palavra passe (no envio do

NAS para o servidor a palavra passe cifrada de modo a prevenir possveis

ataques) e envi-los para o servidor RADIUS atravs de um pedido de acesso

34

que se designa de AccessRequest. Este tambm responsvel por processar

respostas vindas do servidor RADIUS. O servidor ao receber um pedido de

acesso tenta a autenticao do utilizador, enviando em seguida a resposta para

o NAS contendo um Access Reject caso o acesso seja negado, Access

Accept, caso o acesso seja aceito, ou Access Challenge, caso seja pedida uma

nova confirmao.

Aps autenticao, so comparados e verificados alguns dados do

pedido de modo que o servidor determine qual o grau de acesso pode ser dado

a este utilizador que foi autenticado. O servidor RADIUS pode tambm ser

configurado em proxy. Neste caso, o servidor funcionar como cliente que

redireciona os pedidos de acesso para outro servidor, ou seja, passa a ser

responsvel pela troca de mensagens entre o NAS e o servidor remoto.

3.9. AUTENTICAO

O usurio ou estao manda uma requisio para um Servidor de

Acesso Remoto (Remote Access Server - RAS) buscando obter acesso a um

determinado recurso da rede, utilizando credenciais de acesso. As credenciais

so passadas ao RAS via protocolo da camada de enlace (por exemplo,

protocolo ponto-a-ponto, no caso de alguns provedores de Internet), ou postado

em um formulrio seguro HTTPS.

Em seguida, o RAS manda uma RADIUS Access Request (requisio

de acesso) para o servidor RADIUS, solicitando autorizao para garantir o

acesso via protocolo RADIUS. Essa requisio inclui credenciais de acesso,

tipicamente em forma de nome de usurio e senha, ou certificado de segurana

provido pelo usurio. Alm disso, a requisio pode conter outras informaes

conhecidas pelo RAS sobre o usurio, como o seu endereo na rede ou nmero

de telefone, e informaes a respeito da conexo fsica com o RAS.

O servidor RADIUS verifica se a informao est correta usando

algum esquema de autenticao conhecido como o PAP (Password

Authentication Protocol, protocolo de autenticao por senha). A identificao do

usurio verificada, juntamente outras informaes relacionadas requisio

(opcional).

Historicamente, os servidores RADIUS verificam a informao de

usurio usando um banco de dados, local de arquivo nico. Servidores RADIUS

35

mais modernos podem usar o arquivo simples ou referir-se a fontes externas,

como bancos de dados relacionais ou servidores LDAP para verificar as

credenciais dos usurios.

O servidor RADIUS ento retorna uma de trs respostas para o RAS:

Access reject o usurio tem seu acesso negado a todos os recursos

de rede. As razes incluem falha na autenticao (identificao invlida) ou uma

conta desconhecida ou inativa.

Access challenge demanda informao adicional do usurio como

uma segunda senha, nmero PIN, token ou carto de segurana. Access

challenge tambm usada em autenticaes mais complicadas onde um tnel

seguro estabelecido entre a mquina do usurio e o servidor RADIUS de uma

maneira que as credenciais de aceso ficam escondidas do RAS.

Access accept o usurio recebe acesso. Uma vez que esteja

autenticado, o servidor RADIUS checar periodicamente se o usurio tem

autorizao para usar o servio de rede requisitado. Um usurio pode usar a

rede wireless de uma empresa, mas no a sua VPN, por exemplo. Essa

informao tambm pode ser armazenada localmente em um arquivo simples,

ou em uma fonte externa como um servidor LDAP ou banco de dados.

Cada uma dessas trs respostas, pode incluir uma mensagem de

resposta que pode conter a razo para rejeio do acesso, demandar outras

informaes, ou mensagem de boas-vindas. O texto pode ser mostrado ao

usurio em uma pgina web.

