CENTRO ESTADUAL DE EDUCAÇÃO TECNOLÓGICA PAULA SOUZA FACULDADE DE TECNOLOGIA DE LINS PROF. ANTONIO SEABRA CURSO SUPERIOR DE TECNOLOGIA EM REDES DE COMPUTADORES IVANI DA SILVA PUORRO MARIANE PRADO NOGUEIRA ASPECTOS DE SEGURANÇA EM PROJETOS DE REDES WIRELESS. LINS/SP 2° SEMESTRE /2013 CENTRO ESTADUAL DE EDUCAÇÃO TECNOLÓGICA PAULA SOUZA FACULDADE DE TECNOLOGIA DE LINS PROF. ANTONIO SEABRA CURSO SUPERIOR DE TECNOLOGIA EM REDES DE COMPUTADORES IVANI DA SILVA PUORRO MARIANE PRADO NOGUEIRA ASPECTOS DE SEGURANÇA EM PROJETOS DE REDES WIRELESS. Trabalho de Conclusão de Curso apresentado à Faculdade de Tecnologia de Lins para obtenção do Titulo de Tecnólogo em Redes de Computadores. Orientador: Prof. Me. Adriano Souza Marques. LINS/SP 2° SEMESTRE /2013 IVANI DA SILVA PUORRO MARIANE PRADO OGUEIRA ASPECTOS DE SEGURANÇA EM PROJETOS DE REDES WIRELESS. Trabalho de Conclusão de Curso apresentado à Faculdade de Tecnologia de Lins, como parte dos requisitos necessários para a obtenção do título de Tecnólogo em Redes de Computadores sob a orientação do Prof. Me. Adriano Souza Marques. Data de aprovação _______/________/________ ____________________________________________________ Orientador Adriano Souza Marques ____________________________________________________ Examinador ____________________________________________________ Examinador Com muito carinho, dedico a minha mãe Isaura, pela compreensão e apoio e aos meus amigos. Ivani da Silva Puorro Dedico este trabalho à minha mãe Janice, a minha avó Francisca in memorian, ao meu irmão Lucas Rafael e aos meus amigos que sempre me apoiaram e nunca me deixaram desistir. Mariane Prado Nogueira AGRADECIMENTOS Agradeço a Deus em primeiro lugar por ser essencial em minha vida e a todos que estiveram presentes em minha trajetória acadêmica, amigos como Oscar Beltrame, e a todos os que contribuíram com sua força, conselhos e ajuda. Aos professores Naylor Garcia, Luciane Noronha e Henrique Brites que nos auxiliaram nas dificuldades. Em especial ao professor Me. Adriano Souza Marques, por nos aceitar e ajudar como orientador. E, por fim, agradeço a Mariane Prado Nogueira por ter aceitado a parceria para realizar esse trabalho. . Ivani da Silva Puorro AGRADECIMENTOS Em primeiro lugar agradeço a Deus que me conduziu durante todo este longo trajeto, dando-me força, saúde e sabedoria para chegar nesta etapa final. Em especial ao meu orientador, o professor Me. Adriano Souza Marques pela paciência e pelo comprometimento para com o nosso trabalho. Agradeço também aos professores Naylor Garcia, Henrique Brites, Luciane Noronha e ao amigo Oscar Beltrame pela ajuda e orientação para conseguir concluir esse trabalho, e a todos os outros professores e colegas de sala que desde o inicio me ajudaram e acrescentaram conhecimento a minha vida. Sou muito grata a minha parceira Ivani da Silva Puorro por complementar minhas ideias, se comprometer com o projeto, por toda paciência, pelo apoio nas horas em que pensei em desistir e pela força de vontade para concluir este trabalho. Agradeço a minha família e amigos por acreditar em mim, por tanto incentivo e apoio que sempre demonstraram. E por fim, agradeço a todos que direta ou indiretamente participaram ou contribuíram para a conclusão deste trabalho. Mariane Prado Nogueira “Que os vossos esforços desafiem as impossibilidades, lembrai-vos de que as grandes coisas do homem foram conquistadas do que parecia impossível.” Charles Chaplin RESUMO O uso de redes wireless está em constante expansão devido ao crescimento das tecnologias, o que demanda uma maior preocupação com a segurança neste tipo de tecnologia já que ela proporciona à disponibilidade de comunicação sem o uso de fios ou cabos, permitindo ao usuário acessar informações enquanto em movimento. Sendo assim, esse trabalho faz uma análise das condições de segurança em redes wireless, analisa os tipos, classificações e seus padrões e analisa, ainda, suas ameaças e faz uma avaliação dos mecanismos de controle de segurança de acesso por autenticação utilizando o Remote Authentication Dial In User Service (RADIUS). Também aborda outros aspectos de segurança, e procura fazer uma análise completa dos recursos disponíveis para possibilitar uma rede wireless mais segura e confiável. È fundamental que o administrador de redes ou usuários domésticos entenda as implicações de segurança de uma rede wireless, já que os riscos precisam ser conhecidos para serem minimizados por meio de soluções disponíveis e da aplicação de boa prática. Essas decisões envolvem questões de configuração e planejamento. O estudo foi feito a partir de uma análise bibliográfica em materiais dispostos na internet e livros. Palavras chaves: redes wireless, segurança, Controle de acesso, RADIUS. ABSTRACT The use of wireless networks is constantly expanding due to the growth of technologies , which demand a greater concern for safety in this type of technology as it provides the availability of communication without the use of wires or cables , allowing the user to access information while moving. Therefore , this paper analyzes the security conditions in wireless networks , analyzes the types , classifications and standards , and also analyzes their threats and makes an assessment of the control mechanisms of access security by authentication using the Remote Authentication Dial in User Service ( RADIUS ) . It also addresses other aspects of security , and seeks to make a complete analysis of the available resources to enable a more secure and reliable wireless network. It is essential that the network administrator or home users understand the security implications of a wireless network, since the risks must be known to be minimized by means of solutions available and the application of good practice. These decisions involve setting and planning issues . The study was done from a literature review on materials arranged on the internet and books . Keywords: wireless networking, security, access, RADIUS, LISTA DE ILUSTRAÇÕES Figura 1.1 – Estrutura de uma redes de computadores ............................................ 17 Figura 1.2 – Camadas do Modelo OSI e TCP/IP ....................................................... 19 Figura 1.3 – Redes Wireless ..................................................................................... 21 Figura 2.1 - Hierarquia de botnets em ataques DDoS ................................................ 298 Figura 2.2 - Criptografia............................................................................................. 29 Figura 2.3 - Representação básica de um Firewall ................................................... 33 Figura 2.4 - Filtragem de Pacotes com o Firewall ..................................................... 33 Figura 3.1 – Ambiente de segurança Física. ............................................................. 37 Figura 3.2 - Processo de autenticação de sistema aberto......................................... 40 Figura 3.3 - Processo de autenticação de chave compartilhada. .............................. 41 Figura 3.4 - Processo de autenticação usando EAP ................................................. 44 Figura 3.5 - Processo de autenticação do RADIUS .................................................. 45 Figura 3.6 – Endereço MAC pelo comando ipconfig ................................................. 46 Figura 3.7 – Diagrama de Blocos do Protoloco WEP ................................................ 48 Figura 3.8 – Diagrama de Autenticação com Servidor Radius .................................. 51 Figura 4.1 – Localização Acess Point ....................................................................... 54 Figura 4.2 – Acesso ao Roteador não autorização ................................................... 55 Figura 4.3 – Localização inadequada do Rack.......................................................... 56 Figura 4.4 – Configuração arquivo sql.conf ............................................................... 57 Figura 4.5 – Tabela radcheck .................................................................................... 59 Figura 4.7 - Configuração do roteador....................................................................... 60 Figura 4.8 – Gerenciador de Redes sem fio do Windows 8 ...................................... 60 Figura 4.9 - Configuração do modo de segurança do Windows 8 ............................. 61 Figura 4.10 – Alteração da configuração de conexão ............................................... 61 Figura 4.11 - Configuração das Propriedades de conexão de Rede Sem Fio........... 62 Figura 4.12 - Configuração das propriedades de segurança de Rede Sem Fio ........ 62 Figura 4.13 - Configuração do Modo de Autenticação .............................................. 63 Figura 4.15 – Autenticação de Rede ......................................................................... 64 Figura 4.16 – Rede Autenticada ................................................................................ 64 LISTA DE TABELAS Figura 2.1 – Tipo de invasores....................................................................... 25 LISTA DE ABREVIATURAS E SIGLAS AAA – Autentication Authorization and Accouting AC – Autoridade Certificadora ACK – Acknowledge AES – Advanced Encryption Standart AP – Acess Point APS – Automatic protection Switching AR – Autoridade de Registro CRC – Cyclical Redundancy Check DDOS – Distributed Denial of Service DLL - Dynamic-link library DNS - Domain Name System DOS – Denial of Service EAP - Extensible Authentication Protocol FEC – Forward Error Correcton ICMP - Internet Control Message Protocol IEEE - Institute for Electucal and Electronics Engeneers IP - Internet Protocol. ISSO – International Standards Organization KSA – Key Schedule Algorithm LDAP – Lightweight Directory Acess Protocol MAC – Media Acess Control OFDM – Othogonal Frequency Division Multiplexing OSI – Open Systens Interconection QAM – Quadrature Amplitude Modulatiom QOS – Quality of Service RADIUS – Remote Authentication Dial User Service RPC - Remote Procedure Call RST - reset RVA - Risk Value Assessment SQL - Structured Query Language. SRP – Secure Remote Password Protocol SSL – Secure Socket Louger TCP - Transmission Control Protocol TKIP- Temporal Key Intergryty Protocol VM - Virtual Machine VPN – Virtual Private Network WPA – Wi-fi Protocol Acess WEP – Wired Equivalent Privacy WIFI – Wireless Fidelity WLAN – Wireless Local Area Network WWSE – World Wide Spectrum Effrescy SUMÁRIO INTRODUÇÃO .......................................................................................................... 16 1 REDES DE COMPUTADORES ............................................................................. 17 1.2 AS CAMADAS DO MODELO OSI ....................................................................... 18 1.3 REDES SEM FIO (WIRELESS) .......................................................................... 21 1.4 FREQUÊNCIAS................................................................................................... 23 1.4.1 Canais .............................................................................................................. 23 1.4.2 Banda de Radiofrequência Publica .................................................................. 23 2 SEGURANÇA DE REDES DE COMPUTADORES ................................................ 25 2.1 TIPOS DE AMEAÇAS ......................................................................................... 26 2.1.2 Trojan ............................................................................................................... 