1
SISTEMA DE SEGURANÇA SEM FIO PARA O POP-PI/RNP
Bolsista: Vinícius Pires de Moura Freire Orientador: Carlos Giovanni Nunes de Carvalho Coodenador: Nathan Franklin Saraiva de Sousa
Teresina Dezembro/2007
2
SUMÁRIO
1.0 RESUMO DO PROJETO......................................................................................................................6
2.0 JUSTIFICATIVA DE EXECUÇÃO DO PROJETO......................................................................................7
3. OBJETIVOS E METAS...........................................................................................................................8
4.0 SISTEMA IMPLANTADO ATERIORMENTE..........................................................................................9
4.1 WEP....................................................................................................................................................9 4.1.1 PROBLEMAS BEM DOCUMENTADOS DO WEP ...........................................................................9
4.2 ACESS POINT LINKSYS WAP55AG .....................................................................................................11 4.3 FERRAMENTAS PARA REDES SEM FIO ..............................................................................................13
4.3.1 KISMET .....................................................................................................................................13 4.3.2 AIRODUMP-NG.........................................................................................................................15 4.3.3 AIRCRACK-NG...........................................................................................................................15 4.3.4 AIREPLAY-NG............................................................................................................................16
5.0 SISTEMAS DE SEGURANÇA .............................................................................................................17
5.1 FERRAMENTAS UTILIZADAS NA SOLUÇÃO ESCOLHIDA ....................................................................17 5.1.1 SISTEMA OPERACIONAL ...........................................................................................................17 5.1.2 IPTABLES ..................................................................................................................................17 5.1.3 WIFIDOG ..................................................................................................................................18 5.1.4 POSTGRESQL ............................................................................................................................19 5.1.5 FREERADIUS .............................................................................................................................19 5.1.6 APACHE ....................................................................................................................................20 5.1.7 PHP...........................................................................................................................................20 5.1.8 PHPPGADMIN ..........................................................................................................................21
6.0 RESULTADOS..................................................................................................................................22
7.0 DIFICULDADES ENCONTRADAS.......................................................................................................24
ANEXOS ...............................................................................................................................................25
ANEXO 1 – TUTORIAL PARA INSTALAÇÃO DO SISTEMA DE SEGURANÇA WIRELESS UTILIZANDO WIFIDOG E FREERADIUS.......................................................................................................................25
INSTALAÇÃO DO SERVIDOR DE BANCO DE DADOS ................................................................................25 PREPARANDO O DEBIAN PARA A INSTALAÇÃO DO WIFIDOG-AUTH ......................................................26 CONFIGURANDO O AUTH SERVER .........................................................................................................27 CONFIGURANDO O POSTGRESQL ..........................................................................................................30 CONTINUAÇÃO DA INSTALAÇÃO DO WIFIDOG-AUTH............................................................................34 INSTALAÇÃO DO WIFIDOG GATEWAY....................................................................................................47
DHCP .................................................................................................................................................51 WIFIDOG-GATEWAY..........................................................................................................................52 AUTENTICAÇAO RADIUS....................................................................................................................56
ANEXO 2 - TUTORIAL PARA CONFIGURAR UM SISTEMA DE ACESSO SEM FIO SEGURO UTILIZANDO WINDOWS SERVER 2003......................................................................................................................59
RESUMO.................................................................................................................................................59 AUTENTICAÇÃO PEAP-MS-CHAP V2 .......................................................................................................60
DC1....................................................................................................................................................62 IAS1 ...................................................................................................................................................76 Wireless AP .......................................................................................................................................82
3
AUTENTICAÇÃO EAP-TLS ............................................................................................................................83 DC1....................................................................................................................................................83 IAS1 ...................................................................................................................................................89 CLIENT1 .............................................................................................................................................92 13. Se as credenciais estiverem corretas, CLIENT1 será conectado à rede sem fio. ......................98
BIBLIOGRAFIA ......................................................................................................................................99
4
ÍNDICE DE FIGURAS Figura 1 - Linksys WAP55AG ....................................................................................... 11
Figura 2 - Kismet............................................................................................................ 14
Figura 3 - Airodump-ng - Capturando pacotes............................................................... 15
Figura 4 - Aircrack-ng - desvendando chave WEP ........................................................ 16
Figura 5 – Wifidog ......................................................................................................... 19
Figura 6 – Apache – Servidor Web ................................................................................ 20
Figura 7 - phpPgAdmin .................................................................................................. 21
Figura 8 - Wifidog-Auth - Primeira tela de instalação ................................................... 28
Figura 9 - Wifidog-Auth - Segunda Tela de instalação.................................................. 29
Figura 10 - phpPgAdmin - Logando pela primeira vez.................................................. 32
Figura 11 - phpPgAdmin - criando usuário .................................................................... 32
Figura 12 - phpPgAdmin - Criando usuário wifidog...................................................... 33
Figura 13 - phpPgAdmin - Criando banco de dados wifidog......................................... 33
Figura 14 - phpPgAdmin - Banco de Dados criado ....................................................... 34
Figura 15 - Wifidog-Auth - Tela 3 ................................................................................. 35
Figura 16 - Wifidog-Auth - Permissões OK................................................................... 36
Figura 17 - Dependencias do Wifidog-Auth .................................................................. 37
Figura 18 - Wifidog-Auth - Configuração de acessp ao banco de dados ....................... 44
Figura 19 - Wifidog-Auth - Tela de configurações de Linguagem ................................ 44
Figura 20 - Criando uma conta de administrador do Portal ........................................... 45
Figura 21 - Acessando o Portal de Autenticação pela Primeira vez............................... 46
Figura 22 - Menu disponível para o administrador do portal ......................................... 46
Figura 23 - Criando a rede PoP-PI no Portal .................................................................. 55
Figura 24 - Adionando novo Node................................................................................. 57
Figura 25 - Página Principal da Rede PoP-PI................................................................. 58
Figura 26 - Disposição da Infra-estrutura do Sistema .................................................... 62
Figura 27 - Editando permissões padrão do Active Directory ....................................... 65
Figura 28 - Assistente para novos escopos..................................................................... 67
Figura 29 - Assistente para novos escopos - Servidor de nomes e de domínio e DNS.. 68
Figura 30 - Modificando as permissões de Administrador para o certificado................ 70
Figura 31 - Adicionando o grupo WirelessUsers para o domínio .................................. 73
Figura 32 - Adicionando usuários no grupo WirelessUsers ........................................... 74
Figura 33 - Adicionando computadores clientes ao grupo WirelessUsers..................... 75
Figura 34 - Certificados (Computador Local) ................................................................ 77
Figura 35 - Adicionando um novo cliente RADIUS ...................................................... 79
Figura 36 - Selecionando grupos .................................................................................... 80
Figura 37 - Propriedades do certificado modelo ............................................................ 85
Figura 38 - Configurando o modelo de certificado ........................................................ 86
Figura 39 - Editor de objeto de diretiva de grupo .......................................................... 87
Figura 40 - Solicitação de certificado automática .......................................................... 88
Figura 41 - Propriedades de Configurações de registro automático............................... 89
Figura 42 - Selecionar provedores EAP ......................................................................... 90
Figura 43 - Editando SmartCard ou outro certificado .................................................... 90
5
Figura 44 - Movendo o Smartcard ou outro certificado para o primeiro da lista de provedores EAP.............................................................................................................. 91
Figura 45 - Escolhendo uma rede sem fio para conectar................................................ 93
Figura 46 - Modificando as propriedades da rede sem fio pop ..................................... 94
Figura 47 - Escolhendo o tipo de EAP para a conexão .................................................. 95
Figura 48 - Ajustando as propriedades do PEAP para a conexão .................................. 96
Figura 49 - Propriedades EAP MSCHAPv2 .................................................................. 96
Figura 50 - Propriedades finais da Conexão................................................................... 97
Figura 51 - Inserindo as credenciais registradas no Active Directory para conectar à Rede Sem Fio ................................................................................................................. 97
6
1.0 RESUMO DO PROJETO
As redes sem fio tornaram-se uma realidade e ao que tudo indica
será o futuro da Internet. Já é possível ter acesso a grande rede de
computadores através de notebooks, palms e celulares em aeroportos, cyber
cafés, no campus da universidade e até mesmo interligar matriz e filial de uma
empresa, sem a presença de cabos.
As redes sem fio têm sido amplamente utilizadas por instituições e
empresas, por disponibilizar uma instalação rápida e simples; flexibilidade,
atendendo a pontos onde cabos não podem chegar; Escalabilidade, pois
assume facilmente diversas topologias de acordo com as necessidades e
apresenta uma manutenção de baixo custo. Porém existem desvantagens em
se optar em utilizar redes Wireless. Além de a implantação ter um custo muito
elevado, devido a equipamentos ainda serem caros, as medidas que garantem
a segurança e privacidade do tráfego de informações é o principal tema em
redes sem fio. Pois os métodos existentes ainda são vulneráveis e propícios a
serem “quebrados”.
Porém os riscos que afetam a integridade e confidencialidade das
informações trocadas em redes Wireless, podem ser minimizados através da
utilização em conjunto dos métodos de segurança existentes para este tipo de
rede.
Portanto, esse trabalho de pesquisa e implementação descreve os
principais conceitos e terminologias de segurança em redes sem fio, bem como
métodos que amenizam as vulnerabilidades e ferramentas que foram
utilizadas, detalhando suas principais funcionalidades. Ao final do trabalho,
encontra-se um tutorial do Sistema de Segurança em Redes sem Fio
implementado para a infra-estrutura de LAN (Local Área Network) no Ponto de
Presença da RNP no Piauí (PoP-PI/RNP), localizado na Fundação de Amparo
à Pesquisa do Estado do Piauí – FAPEPI.
7
2.0 JUSTIFICATIVA DE EXECUÇÃO DO PROJETO
Redes sem fio ou Wireless, que provém do inglês: wire (fio, cabo),
less (sem), é uma rede onde o compartilhamento de informações entre dois ou
mais dispositivos é feita sem a utilização de cabos, ou seja, a transmissão é
feita através de ondas de rádio.
As redes sem fio estão sendo cada vez mais utilizadas para prover
conectividade, seja por oferecer taxas de transmissão comparáveis as redes
guiadas e por disponibilizar acesso pelo ar, podendo desta forma está
acessível à rede sem a necessidade de estar conectado diretamente a um
cabo. Além de ser uma tecnologia relativamente recente, muitas
vulnerabilidades podem ser encontradas e outras ainda serão descobertas
transformando-a em um ambiente potencialmente inseguro.
Nesse contexto, pessoas mal intencionadas exploram as
vulnerabilidades das redes Wireless com uso de ferramentas desenvolvidas
especificamente para esta finalidade, podendo ter acesso à rede e
comprometer os equipamentos e serviços.
Com o intuito de garantir a integridade e confidencialidade das
informações trocadas em dispositivos Wireless, um sistema de segurança em
redes sem fio é de extrema importância para poder detectar e inibir possíveis
acessos não autorizados à rede. Para tal, foram utilizadas técnicas de
criptografia e softwares de autenticação.
8
3. OBJETIVOS E METAS
Este projeto irá analisar as vulnerabilidades das redes Wireless, as
técnicas de ataques e as ferramentas mais utilizadas por pessoas mal
intencionadas para o comprometimento destas redes, tendo como objetivo
apresentar soluções necessárias para que medidas de segurança possam ser
utilizadas.
Portanto o objetivo principal desse trabalho é conhecer as
características das redes sem fio com ênfase em segurança, o que torna
possível a implantação de uma Rede Local sem fio (WLAN) no Ponto de
Presença da RNP no Piauí (PoP-PI/RNP) e o desenvolvimento de um tutorial
com estratégias de segurança para estas redes.
A meta é analisar, planejar e implementar uma rede wireless com
foco em segurança. Garantindo desta forma um ambiente propício e seguro a
troca de informações. Além de construir um tutorial completo sobre redes sem
fio, a fim de disponibilizá-lo às instituições de ensino parceiras da RNP, como
também a outras entidades públicas e privadas interessadas no assunto.
9
4.0 SISTEMA IMPLANTADO ATERIORMENTE
O sitema implantado anteriormente no POP-PI era baseado utilizava
apenas a criptografia WEP (Wired Equivalent Privacy) implementada no Acess
Point Linksys WAP55AG. Nas próximas linhas este protocolo será detalhado,
assim como suas vulnerabilidades e as características deste Ponto de Acesso.
4.1 WEP
WEP é um padrão do IEEE 802.11, ratificado em 1999. Ele foi
desenvolvido na tentativa de inserir segurança no processo de autenticação,
confiabilidade e proteção na comunicação entre dispositivos Wireless. Porém é
inseguro devido à sua arquitetura.