Atributos de autorizao so adequados aos termos de acesso

estipulados pelo RAS. Por exemplo, os seguintes atributos de autorizao

podem estar includos em um Access-Accept:

Endereo de IP que ser atribudo ao usurio, conjunto de endereos

IP de onde ser escolhido o endereo do usurio, tempo limite que o usurio

dever permanecer conectado e/ou lista de acesso, fila de prioridades ou outras

restries ao acesso do usurio.

36

4. SERVIDOR DE SERVIOS DE DIRETRIO

4.1. ACTIVE DIRECTORY

O Active Directory (AD) um servio de diretrio nas redes Windows

2000 e 2003. Servio de diretrio um conjunto de atributos sobre recursos e

servios existentes na rede, isso significa que uma maneira de organizar e

simplificar o acesso aos recursos de sua rede centralizando-os. Bem como,

reforar a segurana e dar proteo aos objetos da database contra intrusos, ou

controlar acessos dos usurios internos da rede. O Active Directory mantm

dados como contas de usurios, impressoras, grupos, computadores,

servidores, recursos de rede, etc. Ele pode ser totalmente escalonvel,

aumentando conforme a nossa necessidade. Esse servio de diretrio

composto por objetos, ou seja, todo recurso da nossa rede representado como

um objeto no AD. Esses objetos possuem propriedades o que so chamados de

atributos dos objetos. A base de dados do AD um arquivo chamado NTDS.dit,

onde todos os recursos so armazenados no mesmo (Losano,2003).

Seu desenvolvimento trouxe vrias vantagens para os

administradores de rede. Antes de a soluo ser apresentada, os usurios nas

empresas tinham um srio problema relacionado a sistemas, o esquecimento de

suas inmeras senhas para diversas aplicaes diferentes. Com a

implementao do AD, os usurios passaram a ter apenas uma senha

sincronizada com as mais diversas aplicaes utilizadas na empresa. A ideia de

centralizao de recursos funciona no AD com um banco de dados que possui

as principais informaes, como usurios, grupos, membro dos grupos, senhas,

etc. Assim, o acesso informao fica vivel e de simples conferncia, tanto

para manuteno dos recursos quanto para administrao do AD.

37

Figura 6: Active Directory - Servios de Diretrio Fonte: SiteConceptDraw

4.1.1. Objetivos do Active Directory

Contas de usurios: um objeto do AD, as principais informaes que

encontramos nesse objeto so o primeiro nome, ltimo nome, descrio,

usurio, senha entre outros.

Contas de Computador: todo o computador que faz parte da rede, assim

que adicionado no domnio, automaticamente criado a sua conta no

AD, no importa se um computador de um colaborador ou um servidor

da empresa.

Grupos de usurios: sua principal funo facilitar o gerenciamento e as

atribuies de permisses de acesso a recursos. (RADECK, 2012)

4.1.2. Funes do Active Directory

Funo Servios de Domnio no AD: mantem em seu banco de dados

informaes dos usurios, computadores e outros servios que pode ser

encontrado na rede. A facilidade de gerenciamento auxilia o responsvel pela

rede a verificar e manter a integridade das informaes nele cadastradas, entre

elas, o compartilhamento de recursos e a colaborao entre os usurios. Para

um correto funcionamento dessa funo, faz-se necessria a sua instalao na

rede para que outros aplicativos possam sincronizar os seus recursos de

dependncia do AD.

Funo AD\RMS (Rights Management Services): sua principal funo

a proteo da informao. Os aplicativos, que possuam esse recurso, tero

38

sua garantia de que apenas os usurios com as respectivas permisses iro ter

acesso a eles, deixando a informao persistente e segura.

Funo Servios AD\LDS (Lightweight Directory Services): servio

utilizado para aplicativos que esto habilitados em um diretrio. Fornece

armazenamento de recuperao de dados, sendo otimizados para leitura.

Funo Servios de Federao do AD: pode ser utilizado em diversas

plataformas diferentes e ser utilizado via web.

Funo Servios de Certificado do AD (AD CS): o gerenciamento de

segurana presente nessa funo baseia-se em certificados de chaves pblicas,

que podem ser vinculados a uma chave privada aos aplicativos correspondentes.