26 2.1.3 Eavesdropping ................................................................................................. 27 2.1.4 Phishing ............................................................................................................ 27 2.1.5 Denial of Service (DoS) .................................................................................... 27 2.2 TIPOS DE DEFESAS .......................................................................................... 29 2.2.1 Criptografia ....................................................................................................... 29 2.2.2 Certificado Digital ............................................................................................. 31 2.2.3 Firewalls ........................................................................................................... 32 3 MECANISMO DE SEGURANÇA EM REDES WIRELESS..................................... 36 3.1 CONTROLES DE ACESSO ................................................................................ 36 3.1.1 Segurança Física.............................................................................................. 36 3.1.2 Segurança Lógica............................................................................................. 38 3.2 AUTENTICAÇÃO ................................................................................................ 38 3.2.1 Métodos de autenticação ................................................................................. 39 3.2.2 Autenticação de sistema aberto ....................................................................... 39 3.2.3 Autenticação de chave compartilhada .............................................................. 40 3.2.4 Certificados e Shared Secrets .......................................................................... 42 3.2.5 Protocolos de autenticação emergentes .......................................................... 42 3.2.6 802.1x e EAP ................................................................................................... 42 3.3 RADIUS ............................................................................................................... 44 3.4 ENDEREÇAMENTO MAC ................................................................................... 45 3.5 PROTOCOLOS DE SEGURANÇA DE REDES WIRELESS ............................... 47 3.5.1 Wired Equivalent Privacy (WEP) ...................................................................... 47 3.5.1.1 Vulnerabilidades do WEP .............................................................................. 48 3.5.2 Wi-fi Protected Acess (WPA)........................................................................... 49 3.5.3 Extensible Authentication Protocol (EAP)......................................................... 50 4 ANÁLISE DE SEGURANÇA ................................................................................... 53 4.1 CONTROLE DE ACESSO FÍSICO ...................................................................... 53 4.2 CONTROLE DE ACESSO LÓGICO – TESTE COM SERVIDOR RADIUS ......... 56 4.2.1 Instalação, configuração e teste com Servidor FreeRadius. ............................ 56 4.2.2 Configuração do roteador ................................................................................. 59 4.2.3 Configuração do computador do usuário para acesso a rede .......................... 60 CONCLUSÃO ............................................................................................................ 66 REFERÊNCIAS BIBLIOGRÁFICAS .......................................................................... 68 16 INTRODUÇÃO Nos dias atuais, devido à importância do uso da internet, cada vez mais as pessoas interligam seus computadores as redes, com a necessidade de ter acesso à internet de diversos lugares, essa demanda provocou a evolução das tecnologias de redes de computadores. (TANENBAUM, 2013) As redes Wireless vieram de encontro com essa necessidade de mobilidade, praticidade e liberdade em sua utilização, seja para uso em empresas ou para uso doméstico. Com isso as redes wireless estão em constante expansão, assim a preocupação com a segurança da informação para esse tipo de tecnologia tem a crescer. Desse ponto em diante o termo Segurança da Informação tornou-se popular, organização e um projeto de redes são fundamentais para ter maior segurança. O presente trabalho identifica através de um estudo de caso de uma infraestrutura de redes a importância tanto da segurança de acesso físico, como do acesso lógico. Uma forma de controlar esse acesso é construir uma rede estruturada, e seguir planejamentos como instalações, localização do AP e distância do seu alcance, para a segurança do acesso físico. Outra forma de controlar esse acesso é através de um servidor de autenticação, o RADIUS, é fazer a implementação para controlar o acesso a redes sem fio, e incluir configurações para autenticação. O uso desse servidor, em conjunto com equipamentos apropriados, pode resolver o problema de segurança e de mobilidade. O primeiro capítulo faz uma apresentação sobre os principais conceitos teóricos de Redes de computadores, redes sem fio e seus padrões. No segundo capítulo é feita uma abordagem sobre a segurança das redes, com suas ameaças e defesas. No terceiro capítulo são apresentados os detalhes da segurança de redes sem fio, com uma abordagem sobre controle de acesso e seus protocolos de segurança. No quarto capítulo é feita uma abordagem sobre as configurações e implementação do Servidor Radius para autenticação entre o cliente e servidor. 17 1 REDES DE COMPUTADORES Atualmente é quase impossível não se deparar com uma rede de computadores, pela alta necessidade de comunicação e transmissão de dados. Com avanços na década de 60 possibilitaram o desenvolvimento dos primeiros terminais interativos, permitindo aos usuários acesso a um computador central através de uma linha de comunicação. (TANENBAUM, 2013) Logo após na década de 70 ocorreram mudanças na caracterização dos sistemas de computação assim surgiu um sistema único centralizado e de grande porte disponível para todos os usuários de uma determinada organização (universidade, instituições militares e empresas). Assim a interconexão entre vários sistemas para o uso compartilhado de dispositivos tornou-se importante, já que usuários de sistemas de computação não desenvolviam trabalhos isolados e necessitavam do compartilhamento informações. (MORIMOTO, 2010) Na imagem abaixo um exemplo de uma rede de computadores. Figura 1.1 – Estrutura de uma rede de computador Fonte: Pinheiro, 2004. de 18 Pouco depois foram criadas novas arquiteturas como forma de melhorar o desempenho e confiabilidade dos sistemas computacionais. Uma Rede de Computadores é formada por um conjunto de computadores interligados por sistemas de comunicação capazes de trocar informações e compartilhar recursos. Por consequência surgiram as Redes Locais para viabilizar a troca e o compartilhamento de informações e dispositivos periféricos (recursos de hardware e software), permitindo a integração em ambiente de trabalho cooperativo. (MORIMOTO, 2010) Em virtude do avanço da tecnologia, surgiu também à necessidade de mobilidade e flexibilidade, para ter acesso a dados e transmiti-los de qualquer lugar, sem a necessidade de cabos, a partir daí surge à necessidade de utilizar a rede sem fio, que vem crescendo cada vez mais, mas para isso acontecer foi preciso criar uma arquitetura padrão para facilitar o processo de interconectividade o chamado modelo Open Systems Interconnection (OSI). (TANENBAUM, 2003) 1.2 AS CAMADAS DO MODELO OSI Conforme Gabriel Torres o OSI é um modelo usado para compreender como os protocolos de rede funcionam. Quando as redes de computadores surgiram, uma determinada tecnologia só era suportada exclusivamente por seu fabricante. Não era possível de se misturar soluções de fabricantes diferentes. Dessa maneira, um mesmo fabricante era responsável por construir quase tudo na rede. (TORRES, 2009) De acordo com Gabriel Torres para facilitar a interconexão de sistemas de computadores, a International Standards Organization (ISO) desenvolveu um modelo de referência chamado OSI para que os fabricantes pudessem criar protocolos a partir desse modelo. Ou seja, o protocolo é usado para transmitir dados pela rede para que dois computadores possam se comunicar ambos deve usar o mesmo protocolo. O papel do modelo OSI é padronizar a ordem em que a pilha de protocolos trabalha. (TORRES, 2009) Cada camada é responsável por algum tipo de processamento, e se comunica apenas com a camada imediatamente inferior ou superior. O que é importante relembrar é que cada camada adiciona (quando o computador estiver 19 transmitindo os dados) ou remove (quando o computador estiver recebendo dados) informações de controle de sua responsabilidade. A arquitetura OSI, assim como Transmission Control Protocol / Internet Protocol (TCP/IP) realiza a divisão de funções do sistema de comunicação em estruturas de camadas. (MACÊDO, 2012) A figura abaixo mostra as definições das camadas do modelo OSI. Figura 1.2 – Camadas do Modelo OSI e TCP/IP Fonte: Macêdo, 2012. Definições das camadas do modelo OSI: Física: Esta camada pega os quadros enviados pela camada de Link de Dados e os transforma em sinais compatíveis com o meio onde os dados deverão ser transmitidos. Caso o meio for elétrico, essa camada converte os 0s e 1s dos quadros em sinais elétricos a serem transmitidos pelo cabo; se o meio for óptico essa camada converte os 0s e 1s dos quadros em sinais luminosos; se uma rede sem fio for usada, então os 0s e 1s são convertidos em sinais eletromagnéticos; e assim por diante. (TORRES, 2009) Dados: Essa camada que também pode ser chamada de Enlace pega os pacotes de dados recebidos da camada de rede e os transforma em quadros que serão trafegados pela rede, acrescentando informações como o endereço da placa de rede de origem, o endereço da placa de rede de destino, dados de controle, os dados em si e uma soma de verificação, também conhecida como Cyclical 20 Redundancy Check (CRC). (TORRES, 2009) O quadro criado por esta camada é enviado para a camada Física, que converte esse quadro em sinais elétricos (ou sinais eletromagnéticos, se você estiver usando uma rede sem fio) para serem enviados através do cabo de rede. Quando o receptor recebe um quadro, a sua camada de Link de Dados confere se o dado chegou íntegro, refazendo a soma de CRC. Se os dados estiverem certos, ele envia uma confirmação de recebimento chamada Acknowledge (ack). Caso essa confirmação não seja recebida, a camada Link de Dados do transmissor reenvia o quadro, já que ele não chegou até o receptor ou então chegou com os dados corrompidos. (TORRES, 2009) Rede: As camadas deste grupo são camadas de baixo nível que lidam com a transmissão e recepção dos dados da rede. Esta camada é responsável pelo endereçamento dos pacotes, convertendo endereços lógicos em endereços físicos, de forma que os pacotes consigam chegar corretamente ao destino. Essa camada também determina a rota que os pacotes irão seguir para atingir o destino, levando em consideração fatores como condições de tráfego da rede e prioridades. (TORRES, 2009) Transporte: Esta camada é responsável por pegar os dados recebidos da rede e transformá-los em um formato compreensível pelo programa. Quando seu computador está transmitindo dados, esta camada pega os dados e os divide em vários pacotes para serem transmitidos pela rede. Quando seu computador