O algoritmo do WEP é simétrico uma vez que usa chaves
compartilhadas. As chaves criptográficas, chamadas de chaves WEP, devem
ser as mesmas no cliente e no access point.
O WEP é baseado em um processo criptográfico RC4. Ele emprega
uma chave secreta de 40 ou 104 bits que é compartilhada entre os clientes e o
access point da rede. Durante a transmissão do pacote um vetor de
inicialização (IV - Initialization Vector) de 24 bits é escolhido randomicamente e
é anexado à chave WEP para formar a chave de 64 ou 128 bits.
4.1.1 PROBLEMAS BEM DOCUMENTADOS DO WEP
Atualmente os access points de muitas redes utilizam uma simples
chave WEP que é compartilhada para todos os clientes. Com isso, a
10
integridade e o sigilo desta chave global são quase impossíveis de serem
gerenciadas.
A chave na realidade não consegue ser mantida em segredo. Como
esta chave deve ser programada em todos os dispositivos autorizados é
praticamente impraticável para redes com muitos clientes. Outro ponto
importante é a mudança desta chave. Caso necessário isso acarretaria a
modificação em todos os clientes.
Como dito anteriormente, qualquer dispositivo subtraído coloca em
risco a chave WEP global o que torna o ambiente potencialmente inseguro.
Entretanto, o maior problema com o WEP é a forma como é
concebido e utilizado. Desde que foi proposto, o algoritmo foi estudado e
inúmeras vulnerabilidades na implementação foram encontradas. A mais
conhecida é relacionada a determinados valores do IV que quando utilizados
podem fazer com que a chave WEP seja facilmente identificadas. Já chaves
com valores do IV arbitrários podem demorar algumas dezenas de minutos a
mais para serem quebradas.
Outro fator decisivo é que apesar de propor a “autenticação” e
privacidade, este algoritmo não provê de forma efetiva a autenticação de
dispositivos. Já que não suporta autenticação mútua, pois o access point não é
autenticado pelo cliente e a autenticação do cliente não consegue distinguir
dois hosts diferentes.
Dadas as vulnerabilidades da criptografia WEP, foi necessário
implementar outro sistema de segurança mais eficiente para o POP-PI.
11
4.2 ACESS POINT LINKSYS WAP55AG
Figura 1 - Linksys WAP55AG
O Acess Point adquirido pelo POP-PI para a implantação da Rede
Sem Fio foi o Dual-Band Wireless A + G Access Point da Linksys. Apesar de
possuir os padrões 802.11 A, B e G, ele deixa a desejar na segurança, pois
suporta apenas a criptografia WEP que, como já visto anteriormente, é fácil de
ser “quebrada” devido às falhas de segurança. Outra configuração de
segurança que pode ser feita no Access Point é Pre-Shared Key + RADIUS,
utilizando um servidor Radius que possui uma chave compartilhada e autentica
os usuários através de EAP-TLS ou PEAP. Esta opção deve apenas ser usada
quando um servidor RADIUS está conectado ao ponto de acesso.
Primeiramente é necessário selecionar o tipo de criptografia, TKIP ou AES.
Logo após, é necessário inserir o Endereço IP do Servidor RADIUS e o número
da porta, juntamente com a chave de autenticação compartilhada pelo ponto de
acesso e o servidor. Por último, pode-se inserir o período de renovação da
chave, que instrui o ponto de acesso a freqüência com que ele deve alterar as
chaves de criptografia. Os protocolos aqui descritos estão bem explicados no
Anexo 2.
É possível relacionar alguns pontos fracos na segurança deste ponto
de acesso:
12
• Não suporta WPA e WPA2: O Wi-Fi Protected Acess (WPA
e WPA2) foram implementados para aumentar o nível de segurança nas
redes sem fio, combatendo as vulnerabilidades da criptografia WEP.
Uma das melhores vantagens sobre o WEP é a implementação do
protocolo TKIP (Temporal Key Integrity Protocol), que troca as chaves
dinamicamente a medida que o sistema é utilizado. Quando isto se
combina com um vetor de inicialização (IV) muito maior, evita os ataques
de recuperação de chave ao qual o WEP está suscetível.
Adicionalmente à autenticação criptografada, o WPA também
melhora a integridade da informação cifrada. Ele implementa o MIC
(Message Integrity Code), também conhecido como “Michael”.
No WPA também foi inserido o EAP (Extensible Autentication
Protocol) – um modelo para autenticação dos usuários, que utilza o
padrão 802.11x e aceita vários métodos de autenticação, incluindo a
possibilidade de utilizar certificados digitais. Ele pode ser usado com
outras tecnologias, como um servidor RADIUS.
• Não suporta OpenWrt: OpenWrt é uma versão de Linux
para dispositivos embarcados como gateways residenciais. O suporte foi
originalmente limitado a série WRT54G Linksys. Os roteadores mais
populares são os da série WRT54G, WL500G e asus. OpenWrt usa,
principalmente, uma interface de linha de comando, mas também
apresenta uma interface GUI opcional baseado na Web. Existem
bastantes sistemas de segurança em redes sem fio para OpenWrt.
13
4.3 FERRAMENTAS PARA REDES SEM FIO
Durante o estudo da vulnerabilidade das redes sem fio, foram
utilizados alguns softwares específicos para as redes sem fio, desde os
programas de monitoramento das mesmas, até programas para a quebra das
chaves.
4.3.1 KISMET
Kismet é um software utilizado para detectar, monitorar e analisar
redes sem fios e seus pacotes. Ele funciona como um farejador (sniffer), pois
captura todos os pacotes da rede sem fio (802.11 a,b,g), sem estar conectado
nela. O kismet é compatível com todas as placas de rede sem fio que suportam
a modalidade de monitoração RFMON (monitor).
Além de funcionar como sniffer, este programa ainda gera dados
relacionados à localização aproximada do dispositivo monitorado. Isto é
realizado através da união das características do Kismet com um GPS. Outro
ponto favorável em relação às outras ferramentas é que automaticamente salva
todas as redes encontradas.
Ele foi utilizado no POP-PI em conjunto com o AirCrack-ng para
testar a vulnerabilidade da solução da rede sem fio que era implementada
(WEP).
14
Figura 2 - Kismet
15
4.3.2 AIRODUMP-NG
O Airodump-ng é uma ferramenta utilizada para a captura de
pacotes que trafegam na rede sem fio e é particularmente adequada para
coletar quadros IVs (vetor de inicialização do WEP) na intenção de usá-las com
o aircrack-ng.
Figura 3 - Airodump-ng - Capturando pacotes
4.3.3 AIRCRACK-NG
Aircrack é um programa de violação de chaves WEP e WPA-PSK
802.11 que pode recuperar chaves depois de capturar pacotes suficientes. Ele
implementa o ataque padrão FMS junto com alguns otimizações de ataques
conhecidas como KoreK, tornando assim o ataque muito mais rápido
comparado a outros programas de violação de WEP. Na verdade, Aircrack é
um conjunto de ferramentas de auditoria de redes sem fio. No POP-PI ele foi
16
utilizado para analisar os pacotes capturados pelo Kismet ou Airodump-ng e,
conseqüentemente, “quebrar” a chave do WEP.
Figura 4 - Aircrack-ng - desvendando chave WEP
4.3.4 AIREPLAY-NG
O Aireplay-ng é usado para injetar pacotes na rede. Sua função
principal é gerar tráfego para uso posterior no aircrack-ng para quebra de
chaves WEP e WPA-PSK.
17
5.0 SISTEMAS DE SEGURANÇA
Durante a fase de implementação do sistema de Segurança do
POP-PI foram realizados diversos testes para testar a eficiência de cada
sistema. Dentre os sistemas de segurança vistos durante o estudo estão:
Chillispot, NoCat, Wifidog (hotspots utilizando Radius), todos utilizando a
plataforma linux e um sistema implementado utilizando Windows Server 2003.
No final deste trabalho foram desenvolvidos tutoriais da instalação destes dois
últimos sistemas.
5.1 FERRAMENTAS UTILIZADAS NA SOLUÇÃO ESCOLHIDA
Nesta seção serão detalhadas as ferramentas utilizadas na solução
escolhida para o PoP-PI. Depois de descrita cada uma delas, será exposta (no
próximo capítulo) suas vantagens em relação à outra solução testada.
5.1.1 SISTEMA OPERACIONAL
O sistema operacional utilizado foi o Debian 4.0 “Etch” r0. Este S.O.
foi escolhido devido ao fato dos servidores do POP-PI já estarem configurados
nesta distribuição e terem sua eficiência comprovada, ao longo de vários anos.
5.1.2 IPTABLES
O Iptables atua como uma ferramenta de segurança, trabalhando
com filtragem de pacotes e é utilizado para criar as regras de Firewall e Nat. O
Iptables pode ser configurado para filtrar e até alterar dados empacotados, com
18
base em diversos critérios, como endereço de origem e destino de pacotes.
Com o Iptables pode-se implementar recursos no Kernel, como a ispenção de
posição de pacotes, aumentando muito a habilidade de um firewall e
consequentemente, protegendo o computador onde o mesmo foi instalado e
configurado.
5.1.3 WIFIDOG
O Wifidog é um projeto Open Source de solução de portal captivo
para aqueles que desejam operar um hotspot aberto ou rede de pontos de
acesso impedindo abuso da conexão com a Internet. O projeto foi iniciado por
Île Sans Fil e está continuamente em produção. Wifidog foi projetado para ter
um opcional controle de acesso centralizado, estatísticas de largura de banda e
conteúdo local específico para cada ponto de acesso. Ele não depende de
janelas utilizando JavaScript, portanto, ele funciona com qualquer plataforma
com um navegador Web, incluindo PDAs e telefones. Ele é desenvolvido em C
para facilitar a incorporar sistemas (foi projetado para o Linksys WRT54G, mas
é executado em qualquer plataforma Linux recente). Uma instalação Típica só
leva 30kb no I386, e uma instalação completa pode ser feita em 10 KB, se
necessário.
O Wifidog é dividido em duas partes: um servidor de autenticação
(Auth Server) codificado em PHP e usando um banco de dados PostgreSQL, e
um gateway Wifidog que se conecta ao Auth-Server utilizando as informaçoes
dadas pelos usuários do hotspot. Toda a administração e lógica estão no
servidor de autenticação e no gateway estão presentes somente as regras de
firewall para permitir ou negar acesso aos usuários.
19
Figura 5 – Wifidog
5.1.4 POSTGRESQL
O PostgreSQL é um SGBD (Sistema Gerenciador de Banco de
Dados) objeto-relacional de código aberto, com mais de 15 anos de
desenvolvimento. É extremamente robusto e confiável, além de ser
extremamente flexível e rico em recursos. Ele é considerado objeto-relacional
por implementar, além das características de um SGBD relacional, algumas
características de orientação a objetos, como herança e tipos personalizados.
A equipe de desenvolvimento do PostgreSQL sempre teve uma grande
preocupação em manter a compatibilidade com os padrões SQL92/SQL99.
5.1.5 FREERADIUS
O FreeRadius é um servidor RADIUS open source. Radius é um
protocolo amplamente empregado para disponibilizar acesso a redes com
autenticação, autorização e contabilização. Ele foi desenvolvido, originalmente
para uso em serviços de acesso discado, mas, pela sua simplicidade, eficiência
e facilidade de implementação, hoje é suportado por servidores de VPN e
acesso a redes sem fio.
RADIUS é uma tecnologia de autenticação, autorização e
contabilidade, usada para validar credenciais, autorizar certas credenciais em
20
um recurso de rede e manter registros de tempo, detalhes da conexão e
duração do acesso, respectivamente.
5.1.6 APACHE
Como o Wifidog autentica os clientes via browser, o Apache2 foi
escolhido para ser o servidor Web do sistema. O Apache vem nas principais
distribuições Linux e é um dos servidor web mais populares.
Figura 6 – Apache – Servidor Web
5.1.7 PHP
PHP é uma linguagem de programação utilizada para desenvolver
páginas dinâmicas da Web, sendo possível a sua mistura com o HTML. PHP é
acrônimo de Hypertext Preprocessor (pré-processador de hipertexto), uma
poderosa linguagem de programação open source, mundialmente utilizada,
principalmente no ambiente web.
No contexto deste trabalho, a instalação do PHP5 foi fundamental
para a realização do mesmo, pois o Wifidog e PhpPgAdmin precisam dele para
funcionar, já que suas páginas são desenvolvidas em PHP.