Active Directory esto armazenados todos os componentes de uma

rede, Domnios, rvores, Florestas, relaes de confiana, Objetos do Active

Directory, Unidades Organizacionais e Schema. (RADECK, 2012)

4.2. UNIDADES ORGANIZACIONAIS (UO)

A Unidade Organizacional uma diviso que pode ser utilizada para

organizar os objetos de um determinado domnio em um agrupamento lgico

para efeitos de administrao. (ALEXANDRE et~al,2008)

As Unidades Organizacionais so uma maneira mais fcil de delegar

tarefas administrativas. Isso permite que voc divida objetos com base em locais

fsicos ou departamento. So itens encontrados no AD onde o administrador

pode adicionar usurios, grupos, computadores e criar novas unidades

organizacionais, sendo que, uma unidade organizacional no pode conter

objetos que se encontram em outros domnios. Cada domnio possui a sua

prpria estrutura de unidade organizacional, no preciso, necessariamente,

que todos possuam a mesma estrutura. Um domnio pode ser dividido em vrias

unidades organizacionais. Com a utilizao deste recurso possvel restringir o

acesso dos usurios para que no tenham acesso a todos os objetos do domnio.

Estes, quando formam uma rvore, no precisam ter a mesma estrutura

hierrquica de unidades organizacionais. (ALEXANDRE et~al,2008)

4.2.1. As Unidades Organizacionais so usadas para:

Aplicar configuraes de Diretiva de Grupo: as

configuraes de Diretiva de Grupo podem ser associadas a uma UO. Nesse

39

caso, a diretiva se aplicar a todas as contas de usurio e de computador dentro

da UO.

Delegar gerenciamento: Podem ser atribudas

permisses para gerenciar objetos do Active Directory a uma UO. As permisses

concedidas a uma UO so herdadas para objetos dentro dela. (Almeida, 2010).

Figura 7: Exemplo de importao e implementao de diretivas orientadas a OU Fonte: technet.microsoft

4.3. GRUPOS DE TRABALHO E DOMNIOS

4.3.1. Grupos de Trabalho

Existem duas formas de configurar um servidor na rede: fazer parte

de um domnio ou de um grupo de trabalho.

Na Rede Baseada no Modelo de Workgroups, todos os servidores que

compem uma rede baseada no modelo de Workgroups possuem sua prpria

base (lista) de usurios, senhas e grupos. Por isso, so chamados de servidores

independentes. Para que um usurio acesse um recurso em algum servidor da

rede necessrio que ele tenha uma conta. O administrador quem faz este

cadastro do usurio. Este modelo vivel para redes pequenas, que possuem

no mximo dez usurios e um nico servidor. Por isso fcil de implementar e

o administrador consegue ter todo o controle da rede. Porm, em uma rede de

grandes propores que possui muitos servidores e funcionrios este modelo de

Workgroups, se torna insustentvel porque cada usurio teria vrias senhas,

uma para cada servio da rede. Isto poderia causar grandes confuses para eles

como por exemplo, esquec-las. (ALEXANDRE et~al,2008)

Na Rede Baseada no Conceito de Diretrio - Domnio, em uma rede

baseada em diretrio todos os servidores compartilham a mesma base de

40

usurios, ou seja, o mesmo diretrio. As atualizaes efetuadas em um servidor

so repassadas para os demais para que todos fiquem com uma cpia idntica

da base de dados do diretrio. Este modelo fcil de administrar e permite a

implementao de redes de grandes propores tanto geogrficas quanto em

nmero de usurios.