está recebendo dados, esta camada pega os pacotes recebidos e os coloca em ordem. (TORRES, 2009) Sessão: Esta camada permite que dois programas em computadores diferentes estabeleçam uma sessão de comunicação. Nesta sessão, esses dois programas definem como será feita a transmissão dos dados e coloca marcações nos dados que estão sendo transmitidos. Caso a rede venha a falhar, os dois computadores reiniciam a transmissão dos dados a partir da última marcação recebida em vez de retransmitir todos os dados novamente. (TORRES, 2009) Aplicação: Essas são as camadas mais altas que colocam os dados no formato usado pelo programa. A camada de aplicação faz a interface entre o programa que está enviando ou recebendo dados e a pilha de protocolos. Apresentação: Também chamada camada de Tradução, esta camada converte o formato do dado recebido pela camada de Aplicação em um formato 21 comum a ser usado pela pilha de protocolos. Esta camada também pode ser usada para comprimir ou criptografar os dados. A compressão dos dados amplia o desempenho da rede, já que se serão enviados menos dados para a camada inferior (camada cinco). Se for usado algum tipo de criptografia, os dados irão circular criptografados entre as camadas cinco e um e serão descriptografadas apenas na camada seis no computador de destino. (TORRES, 2009) 1.3 REDES SEM FIO (WIRELESS) Uma rede sem fio, Wireless ou também conhecido como Wireless Fidelity (WI-FI) é a conexão entre equipamentos fixos ou moveis sem a necessidade de cabos, que utiliza como meio de comunicação radiofrequência (RF) baseada no padrão IEEE 802.11. Figura 1.3 – Redes Wireless Fonte: Alecrim, 2013. Apenas os produtos certificados (um processo relativamente caro e demorado) podem ostentar o logo “Wi-Fi Certified”, de forma que muitos produtos, sobretudo os produtos mais baratos não passam pela certificação e não são vendidos como produtos Wi-Fi, embora isso não signifique necessariamente que eles sejam incompatíveis ou de qualidade inferior. (MORIMOTO, 2010) 802.11a - Esse padrão trabalha com uma faixa de velocidade máxima de 54 Mbps (108 em modo turbo), mas também pode operar em velocidades mais baixas 22 chegando a uma frequência de 5 GHz. Utiliza a modulação Orthogonal Frequency Division Multiplexing (OFDM) que é melhor que a Frequency-hopping spread spectrum (FHSS) e Direct Sequence Spread Spectrum (DSSS). Possui 12 canais disponíveis ao invés dos 3 livres nos padrões 802.11b e 802.11g. O tamanho da sua chave Wired Equivalent Privacy (WEP), pode chegar a 256 bits, mas ainda é compatível com os tamanhos menores de 64 e 128 bits. (MORIMOTO, 2010) 802.11b - Foi primeiro padrão a ser definido, trabalha numa velocidade de 11Mbps de transmissão máxima, mas compatível com velocidades menores. Opera na frequência de 2,4GHz e usa somente DSSS. O número máximo de clientes conectados é 32, ainda é o padrão mais popular existente em redes sem fio, utiliza o protocolo WEP. Esse padrão está deixando o mercado devido a melhorias de velocidade e segurança em outros padrões como o 802.11g e o 802.11a. (MORIMOTO, 2010) 802.11g - Sua principal diferença em relação a 802.11b é a sua velocidade de transmissão que é 54Mbps, mas também trabalha na frequência de 2,4GHz e pode trabalhar em conjunto com 802.11b, usa os protocolos WEP e Wi-Fi Protected Access (WPA), utiliza também a modulação OFDM. (MORIMOTO, 2010) 802.11e - Foi desenvolvido para melhor a qualidade do serviço Quality of Service (QoS) em ligações telefônicas, vídeo de alta resolução e outras aplicações. Projetado para permitir que certos tipos de tráfego wireless sejam prioritários em relação a outros para assegurar que ligações em telefones IP e conteúdo multimídia serão acessados tão bem em redes wireless como em redes com fio. (MORIMOTO, 2010) 802.11i - Esse padrão foi desenvolvido para se ter melhor mecanismos de segurança e privacidade em redes sem fio. Utiliza o protocolo WPA e o WPA2, que usa como principal característica o algoritmo criptográfico Advanced Encryption Standard (AES). (MORIMOTO, 2010) 802.11n - Também é conhecido como World Wide Spectrum Effiency (WWSE), seu principal foco é no aumento de velocidade com o intuito de aumentar a taxa de transmissão acima de 200Mbps. Sua principal mudança em relação aos padrões atuais diz respeito à modificação de OFDM, conhecida como Multiple Input, Multiple Out-OFDM (MIMO-OFDM), ou seja, entrada e saídas múltiplas. Além disso, foi incluída também a codificação de Forward Error Correction (FEC), intercalação e mapeamento de Quadrature Amplitude Modulation (QAM), para manter os custos 23 reduzidos e facilitar a compatibilidade com versões anteriores. (MORIMOTO, 2010) 1.4 FREQUÊNCIAS Sinas de radiofrequência são utilizados pelos mais variados tipo de serviços, que vão desde as infra-estruturas comercias, até as de uso militar, passando por serviços comunitários e de rádio amador. Sempre que se fala de frequência de rádio, tem em mente que um sinal será propagado no espaço por alguns centímetros ou por vários quilômetros. A distância percorrida está diretamente ligada às frequências do sinal. (RUFINO, 2005) 1.4.1 Canais Assim a radiofrequência é dividida em faixas, que são intervalos reservados, normalmente para um determinado tipo de serviço, definido por convenções internacionais ou por agências reguladoras. Uma faixa é subdividida em frequências menores, para permitir a transmissão em paralelos de sinais diferentes em cada uma delas. Essas frequências menores ou sub-frequências são chamadas de canais, como por exemplo, canais de rádios e de televisão. (RUFINO, 2005) 1.4.2 Banda de Radiofrequência Publica Há pelo menos três diferentes segmentos de radiofrequência que podem ser usados sem a necessidade de obter licença da agência reguladora governamental, que no caso do Brasil esse órgão é a Anatel. Esses segmentos foram reservados para uso publico como industrial científico e médico Industrial, Scientific e Medical (ISM) por tanto podem ser utilizados de maneira irrestrita por qualquer aplicação que se adapte a uma dessas categorias. (RUFINO, 2005) As frequências disponíveis em cada uma das três faixas são: Frequência 2,4 GHz – utilizada por uma grande quantidade de equipamentos e serviços, como é utilizada por aparelhos de telefone sem fio, Bluetooth, forno micro-ondas e pelos padrões 802.11b e 802.11g em virtude disso se diz que é poluída ou suja. (RUFINO, 2005) Frequência 5 Ghz – Por exemplo no Brasil, existem outras faixas reservadas 24 para ISM (tais como 24-24,25 GHz e 61 – 61,5 GHz). Entretanto a faixa de 5,725-5, 825 GHz está alocada para uso militar, o que deixa restrito a comercialização de produtos que se utilizam dela. O que diferencia essa faixa de frequência das outras é seu alcance do sinal, o que tanto pode ser um problema em ambientes amplos como uma vantagem adicional quando não se deseja que o sinal atinja áreas muito maiores que as necessárias para o funcionamento dos equipamentos da rede. (RUFINO, 2005) Frequências licenciadas – Acima de tudo algumas soluções de redes sem fio (Wireless) optam por utilizar faixas de radiofrequência e, antes de mais nada que tenham maior alcance. Quer dizer que para utilizar essas aplicações, o fornecedor da solução deve requerer da agencia reguladora autorização. O padrão 802.16a (Wimax), utiliza a faixa de 2 a 11 GHz e pode atingir 50 km a uma velocidade de 10 a 70 Mb. Os fornecedores de telefonia móvel (celulares) no padrão GSM utilizam, no Brasil, a faixa de 1,8 GHz. (RUFINO, 2005) Portanto a faixa de frequência licenciada requer regulamentação assim ela terá prioridade de usar esta faixa numa região específica, já que é fiscalizada de tempos em tempos, diminui a probabilidade que alguma outra entidade possa usar. Isto é, a operadora tem um controle maior sobre a qualidade do serviço prestado. (RUFINO, 2005) Neste capitulo foram abordados aspectos gerais de rede de computadores e de redes wireless. No próximo capitulo serão abordados assuntos referentes à segurança de redes, seus problemas e suas medidas se segurança. 25 2 SEGURANÇA DE REDES DE COMPUTADORES A segurança em redes de computadores é um assunto muito amplo e inclui inúmeros tipos de problemas. Em sua forma mais simples a segurança se preocupa em garantir que outras pessoas mal intencionadas não leiam, modifiquem ou envie dados importantes a outros destinatários. (TANENBAUM, 2003) Segurança certamente é um dos assuntos mais importantes quando falamos sobre redes de computadores – afinal não queremos nenhum bisbilhoteiro acessando nossos dados ou um vândalo destruindo o nosso trabalho. (TORRES, 2009, p. 492) A segurança de redes não é muito diferente da segurança do mundo “real”, pois não depende só da tecnologia usada para evitar acessos não autorizados e ataques, assim como também de nada adianta colocar uma tranca de ultima geração na porta da frente se a do fundo estiver desprotegida ou mesmo colocar um dispositivo de segurança na rede se ele não for configurado corretamente. (TORRES, 2009) Segundo Tanenbaum (2003) a maior parte dos problemas de segurança é causada por pessoas que tentam obter benefícios para chamar a atenção ou prejudicar alguém. Alguns tipos de invasores mais comuns estão na tabela 2.1. Tabela 2.1 – Tipos de invasores Fonte: Tanenbaum, 2003, p. 543 De acordo com Tanenbaum (2003) os problemas das seguranças das redes podem ser divididos em quatro áreas interligadas: Sigilo: Está relacionado ao fato de manter as informações fora do alcance de 26 usuários não autorizados. Autenticação: Cuida do processo de identificar com quem você esta se comunicando antes de passar informações importantes ou entrar em uma transação comercial. Não repúdio: Trata de assinaturas, como provar que seu cliente fez realmente o pedido eletrônico e confirmar seu preço correto. Controle de integridade: Certifica que uma mensagem recebida é realmente verdadeira e não algo como informações modificadas ou vírus. (TANENBAUM, 2003) 2.1 TIPOS DE AMEAÇAS Os tipos de ameaças são qualquer ação que compromete a segurança da informação. 2.1.1 Exploits Este é um termo usado para descrever pequenos utilitários ou exemplos de código que podem ser usados para explorar vulnerabilidades especificas. Eles podem ser usados diretamente, quanto serem incorporados em vírus, cavalos de tróia, ferramenta de detecção de vulnerabilidades e outros tipos de programas. O Nessus, por exemplo, é um utilitário de detecção de vulnerabilidade, durante o teste ele verifica se o programa está ativo e, caso esteja, simula um ataque contra ele, com isso, é possível verificar se a versão utilizada é vulnerável. (MORIMOTO, 2010) 2.1.2 Trojan O Trojan é conhecido como cavalo de tróia, é uma forma de invadir um computador e fazer com que o próprio usuário execute um programa, ou acesse uma página web que se aproveite da vulnerabilidades do navegador. Os Trojans podem instalar um Backdoor também conhecido como porta dos fundos, é uma falha na segurança que permite fazer acesso remoto no micro, ou instalar um Keytrap que é um programa que monitora toda a atividade do teclado para capturar senhas e outras informações digitadas. (MORIMOTO, 2010) 27 Embora os trojans sejam mais comuns no Windows, existem também Trojans para Linux, o tipo mais perigoso são os Rootkits, ele tenta obter privilégios de root na maquina afetada podendo assumir o controle da maquina mesmo se executado usando uma conta normal de usuário. (MORIMOTO, 2010) 2.1.3 Eavesdropping Em conexões que utiliza algoritmos fracos, pode ser que um atacante consiga capturar os dados transmitidos dentro da área de alcance através da rede caso tenha acesso à mídia, com isso, é possível obter senhas e outras informações confidenciais. Redes wireless sem encriptação ou que ainda utilizam o WEP são alvos fáceis, pois bastaria conectar um notebook dentro da área de alcance do ponto de acesso para capturar as transmissões. (MORIMOTO, 2010) 2.1.4 Phishing Ataques de Phishing utilizam engenharia social para tentar levar o usuário a revelar informações confidenciais, e usa de truques antigos como enviar e-mails que simula um contato de banco ou de alguma loja que o usuário seja cliente e um tipo de recadastramento solicitando assim senha atual com o cadastro de uma nova senha. (MORIMOTO, 2010) De acordo com Morimoto (2010) é possível coletar informações em redes sociais que altera links em sites de forma a encaminhar os visitantes a sites forjados e solicitar login e senha e depois exibir uma mensagem que informa que o site esta em manutenção. 