21
5.1.8 PHPPGADMIN
O phpPgAdmin é um script PHP que facilita várias tarefas de
gerenciamento de um servidor de bancos de dados PostgreSQL, desde a
criação de tabelas, views e execução de sentenças SQL até a criação de
usuários, etc. Para utilizar essa ferramenta, deve-se ter um servidor Apache
com suporte a PHP. A instalação do PHP deve ainda ter sido compilada com
suporte a bases PostgreSQL. Para isso, é necessário ter os pacotes php,
apache e php-pgsql instalados.
Figura 7 - phpPgAdmin
22
6.0 RESULTADOS
Como solução para o PoP-PI foi adotado um sistema de segurança
utilizando as ferramentas descritas no capítulo anterior, um tutorial de como
implementar este sistema está descrito em detalhes no Anexo 1 deste trabalho,
já o Anexo 2, contém um sistema seguro de acesso sem fio utilizando
Windows Server 2003. Cada sistema contém seus prós e contras. Abaixo são
listados os motivos da adoção do Wifidog utilizando FreeRadius no PoP-PI.
Apesar de possuir uma criptografia forte, o sistema implementado no
Windows Server 2003, possui um impasse para funcionar no PoP-PI, pois nele,
para que um Notebook, por exemplo, conecte na rede sem fio pela primeira
vez, deve obrigatoriamente logar no domínio para registrar-se no Active
Directory, e para isso ele precisa utilizar a rede cabeada do PoP, perdendo,
inicialmente a idéia de mobilidade. Como o PoP deseja disponibilizar acesso à
Internet aos visitantes, dando-lhes um login e senha, fica de mais fácil acesso
utilizar o Portal Wifidog para a autenticação dos usuários com criptografia via
radius.
Dadas as circunstancias descritas, o acesso a partir de PDA’s no
sistema do Windows Server 2003, fica bastante difícil, pois é complicado
conectar um PDA em uma rede cabeada para logá-lo no Active Directory. Esta
solução só seria viável a uma empresa que possui vários desktops e notebooks
compostos apenas com Windows XP SP 2, o que não é o caso do PoP-PI. Já o
Wifidog funciona com qualquer plataforma com um navegador Web, incluindo
PDA’s e telefones.
Uma vantagem do Wifidog, é que ele pode ser instalado nos
servidores já em funcionamento no PoP-PI, pois os mesmos utilizam de um
Sistema Operacional compatível, o Debian. Não necessitando, então, a compra
de novos servidores para estas funções específicas. Além disso, o PoP-PI não
possui licença do Windows Server 2003, o que o impossibilita de colocá-lo em
funcionamento por mais de trinta dias. Além de executar em um Sistema
23
Operacional Open Source, o Wifidog e o FreeRadius não necessitam de
pagamentos de taxas para o seu funcionamento.
Através do Wifidog, pode-se saber as estatísticas de acesso de cada
usuário, desde seu tempo de logado até seu consumo de banda. Outra fato
importante é que o portal de autenticação pode ser personalizado com um
Tema para o PoP-PI.
24
7.0 DIFICULDADES ENCONTRADAS
Durante a execução do trabalho foram encontradas diversas
dificuldades. A mais importante delas é a pouca quantidade de material
existente sobre os tipos de soluções de segurança em Redes Sem Fio. A
documentação para o Wifidog, por exemplo, não existe em português, as
línguas mais comuns são Francês e Inglês, mas nenhuma documentação é
detalhada o suficiente para tornar fácil a implantação deste sistema. Para suprir
esta dificuldade, foi elaborado um tutorial (presente no Anexo 1 deste trabalho)
para ser compartilhado com as Instituições Públicas de Ensino. Além disso,
este tutorial ficará disponível na Internet para aqueles que sentem a mesma
dificuldade.
25
ANEXOS
ANEXO 1 – TUTORIAL PARA INSTALAÇÃO DO SISTEMA DE
SEGURANÇA WIRELESS UTILIZANDO WIFIDOG E
FREERADIUS
Para a implementação dessa solução, foram utilizados os seguintes
itens de hardware:
1. Um computador IBM 1.5 Ghz, 256Mb de RAM com Debian 4.0 r.0
Etch e 2 placas de rede
2. 1 Access Point Linksys WAP55AG
A primeira coisa a ser feita é a atualização da lista de pacotes do
apt-get, para permitir que ele busque os pacotes mais atuais, quando
solicitado. O comando para atualizá-lo é:
apt-get update
O servidor de Autenticação (Wifidog Auth Server) requer o Apache e
PHP para funcionar corretamente. Pode-se instalá-los com o seguinte
comando:
apt-get install apache2 php5
INSTALAÇÃO DO SERVIDOR DE BANCO DE DADOS
A instalação de um servidor de banco de dados também é
necessária. O PostGreSQL foi selecionado para tal função. Sua versão 8.1 já
está disponível, porém foi escolhida a versão 7.4 para a implementação deste
trabalho.
26
apt-get install postgresql-7.4
Para configurar o PostgreSQL é necessário entrar editar o arquivo
postgresql.conf.
nano /etc/postgresql/7.4/main/postgresql.conf
Para habilitar conexões TCP/IP, deve-se descomentar a linha:
#tcpip_socket = false
E mudar para:
tcpip_socket = true
PREPARANDO O DEBIAN PARA A INSTALAÇÃO DO WIFIDOG-AUTH
Para instalar o Auth Server, é necessário instalar alguns pacotes:
apt-get install xml-core gettext mcrypt libapache2-mod-php5 php5-cgi
apt-get install php5-mcrypt php5-mhash php5-pgsql php-pear php5-xmlrpc
php5-curl
Para baixar a ultima versão do Wifidog-Auth é necessário,
primeiramente, instalar o Subversion:
apt-get install subversion
Já com o Subversion instalado, fica fácil baixar o Wifidog-Auth:
svn checkout https://dev.wifidog.org/svn/trunk/wifidog-auth
27
A pasta baixada dever ser movida para /var/www/ e logo após,
mudar o document root do Apache, para que quando a máquina for acessada
por um navegador, ao invés de ele abrir a página de teste do Apache , ele
passar a executar o Wifidog-Auth.
mv wifidog-auth/ /var/www/
Configuração do Apache2:
nano /etc/apache2/sites-available/default
E trocar a linha:
DocumentRoot /var/www/
Para:
DocumentRoot /var/www/wifidog-auth/wifidog
A linha que começa com RedirectMatch deve ser comentada, ela
fica por volta da linha 17.
Agora o Apache deve ser reiniciado:
/etc/init.d/apache2 restart
CONFIGURANDO O AUTH SERVER
Para instalar o Auth Server do próprio servidor, deve-se ir no
navegador web e digitar http://localhost/install.php.
Para instalar remotamente, é necessário instalar o servidor ssh,
através do comando:
28
apt-get install openssh-server less
Logo após, é necessário ir para http://dominio-do-auth-
server/install.php
Agora é só seguir as instruções da página, mas é ideal continuar a
acompanhar este tutorial, pois ele está mais bem detalhado. A Figura 8 mostra
a tela inicial acessada por install.php.
Figura 8 - Wifidog-Auth - Primeira tela de instalação
Para continuar a instalação, é necessário entrar com uma senha que
se encontra no arquivo /tmp/dog_cookie.txt. Esta é uma medida de segurança
adotada, caso alguém queira acessar o arquivo install.php. O campo username
deverá permanecer vazio, somente a senha será preenchida.
29
Figura 9 - Wifidog-Auth - Segunda Tela de instalação
Agora é necessário criar um usuário wifidog no PostgreeSql Para
ficar mais fácil a manipulação do banco de dados é interessante a instalação
do PhpPgAdmin. O download poderá ser feito em
http://phppgadmin.sourceforge.net.
Depois de concluído o download, é necessário descompactar o
arquivo e mover a pasta gerada com o nome de phpPgAdmin para
/var/www/wifidog-auth/wifidog, local onde foi definido que as páginas html do
servidor apache ficam armazenadas.
É necessário instalar o php5-pgsql, pois ele é um módulo das
funções em php que acessam o pgsql, essas funções são utilizadas pelo
phpPgAdmin
apt-get install php5-pgsql
Para acessar deve-se digitar no navegador o seu endereço:
http://localhost/phpPgAdmin
30
CONFIGURANDO O POSTGRESQL
Anteriormente o PostgreSql foi configurado para aceitar conexões
TCP/IP, agora a questão é configurá-lo para usar o método MD5 para
autenticações de clientes. Os arquivos de configuração do PostgreSQL estão
armazenados no diretório /etc/postgresql/7.4/main.
Por padrão, as credenciais de usuário não são definidas para
autenticação de cliente por MD5. Então, primeiro é necessário configurar o
servidor PostgreSQL para usar a autenticação de clientes por confiança. Para
isso, deve-se conectar a base de dados, configurar a senha e reverter a
configuração para a autenticação de clientes por MD5. Para habilitar a
autenticação de clientes por confiança, edita-se o arquivo
/etc/postgresql/7.4/main/pg_hba.conf
Todas as linhas existentes que usem a autenticação de clientes por
ident e MD5 devem ser comentadas, logo após é só adicionar a seguinte linha:
local all postgres trust sameuser
Reiniciando o servidor de banco de dados:
/etc/init.d/postgresql-7.4 restart
Assim que o servidor PostgreSQL for reiniciado com sucesso, é
essencial rodar o seguinte comando em um prompt de terminal para se
conectar ao banco de dados padrão de exemplo do PostgreSQL:
psql -U postgres -d template1
O comando acima conecta ao banco de dados template1 do
PostgreSQL como usuário postgres (Estes são usuários e bancos padrões).
Assim que conectar ao servidor PostgreSQL, aparecerá o prompt SQL. É
31
necessário executar os seguintes comandos SQL no prompt do psql para
configurar a senha para o usuário postgres.
template1=# ALTER USER postgres WITH ENCRYPTED PASSWORD
'senhaasercolocada';
Depois de configurar a senha, o arquivo
/etc/postgresql/7.4/main/pg_hba.conf deve ser editado para usar a autenticação
MD5. Deve-se comentar a linha confiança adicionada recentemente e adicionar
as seguintes linhas:
local all postgres md5 sameuser
host all all 127.0.0.1 255.255.255.255 trust
O PostgreSQL deve ser reiniciado.
Para que o PhpPgAdmin possa conectar no banco de dados, é
necessário fazer algumas modificações em suas configurações. O arquivo
/var/www/wifidog-auth/wifidog/phpPgAdmin/conf/config.inc.php deve ser
editado da seguinte forma:
$conf['servers'][0]['host'] = '';
deve ser alterado para:
$conf['servers'][0]['host'] = 'localhost';
E mudar de:
$conf['extra_login_security'] = true;
Para
$conf['extra_login_security'] = false;
32
Agora já é possível logar no phpPgAdmin com o usuário postgres e
a senha inserida nos passos anteriores.
Figura 10 - phpPgAdmin - Logando pela primeira vez
Deve-se clicar em criar usuário:
Figura 11 - phpPgAdmin - criando usuário
33
Figura 12 - phpPgAdmin - Criando usuário wifidog
E preencher os campos de acordo com o descrito abaixo:
Usuário: wifidog
Senha: wifidogtest
Seleciona-se Criar DB.
Depois de criado o usuário, deve-se logar no phpPgAdmin com o
usuário wifidog e criar o banco de dados wifidog, conforme Figura 13.
Figura 13 - phpPgAdmin - Criando banco de dados wifidog
34
Figura 14 - phpPgAdmin - Banco de Dados criado
CONTINUAÇÃO DA INSTALAÇÃO DO WIFIDOG-AUTH
Continuando a instalação do Wifidog, a próxima tela (Figura 15) é a
de verificações de permissões. Só é possível continuar a instalação depois que
nos campos Owner e Writable estiverem preenchidos com root e YES,
respectivamente.
35
Figura 15 - Wifidog-Auth - Tela 3
O portal de instalação gerou os comandos listados na Figura 15 para
executar e ficar tudo funcionando com relação às permissões. É necessário
copiar os comandos gerados e colá-los no terminal para serem executados.
Depois de executar todos os comandos, clica-se em refresh para atualizar os
dados e a tela ficará como na Figura 16.
36
Figura 16 - Wifidog-Auth - Permissões OK
Clica-se no botão Next.
A tela exibida agora é a tela de instalação de pacotes necessários
para acrescentar recursos ao Wifidog-Auth. Ela mostra o componente
necessário, o seu tipo, o status (se está instalado ou não) e uma breve
descrição, além de algumas sugestões de como instalar cada um. A Figura 17
representa esta tela.