Grupo de Trabalho, ou Workgroup, o modo utilizado quando

optamos pela mquina ser administrada localmente (ponto a ponto), ou seja,

para um usurio usufruir dos recursos (arquivos, impressoras, etc.) ter que

possuir uma conta na base de dados local do sistema. Agora, por exemplo, se o

mesmo usurio utilizar dois ou mais sistemas de um Workgroup ter que ter duas

ou mais contas, uma em cada mquina. Nesse caso, no h uma administrao

central para os acessos e utilizao dos recursos, gerando uma falta de

segurana

. Portanto, esse tipo de configurao recomendado para o caso de

existncia de uma rede com poucas maquinas, onde o fator da segurana no

de tanta importncia. Para configurao de Workgroup no requer a instalao

do Windows 2000 Server, pois uma rede descentralizada.

4.4. DOMNIO

O domnio do Windows uma estrutura lgica onde compartilha uma

central de servios e diretrios. A base de dados do diretrio contm contas de

usurios e segurana da informao do domnio. No Windows 2000/2003, a base

de dados do diretrio conhecida como uma parte ativa do AD. No Domnio

compe computadores configurados no Domain Controllers. Com uma nica

conta, os usurios podem validar-se no domnio a partir de qualquer mquina

(Onde se tenha autorizao), a partir da, usufruir dos recursos da rede para os

quais o administrador do domnio lhes der permisses. O AD criado quando

estamos instalando o Domnio, pois no possvel criar um domnio antes e

depois instalar o AD, esse processo ocorre junto.

A nomenclatura domnio usada pelo Windows 2000 no tem nada a

ver com o mesmo termo que usado na Internet e no mundo Unix. Nos sistemas

operacionais Microsoft, domnio significa uma autenticao centralizada de

usurios e grupos, isto , um agrupamento lgico de mquinas, usurios e

41

recursos. Um controlador de domnio , portanto, uma mquina responsvel por

autenticar usurios e grupos que pertenam a um mesmo domnio.

Essa autenticao chamada logon, ou seja, o ato de um usurio se

conectar a recursos da rede usando um nome de acesso (login) e uma senha. A

administrao de usurios feita no controlador de domnios.

Em redes com mais de um servidor Windows 2000 Server, os demais

servidores podem ser configurados de duas maneiras: como controladores de

domnio ou como servidores participantes. No primeiro caso, os servidores se

comunicam e compartilham as suas bases de usurios e as polticas de

segurana adotadas. Qualquer mudana ou criao nessas bases de dados

replicada para os demais controladores de domnio. Por exemplo, se o

administrador criar um novo usurio em um controlador de domnio, as

informaes sobre esse usurio sero replicadas para os demais controladores

de domnio, permitindo que a autenticao de tal usurio possa ser efetuada em

qualquer um dos controladores de domnio.

claro que os recursos que esse usurio ter acesso dependem de

como a sua conta foi configurada, isto , dependendo da poltica de segurana

adotada.

J nos servidores participantes, a base de usurios e polticas de

segurana so vlidas apenas localmente. Assim, um usurio que se autentique

nesse servidor, ter suas polticas de segurana vlidas somente para aquele

servidor e no para o domnio inteiro.

Existem dois tipos de controlador de domnio: controlador de domnio

primrio (PDC, Primary Domain Controller) e controlador de domnio backup

(BDC Backup Domain Controller). Em redes onde seja implementado o

controlador de domnio backup, caso o controlador de domnio primrio saia do

ar, o controlador backup entra em seu lugar automaticamente, de modo que o

servio de controle de domnio continue existindo.

Um Domnio fornece muitos benefcios:

Objetos Organizados: O administrador pode organizar os objetos no

domnio dentro das unidades organizacionais. Os Objetos, so representaes

dos componentes fsicos atuais que existem em uma rede da organizao. Eles

so associados com um ou mais domnios, assim como usurios, grupos

especficos de usurios, computadores, aplicaes, servios, arquivos e

42

distribuio de listas. Por exemplo, considere um domnio na rede de uma

companhia. Para simplificar o gerenciamento de todos os recursos na rede da

companhia, os recursos de cada departamento na companhia podem ser

organizados dentro de uma unidade organizacional. Cada unidade

organizacional pode ser gerenciada por qualquer um naquele departamento. Da

mesma maneira, cada departamento na companhia constitui uma unidade

organizacional, e o administrador de rede pode gerenciar redes de unidades

organizacionais ao invs de recursos adicionais.