2.1.5 Denial of Service (DoS) Os Denial of Service (DoS), ou ataque de negação de serviço são feitos com o objetivo de tornar o sistema indisponível, já que eles podem ser lançados contra qualquer host conectado a Internet. Não é necessário que os serviços com vulnerabilidades de segurança estejam ativos, pois é possível tornar um servidor web indisponível enviando um grande volume de requisições, para acesso às 28 páginas hospedadas. Se o servidor não possuir nenhum tipo de filtro ou regra de firewall ele simplesmente passara a tentar responder todas as requisições fazendo com que ele deixe de responder a requisições de usuários validos. (MORIMOTO, 2010) O tipo mais conhecido de ataque Dos é o Distributed Denial of Service (DDoS), onde o ataque é lançado e usa centenas ou milhares de hosts (situados em locais diferentes) simultaneamente. (MORIMOTO, 2010 p. 395) O ataque de DDoS é difícil de conter, pois é necessário bloquear as requisições de cada um dos endereços usados antes que cheguem ao servidor. Para lançar esse tipo de ataque é necessário um número grande de máquinas, que precisam ser invadidas previamente e usa vulnerabilidades diversas, onde os hosts controlados são chamados de “zumbis” (zombie computers) e continua a desempenhar suas tarefas de forma aparentemente normal, até que sejam usadas em ataques. (MORIMOTO, 2010) Figura 2.1 - Hierarquia de botnets em ataques DDoS Fonte: Alecrim ,2012 Uma forma de ataque bastante comum faz uso de botnets, um tipo de rede formada por computadores infectados que pode ser controlada remotamente pelo atacante. Nesta forma de ataque, é comum o uso de computadores domésticos, Quando o computador passa a fazer parte de uma botnet, esta máquina pode ser chamada de “zumbis”. Após a contaminação, os "zumbis" podem entrar em contato 29 com máquinas "mestres", que por sua vez recebem orientações de um computador "atacante" Um computador "mestre" pode ter sob sua responsabilidade até milhares de computadores. A hierarquia de botnets está na figura 2.1. (ALECRIM, 2012) No momento em que de obter o controle de um numero suficiente de maquinas, basta alguns comandos para fazer com que o ataque seja lançado, assim é possível derrubar qualquer servidor conectado a uma grande rede. (MORIMOTO, 2010) 2.2 TIPOS DE DEFESAS Os tipos de defesas são qualquer mecanismo projetado para detectar, prevenir ou recuperar de ataques de segurança. 2.2.1 Criptografia O termo criptografia surgiu da fusão das palavras gregas "kryptós" e "gráphein", que significa "oculto" e "escrever", respectivamente. Trata-se de um conjunto de conceitos e técnicas que visa codificar uma informação de forma que somente o emissor e o receptor possam acessá-la, evitando que um intruso consiga interpretá-la. Para isso, uma série de técnicas é usada e muitas outras surgem com o passar do tempo. (ALECRIM, 2009) Figura 2.2 - Criptografia Fonte: Alecrim, 2009 O código mais sucedido já inventado foi usado pelas forças armadas dos Estados Unidos durante a Segunda Guerra Mundial no Pacifico. Historicamente, quatro grupos de pessoas desfrutaram e contribuíram para a arte de criptografia: os militares, os diplomatas, as pessoas que gostam de guardar memórias e os amantes. 30 Entre esse grupo teve em destaque os militares por definir bases para a tecnologia. (TANENBAUM, 2003) Segundo Tanenbaum (2003) até o surgimento dos computadores, umas das restrições impostas à criptografia era a habilidade do auxilio de criptografia gerar as transformações necessárias já que os equipamentos eram poucos. As mensagens a serem criptografadas, conhecidas como texto simples (plain text), são transformadas por uma função que é parametrizada por uma chave. Em seguida, a saída do processo de criptografia, conhecido como texto cifrado (cipher text), é transmitida, normalmente através de um mensageiro ou por radio. Presumimos que o inimigo, ou intruso, ouça e copia cuidadosamente o texto cifrado completo. No entanto, ao contrario do destinatário pretendido, ele não conhece a chave para descriptografar o texto e, portanto, não pode fazê-lo com muita facilidade. (TANENBAUM, 2003) Às vezes, o intruso pode não só escutar o que se passa no canal de comunicação (intruso passivo), como também pode gravar mensagens e reproduzilas mais tarde, injetar suas próprias mensagens ou modificar mensagens legitimas antes que elas cheguem ao receptor (intruso ativo). A arte de solucionar mensagens cifradas e chamadas criptoanalise. A arte de criar mensagens cifradas (criptografia) e solucioná-las (criptoanalise) e chamada coletivamente criptologia. Uma regra fundamental da criptografia e que se deve supor que o criptoanalista conheça os métodos genéricos de criptografia e descriptografia que são utilizados. (TANENBAUM, 2003) Atualmente as técnicas mais conhecidas envolvem o conceito de chaves, as chamadas chaves criptográficas. Trata-se de um conjunto de bits baseado em um determinado algoritmo capaz de codificar e de decodificar informações. Se o receptor da mensagem usar uma chave incompatível com a chave do emissor, não conseguirá extrair a informação. (ALECRIM, 2009) Há dois tipos de chaves criptográficas: chaves simétricas e chaves assimétricas. Chave simétrica Esse é um tipo de chave mais simples, onde o emissor e o receptor fazem uso da mesma chave, isto é, uma única chave é usada na codificação e na decodificação da informação. O uso de chaves simétricas tem algumas desvantagens, fazendo com que sua utilização não seja adequada em situações onde a informação é muito valiosa. 31 Para começar, é necessário usar uma grande quantidade de chaves caso muitas pessoas ou entidades estejam envolvidas. Ainda, há o fato de que tanto o emissor quanto o receptor precisam conhecer a mesma chave. A transmissão dessa chave de um para o outro pode não ser tão segura e cair em "mãos erradas". (ALECRIM, 2009) Chave assimétrica Também conhecida como "chave pública", a chave assimétrica trabalha com duas chaves: uma denominada privada e outra denominada pública. Neste método, um emissor deve criar uma chave de codificação e enviá-la ao receptor. Essa é a chave pública. Uma outra chave deve ser criada para a decodificação. Esta, a chave privada, é secreta. (ALECRIM, 2009) 2.2.2 Certificado Digital A internet permite que indivíduos, empresas, governos e outras entidades realizem uma série de procedimentos e transações de maneira rápida e precisa. Com isso é possível fechar negócios, emitir ou receber documentos, acessar ou disponibilizar informações sigilosas, diminuir processos burocráticos, entre outros. No entanto, da mesma forma que os computadores oferecem meios para tudo isso, podem também ser usados para fraudes, o que significa que tais operações, quando realizadas por vias eletrônicas, precisam ser confiáveis e seguras. A certificação digital é capaz de atender a essa necessidade. Por tanto certificação digital é um tipo de tecnologia de identificação que permite que transações eletrônicas dos mais diversos tipos sejam realizadas considerando sua integridade, sua autenticidade e sua confidencialidade, de forma a evitar que adulterações, captura de informações privadas ou outros tipos de ações indevidas ocorram. Ele funciona com base em um documento eletrônico chamado certificado digital e em um recurso denominado assinatura digital. A assinatura digital é um mecanismo eletrônico que faz uso de criptografia, mais precisamente, de chaves criptográficas. (ALECRIM, 2011) Este método considera dois importantes aspectos: confidencialidade e autenticidade. Resumidamente, o primeiro consiste em fazer com que a informação esteja acessível somente a pessoas ou organizações autorizadas. O segundo, em fornecer a certeza de que a informação provém da origem e forma esperadas, de forma que o 32 receptor reconheça isso. Um exemplo de uso de certificados digitais vem dos bancos. Quando uma pessoa acessa sua conta corrente pela internet, certificados digitais são usados para garantir ao cliente que ele está realizando operações financeiras com o seu banco. Se o usuário clicar no ícone correspondente no navegador de internet, poderá obter mais detalhes do certificado. Se algum problema ocorrer com o certificado - prazo de validade vencido, por exemplo -, o navegador alertará o usuário. É importante frisar que a transmissão de certificados digitais deve ser feita por meio de conexões seguras, como as que usam o protocolo Secure Socket Layer (SSL), que é próprio para o envio de informações criptografadas. Para que possa ser aceito e utilizado por pessoas, empresas e governos, os certificados digitais precisam ser emitidos por entidades apropriadas. Sendo assim, o primeiro passo é procurar uma Autoridade Certificadora (AC) ou uma Autoridade de Registro (AR) para obter um certificado digital. Uma AC tem a função de associar uma identidade a uma chave e inserir esses dados em um certificado digital. Para tanto, o solicitante deve fornecer documentos que comprovem sua identificação. Já uma AR tem uma função intermediária, já ela pode solicitar certificados digitais a uma AC, mas não pode emitir esse documento diretamente. (ALECRIM, 2011) 2.2.3 Firewalls Firewalls é uma coleção de regras que são aplicados ao trafego de rede, ele bloqueia a passagem de pacotes não confiáveis, deixando passar somente os pacotes confiáveis. Ele também limita o acesso a determinadas portas e a determinados endereços da rede. (MORIMOTO, 2010) De acordo com Morimoto (2010) o firewall trabalha verificando os endereços de origem e de destino dos pacotes a portas que são destinadas e o status das conexões. Ele não é destinado a verificar vírus, Trojans, Phishing e outros ataques similares, para esses temos os antivírus, que trabalham verificando o conteúdo dos arquivos acessados. A sua tradução Parede de fogo deixa claro que o firewall se enquadra em uma espécie de barreira de defesa. (ALECRIM, 2013) 33 Figura 2.3 - Representação básica de um Firewall Fonte: Alecrim, 2013. O trabalho de um firewall pode ser realizado de várias formas. O que define uma metodologia ou fatores como critérios do desenvolvedor, necessidades específicas do que será protegido, características do sistema operacional, estrutura da rede e assim por diante. Por isso que podemos encontrar mais de um tipo de firewall. A seguir, os mais conhecidos. (ALECRIM, 2013) Filtragem de pacotes (packet filtering) As primeiras soluções de firewall surgiram na década de 1980 baseando-se em filtragem de pacotes de dados, uma metodologia mais simples e, por isso, mais limitada, embora ofereça um nível de segurança significativa. Para compreender, é importante saber que cada pacote possui um cabeçalho com diversas informações ha seu respeito, como endereço IP de origem, endereço IP do destino, tipo de serviço, tamanho, entre outros. O Firewall então analisa estas informações de acordo com as regras estabelecidas para liberar ou não o pacote, podendo também executar alguma tarefa relacionada, como registrar o acesso ou tentativa de em um arquivo de log que é um arquivo que guarda informações sobre um programa, como mensagens de erros por exemplo. (ALECRIM, 2013) Figura 2.4 - Filtragem de Pacotes com o Firewall Fonte: Alecrim, 2013. 