37
Figura 17 - Dependencias do Wifidog-Auth
O portal dá as dicas para instalar as dependências, por exemplo, no
mcrypt, que é necessário ser instalado para quem quer usar autenticação
Radius, ele dá a seguinte dica:
“Para instalar pacotes de extensão php, é necessário ver pacotes
com nomes similares no gerenciador de pacotes da distribuição utilizada”.
Neste caso, utilizando o Debian, é possível pesquisar os pacotes do apt-get
através do comando apt-cache search “nomedopacote”.
O portal também dá a dica de utilizar o comando:
sudo apt-get install php5-mcrypt
Após instalar uma extensão php é necessário reiniciar o Apache. As
instruções do portal do wifidog devem ser seguidas para instalar os pacotes
necessários para a personalização do portal.
38
A autenticação Radius será usada nesta solução, logo, o freeradius
e as dependências relacionadas à autenticação para o portal deverão ser
instaladas. Elas são: mcrypt, mhash, xmlrpc, radius, Auth_RADIUS e
Crypt_CHAP. Os comandos para instalar estas dependências serão listadas a
seguir:
Freeradius:
apt-get install freeradius
Mcrypt:
apt-get install php5-mcrypt
Xmlrpc:
apt-get install php5-xmlrpc
Radius (peclStandard): Para instalar o Radius-1.2.5 é necessários instalar
antes o php5-dev através do comando
apt-get install php5-dev
Após instalar o pacote, pode-se instalar o Radius (peclStandard) através do
comando:
pecl install radius
Ao final da instalação é dado o aviso de que é necessário adicionar
“extension=radius.so” em php.ini localizado em /etc/php5/apache2/php.ini
/etc/init.d/apache2 restart
Auth_RADIUS: Deve-se clicar no link Auth_RADIUS correspondente à coluna
“Component” para ser encaminhado ao website onde será possível fazer o
39
download do pacote. Logo após deve-se renomear a pasta em que se encontra
o arquivo RADIUS.php para Auth e copiá-la para /var/www/wifidog-auth/wifidog
ou para /usr/share/php.
cp -R Auth /usr/share/php
Para instalar o Crypt pode-se proceder da mesma maneira do
Auth_Radius, como está descrito na coluna “Information”. Ou apenas baixando
o arquivo do site (link na coluna “Component”) e utilizar o comando:
pear install Crypt_CHAP-1.0.1.tgz
onde Crypt_CHAP-1.0.1.tgz é o nome do arquivo baixado do site.
Para os demais pacotes pearStandard instala-se da mesma
maneira.
Algumas outras dependências:
apt-get install php-pear
pear install XML_RPC
cd /tmp
wget http://ufpr.dl.sourceforge.net/sourceforge/phlickr/Phlickr-0.2.7.tgz
Para instalar é só ir diretamente até a página do mesmo:
http://drewish.com/projects/phlickr/ e fazer o download.
Antes de instalar o Phlicker, é necessário instalar o php5-curl
apt-get install php5-curl
pear install Phlickr-0.2.7.tgz
rm Phlickr-0.2.7.tgz
40
Abaixo se encontra toda a lista de Dependências do Wifidog-Auth.
Component
Click for the
component's website
Type Status Information
mbstring phpExtension OK Description: Required for core auth-server and RSS support
session phpExtension OK Description: Required for core auth-server
pgsql phpExtension OK Description: Required for auth-server to connect to
Postgresql database
Smarty localLib OK Description: Required for all parts of wifidog
simplepie localLib OK
Description: SimplePie is a dependency that provides an
RSS parser in PHP. It is required for RssPressReview. It is is
recommended to install it, if you do not, RSS feed options will
be disabled.
jpgraph localLib OK
Description: JpGraph is a Object-Oriented Graph creating
library for PHP. JpGraph is not currently used by Wifidog (it
will be use for statistic graphs in a later version). You can
skip this installation if your not a developper.
feedpressreview localLib OK
Description: Feed Press Review allows your athentication
server to produce RSS Feeds. It is recommended that it is
installed. If it is not installed, the RSS feed options will be
disabled.
gettext phpExtension OK Description: Almost essential: Without gettext, the auth-
server will still work, but you will loose internationalization
dom phpExtension OK Description: Required to export the list of HotSpots as a RSS
feed and for the geocoders
libxml phpExtension OK Description: Required to export the list of HotSpots as a RSS
feed and for the geocoders
mcrypt phpExtension OK Description: Required by the optional Radius
Authenticator
mhash phpExtension OK Description: Required by the optional Radius Authenticator
xmlrpc phpExtension OK Description: Required by the optional Radius Authenticator
ldap phpExtension OK Description: Required by the optional LDAP Authenticator
xml phpExtension OK Description: Required for RSS support
curl phpExtension OK Description: Allows faster RSS support and required if you
want to use Phlickr
gd phpExtension OK Description: Required if you want to generate graphical
statistics
xsl phpExtension OK Description: Required if you want to generate a node list
using XSLT stylesheets
41
radius peclStandard OK Description: Required by the optional Radius Authenticator
FCKeditor localLib Warning
Description: Required by content type FCKEditor (WYSIWYG
HTML)
Detection message: File /var/www/wifidog-
auth/wifidog/lib/FCKeditor/fckeditor.php not found
To install: Sorry, i couldn't find the source for FCKeditor in
installSourceUrl
FPDF localLib Warning
Description: Required if you want to be able to export the
node list as a PDF file
Detection message: File /var/www/wifidog-
auth/wifidog/lib/fpdf/fpdf.php not found
To install: Sorry, i couldn't find the source for FPDF in
installSourceUrl
php-openid localLib OK Description: Required for OpenID support (both as a
consumer and Identity provider)
gmp phpExtension Warning
Description: Required for good OpenID support (otherwise,
BCmath will be used, which is MUCH slower)
To install: To install this standard PHP extension, look for a
package with a similar name in your distribution's package
manager. Ex: For Debian based distributions, you may try
'sudo apt-get install php5-gmp'
BCmath phpExtension OK Description: Required for OpenID support, but ONLY if GMP
above is not available
Auth_RADIUS pearStandard Warning
Description: Required by the optional Radius Authenticator
Detection message: File Auth/RADIUS.php not found in
/var/www/wifidog-
auth/wifidog:.:/usr/share/php:/usr/share/pear
To install: Sorry, I don't know how to install a pearStandard
extension
Crypt_CHAP pearStandard Warning
Description: Required by the optional Radius Authenticator
Detection message: File Crypt/CHAP.php not found in
/var/www/wifidog-
auth/wifidog:.:/usr/share/php:/usr/share/pear
To install: Sorry, I don't know how to install a pearStandard
extension
Cache pearStandard Warning
Description: Required if you want to turn on the experimental
USE_CACHE_LITE in config.php
Detection message: File Cache/Lite.php not found in
/var/www/wifidog-
auth/wifidog:.:/usr/share/php:/usr/share/pear
To install: Sorry, I don't know how to install a pearStandard
extension
HTML_Safe pearStandard Warning Description: Optional for content type Langstring (and
subtypes) to better strip out dangerous HTML
42
Detection message: File HTML/Safe.php not found in
/var/www/wifidog-
auth/wifidog:.:/usr/share/php:/usr/share/pear
To install: Sorry, I don't know how to install a pearStandard
extension
Image_Graph pearStandard Warning
Description: Required if you want to generate graphical
statistics
Detection message: File Image/Graph.php not found in
/var/www/wifidog-
auth/wifidog:.:/usr/share/php:/usr/share/pear
To install: Sorry, I don't know how to install a pearStandard
extension
Image_Canva
s pearStandard Warning
Description: Required if you want to generate graphical
statistics
Detection message: File Image/Canvas.php not found in
/var/www/wifidog-
auth/wifidog:.:/usr/share/php:/usr/share/pear
To install: Sorry, I don't know how to install a pearStandard
extension
Image_Color pearStandard Warning
Description: Required if you want to generate graphical
statistics
Detection message: File Image/Color.php not found in
/var/www/wifidog-
auth/wifidog:.:/usr/share/php:/usr/share/pear
To install: Sorry, I don't know how to install a pearStandard
extension
Phlickr pearCustom OK Description: Required by content type FlickrPhotostream
43
Pacotes alternativos:
• Ldap:
apt-get install php5-ldap
• Gd:
apt-get install php5-gd
• Xsl:
apt-get install php5-xsl
• Cache:
Baixa-se do link disponível nas dependências e usa-se o comando:
pear install Cache-1.5.5RC4.tgz
• FCKeditor:
Baixa-se o arquivo compactado, descompacta-se e copia a pasta
FCKeditor contendo o arquivo fckeditor.php para a pasta lib do Wifidog-
Auth.
cp -R FCKeditor /var/www/wifidog-auth/wifidog/lib/
• FPDP:
Baixa-se o arquivo compactado, descompacta-se e copia a pasta fpdf
contendo o arquivo fpdf.php para a pasta lib do Wifidog-Auth.
cp -R fpdf /var/www/wifidog-auth/wifidog/lib/
HTML_Safel: Para instalá-lo é necessário instalar antes o pacote
XML_HTMLSax3, disponível no site http://pear.php.net/package
44
Image_Graph: o pacote Image_Canvas deve ser instalado antes do
Image_Graph, ao contrário não será possível a instalação.
Se no futuro for preciso instalar mais um pacote é possível voltar
para essa tela de dependências através do portal.
Próxima etapa: clicar em Refresh e logo após em Next.
A próxima tela é a configuração de acesso ao banco de dados. Esta
etapa já foi feita nos passos anteriores. Logo, basta clicar em Next. O resultado
tem que ser “Sucesso na Conexão.
Figura 18 - Wifidog-Auth - Configuração de acessp ao banco de dados
Figura 19 - Wifidog-Auth - Tela de configurações de Linguagem
45
A Figura 19 representa a tela de configuração da Linguagem do
portal de autenticação. Neste caso a preferência foi por Português do Brasil
(Brazillian Portuguese). Antes de clicar em Next, é necessário instalar o suporte
a multi-locales.
apt-get install locales-all
Figura 20 - Criando uma conta de administrador do Portal
Após configurar a linguagem do portal, é necessário criar uma conta
de administrador para o mesmo. A Figura 20 representa a criação desta conta.
Depois de completar todos estes passos, já é necessário acessar o
portal. Para isto basta digitar no navegador o endereço IP do servidor de
autenticação, ou se estiver acessando dele, basta digitar localhost. A Figura
21 representa bem o primeiro acesso ao portal de autenticação do Wifidog.
46
Figura 21 - Acessando o Portal de Autenticação pela Primeira vez
Para conectar ao portal pela primeira vez, basta clicar em Conectar
e digitar o nome de usuário (admin) e senha criados. Uma vez conectado, o
administrador do portal poderá configurar todo o processo de autenticação do
portal e suas características extras. Algumas delas serão detalhadas no
decorrer do tutorial.
Figura 22 - Menu disponível para o administrador do portal
47
O portal foi instalado corretamente, agora deve-se copiar o arquivo
install.php para uma pasta que não seja de acesso público. Se o arquivo
continuar no local onde está, o sistema se tornará vulnerável a ataques.
cd /var/www/wifidog-auth/wifidog
mv install.php ../install.php
INSTALAÇÃO DO WIFIDOG GATEWAY
Antes de colocar o Wifidog Gateway para funcionar, é necessário
certificar-se de ter um Proxy usando iptables. No próximo quadro de comandos,
segue a descrição do arquivo proxy.sh. É importante se certificar de que após
executado o script (proxy.sh) seja possível conectar à Internet por uma
interface sem fio ou por outro computador da rede cabeada, colocando no
mesmo um IP da mesma faixa e com o gateway sendo a máquina que o Proxy
foi executado. Não pode-se esquecer de colocar também o endereço de DNS
na máquina que fará acesso à internet. Somente depois que seja possível
navegar, pode-se concluir que o Proxy está correto e que já é possível seguir
com a instalação do Wifidog Gateway. Apesar do script está em Inglês, é fácil
compreendê-lo e ajustar os parâmetros. Eles devem ser modificados com
atenção, pois cada caso é um caso.
#!/bin/sh
# IPTABLES PROXY script for the Linux 2.4 kernel.
# This script is a derivitive of the script presented in
# the IP Masquerade HOWTO page at:
# www.tldp.org/HOWTO/IP-Masquerade-HOWTO/firewall-examples.html
# It was simplified to coincide with the configuration of
# the sample system presented in the Guides section of
# www.aboutdebian.com
#
48
# This script is presented as an example for testing ONLY
# and should not be used on a production proxy server.
#
# PLEASE SET THE USER VARIABLES
# IN SECTIONS A AND B OR C
echo -e "\n\nSETTING UP IPTABLES PROXY..."