Localizao fcil de informaes: Publicar um recurso se refere a

torn-lo disponvel em uma lista de objetos de domnio, tornando fcil para os

usurios localizarem e usarem os recursos. Por exemplo, se uma impressora

instalada em um domnio publicada, os usurios podem localiz-la a partir de

uma lista de objetos do domnio e acess-la. Se a impressora no publicada,

os usurios podem ainda acess-la, mas eles tm que saber sua localizao

para ser capaz de fazer isto.

Acesso Dinmico: Aplicar uma poltica para o domnio estabelecer

como os usurios podem acessar, configurar, e usar recursos de domnio, que

consolidam o gerenciamento de recursos e segurana. Estas polticas so

aplicadas somente dentro do domnio, e no atravs da rede.

Autoridade Delegada: Os domnios permitem determinar permisses

para um administrador gerenciar objetos em um domnio inteiro ou em uma ou

mais unidades organizacionais dentro do domnio. Isto elimina a necessidade

para um nmero de administradores com larga srie de autoridades

administrativas e sobrepondo responsabilidade.

Figura 8: Demonstrao de Domnio

Fonte: Technet.Microsoft

43

4.5. RVORES E FLORESTAS

O primeiro domnio do Windows 2000 Server criado chamado

Domnio Raiz da Floresta. Domnios adicionais so adicionados ao domnio raiz

para formar a estrutura da rvore ou a estrutura da floresta, dependendo dos

requisitos de nome do domnio.

4.5.1. rvores

rvores so estruturas de hierarquia de um ou mais Domnios,

entretanto, voc pode criar um namespace para trabalhar com mltiplos

domnios em uma estrutura hierrquica.

A rvore criada quando criamos o nosso domnio, sendo o nome da

nossa rvore o mesmo nome que configuramos para o nosso domnio. Pode-se

estar criando mais de um domnio para departamentos diferentes na empresa,

por exemplo. Porm, se o mesmo administrador for administrar os domnios,

precisamos no somente de mais um domnio, como tambm um subdomnio

(child domain).

Subdomnio o um domnio que est abaixo de outro domnio na

hierarquia da rvore. Todos os domnios compartilham na rvore, informaes e

recursos, onde as funes so nicas.

Os domnios em uma rvore so unidos atravs de relaes de

confiana transitiva Kerberos bidirecional. Uma confiana significa que se o

Domnio A confia em B, e o domnio B confia em C, ento o domnio A confia no

B, e o B confia no C, e ento A confia no C. Ou seja, um domnio pertencente a

uma arvore estabelece relaes de confiana com cada domnio da arvore,

disponibilizando todos os objetos e atributos de todos os domnios da arvore.

Relaes de confiana transitivas bidirecionais so as relaes de

confiana padro nos domnios do Windows 2000. Uma confiana transitiva

bidirecional uma combinao de uma confiana transitiva e uma confiana

bidirecional.

Uma confiana transitiva significa que a relao de confiana

estabelecida para um domnio automaticamente entendida para todos os

outros domnios que confiam neste domnio. Por exemplo, o domnio

44

aluno.fatec.msft confia diretamente em fatec.msft. O domnio diretoria.fatec.msft

tambm confia diretamente em fatec.msft. Por ambas as confianas serem

transitivas, aluno.fatec.msft confia indiretamente em diretoria.fatec.msft.

Uma confiana bidirecional significa que existem dois caminhos de

segurana em direes opostas entre dois domnios. Por exemplo, o domnio

aluno.fatec.msft confia em fatec.msft em uma direo e fatec.msft confia em

aluno.fatec.msft na direo oposta. A vantagem das confianas transitivas

bidirecionais nos domnios do Windows 2000 que existe uma confiana

completa entre todos os domnios em uma hierarquia de domnios do Active

Directory. rvores vinculadas por relaes de confiana formam uma floresta.