34 � Filtragem estática e dinâmica É possível encontrar dois tipos de firewall de filtragem de pacotes. O primeiro utiliza o que é conhecido como filtros estáticos, enquanto que o segundo é um pouco mais evoluído, utilizando filtros dinâmicos. Na filtragem estática, os dados são bloqueados ou liberados meramente com base nas regras, não importando a ligação que cada pacote tem com outro. A princípio, esta abordagem não é um problema, mas determinados serviços ou aplicativos podem depender de respostas ou requisições específicas para iniciar e manter a transmissão. É possível então que os filtros contenham regras que permitem o tráfego destes serviços, mas ao mesmo tempo bloqueiem as respostas ou requisições necessárias, impedindo a execução da tarefa. Na filtragem os filtros consideram o contexto em que os pacotes estão inseridos para criar regras que se adaptam ao cenário, permitindo que determinados pacotes trafeguem, mas somente quando necessário e durante o período correspondente. Desta forma, as chances de respostas de serviços serem barradas, por exemplo, cai consideravelmente. (ALEGRIM, 2013) � Firewall de aplicação ou proxy de serviços (proxy services). O firewall de aplicação, também conhecido como proxy de serviços ou apenas proxy é uma solução de segurança que atua como intermediário entre um computador ou uma rede interna e outra rede externa, normalmente a internet, instalados em servidores potentes por precisarem lidar com um grande número de solicitações, firewalls deste tipo são opções de segurança porque não permitem a comunicação direta entre origem e destino. Figura 2.5 – Firewall de aplicação – Proxy services Fonte: Alecrim, 2013. Na imagem 2.5 há um equipamento entre ambos que cria duas conexões: 35 entre a rede e o proxy e entre o proxy e a internet, ao invés da rede interna se comunicar diretamente com a internet. (ALECRIM, 2013) Perceba que todo o fluxo de dados necessita passar pelo proxy. Desta forma, é possível, por exemplo, estabelecer regras que impeçam o acesso de determinados endereços externos, assim como que proíbam a comunicação entre computadores internos e determinados serviços remotos. A implementação de um proxy não é tarefa fácil, haja visto a enorme quantidade de serviços e protocolos existentes na internet, fazendo com que, dependendo das circunstâncias, este tipo de firewall não consiga ou exija muito trabalho de configuração para bloquear ou autorizar determinados acessos. Os firewalls são soluções importantes de segurança, surgiram na década de 1980 e são amplamente utilizados até os dias de hoje. Porém, um firewall não é capaz de proteger totalmente uma rede ou um computador, razão pela qual deve ser utilizado em conjunto com outros recursos, como antivírus, sistemas de detecção de intrusos, entre outros. (ALECRIM, 2013) Neste capitulo foi explicado à importância da segurança e alguns dos tipos de ataques e defesas da rede de computadores. No próximo capitulo serão abordados alguns mecanismo de segurança de redes sem fio, com enfoque nos controles de acesso físico e lógico e os protocolos de segurança de redes sem fio. 36 3 MECANISMO DE SEGURANÇA EM REDES WIRELESS Sobretudo um dos grandes problemas em uma rede wireless é que os sinais são transmitidos pelo ar, não existe como impedir que o sinal se propague livremente, de forma que a única forma eficaz de proteção é encriptar toda a transmissão, fazendo com que a as informações capturadas não tenham serventia. A maioria das redes já utilizam algum tipo de proteção, seja através do uso do WEP ou da Wireless WPA, seja através de uma lista de acesso dos endereços MAC autorizados a se conectar a rede. As maiorias dos pontos de acesso utilizam antenas de 2 ou 2.2 dBi e as placas wireless utilizam em geral antenas ainda menos sensíveis. O alcance divulgado pelos fabricantes é calculado com base no uso das antenas padrão. Ao utilizar uma antena apropriada, o sinal de um ponto de acesso colocado perto de uma janela pode ser captado de 1,2 ou até mesmo três quilômetros de distancia em lugares onde não existam obstáculos pelo caminho. Qualquer pessoa com um computador próximo a uma antena de alto ganho pode conseguir captar o sinal da rede e se conectar, tendo acesso à conexão com web, além de arquivos e outros recursos que tenha compartilhamento pela rede. (MORIMOTO, 2010) 3.1 CONTROLES DE ACESSO A proteção aos recursos de computacionais inclui desde aplicativos e arquivos de dados até equipamentos, utilitários e o próprio sistema operacional. Os controles de acesso, físicos e lógicos, têm como objetivo proteger esses recursos computacionais contra perda, modificação ou divulgação não autorizada. (PINHEIRO, 2004). 3.1.1 Segurança Física A segurança física está diretamente relacionada aos aspectos associados ao acesso físico a recursos de informações, tais como disponibilidade física, sejam esses recursos ás próprias informações, seus meios de suporte e armazenamento ou mecanismo de controle de acesso ás informações (PINHEIRO, 2004). O controle do acesso físico às instalações é um aspecto particularmente 37 importante da segurança física. Os acessos de visitantes, clientes e outras pessoas não envolvidas com a operação do sistema devem ser feitos com restrições. Podemos definir três ambientes no que se refere à segurança física, conforme mostra a Figura abaixo: Figura 3.1 – Ambiente de segurança Física. Fonte: Pinheiro, 2013. � Ambiente Global de Segurança: área sobre a qual a organização mantém alguma forma de controle ou influência, tal como áreas vizinhas ao local da rede de computadores; � Ambiente Local de Segurança: salas adjacentes ao local da rede de computadores. O controle de entrada e saída deste ambiente deve ser feito de acordo com as medidas necessárias previamente estabelecidas na política de segurança da organização. Dentro deste ambiente podem existir diferentes regiões com controles de acesso distintos; � Ambiente Eletrônico de Segurança: sala onde se localiza efetivamente a instalação computacional e seus equipamentos periféricos. Os recursos a serem protegidos e que se encontram no ambiente eletrônico de segurança são servidores, impressoras, terminais, roteadores, scanners, etc. O acesso aos ambientes pode ser feito por intermédio de controles explícitos e de controles de regulamentação de acesso. Os controles explícitos são 38 representados por fechaduras mecânicas e eletrônicas, câmeras de vídeo, alarmes e guardas de segurança. Os controles de regulamentação ao acesso são constituídos por senhas, cartões magnéticos ou sistemas biométricos. (PINHEIRO, 2004). Uma boa infraestrutura não garante por si só a segurança física, componentes de má qualidade certamente poderá proporcionar danos elevados. Por esse motivo deve sempre ser observado qualquer tipo de ameaças presentes e que às vezes passam despercebidas, tais como: riscos de incêndios, desabamentos, inundações e alagamentos, falhas na rede elétrica, sistemas de fornecimento de energia ininterrupto, sistemas de alarmes, circuitos internos de televisão, monitoramento e controle de acesso dentre outras, devem ser adotadas utilizandose componentes adequados. (PINHEIRO, 2004) 3.1.2 Segurança Lógica Considerando que o controle de acesso físico não é suficiente para garantir a segurança das informações, é necessário o controle de acesso lógico, representados por medidas de segurança com a finalidade de impedir acessos não autorizados ao sistema. Os controles de acesso lógicos envolvem o fornecimento da identificação do usuário e de senha que serve de autenticação, provando ao sistema que o indivíduo é realmente quem diz ser. O principal objetivo desse controle é que apenas usuários autorizados tenham acesso aos recursos da rede, e para cumprir esse objetivo os controles de acesso lógicos devem atender a procedimentos formais que contemplem todo o ciclo de vida do acesso do usuário, desde seu registro inicial, o gerenciamento dos privilégios e senhas, a exclusão. Estes procedimentos devem estar em conformidade com a política de disseminação da informação. (PINHEIRO, 2004). 3.2 AUTENTICAÇÃO A autenticação é o modo de provar a própria identidade a alguém. Com os seres humanos a varias formas de provar essa autenticação como, comparar uma foto, pela voz ao telefone e outros meios e assim acontece quando uma rede de 39 computador se comunica co outra rede, é preciso que uma autenticação aconteça para que a transferência de dados acorra de forma segura e que não foi alvo de mutações ao longo de um processo. (KUROSE, 2006) O modo mais simples de se compreender como funciona uma autenticação na rede é imaginar um usuário A enviando uma mensagem para o usuário B, o protocolo de autenticação vai se encarregar de que um terceiro usuário não penetre na rede e faça a alterações dessa mensagem como mudar a identificação de seu remetente ou modificar o conteúdo da mensagem. (KUROSE, 2006) 3.2.1 Métodos de autenticação O padrão IEEE 802.11 especifica dois métodos de autenticação são eles o de sistema aberto e autenticação de chave compartilhada. Entre esses três métodos o mais seguro e simples é a autenticação de sistema aberto. Durante o processo de autenticação o usuário deve passar por varias etapas para autenticar suas informações, com variações de um método para o outro. (FARIAS, 2006) 3.2.2 Autenticação de sistema aberto Autenticação de sistema aberto é o método usado nos equipamentos Wireless. Dessa forma usando esse método uma estação pode se associar com qualquer Access Point (AP) que também usem o método. Este método de autenticação é baseado no Service Set IDentifier (SSID), para que isso ocorra basta que a estação e o AP tenham o mesmo Service Set IDentifier (SID) para que a autenticação ocorra. O processo de autenticação de sistema aberto é usado de forma muito eficaz tanto em ambientes seguros quanto não seguros. (FARIAS, 2006) Como o processo ocorre: O cliente faz um pedido para se associar ao AP, e o AP toma conhecimento desse pedido, envia uma resposta positiva e autentica o cliente. Conforme ilustração da figura 3.2. É possível também usar a opção WEP para criptografar o processo de autenticação. Porém a criptografia não é feita durante o processo de autenticação em si, ou seja, a chave WEP não é verificada por ambos os lados durante a 40 autenticação, mas para criptografar os dados depois que o cliente já estiver autenticado e associado. Este método de autenticação é usado em diversos cenários, mas há duas razões principais para isso: � É considerado o mais seguro dos dois métodos disponíveis. � Já é usado por padrão nos dispositivo wireless, o que não requer configuração adicional. (FARIAS, 2006) Figura 3.2 - Processo de autenticação de sistema aberto Fonte: Farias, 2006. 