# === SECTION A
# ----------- FOR EVERYONE
# SET THE INTERFACE DESIGNATION FOR THE NIC CONNECTED TO YOUR INTERNAL
NETWORK
# The default value below is for "eth0". This value
# could also be "eth1" if you have TWO NICs in your system.
# You can use the ifconfig command to list the interfaces
# on your system. The internal interface will likely have
# have an address that is in one of the private IP address
# ranges.
# Note that this is an interface DESIGNATION - not
# the IP address of the interface.
# Enter the internal interface's designation for the
# INTIF variable:
INTIF="eth0"
# SET THE INTERFACE DESIGNATION FOR YOUR "EXTERNAL" (INTERNET) CONNECTION
# The default value below is "ppp0" which is appropriate
# for a MODEM connection.
# If you have two NICs in your system change this value
# to "eth0" or "eth1" (whichever is opposite of the value
# set for INTIF above). This would be the NIC connected
# to your cable or DSL modem (WITHOUT a cable/DSL router).
# Note that this is an interface DESIGNATION - not
# the IP address of the interface.
49
# Enter the external interface's designation for the
# EXTIF variable:
EXTIF="eth1"
# ! ! ! ! ! Use ONLY Section B *OR* Section C depending on
# ! ! ! ! the type of Internet connection you have.
# === SECTION B
# ----------- FOR THOSE WITH STATIC PUBLIC IP ADDRESSES
# SET YOUR EXTERNAL IP ADDRESS
# If you specified a NIC (i.e. "eth0" or "eth1" for
# the external interface (EXTIF) variable above,
# AND if that external NIC is configured with a
# static, public IP address (assigned by your ISP),
# UNCOMMENT the following EXTIP line and enter the
# IP address for the EXTIP variable:
EXTIP="200.137.160.139"
# === SECTION C
# ---------- DIAL-UP MODEM, AND RESIDENTIAL CABLE-MODEM/DSL (Dynamic IP) USERS
# SET YOUR EXTERNAL INTERFACE FOR DYNAMIC IP ADDRESSING
# If you get your IP address dynamically from SLIP, PPP,
# BOOTP, or DHCP, UNCOMMENT the command below.
# (No values have to be entered.)
# Note that if you are uncommenting these lines then
# the EXTIP line in Section B must be commented out.
#EXTIP="`/sbin/ifconfig ppp0 | grep 'inet addr' | awk '{print $2}' | sed -e 's/.*://'`"
50
# -------- No more variable setting beyond this point --------
echo "Loading required stateful/NAT kernel modules..."
/sbin/depmod -a
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack_irc
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_nat_irc
echo " Enabling IP forwarding..."
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddr
echo " External interface: $EXTIF"
echo " External interface IP address is: $EXTIP"
echo " Loading proxy server rules..."
# Clearing any existing rules and setting default policy
iptables -P INPUT ACCEPT
iptables -F INPUT
iptables -P OUTPUT ACCEPT
iptables -F OUTPUT
iptables -P FORWARD DROP
iptables -F FORWARD
iptables -t nat -F
# FWD: Allow all connections OUT and only existing and related ones IN
iptables -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT
51
# Enabling SNAT (MASQUERADE) functionality on $EXTIF
iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
echo -e " Proxy server rule loading complete\n\n"
# Chris's rule to stop port 22 traffic
iptables -A INPUT -p tcp -i $INTIF --dport 22 -j DROP
Agora é necessário copiar o arquivo proxy.sh para
/etc/init.d/proxy.sh, mudar sua permissão e fazer com que ele seja executado
sempre que o Debian reiniciar.
DHCP
O Debian utilizado para a instalação do Wifidog Gateway, deve ser
também um servidor DHCP. Para isto, é necessário instalar o DHCPD e
configurá-lo. O comando para instalá-lo é:
apt-get install dhcp
Quando o DHCP estiver instalado, deve-se pará-lo para mudar suas
configurações:
/etc/init.d/dhcp stop
É necessário selecionar a placa de rede que o servidor DHCP vai
utilizar e selecionar um intervalo de endereços IP e outras informações da rede
para serem dadas aos PC’s clientes. para serem dados aos clientes.
Para alterar a interface de rede que o servidor DHCP irá operar, é
preciso editar o arquivo /etc/init.d/dhcp, a variável para editar chama-se
INTERFACES (o valor padrão pode estar correto):
52
# Defaults
INTERFACES="eth0"
A interface configurada em /etc/default/dhcp deve receber o mesmo
valor em /etc/init.d/dhcp, ela deve ser a interface correspondente à Intranet.
Para mudar as configurações do servidor DHCP é necessário editar
o arquivo /etc/dhcpd.conf. Após o quadro, está sendo explicado o que
significa cada valor nestas configurações.
subnet 10.10.10.0 netmask 255.255.255.0 {
range 10.10.10.10 10.10.10.30;
option domain-name-servers 200.137.160.130;
option routers 10.10.10.159;
option subnet-mask 255.255.255.0;
option broadcast-address 10.10.10.255;
default-lease-time 600;
max-lease-time 7200;
}
WIFIDOG-GATEWAY
Resolvida a questão do Proxy e o dhcp tendo um perfeito
funcionamento, pode-se instalar o Wifidog Gateway. Para isso basta navegar
até a pasta /usr/src/ e gravar uma cópia do Wifidog-gateway, disponível em
http://sourceforge.net/project/. A cópia vem compactada, para descompactar e
instalar, executa-se os seguintes comandos:
gunzip wifidog-1.1.4.tar.gz
tar -xvf wifidog-1.1.4.tar.
53
./configure
make
make install
Depois de instalado, é necessário alterar o arquivo wifidog.conf.
Nele encontram-se vários parâmetros que precisam ser preenchidos para que
o Wifidog-Gateway seja configurado corretamente. Os principais parâmetros
são listados abaixo:
� GatewayID: Geralmente recebe o endereço MAC do Ponto de
Acesso. Além de ser configurado no wifidog.conf, deve existir um node
configurado no portal de autenticação com este mesmo GatewayID. Este
identificador irá identificar o hotspot.
� ExternalInterface: É a interface externa, ou seja, a que está
conectada à internet e isolada da rede Interna.
� GatewayInterface: É o endereço de IP do gateway.
� AuthServer: Configura o Servidor de Autenticação. No campo
Hostname, deve ficar o endereço IP do Wifigog-Auth. E no campo Path,
deve ser colocada a pasta onde o Auth-Server está localizado, com
relação o DocumentRoot do Apache.
� CheckInterval: É o intervalo em segundos que o Wifidog irá
verificar se o cliente ainda está disponível e atualizará o Serviço de
autenticação central com estatísticas de cliente. Com muitos clientes e
pontos de acesso pode-se gerar um uma quantidade razoável de carga
para o auth-server. Aumentar CheckInterval para um valor como 120, ou
180 segundos deve ser razoável. O padrão é 60 segundos.
� ClientTimeout: Se após (ClientTimeout * CheckInterval)
segundos o cliente não deu sinal de resposta, ele será deslogado. Com
54
CheckInterval definido como 60 segundos, isso equivale a 5 minutos. Se
você tiver alterado CheckInterval para um maior tempo limite (como 120
segundos) talvez deva reduzir o ClientTimeout para algo como 2 ou 3.
� FirewallRuleSet: Regras de Firewall para os usuários. Eles são
divididos em:
■ FirewallRuleSet global: Usado para aplicar regras de
firewall para todos os usuários.
� Exemplo: FirewallRule allow tcp port 80 to
200.137.160.130 (permite acesso ao site da FAPEPI)
■ FirewallRuleSet validating-users: Utilizado para aplicar
regras para usuários que estão se cadastrando por e-mail. Este
tipo de usuário não será utilizado no PoP-PI.
■ FirewallRuleSet known-users: Regras aplicadas a
usuários conhecidos, ou seja, aqueles cadastrados no sistemas e
logados no site.
� Exemplo: FirewallRule allow to 0.0.0.0/0
■ FirewallRuleSet unknown-users: Regras aplicadas à
usuários não conhecidos, ou seja, aqueles que não estão logados
no hostpot.
� Exemplo:
FirewallRuleSet unknown-users {
FirewallRule allow udp port 53
FirewallRule allow tcp port 53
FirewallRule allow udp port 67
55
FirewallRule allow tcp port 67
}
■ FirewallRuleSet locked-users: Regras aplicadas somente
à usuário bloqueados no sistema.
O arquivo wifidog.conf deve ser movido para
/usr/local/etc/wifidog.conf.
Agora deve-se ir até o portal de autenticação, logar-se e clicar em
Administração de Rede e editá-la. Como mostra a figura.
Figura 23 - Criando a rede PoP-PI no Portal
56
AUTENTICAÇAO RADIUS
A parte mais importante quando se cria a rede é Nework
Authentication, pois é nela que é configurada a autenticação da Rede. Ela
pode ser sem criptografia (local), utilizando LDap ou utilizando Radius (este foi
o adotado pelo PoP-PI).
Para configurar a autenticação via RADIUS, deve-se primeiramente
configurar o freeradius.No arquivo /etc/freeradius/clients.conf ,deve-se
adicionar um cliente com o ip do servidor. Ex:
# Definicao do cliente 10.10.10.159
client 10.10.10.159 {
secret = testing123 #segredo do radius
shortname = hotspot #nome da máquina
nastype = other
}
No arquivo /etc/freeradius/users, deve-se adicionar um usuário (o
admin) com os mesmos valores configurados no wifidog.
Para testar se está funcionando basta utilizar o comando radtest,
que possui os seguintes parâmetros:
radtest usuario senha servidor:porta portaNas segredoradius
Onde:
usuário, senha - login do usuário e senha;
servidor - endereço ip ou FQDN do servidor radius;
portaauth - porta no SERVIDOR onde o serviço radius atende solicitações de
autenticação;
57
portaNas - porta do NAS, pode ser uma porta eletrônica (número do modem)
ou virtual, apenas para controle. Para testes, coloca-se qualquer valor
numérico.
segredoradius - quando faz uma solicitação de autenticação, o endereço ip tem
que estar cadastrado no arquivo clients.conf do servidor num par de
IP/segredo. O IP será descoberto pelo servidor através do parâmetro NAS-IP-
Address, o segredo você tem que ser informado neste parâmetro.
Voltando à criação da Rede PoP-PI no portal, em Network
Authenticator class, seleciona-se AuthenticatorRadius. Qualquer dúvida nos
parâmetros, é só ver quais os parâmetros do arquivo
AuthenticatorRadius.php que disponível no wifidog-auth. No caso do PoP-PI,
os parâmetros adotados foram: ‘default-network’,
’10.10.10.159’,1812,1813,’chavesecreta’,’CHAP_MD5’.
Também é possível dizer qual a latitude e longitude do local, para
que seja possível visualizar o local exato através de fotos de satélite. O
endereço para descobrir a latitude e a longitude de qualquer local é
http://www.itouchmap.com/?r=v&st=l2
Figura 24 - Adionando novo Node
Um novo node deve ser adicionado para que o wifidog funcione
corretamente. Para isso, deve-se clicar em Administração de nós e Editar, O
58
GatewayID deve ser o mesmo configurado no arquivo wifidog.conf, ou senha o
endereço MAC do Access Point.
Figura 25 - Página Principal da Rede PoP-PI
A partir de agora, todo login pode ser feito através de autenticação
Radius.Para testar testar o Wifidog-Gateway, pode-se utilizar o seguinte
comando:
wifidog –f –d 7
A partir do momento que estiver utilizando o wifidog-gateway, todo
cliente que se conectar na rede sem fio, será redirecionado para a página
mostrada na Figura 25 e suas permissões atenderão ao que está permitido ou
bloqueado nas regras de firewall implementadas no arquivo wifidog.conf.
59
ANEXO 2 - Tutorial para Configurar um Sistema de Acesso Sem
Fio Seguro Utilizando Windows Server 2003
RESUMO
Este guia descreve como configurar um Sistema de Acesso Seguro
Sem Fio através do padrão IEEE 802.1X empregando os seguintes protocolos
de autenticação: Protected Extensible Authentication Protocol (PEAP),
Microsoft Challenge-Handshake Authentication Protocol versão 2 (MSCHAP
v2) e o Extensible Authentication Protocol-Transport Layer (EAP-TLS) em um
Sistema usando um access point (AP) e três computadores. Dos três
computadores, um será o Cliente sem fio (Wirelesss Client); um será o
controlador de domínio (Domain controller) que também será a Autoridade de
Certificação (CA), o servidor DHCP (Dynamic Host Configuration protocol) e o
servidor de DNS (Domain Name System) e o último será um servidor de
Serviço de Autenticação da Internet (IAS) que atuará como um servidor de
Autenticação remota Dial-In de Serviço de usuário (RADIUS - Remote
Authentication Dial-In User Service).