4.5.2. Florestas

Este agrupamento hierrquico de rvores designado por floresta. As

florestas tm grande importncia na concepo e implementao fsica de

sistemas complexos, pois tratam-se de estruturas que ainda fazendo parte da

mesma organizao, possuem necessidades de segurana completamente

diferentes e cuja organizao interna igualmente diferente. Contudo, nem

todas as organizaes tm a necessidade destas estruturas lgicas complexas.

De uma forma geral quanto maior for o grau de complexidade

estrutural da organizao, maior ser a complexidade lgica da AD a

implementar e maior ser a necessidade de existncia de rvores de domnios

e florestas.

Figura 9: Demonstrao Florestas Fonte: technet.microsoft

45

4.6. CONTROLADOR DE DOMNIO

Um controlador de domnio um computador executando o Windows

2000 Server que armazena uma rplica do diretrio. Um controlador de domnio

tambm gerencia as alteraes s informaes do diretrio e replica estas

alteraes a outros controladores de domnio no mesmo domnio. Os

controladores de domnio armazenam dados do diretrio e gerenciam processos

de logon do usurio, autenticao e buscas no diretrio (FERREIRA, 2003).

Um domnio pode ter um ou mais controladores de domnio. Uma

pequena empresa que utiliza uma rede local pode precisar de apenas um

domnio com dois controladores de domnio para fornecer disponibilidade e

tolerncia a falhas, enquanto uma grande organizao com muitas localidades

geogrficas precisa de um ou mais controladores de domnio em cada

localizao para fornecer disponibilidade e tolerncia falhas.

Figura 10: Esquema de um Controlador de Domnio Fonte: Dynamic Business Sollutions, 2008

4.7. DOMAIN NAME SYSTEM - DNS

No sistema DNS, trabalhamos com nomes de domnio em vez de

endereos IP. Exemplos de nomes de domnio so: ufrn.br, yahoo.com,

dominio.com.br, pop-rn.rnp.br,etc. Como as comunicaes na Internet utilizavam

endereos IP, os nomes de domnio sero traduzidos em endereos IP, atravs

de DNS, sempre que necessrio. (COSTA, 2006).

46

Figura 11: Exemplo de consulta DNS Fonte: Revista Eletrnica PC Magazine

47

5. TECNOLOGIAS PARA AUTENTICAO VIA RADIUS

A autenticao atravs do protocolo MSCHAP v2 uma atualizao

do MS-CHAP que prov um mecanismo forte de segurana para troca de nome

de usurio e senha e na determinao de chave criptogrfica.

Com o MS-CHAP v2 o NAS envia um desafio, para o cliente, que

consiste em um identificador de sesso e um desafio arbitrrio, o cliente

responde com o nome de usurio, resposta o desafio, o desafio recebido

criptografado, um desafio par, o identificador de sesso e a senha do usurio em

formulrio criptografado, com o desafio recebido pelo servidor. J o EAP permite

um mtodo de autenticao arbitrrio, j que no faz autenticao efetivamente,

na fase 2 o EAP apenas negocia o uso do mtodo comum de autenticao.

A autenticao, efetivamente, feita apenas aps a fase 2, Durante a

fase 2 o NAS coleta os dados de autenticao e valida na sua base de dados ou

numa base central de autenticao, como um DC (Domain Controller) ou um

RADIUS. O PAP-TLS utilizado em ambiente com base em certificados digitais,

esse mtodo prov autenticao mtua, negociao de criptografia e

determinao de chave de criptografia entre o cliente e o servidor.

Criptografia para PPTP (somente est disponvel se utilizar MS-

CHAP, MS-CHAP V2 ou EAP-TLC), j o L2TP com IPSec no requer

autenticao baseada em PPP. O MPPE (Microsoft point to point encryption)

baseado no Rivest-Shamir-Adleman (RSA) e disponvel apenas para PPTP.