3.2.3 Autenticação de chave compartilhada Nesse método o uso do WEP é obrigatório já que se usam chaves tanto no cliente quanto no AP e ambos devem utilizar as mesmas para que o WEP possa operar. Lembrando que essas chaves são configuradas manualmente. Como o processo ocorre: O usuário faz uma solicitação de associação ao AP, esse processo ocorre da mesma forma da autenticação de sistema aberto. O AP encaminha uma pergunta ao usuário. Então essa pergunta gera um texto aleatório e envia ao cliente de forma de texto puro. O cliente responde a essa pergunta. A chave WEP do cliente é usada para criptografar a pergunta e por fim a mesma é enviada já codificada de volta ao AP. 41 Por fim AP retorna a resposta do cliente, após isso a resposta codificada encaminhada pelo cliente é decodificada usando a chave WEP do AP, caso o cliente tenha a mesma chave o AP responderá positivamente e autenticará o cliente, caso a chave não for correta o respondera negativamente e não será feita a autenticação do usuário. (FARIAS, 2006) Segurança da autenticação: esse processo não é considerado seguro, pois o AP transmite a pergunta em texto puro e recebe a mesma pergunta codificada com a chave WEP. Isso permite a um hacker usar um sniffer para ver ambos a pergunta em texto puro e a pergunta codificada. De posse desses dois valores, um programa cracker poderia ser usado para gerar a chave WEP. Uma vez obtida à chave WEP, o hacker em questão poderia descriptografar o tráfego codificado. Por essa razão a autenticação de sistema aberto é mais seguro que a de chave compartilhada. É importante ressaltar que nenhum dos dois métodos é realmente seguro, e, portanto uma solução de segurança mais completa seria importante e necessária. (FARIAS, 2006) Figura 3.3 - Processo de autenticação de chave compartilhada. Fonte: Farias, 2006 42 3.2.4 Certificados e Shared Secrets São strings de números ou texto que são referidos como chave WEP. Certificados são outro método de identificação do usuário, usados em redes wireless. Do mesmo modo que chaves WEP, são colocadas na máquina cliente. Essa colocação é feita de uma forma que quando o usuário deseja autenticar com a rede wireless, o mecanismo de autenticação já se encontra na máquina cliente. (FARIAS, 2006) 3.2.5 Protocolos de autenticação emergentes Existem novas soluções de segurança de autenticação e protocolos no mercado de hoje em dia, incluindo VPN, 802.1x usando EAP (Protocolo de autenticação extensível). Muita dessas soluções de segurança envolve a passagem da autenticação por servidores de autenticação que por sua vez repassam a autorização ao AP, enquanto o cliente fica aguardando por essa autorização durante a fase de autenticação. (FARIAS, 2006) 3.2.6 802.1x e EAP O padrão 802.1x é um modo mais recente, e os dispositivos que o suportam tem a habilidade de permitir a conexão para a rede na camada 2, somente se a autenticação do usuário for bem sucedida. A autenticação do usuário é realizada usando um servidor Remote Authentication Dial In User Service (RADIUS) e algum tipo de base de dados de usuários (RADIUS, NDS, Active Directory, LDAP) para validação dos mesmos. O novo padrão 802.1i, também conhecido como WPA, inclue suporte a 802.1x, EAP, AAA, autenticação mútua e geração de chave. No modelo 802.1x padrão a autenticação da rede consiste de três partes: o requerente (cliente), o autenticador (ponto de acesso) e o servidor de autenticação RADIUS. (FARIAS, 2006) Como a segurança de uma rede Wireless Local Area Network (WLAN) é indispensável, a autenticação EAP fornece meios para assegurar uma conexão WLAN. Conhecer esse tipo de autenticação EAP é importante no entendimento das 43 características do método de autenticação que está sendo utilizado, que são eles: senhas, geração de chave, autenticação mutua e protocolos. Porém é importante lembrar que somente o uso do EAP não é suficiente para estar bem protegido, são necessários escolher o tipo de EAP que será usado. Alguns dos tipos de autenticação EAP mais comuns são: � EAP-MD-5 Challenge – Um dos mais antigos tipos de autenticação, seu papel é duplicar a proteção de senha CHAP em uma WLAN. � EAP-Cisco Wireless – Esse tipo também pode ser chamado de LEAP, ele é usado somente em Automatic Protection Switching (APS) Cisco. LEAP proporciona segurança durante a troca de credenciais, por fim criptografa os dados transmitidos usando chaves WEP dinâmicas e suporta autenticação mutua. � EAP-TLS – Esse processo é baseado no uso de certificados, ele oferece a autenticação mutua do cliente e da rede. EAP-TLS confia nos certificados do lado cliente e do servidor para realizar a autenticação usando chaves WEP geradas dinamicamente baseadas na sessão e no usuário para proteger a conexão. � EAP-TTLS – É uma extensão do EAP-TLS, é necessário apenas certificados no lado do servidor, alem de suportar vários tipos de senhas de modo que pode usar com sistemas de autenticação existentes tais como: Active Directory e NDS. Encapsula dentro de túneis a autenticação do cliente dentro do EAP-TLS garantindo que o usuário permaneça anônimo no link wireless. Chaves WEP são geradas e distribuídas dinamicamente para proteger a conexão do usuário. � EAP-SRP – Esse protocolo é baseado em troca de chaves seguras e senha. Também é capaz de solucionar problemas de autenticar o cliente com o servidor de um modo seguro em situações que o usuário deve memorizar uma pequena senha e não carregar nenhum tipo de informação secreta. Ou seja, o servidor carrega um verificador para cada usuário que permite a ele autenticar o cliente. Caso o verificador encontre um hacker em seu caminho não será possível a ele se passar pelo cliente já que o Secure Remote Password Protocol (SRP) e baseado em criptografia forte o que permite ambas as partes fazer a comunicação de forma segura. (FARIAS, 2006) 44 Figura 3.4 - Processo de autenticação usando EAP Fonte: Farias, 2006 3.3 RADIUS O RADIUS é um protocolo que utiliza o conceito AAA para gerir o acesso à rede, este conceito refere-se aos processos de autenticação e autorização e contabilização (accounting). É normalmente usado para gerir e tornar mais seguro o acesso à Internet ou a redes internas. (ANTUNES, 2009) O protocolo RADIUS baseia-se no modelo cliente/servidor, tendo de um lado o Network Access Server (NAS) como cliente e do outro o servidor RADIUS. O usuário, o NAS e o servidor trocam mensagens entre si quando o cliente ou utilizador pretende autenticar para utilizar um determinado servidor de rede. O NAS é responsável por adquirir todos os dados do cliente, que normalmente são nome e senha e enviá-los para o servidor RADIUS através de um pedido de acesso que se designa de Access-Request. Este é também responsável por processar respostas vindas do servidor RADIUS. (ANTUNES, 2009) O servidor ao receber um pedido de acesso tenta a autenticação do cliente, enviando de seguida a resposta para o NAS contendo um Access-Reject caso o acesso lhe seja negado ou, caso o acesso seja aceite contendo Access-Accept, ou caso seja pedida uma nova confirmação contendo Access-Challenge. Após autenticação, são comparados e verificados alguns dados do pedido de modo a que 45 o servidor determine qual o grau de acesso que pode ser dado a este utilizador que foi autenticado. A figura 3.5 ilustra o funcionamento do Radius. Figura 3.5 - Processo de autenticação do RADIUS Fonte: Antunes, 2009 Existem no mercado muitas soluções para servidores RADIUS. O freeRADIUS é o servidor RADIUS mais utilizado para sistemas Linux. Este é responsável pela autenticação de pelo menos um terço dos utilizadores na Internet. Os restantes utilizadores encontram-se divididos entre os restantes servidores, destacando-se entre eles o Cisco Access Control Server (ACS) e o Microsoft Internet Authentication Service (IAS). (ANTUNES, 2009) 3.3.1 FreeRADIUS O freeRADIUS é uma implementação de RADIUS modular, de alta performance e rica em opções e funcionalidades. Esta inclui servidor, cliente, bibliotecas de desenvolvimento e muitas outras utilidades. Pode ser instalada em sistemas Linux e Machintosh. (ANTUNES, 2009) 3.4 ENDEREÇAMENTO MAC Para o bom funcionamento de uma rede padrão Ethernet ou Wireless, cada 46 dispositivo dela deve ter um número único, definido pelo fabricante e controlado pelo Intitute of Electrical and Electronics Engineers (IEEE). Esse número permite identificar de forma inequívoca um equipamento em relação a qualquer outro fabricado no mundo, da mesma ou de outra fabricante. Esse tipo de informação é facilmente identificado na maior parte dos equipamentos com interface de rede sem fio. Em sistemas Windows essa informação pode ser dada pelo comando ipconfig, onde a linha Endereço Físico indica o endereço MAC dessa interface: Figura 3.6 – Endereço MAC pelo comando ipconfig Fonte: Elaborada pelas autoras, 2013 Em sistemas Unix, essa informação pode ser dada pelo comando ifconfig, onde ehert indica o endereço MAC em sistemas, ou em outros casos o nome a ser mostrado seria simplesmente address. Uma das formas encontradas para restringir o acesso a uma determinada rede sem fio é mediante o cadastro prévio dos dispositivos participantes, como o endereçamento MAC identifica de forma única cada interface de rede, apenas os dispositivos cadastrados terão acesso permitido. Esse tipo de mecanismo exigirá sempre alguma manutenção, de acordo com o fluxo de usuários e interfaces, porem esse tipo de autenticação pode identificar o equipamento e não o usuário, isso é importante em computadores compartilhados ou vulneráveis a acessos não autorizados, quer sejam físicos ou remotos. Por outro lado, essa mesma técnica pode ser utilizada por clientes para conectar com o concentrador correto, a configuração nesse caso é invertida, em vez 47 de o concentrador selecionar de quais equipamentos aceita conexão, o cliente é quem configura o endereço MAC do concentrador, dessa maneira, poderá ter certeza de que está conectando com o concentrador desejado. (RUFINO, 2005) 3.5 PROTOCOLOS DE SEGURANÇA DE REDES WIRELESS 3.5.1 Wired Equivalent Privacy (WEP) De acordo com Tanembaum (2003) nas redes IEEE 802.11 o tráfego é criptografado através da utilização do protocolo WEP, que utiliza uma cifra de fluxo baseado no algoritmo RC4, uma das vantagens desse algoritmo é a facilidade de implementação e o baixo consumo de recurso, e foi projetado por Ronald Rivest que se manteve secreto até vazar e ser publico na Internet em 1994. Ao padrão 802.11 prescreve um protocolo de segurança do nível de enlace de dados, chamado WEP (Wired Equivalent Privacy), projetado para tornar a segurança de uma LAN sem fio tão boa quanto à de uma LAN fisicamente conectada. (TANEMBAUM, 2003 p. 587) O algoritmo de criptografia RC4 possui duas funcionalidades básicas: uma para gerar um "código" que será usado para encriptar e decriptar o Key Scheduler Algorithm (KSA) e outra para realizar a criptografia propriamente dita da mensagem com o uso deste código o Pseudo Random Generation Algorithm (PRGA). A função KSA é responsável por gerar uma permutação pseudo-aleatória do conteúdo de uma chave secreta. O fato de ela ser pseudo-aleatória se deve à invariância do valor retornado com relação ao tempo, dependendo apenas do valor de entrada. Portanto, é necessária a execução desta função apenas uma vez para a obtenção da permutação que será usada. A função PRGA, é responsável pela encriptação da mensagem a partir do valor retornado pelo KSA. Ela consiste basicamente de operações de Ou-Exclusivo entre a permutação da chave secreta e a mensagem de entrada, retornando uma mensagem cifrada. A aplicação do PRGA na mensagem cifrada gera a mensagem original caso a permutação utilizada seja a mesma do processo de encriptação. A compreensão do funcionamento do mecanismo de encriptação/decriptação baseia-se no entendimento do algoritmo RC4. Para garantir maior segurança ao processo, a permutação oriunda do KSA deve ser diferente a cada mensagem enviada. Para isto, existe