60
Este guia provê informação detalhada sobre como é possível utilizar três
computadores e um ponto de acesso (Access point - AP) para criar um sistema
que configure e teste a segurança do acesso Sem fio utilizando os seguintes
Sistemas Operacionais: o Microsoft® Windows® XP Professional, service Pack
2 (SP2) e a versão de 32 bits do Windows Server™ 2003, Service Pack 1
(SP1).
Neste tutorial é apresentado um passo a passo através da
configuração requerida pelos protocolos de Autenticação: Protected Extensible
Authentication Protocol com o Microsoft Challenge-Handshake Authentication
Proto1col second Version (PEAP-MS-CHAP v2), em seguida são apresentados
os passos para autenticação do EAP-TLS.
Este Tutorial foi baseado no guia da Microsoft Corp®: Step-by-Step
Guide for Setting Up Secure Wireless Access in a Sistema, publicado em abril
de 2005.
Nota:
As instruções que seguem são para a configuração de um sistema
usando um número de computadores mínimo. Computadores individuais são
necessários para separar os serviços oferecidos na rede e mostrar claramente
a funcionalidade desejada. Porém este teste foi feito com um computador
utilizando duas máquinas virtuais com Windows Server 2003 e um computador
com Windows XP SP 2, para economizar no número de computadores.
AUTENTICAÇÃO PEAP-MS-CHAP v2
A infra-estrutura para um Sistema de rede sem fio consiste em três
computadores trabalhando da seguinte forma:
• Um computador rodando o Microsoft Windows Server 2003 com o
Service Pack 1 (SP1), Enterprise Edition, chamado DC1 que atuará como:
servidor DNS, servidor DHCP e Autoridade de certificação (CA).
61
• Um computador rodando o Microsoft Windows Server 2003 SP1, Standard
Edition, chamado IAS1 que atuará como um servidor de Autenticação
(RADIUS) remota de usuário.
• Um computador rodando Windows XP Professional with SP2, chamado
CLIENT1 que atuará como um Cliente sem Fio.
Antes de começar:
Ao instalar o Windows Server 2003, SP1 em cada servidor desse
sistema é necessário instalar também o Firewall do Windows, que será
colocado desativado, como padrão. Após o IAS ser configurado, deverá ser
ativado e configurado o Firewall do Windows atentando-se para as exceções
na comunicação entre computadores da rede. No controlador de domínio, o
Firewall do Windows pode ficar desativado. Em cada computador cliente, o
Firewall do Windows é ativado automaticamente quando o Windows XP SP2 é
instalado. O Firewall irá permanecer ativado em cada computador cliente.
Além disso, deve-se ter certeza de que há um ponto de rede sem fio (Access
Point - AP) conectado ao segmento de rede local para clientes sem fio. O
Firewall do AP é controlado por softwares manufaturados. Por causa desse tipo
de sistema, não se deve ativar o Firewall do AP.
Importante:
Antes de configurar o sistema, deve-se ter certeza de que foram
baixados os mais recentes drivers para adaptadores sem fio no CLIENT1 para
garantir que a performance do adaptador ocorra corretamente enquanto estiver
rodando no Windows XP Professional com SP2.
A figura abaixo apresenta a disposição do Sistema:
62
Figura 26 - Disposição da Infra-estrutura do Sistema
O sistema de rede sem fio representa o segmento de rede de uma
Intranet. Todos os computadores da intranet, incluindo o Access Point, estão
conectados por um Hub comum ou um switch de duas camadas. Endereços
privados de 172.16.0.0/24 são usados no segmento de rede da intranet.
CLIENT1 obtêm o endereço IP usando o DHCP. As próximas seções
descrevem como configurar cada um dos componentes do sistema. Para criar
este sistema, configuram-se os computadores na ordem apresentada.
DC1
DC1 é um Computador executando Windows Server 2003 com SP1,
Enterprise Edition, que está executando as seguintes funções:
• Um controlador de domínio para o domínio exemplo.com
• Um servidor DNS para o domínio exemplo.com
63
• Um servidor DHCP para o segmento de rede da intranet
• A autoridade de CERTIFICAÇÃO para o domínio exemplo.com
Nota:
O Windows Server 2003 com SP1, Enterprise Edition, é usado de
modo que a certificação automática do usuário e das estações de trabalho pela
autenticação EAP-TLS possam ser configuradas. Isto é descrito na seção
“Autenticação EAP-TLS” deste tutorial. A certificação automática e a renovação
automática facilitam a implantação de certificados e proporcionam a segurança
através de uma expiração e renovação automática de certificados.
Para configurar o DC1 para estes serviços, realizam-se os seguintes passos:
Instalação e configuração básica
1. Instala-se o Windows Server 2003, SP1, Enterprise Edition, como um
servidor dedicado.
2. Configura-se o protocolo TCP/IP com o endereço IP de 172.16.0.1 e a
máscara de sub-rede 255.255.255.0.
Configuração do Computador como controlador de Domínio
1. Para iniciar o Assistente de Instalação do Active Directory, clica-se em
Iniciar, Executar, digita-se dcpromo.exe, e depois clica-se em OK.
2. Na caixa de diálogo “Bem Vindo ao Assistente de Instalação do Active
Directory”, clica-se em Avançar.
3. Na caixa de diálogo “Compatibilidade do Sistema Operacional”, clica-se
em Avançar.
64
4. Verifica-se se a opção: “Controlador de domínio para um novo domínio”
está selecionada e clica-se em Avançar.
5. Verifica-se se o “Domínio em uma nova floresta” está selecionado e
depois clica-se em Avançar.
6. Verifica-se se a opção: “Não, apenas instalar e configurar DNS neste
computador” está selecionada, depois clica-se Avançar.
7. Na página “Novo nome de domínio”, escreve-se exemplo.com, e clica-se
em Avançar.
8. No “Nome do domínio NetBIOS”, confirma-se que o nome do domínio
Netbios é EXEMPLO, depois clica-se em Avançar.
9. Aceita-se a pasta padrão do banco de dados e diretórios dos logs e
clica-se em avançar.
10. Na caixa de diálogo “Volume de sistema compartilhado”, verifica-se se a
localização padrão da pasta é a correta. Clica-se em avançar.
11. Caso dê algum erro no DNS, deve-se marcar: Instalar e configurar o
servidor DNS neste computador e clicar em Avançar.
12. Na página de permissões, verifica-se se a caixa “Permissões compatíveis
somente com os sistemas operacionais de servidor Windows 2000 ou
Windows Server 2003” está selecionada, como o mostrado na figura abaixo.
Clica-se em Avançar.
65
Figura 27 - Editando permissões padrão do Active Directory
13. Na página: “Senha do administrador do modo de restauração dos
serviços de diretório”, deixa-se a caixa de senha em branco e clica-se em
Avançar.
14. Revisa-se as informação na “Página de Resumo”, depois clica-se em
Avançar.
15. É provável que seja requisitado o CD de instalação do Windows Server
2003 para completar a configuração. Na página: “Concluindo o Assistente
para instalação do Active Directory”, clica-se em Concluir.
16. Quando aparecer a janela “Reiniciar o Computador” clica-se em
Reiniciar Agora.
66
Elevação de nível do Domínio Funcional
1. Abre-se “Domínios e relações de confiança do Active Directory” da
pasta Ferramentas Administrativas, e então clica-se com o botão direito do
mouse no nome de domínio exemplo.com.
2. Clica-se em “Aumentar o nível funcional do domínio…”, e então
seleciona-se Windows Server 2003.
3. Clica-se em Aumentar, depois em OK, e então clica-se em OK
novamente.
Instalação e Configuração do DHCP
1. Vai-se até o Painel de Controle, “Adicionar ou remover programas,
Adicionar/Remover componentes do Windows” e instala-se o Protocolo de
configuração dinâmica de hosts (DHCP) que está em Serviços de Rede.
2. Abre-se o snap-in do DHCP da pasta “Ferramentas administrativas” e
seleciona-se dc1.exemplo.com.
3. Clica-se em Ação, e então se clica em Autorizar para autorizar o serviço
DHCP.
4. No console da árvore, clica-se com o botão direito em dc1.exemplo.com e
depois clica-se em Novo Escopo.
5. Em “Bem vindos ao “Assistente para novos escopos”, clica-se em
Avançar.
6. Na página “Nome do escopo”, escreve-se “CorpNet” em Nome.
7. Clica-se em Avançar. Na página “Intervalo de endereços IP”, em
Endereço IP inicial coloca-se 172.16.0.10, em Endereço IP final coloca-se
67
172.16.0.100, e em Comprimento coloca-se “24”. Isto é apresentado na figura
que segue.
Figura 28 - Assistente para novos escopos
8. Clica-se em Avançar. Em Adicionar exclusões, clica-se em Avançar.
9. Na página “Lease Duration”, clica-se em Avançar.
10. Em Opções de Configurações do DHCP, clica-se em “Sim, desejo
configurar essas opções agora.”
11. Clica-se em Avançar. Na página “Roteador (gateway padrão)”, clica-se
em Avançar.
12. Na página “Servidor de nomes de domínio e DNS”, em Domínio pai
deve-se colocar exemplo.com. Em Endereço IP coloca-se 172.16.0.1, e então
clica-se em Adicionar. Isto está apresentado na figura abaixo.
68
Figura 29 - Assistente para novos escopos - Servidor de nomes e de domínio e DNS
13. Clica-se em Avançar. Na página “Servidores WINS”, clica-se em Avançar.
14. Na página “Ativar escopo”, clica-se em “Sim, desejo ativar este escopo
agora”. Este passo está mostrado na figura.
15. Clica-se em Avançar e depois em Concluir.
Instando Serviços de Certificado
1. No Painel de Controle, abre-se Adicionar ou remover programas, e
então clica-se em Adicionar/Remover componentes do Windows.
2. Na página Assistente de componentes do Windows, seleciona-se
Serviços de certificado, e então clica-se em Avançar.
3. Na página “Tipo de autoridade de certificação”, seleciona-se
“Autoridade de certificação raiz corporativa”.
69
4. Clica-se em Avançar. Na caixa “Nome da autoridade de certificação”
coloca-se Exemplo CA, e então clica-se em Avançar. As configurações
padrões na página “Configuração de banco de dados de certificados”
devem ser aceitas.
5. Clica-se em Avançar.
6. Clica-se em OK depois de ler o alerta sobre a instalação do IIS. Após
completar a instalação, clica-se em Concluir.
Verificando as permissões de Administrador para o certificado
1. Clica-se em Iniciar, depois em Ferramentas administrativas, e logo após
em Autoridade de certificação.
2. Clica-se com o botão direito em Exemplo CA, e com o esquerdo em
Propriedades.
3. Em “Segurança”, clica-se em Administradores e em “Nomes de grupo
ou de usuário”.
4. Em “Permissões para Administradores”, verifica-se se as opções abaixo
foram selecionadas para permitir: “Emitir e gerenciar certificados”,
“Gerenciar autoridade de certificação” e “Solicitar certificados.” Elas
devem ser selecionadas como mostrado na figura abaixo.
70
Figura 30 - Modificando as permissões de Administrador para o certificado
5. Clica-se em OK para fechar a caixa de diálogo de “Propriedades de
Exemplo CA” e então fecha-se a “ Autoridade de certificação”.
Adicionando computadores ao domínio
1. Abre-se o snap-in de “Usuários e computadores do active directory”.
2. Na árvore de console, expande-se exemplo.com.
3. Clica-se com o botão direito em “Usuários”, clica-se em “Novo”, e então
clica-se em “Computador.”
4. Na caixa de diálogo: “Novo Objeto – Computador”, em Nome do
computador coloca-se IAS1.
71
5. Clica-se em Avançar. Na caixa de diálogo “Gerenciado” clica-se em
Avançar. Na caixa de diálogo “Novo Objeto – Computador” clica-se em
Concluir.
6. Repete-se os passos 3-5 para criar contas adicionais do computador
com os seguintes nomes: IIS1 e CLIENT1.
Permitindo acesso sem fio para computadores
1. Na árvore do console, em Usuários e computadores do active directory”,
clica-se na pasta Usuários, com o botão direito clica-se em CLIENT1, com o
esquerdo em Propriedades, e então clica-se em Discagem.
2. Seleciona-se Permitir acesso, e então clica-se em OK.
Adicionando Usuários ao domínio
1. Na árvore de console “Usuários e computadores do active directory”,
clica-se com o botão direito em “usuários”, depois em “Novo”, e então clica-
se em “Usuário”.