(Point to Point Tunneling protocol) que e o protocolo de encapsulamento de

ponto.

5.1. AUTENTICAO DE USURIOS NO ACTIVE DIRECTORY

Este subttulo tem como funo implementar um mecanismo de

segurana para autenticao em redes sem fio, atravs do AD, utilizando o

protocolo RADIUS, por meio da ferramenta IAS, possibilitando uma

administrao centralizada no gerenciamento de acessos sem fio, por meio de

uma documentao concisa de fcil acesso e simples interpretao para

implementao em qualquer ambiente.

Este tipo de configurao no servidor restringe-se a plataforma

Windows, de forma que caso necessite ou deseje utilizar a plataforma Linux, esta

configurao ser realizada na ferramenta Freeradius, de forma diferente,

48

podendo ser utilizada a parte conceitual deste trabalho para implementao na

plataforma. As principais ferramentas utilizadas para realizao deste trabalho

so: o Sistema Operacional Windows Server 2003 R2, Active Directory, Servio

de Autenticao da Internet, Internet Information Services Resources Kit 6.0 e

Windows XP Professional nos clientes.

Figura 12: Rede em conformidade para implementao do servio RADIUS Fonte: Site Fortinet

5.2. NETWORK POLICY SERVER (NPS)

Servidores e clientes com tecnologias compatveis com Network

Access Protection (NAP) e Network Policy Server (NPS) agregaro proteo

dinmica aos hosts que tentem ingressar na rede Federativa. Os hosts sero

avaliados com base nos critrios de integridade ditados pelo NPS, a fim de se

decidir sobre a liberao de acesso rede ou isolamento para possveis

remedies, a exemplo de atualizaes crticas de segurana.

Servidor NPS (Network Policy Server) que contm recursos tais como

assinaturas de antivrus e atualizaes de software. Estes recursos so usados

para manter os computadores em conformidade com as polticas de segurana

e fornecer remediao para os computadores no conformes. (FEITOSA,

SOUTO e SADOK, 2008)

49

5.3. LOCAIS USURIOS DE ALTA DENSIDADE

Swan e Dolphin Resort conhecida por fornecer uma experincia

superior aos hspedes, por isso no surpresa que uma rede sem fio robusta e

confivel foi adicionada como parte de sua renovao completa. Depois de

avaliar vrios produtos sem fio, o Swan e Dolphin Resort descobriu que o array

wireless Xirrus poderia cobrir os os 2.265 quartos de hspedes e oferecer a alta

qualidade, atendendo as exigncias de seus clientes e usando 75% menos

dispositivos, portas de switch, e lances de cabo do que qualquer outra oferta no

mercado.

O Colgio de Charleston um nacionalmente reconhecida pblica

universidade de artes liberais e cincias, localizado no corao da histrica

Charleston, Carolina do Sul. Fundado em 1770, o Colgio est entre as melhores

universidades do pas que atende alunos de todos os 50 estados os EUA e 71

outros pases. Habitantes do campus incluem 500 ilustres professores-

acadmicos, 10.000 alunos de graduao e 1.500 alunos de ps-graduao.

6. DESENVOLVIMENTO

6.1. ESTUDO DE CASO RADIUS

Neste captulo sero descritos os procedimentos experimentais

realizados para implementao de uma infraestrutura de rede sem fio em

ambiente de alta densidade de acesso com autenticao por meio do Protocolo

RADIUS consultando uma base no Active Directory (AD).

6.1.1. Problema

Escolher o Sistema Operacional a ser utilizado.

Determinar quais configuraes so apropriadas em termos de segurana e

confiabilidade.

6.1.2. Arquitetura Proposta

Abaixo tem-se uma viso geral da aplicao do servio em conjunto

com os servios de domnio e dispositivos, bem como algumas possveis

aplicaes de restrio e/ou permisso no ambiente.