um vetor de inicialização pseudo-aleatório que é recalculado a cada iteração do algoritmo e é acrescido à chave secreta. Como quem 48 recebe a mensagem não possui este valor, o mesmo deve ser incluído no texto cifrado que será enviado. Por fim, existe ainda um mecanismo que provê integridade ao conteúdo do texto cifrado que é recebido, tendo em vista que o meio de propagação da mensagem é muito suscetível a erros. (PAIM, 2011) Figura 3.7 – Diagrama de Blocos do Protoloco WEP Fonte: Paim, 2011 A grande vantagem é a sua simplicidade de implementação, requerendo poucas operações. Contudo, ele peca no quesito segurança, pelo fato de cada bit de saída ser uma função apenas do bit de entrada, enquanto no outro é uma função de todos os bits do bloco original. (PAIM, 2011) 3.5.1.1 Vulnerabilidades do WEP Existem diversas falhas conhecidas há mais de uma década no protocolo WEP. Elas são muitas vezes exploradas por pessoas maliciosas que desejam prejudicar o uso da rede sem fio ou simplesmente obter acesso à Internet. Entre as falhas mais graves, encontram-se presente no mecanismo de confirmação de recebimento de quadros WEP, a possibilidade de inundação da rede com quadros repetidos e a fragilidade do algoritmo RC4. Dentre os diversos ataques existentes para a obtenção da chave secreta utilizada no WEP, alguns se destacam pela simplicidade e tempo de execução muito 49 baixos, da ordem de minutos: � Força Bruta: A chave secreta do WEP possui 40 bits, valor relativamente alto, mas que, com o uso de ataques de dicionário, isto é, através da utilização de nomes que são comumente utilizados, torna-se plausível sua execução. � Conexão: Durante a conexão de um suplicante ao ponto de acesso, o desafio passa em claro e logo depois encriptado. Assim, é possível ter acesso ao mesmo conteúdo das duas formas, facilitando o processo de obtenção da chave secreta. � Escuta: Existem outros tipos de ataque que conseguem recuperar a chave secreta a partir da escuta do tráfego por alguns minutos, até que o valor do vetor de inicialização se repita. O maior agravante do processo de encriptação do WEP é a utilização da chave secreta (que não é provisória), em todas as etapas. Assim, a descoberta deste valor significa a utilização da rede até que o mesmo seja trocado pelo administrador da mesma. Outro tipo de ataque bastante conhecido no protocolo WEP é a captura de quadros transmitidos e a alteração do conteúdo de alguns deles. A função resumo utilizada como provedora de integridade (CRC-32) possui um comportamento conhecido para determinados padrões de alteração de bits, o que possibilita alguém mal-intencionado forjar o conteúdo de mensagens. (PAIM, 2011) O grande problema é que o WEP é baseado no uso de vetores de inicialização que, combinados com todas essas outras vulnerabilidades, tornam as chaves fáceis de quebrar. Ele pode dar certa segurança, mais na verdade seria como fechar a porta de casa com um arame, pois só daria o trabalho do invasor desenrolá-lo para entrar. (MORIMOTO, 2010) Porém, após terem sido expostas há várias fragilidades, o Wep ainda provê segurança adequada a vários tipos de cenários. (RUFINO, 2005) 3.5.2 Wi-fi Protected Acess (WPA) Tendo em vista os problemas de segurança e as vulnerabilidades divulgados no WEP, o WI-FI Alliance adiantou a parte de autenticação e cifração do trabalho que estava sendo feito para o fechamento do padrão 802.11i, e liberou o protocolo WAP, que é um padrão de segurança, destinado a ser implantados nos demais 50 padrões. (RUFINO, 2005) Dentre as novidades do WAP há o Temporal Key Integrity Protocol (TKIP), protocolo responsável pela gerência de chaves temporárias usadas pelos equipamentos em comunicação, possibilitando a preservação do segredo mediante a troca constante da chave. Outra vulnerabilidade corrigida e usada no TKIP é o aumento significativo do tamanho do vetor de iniciação, que passou dos originais 24 para 48 bits, permitindo uma substancial elevação na quantidade de combinações possíveis. (RUFINO, 2005) O TKIP é o protocolo usado pelo WPA para encriptação da mensagem transmitida. Ele faz uso do algoritmo RC4, da mesma forma que o WEP, mas toma algumas precauções para evitar ataques, como não enviar a chave secreta "em claro" e trabalhar com uma política de vetores de inicialização mais inteligente. (PAIM, 2011) Além do padrão WAP original, temos também o WAP 2, que corresponder à versão finalizada do 802.11i. Mesmo com melhorias no padrão WAP foi descoberto existência de falhas, então o WAP 2 foi lançado para efetuar correções de falhas de segurança. A principal diferença entre os dois é que o WPA utiliza algoritmo RC4, o mesmo usado no WEP, enquanto o WAP 2 utiliza o Advanced Encryption Standard (AES). O AES é um padrão de criptografia muito seguro, usado pelo governo do EUA, o problema é que exige mais processamento, tornado mais pesado. Tanto ao usar o TKIP quanto o AES, é importante definir uma boa passphrase, que é uma espécie de senha que garante o acesso a rede, com pelo menos vinte caracteres aleatórios, onde a senha não fica tão fácil de ser adivinhada. (MORIMOTO, 2010) 3.5.3 Extensible Authentication Protocol (EAP) Um modelo para autenticação também foi definido no WPA, conhecido como EAP, que permite integrar soluções de autenticação já conhecidas e testadas. O EAP utiliza o padrão 802.11x e permite vários métodos de autenticação, incluindo a possibilidade de certificação digital. Portanto o protocolo EAP permite que um usuário se autentique em um servidor específico a fim de receber mensagens provenientes do ponto de acesso. Este servidor trabalha com o uso do protocolo Remote Authentication Dial In 51 User Service (RADIUS) e tanto pode ser representado pelo ponto de acesso quanto por uma outra máquina dedicada a este fim. O EAP foi desenvolvido originalmente para trabalhar com o protocolo PPP (Protocolo Ponto-a-Ponto). Assim, seu funcionamento pode ser entendido como uma evolução deste tipo de modelo. Ele possui quatro tipos de mensagem básica que são usadas durante a conexão: Requisição, Resposta, Sucesso e Falha. Figura 3.8 – Diagrama de Autenticação com Servidor Radius Fonte: Paim, 2011. Para a conexão em uma rede sem fio trabalhar com o EAP é enviado uma mensagem de Requisição para o ponto de acesso. Este, por sua vez, retorna um pedido da identidade que o suplicante possui. Ao receber a resposta do suplicante, o ponto de acesso a envia diretamente para o servidor RADIUS. Ele, então, cria um desafio pelo qual o suplicante deve passar com o uso da senha que ele possui. Assim, caso este responda de maneira correta, terá acesso à rede sem fio; caso contrário, receberá uma mensagem de falha de conexão. Por fim, se o protocolo usado para encriptação for o WPA ou WPA2, então ocorre o acordo entre o suplicante e o ponto de acesso a fim de decidir os valores de chaves temporais que serão usadas durante a comunicação. (PAIM, 2011) Este modelo apresenta uma característica muito interessante que é o isolamento do servidor RADIUS: em nenhum momento o suplicante envia uma 52 mensagem diretamente para ele; sempre deve haver o intermédio do ponto de acesso. Isto garante uma maior segurança ao servidor, o que é vital, pois ele contém informações referentes a todos os usuários que são passíveis de acessar a rede. Além disto, o isolamento é importante ao permitir uma maior flexibilidade na hora da manutenção da rede, pois caso o esquema de segurança seja alterado, deve-se apenas mexer na conexão entre o servidor e o ponto de acesso. (PAIM, 2011) Neste capitulo foram abordados os aspectos da segurança física e lógica com enfoque na autenticação e nos protocolos de segurança. No próximo capitulo contém um estudo de caso do acesso físico e lógico, com aplicação dos métodos de segurança, e ferramenta que é utilizada para a segurança do acesso lógico utilizando a autenticação. 53 4 ANÁLISE DE SEGURANÇA Para avaliar as condições da rede sem fio em estudo, foi analisada a importância do controle dos acessos físicos e lógicos, e foi realizada uma avaliação dos métodos de segurança adotados na mesma, usando o método de segurança do acesso físico com padronizações e limites físicos, e o da segurança lógica usando o método de autenticação procurando obter mais confiabilidade na segurança da rede Wireless, tendo em vista que estas redes são comprovadamente menos segura do que as redes conectadas por cabos. As ferramentas utilizadas foram empregadas com o intuito de aumentar a segurança com o controle de acesso. 4.1 CONTROLE DE ACESSO FÍSICO A segurança física de uma rede sem fio, muitas vezes não é lembrada e nem levada em consideração em muitos casos na hora da implementação. (RUFINO, 2005) Os pontos de acesso que serão instalados para implementação da rede wireless, seja ele em cenário doméstico ou corporativo, deve ser estudado de forma minuciosa para que o sinal fique apenas ao alcance das delimitações do estabelecimento e os aparelhos fiquem em ambientes seguros. Por exemplo, se instalarmos um ponto de acesso em um lugar bem alto terá um bom desempenho, porém seu alcance será maior, abrindo mais possibilidades de seu sinal ser interceptado. Uma forma de resolvermos este problema é diminuindo a potência do sinal, ou posicionando os pontos de acesso em lugares onde o sinal será mais bem aproveitado dentro de determinada área, de tal forma que este fique a um alcance seguro dentro do estabelecimento onde é utilizada a rede wireless.(TANENBAUM, 2003) Ou seja, para acessar uma rede wireless, basta estar próximo de dispositivos de acesso e se posicionar de forma a obter um sinal cuja potência do sinal permita uma conexão. 54 Figura 4.1 – Localização Acess Point. Fonte: Telasocia, 2013 Para ajudar a minimizar o problema de acesso não autorizado, algo a se levar em conta quando se for construir uma rede sem fio é a posição do Access Point, para que as ondas eletromagnéticas fiquem centralizadas, minimizando a área coberta pela rede fora do perímetro desejado. (RUFINO, 2005) Mas ainda sim as ameaças de segurança física da rede sem fio podem ter diferentes fontes. As ameaças podem ser classificadas em: � Naturais: são ameaças às quais todos os equipamentos ou instalações físicas de uma organização podem estar sujeitas: fogo, inundações, quedas de energia. � Não intencionais: são perigos trazidos pela ignorância dos seus usuários ou administradores e não por ações maliciosas � Intencionais: são as ameaças, sobre as quais os produtos de segurança melhor podem atuar. As ameaças intencionais podem surgir a partir de dois tipos de vilões: internos ou externos. Os ataques de segurança são ações que comprometem a segurança da informação mantida por uma organização Existem quatro tipos básicos de ataques. (RUFINO, 2005) 55 Figura 4.2 – Acesso ao Roteador não autorização. Fonte: imguol, 2013 As vulnerabilidades são pontos nos quais o sistema é suscetível a ataques e ameaças de segurança. Existem os seguintes tipos básicos de vulnerabilidades de segurança: � Físicas: Os prédios e salas que mantém sistemas computacionais são vulneráveis podendo ser invadidos, por exemplo, através de arrombamento. � Naturais: incluem desastres de ordem natural e às ameaças ambientais. Como exemplos de desastres, podem-se citar: incêndios, inundação, terremotos e perda de energia. As ameaças ambientais, por sua vez, podem advir de poeira, umidade ou condições de temperatura inadequadas para instalações computacionais. � Hardware e Software: Falhas de hardware e software podem comprometer toda a segurança de um sistema. Por exemplo, de falha de hardware, podese citar a queda de um enlace ou mesmo do sistema de contingência. Já no caso de software, a configuração errada de um roteador de uma rede, por exemplo, pode impedir o tráfego de informação correto entre os sistemas. � Humanas: As pessoas que administram e usam o sistema representam sua maior vulnerabilidade. Os usuários, operadores ou administradores do sistema podem cometer erros que comprometam o sistema. 