2. Na caixa de diálogo “Novo Objeto – Usuário”, em Nome, coloca-se
WirelessUser e em Nome de logon do usuário digita-se WirelessUser.
Conforme o apresentado na figura que segue.
72
3. Clica-se em Avançar. Na caixa de diálogo “Novo Objeto - Usuário”
escolhe-se uma senha qualquer e confirma-se. Desmarca-se a opção: “O
usuário deve mudar senha no próximo logon” e então, clica-se em
Avançar.
4. Na caixa de diálogo “Novo Objeto – Usuário” clica-se em Concluir.
Permitindo acesso sem fio para usuários
1. Na árvore de console “Usuários e computadores do active directory”,
clica-se na pasta “Usuários”, com o botão direito clica-se em “WirelessUser”,
e com o esquerdo em “Propriedades”, e então clica-se em “Discagem“.
73
2. Seleciona-se Permitir acesso, e então clica-se em OK.
Adicionando grupos para o domínio
1. Na árvore de Console “Usuários e computadores do active directory”,
clica-se com o botão direito, com o esquerdo em Novo, e então clica-se em
Grupo.
2. Na caixa de diálogo “Novo Objeto – Grupo”, em Nome do grupo coloca-
se WirelessUser, e então clica-se em OK. Conforme apresentado na figura
que segue.
Figura 31 - Adicionando o grupo WirelessUsers para o domínio
74
Adicionando Usuários no grupo WirelessUsers
1. No painel de detalhes de “Usuários e computadores do Active
Directory”, dá-se dois cliques em “WirelessUsers”.
2. Clica-se em “Membros”, e então clica-se em Adicionar.
3. Na caixa de diálogo “Selecione Usuários, Contatos, Computadores, ou
Grupos”, em “Digite os nomes de objetos a serem selecionados”, coloca-
se wirelessuser. Conforme apresentado na figura que segue.
Figura 32 - Adicionando usuários no grupo WirelessUsers
4. Clica-se em OK. Na caixa de diálogo “Diversos nomes encontrados”
clica-se em OK novamente. A conta de usuário “WirelessUser” é adicionada
ao grupo “WirelessUsers”.
5. Clica-se em OK para salvar as alterações no grupo “WirelessUsers”.
75
Adicionando Computadores Clientes ao Grupo “WirelessUsers”
1. Repete-se os passos 1 e 2 do procedimento “Adicionando usuários no
grupo WirelessUsers”.
2. Na caixa de diálogo “Selecione Usuários, Contatos, ou Computadores”,
no campo “Digite os nomes de objetos a serem selecionados” coloca-se
client1.
3. Clica-se em “Tipos de objeto”, limpa-se as caixas de seleção de
“Usuários” e então seleciona-se a caixa de seleção de “Computadores”.
Conforme apresentado na figura que segue.
Figura 33 - Adicionando computadores clientes ao grupo WirelessUsers
4. Clica-se em OK duas vezes. A conta do computador “CLIENT1” será
adicionada ao grupo “WirelessUsers”.
76
IAS1
IAS1 é um computador rodando o Windows Server 2003, SP1,
Standard Edition, que fornece serviços de Autenticação RADIUS e autorização
para o AP sem fio. Para configurar IAS1 como um servidor RADIUS, é
necessário seguir os próximos passos.
Instalação e Configurações Básicas
1. Instala-se o Windows Server 2003, SP1, Standard Edition, com o nome
IAS1 no domínio exemplo.com.
2. Para a conexão na Intranet local, configura-se o protocolo TCP-IP com o
seguinte endereço IP 172.16.0.2, máscara de sub-rede 255.255.255.0, e
servidor DNS 172.16.0.1.
Instalação e Configurações Básicas
1. Instala-se o Serviço de autenticação da internet como um “Serviço de
Rede” utilizando-se, para isso, “Adicionar ou remover programas” no Painel
de Controle.
2. Na pasta “Ferramentas administrativas”, abre-se o Serviço de
autenticação da Internet.
3. Clica-se com o botão direito em “Serviço de autenticação da Internet”, e
então clica-se em “Registrar servidor no Active Directory”. Quando a caixa
de diálogo “Registrar o servidor de autenticação da Internet no Active
Directory” aparecer, clica-se em OK.
77
Criando Certificados (Computador Local)
1. Cria-se um “MMC console” no servidor IAS que contém os Certificados
(computador local).
2. Clica-se em Iniciar, depois em Executar, coloca-se “mmc” e então clica-se
em OK.
3. No menu “Arquivo”, clica-se em “Adicionar/Remover” e então clica-se
em Adicionar.
4. Dá-se dois cliques em “Certificados, Adicionar, Conta de computador” e
então clica-se em Avançar.
5. Clica-se em “Computador Local”, Concluir, Fechar e depois clica-se em
OK. Os Certificados (Computador Local) estão apresentados na figura que
segue.
Figura 34 - Certificados (Computador Local)
Nota:
PEAP com MS-CHAP v2 requer certificados nos servidores IAS, mas não são
necessários nos Clientes sem fio. A certificação automática dos certificados dos
computadores pode ser usada para simplificar a implantação. De qualquer
78
forma, nesta seção, um certificado é manualmente requisitado pelo computador
IAS1 pois a certificação automática dos certificados não está configurada. Isto
está descrito na próxima seção deste tutorial “Autenticação EAP-TLS".
Requisição de certificado para computador
1. Clica-se com o botão direito na pasta “Pessoal”, em “Todas as tarefas”,
em “Solicitar novo certificado” e em Avançar.
2. Clica-se em “Computador”, “Tipos de certificados”, e então clica-se em
Avançar.
3. Em Nome amigável, coloca-se “IAS Server1 Certificate”.
4. Clica-se em Avançar e depois em Concluir.
5. A mensagem “Êxito na solicitação do certificado” aparecerá. Clica-se
em OK.
Adicionando um Ponto de Acesso (AP) como um Cliente RADIUS
1. Na árvore de console “Serviço de autenticação da Internet”, clica-se com
o botão direito em “Clientes RADIUS”, e depois em “Novo Cliente RADIUS”.
2. Na página “Nome e endereço” de “Novo Cliente RADIUS” coloca-se
“WirelessAP” em “Nome amigável”. Já no “Endereço do cliente (IP ou
DNS)” coloca-se 172.16.0.3, e então clica-se em Avançar.
3. Clica-se em Avançar. Na página “Informações adicionais” do Assistente
para novo Cliente RADIUS, em Segredo compartilhado, coloca-se um
segredo compartilhado para o AP sem fio, e então faz-se novamente para
confirmar em “Confirmar o segredo compartilhado”, conforme o
apresentado na figura que segue. O segredo compartilhado colocado precisa
79
combinar com a configuração do segredo compartilhado do RADIUS na
configuração do AP sem fio.
Figura 35 - Adicionando um novo cliente RADIUS
4. Clica-se em Concluir.
Criando e Configurando uma diretiva de acesso remoto
1. Na árvore de console do Serviço de autenticação da Internet, clica-se com o
botão direito em “Diretivas de acesso remoto”, e então clica-se em ‘Nova
diretiva de acesso remoto”.
2. Na página “Bem vindo ao ‘Assistente de nova diretiva de acesso
remoto’, clica-se em Avançar.
80
3. Em “Método de configuração de diretiva”, coloca-se “Acesso sem fio
para a intranet” em Nome da diretiva.
4. Clica-se em Avançar. Na página “Método de acesso”, seleciona-se “Sem
fio”.
5. Clica-se em Avançar. Na página “Acesso de usuários ou grupos”,
seleciona-se o Grupo.
6. Clica-se em Adicionar. Na caixa de diálogo “Selecionar grupos”, clica-se
em Locais, seleciona-se exemplo.com, e então clica-se em OK.
7. No local “Digite os nomes de objetos a serem selecionados”, coloca-se
“WirelessUsers” na caixa. Conforme o apresentado na figura abaixo.
Figura 36 - Selecionando grupos
8. Clica-se em OK. O grupo “WirelessUsers” do domínio exemplo.com é
adicionado a lista de grupos de “Acesso de usuários ou grupos”.
9. Clica-se em Avançar. Na página “Métodos de autenticação”, a
autenticação do EAP protegido (PEAP) é selecionada por padrão e
configurada para se usar o PEAP-MS-CHAP v2.
81
10. Clica-se em Avançar. Na página “Concluindo o assistente de ‘Nova
diretiva de acesso remoto'”, clica-se em Concluir.
Configuração do Firewall do Windows no IAS1
1. Clica-se em Iniciar, Painel de Controle, e em seguida Firewall do
Windows.
2. Na caixa de diálogo do Firewall do Windows, clica-se em Ativado, e então
clica-se em Exceções.
3. Clica-se em Adicionar porta, e na caixa de diálogo do “Adicionar porta”,
coloca-se no campo Nome “Acesso RADIUS”, e no campo Número da porta,
coloca-se 1812, depois seleciona-se UDP como o tipo de tráfego a ser
processado pela porta. Em seguida, clica-se em OK.
4. Clica-se em Adicionar porta novamente, na caixa de diálogo de
“Adicionar porta”, coloca-se no campo Nome “Autenticação RADIUS”, e no
campo Número da porta, coloca-se 1813 depois seleciona-se UDP como o
tipo de tráfego a ser processado pela porta. Em seguida, clica-se em OK.
5. Na página de exceções, verifica-se se as duas portas adicionadas
anteriormente estão selecionadas.
6. Clica-se em Avançado, e então clica-se em Configurações para o Log de
segurança.
7. Na caixa de diálogo “Log de segurança” seleciona-se, “Registrar em log
os pacotes eliminados” e “Registrar em log as conexões bem-sucedidas”.
O arquivo e o local de destino do log ficam em “Nome”.
Favor, referir-se a pasta de log em caso de precisar adicionar mais portas na
lista de exceções. O arquivo de log também permite que sejam vistos os
pacotes capturados pelo Firewall do Windows e as conexões TCP realizadas
com sucesso.
82
8. Clica-se em OK duas vezes, para fechar o Firewall do Windows.
Wireless AP
O acesso e a configuração do Ponto de Acesso podem ser
configurados por qualquer computador da rede; entretanto, é preciso saber o
endereço IP padrão do AP para acessá-lo.
Configurando o ponto de acesso sem fio
1. Digita-se na barra de endereços do navegador o endereço IP do Acess
Point.
2. A configuração do AP deve ser da seguinte maneira:
• O nome da rede (SSID) é pop (neste caso).
• O endereço IP 172.16.0.3 com máscara 255.255.255.0 na interface
Ethernet.
• Modo de Segurança: Pre-Shared Key + RADIUS
• O servidor RADIUS possui o endereço IP 172.16.0.2, opera via UDP na
porta 1812, e possui um segredo compartilhado inserido anteriormente no
servidor IAS.
83
Autenticação EAP-TLS
Extensible Authentication Protocol-Transport Layer Security (EAP-
TLS) requer certificados de Computador e de usuário no cliente sem fio, a
adição do EAP-TLS como um tipo de EAP à diretiva de acesso remoto para
acesso sem fio e uma reconfiguração da conexão de rede sem fio.
DC1
Para configurar o DC1 para fornecer registro automático de
certificados para Computador e Usuário, executa-se as seguintes etapas.
Instalando Snap-in dos Modelos de Certificados
1. Clica-se em Iniciar, Executar, digita-se mmc, e clica-se em OK.
2. No menu Arquivo, clica-se em Adicionar/remover snap-in, e logo após
em Adicionar.
3. Em Snap-in, clica-se duas vezes em Modelos de certificado, clica-se em
Fechar, e em seguida em OK.
4. Na árvore de console, é preciso clicar em Modelos de certificado. Todos
os modelos de certificado serão exibidos no painel de detalhes. Isso é
mostrado na figura a seguir.
84
Criando modelo de Certificado para Usuários Sem-Fio
1. No Painel de Detalhes do snap-in Modelos de certificado, clica-se no
modelo Usuário.
2. No menu Ação, clica-se em Duplicar modelo.
3. Na caixa Nome para exibição do modelo, escreve-se Certificado Modelo
Para Usuários Sem Fio. Isto é mostrado na figura a seguir.
85
Figura 37 - Propriedades do certificado modelo
Configurando o Modelo de Certificado
1. Na caixa de diálogo Propriedades do Novo Modelo, verifica-se que a
opção Publicar o certificado no Active Directory está selecionada.
2. Clica-se na aba Segurança.
3. Na lista Nomes de grupo ou de usuário, clica-se em Usuários do
domínio.
4. Na lista Permissões para Usuários do domínio, seleciona-se as opções
Ler, Registrar, e Registrar automaticamente.