50

Figura 13: Projeo da estrutura RADIUS na rede sem fio Fonte: Xirrus 2013

6.1.3. Ambiente de Testes

Configurada uma mquina virtual como segue:

1 processador utilizando 2 ncleos

1GB de RAM

40Gb de disco rgido

Placa de rede customizada no ambiente host para dedicar o uso do

hardware para a mquina virtual, mantendo somente o servio de protocolo de

ponte VMware na placa de rede, esse procedimento evita que haja

compartilhamento entre o sistema hospedeiro e a mquina virtual.

6.2. FERRAMENTA DE APOIO

6.2.1. Softwares

Windows:

Windows 8.1

Windows Server 2008 Standard Service Pack 2

6.2.2. VMware Workstation 9.0.0 build-812388

Android:

Gtech net tools

Fing

51

6.2.3. Hardware

Notebook Megaware modelo 4129

Processador i5

4GB RAM

1TB HD

Samsung S4 I9505 Android v4.3

6.2.4. Access Point

Linksys E900

6.3. INSTALAO DE SERVIO PARA AUTENTICAO RADIUS

Neste subttulo foi abordado os procedimentos experimentais

utilizados para implementao de uma rede sem fio com autenticao

centralizada usando o protocolo RADIUS.

6.3.1. Preparao

Procedimentos a serem executados no Roteador Wireless Linksys

E900:

Fazer acesso interface de configurao do roteador

Configurao do DHCP (Dynamic Host Configuration

Protocol) do Equipamento

Configurao do SSID (Service Set IDentifier) conforme

determinado no projeto

Configurao do tipo de segurana a ser utilizado nesta

rede.

Teste comunicao entre roteador e servidor de servio

Assim que executados esses procedimentos, o roteador estar pronto

para prxima etapa.

6.3.2. Configurao do Roteador

Est apresentado a seguir as fotos do roteador utilizado nos testes de

laboratrio.

52

Figura 14: Roteador Linksys E900 Face Fonte: Linksys

Figura 15: Roteador Linksys E900 - Traseira (conectores e botes) Fonte: Linksys

Para configurar o roteador, basta conect-lo a um computador usando

um cabo de rede comum (UTP- Unshielded Twisted Pair). No computador, basta

abrir o navegador de internet e digitar o endereo padro do roteador conforme

manual, em anexo, incluso na aquisio do produto ou disponvel no site do

fabricante.

53

Aps acessar o endereo exibido os campos para configurao do ISP

(Internet Service Provider), dados esses relativos ao servio de internet e a

configurao de DHCP como abaixo apresentada na figura 16.

Figura 16: Pgina inicial E900 Fonte: Autor

54

Foi utilizado o padro PPPoE para configurao de autenticao do

servio ADSL, tambm o servio DHCP do roteador visto que o servidor na

mquina virtual possui um servio de DNS (Domain Name System) e DC que

segundo orientao da Microsoft no deve ter seu uso simultneo em um mesmo

servidor. Segundo o site da Technet (http://technet.microsoft.com), quando o

servio DHCP instalado em um controlador de domnio, a configurao do

servidor DHCP com as credenciais da conta de usurio dedicada impedir de o

servidor de herdar, e, possivelmente, um mau uso do controlador de domnio.

Quando instalado em um controlador de domnio, o servio DHCP herda as

permisses do controlador de domnio de segurana e tem a autoridade para

atualizar ou excluir qualquer registro DNS que est registrado em uma zona

segura integrada ao Active Directory (isso inclui registros que foram registrados

por segurana outros computadores com o Windows 2000 ou um sistema

operacional Windows Server 2003, incluindo controladores de domnio).

Mudamos para a aba sem fios onde foi inserido os dados referentes s

definies da rede sem fio, como nome, tipo, canal, propagao.

Figura 17: Configurao de identificao de rede sem fio (SSID) Fonte: Autor

55

Figura 18: Definies de segurana da rede sem fio Fonte: Autor

6.3.3. Configurao do Servidor

Foi utilizado o Sistema Operacional Windows Server 2008 Standard e

nele habilitado os seguintes servios:

AD (Active Directory Domain Services)