56 Figura 4.3 – Localização inadequada do Rack. Fonte: Unioeste, 2013. 4.2 CONTROLE DE ACESSO LÓGICO – TESTE COM SERVIDOR RADIUS Utilizou-se na implementação desse servidor de autenticação o RADIUS por ser gratuito e apresenta uma série de funcionalidades que o qualifica como um eficiente sistema de autenticação adaptável as mais diversas condições de rede, ele é utilizado tanto para autenticar os usuários ou dispositivos antes de conceder-lhes acesso a uma rede, quanto para autorizar os usuários ou dispositivos para determinados serviços de rede. 4.2.1 Instalação, configuração e teste com Servidor FreeRadius. Utilizou-se como servidor uma maquina virtual do VirtualBox com a distribuição Linux Ubuntu Server 12.04.2. Primeiramente instala-se o freeradius: # apt-get installl freeradius freeradius-mysql mysql-server Esse comando instala o FreeRADIUS para autenticação em base de dados MySQL, baixando uma coleção de arquivos pré-configurados para o acesso a base de dados. 57 Após a instalação do FreeRadius é necessário alterações nos arquivos de configuração. Para o cliente obter permissão é necessário configurar os dados do roteador utilizado adicionando as seguintes linhas no arquivo clients.conf. Client 192.168.1.1{ Secret = testing123 O cliente é o IP do roteador e secret é a senha colocado no roteador Para que seja possível importar as informações para o MySQL é preciso primeiramente acessar o MySQL e criar o banco de dados. O comando abaixo acessa o Mysql e em seguida cria o banco de dados: # mysql –u root -p Mysql> CREATE DATABASE radius; Em seguida executa-se o script e cria as tabelas necessárias para o uso do freeradius: # mysql –u root –p radius < /etc/freeradius/sql/mysql/ shema.sql O arquivo sql.conf já vem configurado por padrão, para acesso ao banco de dados, basta alterar alguns campos para realizar testes como o user endereço do banco de dados, o login com o nome do usuário, o password com a senha que será utilizada pelo Freeradius para acessar o banco de dados e o radius_db que indica o bando de dados que será acessado. Figura 4.4 – Configuração arquivo sql.conf Fonte: Elababorada pelas autoras, 2013 58 Em Linux diversas distribuições utilizam o caractere # como marcador de comentário. Por tanto é necessário retirar esse caracter para descomentar a linha mencionada. No arquivo /etc/freeradius/radiusd.com é necessário descomentar a seguinte linha: $INCLUDE SQL.conf Isso faz com que esse arquivo de configuração carregue as informações de como o freeradius deve acessar o servidor de banco de dados. É preciso também configurar o arquivo /etc/init.d/freeradius/sites- enabled/default descomentando os ‘sql’ as seguintes seções: authorize{ ... SQL ... } Accounting{ ... SQL ... } Session{ ... SQL ... } Post-auth{ ... SQL ... } Após essas configurações acessa o banco de dados, para os testes de autenticação precisa criar entradas na tabela radcheck com usuário e senha para teste, utilizando o comando abaixo: mysql> INSERT INTO radcheck(‘id’,’username’,’attribute’, ’op’,’value’)VALUES(NULL,’test’,’Password’,’:=’,’1234’); 59 Para visualizar utilize-se o comando: Figura 4.5 – Tabela radcheck Fonte: Elababorada pelas autoras, 2013 Após sair do banco de dados, inicia-se o freeradius e executa um teste com o modo de debug, com uma senha teste cadastrada no banco de dados: #radtest test 1234 localhost 1812 testing123 Resultado do teste: Figura 4.6 – resultado teste radtest Fonte: Elababorada pelas autoras, 2013 4.2.2 Configuração do roteador O IP roteador é 192.168.1.1, a mesma rede em que foi configurado o servidor Freeradius. Para configuração do roteador sem fio é necessario ativar a segurança Wireless, e o tipo de segurança WAP/WPA2 para liberar a opção de segurança por Radius conforme ilistração da imagem 4.8. Alguns roteadores não tem a opção do tipo de segurança WAP/WPA2, sendo assim impossivel de habilitar o Radius, nesse caso foi utilizado o roteador Multilaser RERO054BIVML. 60 Figura 4.7 - Configuração do roteador Fonte: Elababorada pelas autoras, 2013 4.2.3 Configuração do computador do usuário para acesso a rede Para a configuração da maquina do usuário utilizou-se notebook com Windows 8. Adicionou-se uma nova rede sem fio, e a nomeou com o mesmo nome da configuração do roteador. Figura 4.8 – Gerenciador de Redes sem fio do Windows 8 Fonte: Elababorada pelas autoras, 2013 61 Figura 4.9 - Configuração do modo de segurança do Windows 8 Fonte: Elababorada pelas autoras, 2013 Figura 4.10 – Alteração da configuração de conexão Fonte: Elababorada pelas autoras, 2013 Abaixo as caixas de seleção foram desmarcadas para que o sistema não conecte automaticamente na rede sem fio. 62 Figura 4.11 - Configuração das Propriedades de conexão de Rede Sem Fio Fonte: Elababorada pelas autoras, 2013 Figura 4.12 - Configuração das propriedades de segurança de Rede Sem Fio Fonte: Elababorada pelas autoras, 2013 63 Figura 4.13 - Configuração do Modo de Autenticação Fonte: Elababorada pelas autoras, 2013 Figura 4.14 - Configuração Propriedade Avançada do EAP Fonte: Elababorada pelas autoras, 2013 64 Feito todas essas configurações é necessário realizar o acesso e inserir o usuário e a senha quando solicitado conforme figura 4.16. Figura 4.15 – Autenticação de Rede Fonte: Elababorada pelas autoras, 2013 Ao fazer a autenticação, o servidor recebe a mensagem contendo o login e senha, ao receber esta mensagem o Radius gera uma requisição contendo todos os dados do usuário.Após validar as informações o servidor encaminha uma resposta para o usuário permitindo o acesso, ou negando o acesso caso as informações não sejam válidas. A figura 4.17 mostra o acesso efetuado com sucesso. Figura 4.16 – Rede Autenticada Fonte: Elababorada pelas autoras, 2013 65 Realizado toda a implementação descrita nesse capitulo, pode-se realizar a autenticação de usuários de forma segura, a utilização do Radius funciona como um mecanismo de segurança, agregado ao bom dimensionamento do ponto de acesso existente com seus limites físicos definido é possível fornecer com maior segurança o acesso de redes sem fio. 66 CONCLUSÃO A segurança dos dados é sempre uma situação preocupante para qualquer sistema, o fato é que uma única ferramenta não consegue garantir um nível desejável de segurança. Diante desse fato e após pesquisa bibliográfica sobre as redes de computadores e redes sem fio, e buscando identificar os tipos de ataques e seus mecanismos de defesas, é importante mencionar a dificuldade em sem manter uma rede Wireless sempre segura. Seguindo esta linha, foram apresentados os termos, conceitos com os diversos tipos de protocolos de autenticação, tipos de transmissão, como também a importância de manter os equipamentos de uma rede em ambientes seguros onde somente pessoas que tenham a capacidade de manter seu funcionamento de forma correta sem correr o risco de desconfigurar ou danificar essa rede. Entretanto, os acessos à rede sem fio não são devidamente controlados, sendo completamente alheia ao domínio, tendo dificuldade para o acesso a rede, necessitando de senhas específicas para liberar o acesso, dificultando desta forma, o dia a dia destes usuários. Desta forma, a utilização de um Servidor Radius, implementado através do Serviço de autenticação, vem de encontro com as necessidades de administradores que possuem o gerenciamento de máquinas e usuários. Sendo assim Com os conceitos devidamente definidos, esclarecidos foram analisadas, e testadas às ferramentas que permitem a autenticação de usuários, utilizando Radius através do Serviço de Autenticação. Com base nas configurações realizadas e nas dificuldades encontradas para configurar o servidor Radius foi possível concluir que de inicio leva-se algum tempo para realizar as instalações e configurações, mas com a prática é possível facilmente configurar um servidor para uma pequena rede. Embora a configuração dos terminais dos usuários seja um pouco complicada exigindo o uso de um manual de instruções para que os próprios usuários configurem seus equipamentos para acesso a rede. Sendo assim a utilização do RADIUS garantirá um maior controle do acesso à rede sem fio e fortificará a de segurança. Existe ainda, a possibilidade de implementar a autenticação Radius seja 67 autenticando por Mac ou outras formas apresentadas nesse trabalho, independentemente do tipo de acesso, Wi-Fi dentre outros. Enfim um gerenciamento centralizado e sob controle de diversas aplicações, inclusive em clientes de acesso sem fio, permitindo uma total integração dos mesmos através do protocolo Radius. Estender a utilização do domínio a usuários de redes sem fio, com segurança, controle e praticidade, é o foco principal deste trabalho. Por certo que pode ser aplicado em qualquer ambiente que se utilize de uma rede sem fio. 68 REFERÊNCIAS BIBLIOGRÁFICAS ALECRIM, Emerson. Ataques DoS (Denial of Service) e DDoS (Distributed DoS), 2012. Disponível em: <http://www.infowester.com/ddos.php> Acesso: 20 Nov. 2012. ALECRIM, Emerson. Criptografia, 2009. Disponível em: < http://www.infowester.com/criptografia.php> Acesso: Fev. 2013. ALECRIM, Emerson. Entendendo a Certificação Digital, 2011. Disponível em: < http://www.infowester.com/assincertdigital.php> Acesso: 23 Fev. 2013 ALECRIM, Emerson. O que é firewall? – Conceito, tipos e arquiteturas, 2013. Disponível em: < http://www.infowester.com/firewall.php > Acesso: 23 Fev. 2013. ANTUNES, Vítor H. L. Frontend Web.2.0 para Gestão de Radius, 2009. Disponível em:< http://paginas.fe.up.pt/~ee04199/index.html> Acesso: 15 Dez. 2013. FÁRIAS, Paulo C. B. Redes Wireless, 2006. Disponível em: < http://www.juliobattisti.com.br/tutoriais/paulocfarias/redeswireless021.asp > Acesso: 13 Abr. 2013. IMGUOL. Roteador sem fio - Diponível em: <http://imguol.com/2012/08/17/usuarioinsere-cabo-em-roteador-sem-fio-1345245217 637_300x300.jpg> Acesso: 20 Set. 2013. KUROSE, James F., ROSS, Keith W. Redes de Computadores e a internet. Tradução da 3° ed. Person Education do Brasil – São Paulo 2006. MACÊDO, Diego. Arquitetura e protocolo TCP/IP, 2012 – Disponível em: < http://www.diegomacedo.com.br/arquitetura-e-protocolos-tcp-ip/ > Acesso: 20 Fev. 2013. MORIMOTO, Carlos E. – Redes Guia Prático – Porto Alegre – Sul Editores, 2° 2010 69 PAIM, Rodrigo R, Wep, Wap e Eap, 2011. Disponível em: <http://www.gta.ufrj.br/ensino/eel879/trabalhos_vf_2011_2/rodrigo_paim/index.html > Acesso: 22 Abr. 2013. PINHEIRO, José M. S. Redes de computadores, 2004 - Disponível em: < http://www.projetoderedes.com.br/tutoriais/tutorial_equipamentos _de_redes_01.php > Acesso: Fev. 2013. RUFINO, Nelson Murilo de O. Segurança em Redes sem fio, Ed. Novatec, 2005. TANENBAUM, Andrew S. Redes de Computadores. Tradução da 4° ed. Americana Vandenberg D. de Souza, Rio de Janeiro: Campus Elsevier, 2003. TELASOCIAL, Wifi – Disponível em: <http://www.telasocial.com/conceitos-e- preocupacoes-sinalizac%CC%A7a%CC%83o-digital/sinalizacao-digital-proximowifi.jpg> Acesso: Set. 2012. TORRES, Gabriel – Redes de Computadores. 2° Ed. – Nova terra, 2009. ��������������������������������������������������������������������������� ��������������������������������������������������������������������������������� �����������������������������������������������������