5. Clica-se na aba Nome de entidade e desmarca-se as opções Incluir nome
de email no nome da entidade e Nome de email. Isso é mostrado na figura a
seguir.
86
Figura 38 - Configurando o modelo de certificado
Importante:
Essas duas opções estão desativadas nesse exemplo porque um
nome de email não foi inserido para a conta WirelessUser em computadores e
Usuários snap-in do Active Directory. Caso não seja usada, desativa-se as
duas opções ou o registro automático tentará usar email, o que resultará em
erro de registro automático.
6. Clica-se em OK.
Ativando o Modelo de Certificado
1. Em Ferramentas Administrativas, abre-se Autoridade de certificação.
2. Na árvore de console, expande-se Exemplo CA, e clica-se em Modelos de
certificado.
87
3. No menu Ação, aponta-se para Novo, e clica-se em Modelo de certificado
a ser emitido.
4. Clica-se em Certificado Modelo Para Usuários Sem Fio.
5. Clica-se em OK. E abre-se o snap-in Usuários e computadores do active
directory.
6. Na árvore de console, clica-se duplamente em Usuários e computadores
do active directory, No domínio exemplo.com clica-se com o botão direito e
logo em seguida em Propriedades.
7. Na aba Diretiva de grupo, clica-se em Default Domain Policy, e logo após
em editar Editar. Isto faz abrir o snap-in Editor de objeto de diretiva de
grupo.
8. Na árvore de console, expande-se Configuração do Computador,
Configurações do Windows, Configurações de segurança, e Diretivas de
chave pública. Agora clica-se em Configurações de solicitação automática
de certificado. A figura representa o resultado.
Figura 39 - Editor de objeto de diretiva de grupo
9. Clica-se com o botão direito em Configuração de solicitação automática
de certificado, aponta-se para Novo, e então clica-se em Solicitação de
certificado automática
88
10. Na página “Bem vindo ao ‘Assistente para instalação de solicitação
automática de certificados’”, clica-se em Avançar.
11. Na página Modelo de certificado, clica-se em Computador.
12. Clica-se em Avançar. Na página “Concluindo o ‘Assistente para
instalação de solicitação automática de certificados’”, clica-se em
Concluir. O tipo de certificado “Computador” agora aparece no painel de
detalhes do Editor de objeto de diretiva de grupo snap-in, como pode ser visto
na figura a seguir.
Figura 40 - Solicitação de certificado automática
13. Na árvore de console, expande-se Configuração do usuário,
Configurações do Windows, Configurações de segurança e Diretivas de
chave pública.
14. No painel de detalhes, dá-se um duplo clique em Configurações de
registro automático.
15. Clica-se em Registrar Certificados Automaticamente. Seleciona-se
Renovar certificados expirados, atualizar certificados pendentes e
89
remover certificados revogados. Seleciona-se a opção Atualizar
certificados que usam modelos de certificado, conforme a figura a seguir.
Figura 41 - Propriedades de Configurações de registro automático
16. Clica-se em OK.
IAS1
Configurando o IAS1 para usar a autenticação EAP-TLS
1. Abre-se o Serviço de autenticação da Internet snap-in.
2. Na árvore de console, clica-se em Diretivas de acesso remoto.
3. No painel de detalhes, clica-se duplamente em Acesso sem fio para a
intranet. A caixa de diálogo Propriedades de acesso sem fio para a Intranet
aparecerá.
90
4. Clica-se em Editar perfil, e então clica-se na aba Autenticação.
5. Na aba Autenticação, clica-se em Métodos EAP. A caixa de diálogo
Selecionar provedores EAP aparecerá. Isto é mostrado na figura a seguir.
Figura 42 - Selecionar provedores EAP
6. Clica-se em Adicionar. A caixa de diálogo Adicionar EAP aparecerá.
7. Clica-se em SmartCard ou outro certificado e depois clica-se em OK. O
tipo SmartCard ou outro certificado é adicionado na lista de provedores EAP.
8. Clica-se em Editar. A caixa de diálogo Propriedades do cartão inteligente
ou outro Certificado aparecerá. Ela está sendo mostrada na figura abaixo.
Figura 43 - Editando SmartCard ou outro certificado
91
9. As Propriedades do Certificado emitido para o Computador IAS1 são
exibidas. Esta etapa verifica que IAS tem um certificado aceitável instalado
para executar a autenticação EAP-TLS. Clica-se em OK.
10. Clica-se em Mover para cima para fazer com que o provedor EAP
“SmartCard ou outro certificado” seja o primeiro da lista, como mostra a figura
a seguir.
Figura 44 - Movendo o Smartcard ou outro certificado para o primeiro da lista de provedores EAP
11. Clica-se em OK para salvar as mudanças do provedor EAP. Clica-se em
OK para salvar as mudanças da configuração do perfil.
12. É necessário clicar em OK para salvar as diretivas de acesso remoto. Isto
permitirá a diretiva de acesso remoto Acesso sem fio para a Intranet autorizar
conexões sem fio utilizando o método de autenticação EAP-TLS.
92
CLIENT1
CLIENT1 é um Computador executando o Windows XP Professional
com SP2, que atua como um cliente sem fio e obtém acesso aos recursos da
intranet através do AP sem fio. Para configurar CLIENT1 como um cliente sem
fio utilizando PEAP-MS-CHAP v2, executa-se as seguintes etapas:
Instalação e configuração básica
1. O CLIENT1 deve ser conectado à Intranet através de um cabo Ethernet
conectado ao Switch.
2. Após estar conectado à Intranet, ele precisa entrar no domínio
exemplo.com.
Observação: O Firewall do Windows é ativado automaticamente
no Windows XP SP2 e não é necessário desativá-lo. Além disso, é necessário
frisar que um computador só pode se conectar à rede sem fio se ele logar no
domínio alguma vez, logo esse sistema está perdendo no quesito de
praticidade, já que para que um notebook seja conectado, ele precisa conectar
à rede a cabos primeiro, logar no domínio e só depois conectar à rede sem fio.
Depois de logar no domínio a primeira vez, ele sempre poderá conectar,
independente da rede cabeada.
93
Configurando a conexão com da rede sem fio
A Rede Sem-Fio do POP-PI foi configurada para utilizar uma chave
pré-compartilhada e um servidor RADIUS. O ssid da rede é pop. Abaixo estão
as etapas para configurar a conexão no cliente.
1. O primeiro passo é deslogar do computador local e logar usando a conta
WirelessUser no domínio exemplo.com.
2. Ativa-se a conexão sem fio e clica-se em Exibir redes sem fio
disponíveis.
3. Escolhe-se a rede configurada (neste caso a rede pop) e clica-se em
Conectar.
Observação: É possível notar que a rede configurada está sendo
exibida como uma Rede sem fio com segurança habilitada (WPA). Porém
este dado está incorreto, pois o Acess Point utilizado (WAP55AG) não suporta
WPA.
Figura 45 - Escolhendo uma rede sem fio para conectar
94
4. Ao tentar conectar, aparece um balão contendo uma mensagem de erro: O
Windows não encontrou um certificado para a rede pop.
5. Para resolver este problema, é necessário clicar em Alterar ordem das
redes preferenciais, clica-se na aba Redes Sem Fio.
6. Seleciona-se a rede configurada (pop) e clica-se em Propriedades. Na aba
Associação da janela aberta, escolhe-se a autenticação de rede como WPA
e criptografia de dados como AES, de acordo com a figura.
Figura 46 - Modificando as propriedades da rede sem fio pop
7. Na aba Autenticação, escolhe-se o EAP protegido (PEAP) como Tipo de
EAP e marca-se a opção Autenticar como computador se houver as
informações disponíveis.
95
Figura 47 - Escolhendo o tipo de EAP para a conexão
8. Clica-se em Propriedades do Tipo de EAP.
9. Na janela Propriedades EAP protegidas, seleciona-se Validar certificado
do servidor e em Selecionar método de autenticação escolhe-se EAP-
MSCHAP v2 e clica-se em Configurar. A próxima figura mostra como deve
ficar preenchida esta janela.
96
Figura 48 - Ajustando as propriedades do PEAP para a conexão
10. Na janela Propriedades EAP MSCHAPv2, a opção Usar meu nome e
minha senha de logon do Windows automaticamente (e o domínio, se
houver) não deve ser selecionada. Clica-se em OK e na janela Propriedades
EAP protegidas, clica-se em OK.
Figura 49 - Propriedades EAP MSCHAPv2
11. Na janela pop Propriedades e na aba Conexão, seleciona-se
Conectar-se quando esta rede estiver ao alcance.
97
Figura 50 - Propriedades finais da Conexão
12. Agora é só voltar à janela Escolha uma rede sem fio, selecionar a rede
configurada (pop) e clicar em Conectar. Abrirá uma janela solicitando que
sejam digitadas as credenciais. Elas devem ser preenchidas com o Nome de
usuário sendo wirelessuser e a senha sendo a mesma configurada no Active
Directory anteriormente. Clica-se em OK. A figura representa a janela Digite as
credenciais.
Figura 51 - Inserindo as credenciais registradas no Active Directory para conectar à Rede Sem Fio
98
13. Se as credenciais estiverem corretas, CLIENT1 será conectado à rede
sem fio.
99
BIBLIOGRAFIA
[1] Gimenes, Eder Coral e Capozzi, Ricardo A. Segurança em Redes
Wireless. Mauá, Brasil : s.n., 2005.
[2] Soares, Walace. PHP 5 Conceitos, Programação e Integração com Banco
de Dados. São Paulo : Érica, 2004. 523 p.
[3] Duarte, Luíz Otávio e Cansian, Adriano Mauro. Análise de
Vulnerabilidades e Ataques Inerentes a Redes a Redes Sem Fio 802.11x. São
José do Rio Preto : UNESP - Laboratório ACME de Pesquisa em Segurança,
2003.
[4] Costa, Nilmara Goulart Peres e Uchôa, Joaquim Quinteiro. Proposta
para migração de um ponto de Rede Wireless comercial, de um Provedor de
Internet via Rádio, para estrutura configurada em Software Livre. [Monografia]
Lavras : s.n., 2006.
[5] Microsoft. Step-by-Step Guide for Setting Up Secure Wireless Access in a
Test Lab. s.l. : Microsoft Corp®, April - 2005.
[6] Aircrack-ng. Aircrack-ng. [Online] http://www.aircrack-ng.org.
[7] Brandao, Patrick. Freeradius - servidor radius eficiente e completo.
VivaoLinux. [Online] [Citado em: 10 de Dezembro de 2007.]
http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=1842.
[8] Kismet. [Online] [Citado em: 03 de Setembro de 2007.]
http://www.kismetwireless.net/.
100
[9] PhpPgAdmin. [Online] [Citado em: 21 de Novembro de 2007.]
http://phppgadmin.sourceforge.net/.
[10] PostGreSql. Posgresql. [Online] [Citado em: 20 de 11 de 2007.]
http://www.postgresql.org.br/.
[11] Wifidog. Wifidog - A Captive Portal Suite. [Online] [Citado em: 10 de
Outubro de 2007.] http://www.wifidog.org.
[12] Rede Nacional de Ensino e Pesquisa (RNP), “As Tecnologias de Redes
Wireless”. Disponível em: http://www.rnp.br/newsgen/9805/wireless.html.
Acessado em agosto de 2007.
[13] Clube do hardware, “Habilitando Segurança em Redes Wireless”.
Disponível em: http://www.clubedohardware.com.br/artigos/963. Acessado em
Agosto de 2007.
[14] Fórum: Segurança Wireless, InfoSecurity. Disponível em:
http://www.istf.com.br/vb/forumdisplay.php?f=114. Acessado em Agosto de
2007.
[15] Carrión, Demetrio. Monografia: Implementação de um Ponto de
Acesso Seguro para Redes 802.11. COPPE – UFRJ .
[16] Junior, Carlos Alberto; Brabo, Gustavo; Amoras, Rômulo Augusto.
Monografia: Segurança em redes Wireless Padrão IEEE 802.11b:
Protocolos WEP, WPA e Análise de Desempenho. UNAMA – 2004.
[17] Santos, C. Izabela, “WPA: A Evolução do WEP”. Disponível em:
http://www.lockabit.coppe.ufrj.br/rlab/rlab_textos?id=70. Acessado em Agosto
de 2007.
101
[18] MICROSOFT, “Visão Geral da Atualização de Segurança WPA no
Windows XP”. Disponível em: http://support.microsoft.com/kb/815485/1.
Acessado em Agosto de 2007.
[19] Wi-Fi Aliance. Disponível em: http://www.wi-fi.org/. Acessado em Agosto
de 2007