CENTRO ESTADUAL DE EDUCAÇÃO TECNOLÓGICA
PAULA SOUZA
FACULDADE DE TECNOLOGIA DE LINS PROF. ANTONIO SEABRA
CURSO SUPERIOR DE TECNOLOGIA EM REDES DE COMPUTADORES
IVANI DA SILVA PUORRO
MARIANE PRADO NOGUEIRA
ASPECTOS DE SEGURANÇA EM PROJETOS DE REDES
WIRELESS.
LINS/SP
2° SEMESTRE /2013
CENTRO ESTADUAL DE EDUCAÇÃO TECNOLÓGICA
PAULA SOUZA
FACULDADE DE TECNOLOGIA DE LINS PROF. ANTONIO SEABRA
CURSO SUPERIOR DE TECNOLOGIA EM REDES DE COMPUTADORES
IVANI DA SILVA PUORRO
MARIANE PRADO NOGUEIRA
ASPECTOS DE SEGURANÇA EM PROJETOS DE REDES
WIRELESS.
Trabalho de Conclusão de Curso apresentado à
Faculdade de Tecnologia de Lins para obtenção
do Titulo de Tecnólogo em Redes de
Computadores.
Orientador: Prof. Me. Adriano Souza Marques.
LINS/SP
2° SEMESTRE /2013
IVANI DA SILVA PUORRO
MARIANE PRADO OGUEIRA
ASPECTOS DE SEGURANÇA EM PROJETOS DE REDES
WIRELESS.
Trabalho de Conclusão de Curso apresentado à
Faculdade de Tecnologia de Lins, como parte dos
requisitos necessários para a obtenção do título de
Tecnólogo em Redes de Computadores sob a
orientação do Prof. Me. Adriano Souza Marques.
Data de aprovação _______/________/________
____________________________________________________
Orientador Adriano Souza Marques
____________________________________________________
Examinador
____________________________________________________
Examinador
Com muito carinho, dedico a minha
mãe Isaura, pela compreensão e apoio e
aos meus amigos.
Ivani da Silva Puorro
Dedico este trabalho à minha mãe
Janice, a minha avó Francisca in
memorian, ao meu irmão Lucas Rafael e
aos meus amigos que sempre me
apoiaram e nunca me deixaram desistir.
Mariane Prado Nogueira
AGRADECIMENTOS
Agradeço a Deus em primeiro lugar por ser essencial em minha vida e a todos
que estiveram presentes em minha trajetória acadêmica, amigos como Oscar
Beltrame, e a todos os que contribuíram com sua força, conselhos e ajuda.
Aos professores Naylor Garcia, Luciane Noronha e Henrique Brites que nos
auxiliaram nas dificuldades.
Em especial ao professor Me. Adriano Souza Marques, por nos aceitar e
ajudar como orientador.
E, por fim, agradeço a Mariane Prado Nogueira por ter aceitado a parceria
para realizar esse trabalho.
.
Ivani da Silva Puorro
AGRADECIMENTOS
Em primeiro lugar agradeço a Deus que me conduziu durante todo este longo
trajeto, dando-me força, saúde e sabedoria para chegar nesta etapa final.
Em especial ao meu orientador, o professor Me. Adriano Souza Marques pela
paciência e pelo comprometimento para com o nosso trabalho.
Agradeço também aos professores Naylor Garcia, Henrique Brites, Luciane
Noronha e ao amigo Oscar Beltrame pela ajuda e orientação para conseguir concluir
esse trabalho, e a todos os outros professores e colegas de sala que desde o inicio
me ajudaram e acrescentaram conhecimento a minha vida.
Sou muito grata a minha parceira Ivani da Silva Puorro por complementar
minhas ideias, se comprometer com o projeto, por toda paciência, pelo apoio nas
horas em que pensei em desistir e pela força de vontade para concluir este trabalho.
Agradeço a minha família e amigos por acreditar em mim, por tanto incentivo
e apoio que sempre demonstraram.
E por fim, agradeço a todos que direta ou indiretamente participaram ou
contribuíram para a conclusão deste trabalho.
Mariane Prado Nogueira
“Que os vossos esforços desafiem as
impossibilidades, lembrai-vos de que as
grandes coisas do homem foram
conquistadas do que parecia impossível.”
Charles Chaplin
RESUMO
O uso de redes wireless está em constante expansão devido ao crescimento das
tecnologias, o que demanda uma maior preocupação com a segurança neste tipo de
tecnologia já que ela proporciona à disponibilidade de comunicação sem o uso de
fios ou cabos, permitindo ao usuário acessar informações enquanto em movimento.
Sendo assim, esse trabalho faz uma análise das condições de segurança em redes
wireless, analisa os tipos, classificações e seus padrões e analisa, ainda, suas
ameaças e faz uma avaliação dos mecanismos de controle de segurança de acesso
por autenticação utilizando o Remote Authentication Dial In User Service (RADIUS).
Também aborda outros aspectos de segurança, e procura fazer uma análise
completa dos recursos disponíveis para possibilitar uma rede wireless mais segura e
confiável. È fundamental que o administrador de redes ou usuários domésticos
entenda as implicações de segurança de uma rede wireless, já que os riscos
precisam ser conhecidos para serem minimizados por meio de soluções disponíveis
e da aplicação de boa prática. Essas decisões envolvem questões de configuração e
planejamento. O estudo foi feito a partir de uma análise bibliográfica em materiais
dispostos na internet e livros.
Palavras chaves: redes wireless, segurança, Controle de acesso, RADIUS.
ABSTRACT
The use of wireless networks is constantly expanding due to the growth of
technologies , which demand a greater concern for safety in this type of technology
as it provides the availability of communication without the use of wires or cables ,
allowing the user to access information while moving. Therefore , this paper analyzes
the security conditions in wireless networks , analyzes the types , classifications and
standards , and also analyzes their threats and makes an assessment of the control
mechanisms of access security by authentication using the Remote Authentication
Dial in User Service ( RADIUS ) . It also addresses other aspects of security , and
seeks to make a complete analysis of the available resources to enable a more
secure and reliable wireless network. It is essential that the network administrator or
home users understand the security implications of a wireless network, since the
risks must be known to be minimized by means of solutions available and the
application of good practice. These decisions involve setting and planning issues .
The study was done from a literature review on materials arranged on the internet
and books .
Keywords: wireless networking, security, access, RADIUS,
LISTA DE ILUSTRAÇÕES
Figura 1.1 – Estrutura de uma redes de computadores ............................................ 17
Figura 1.2 – Camadas do Modelo OSI e TCP/IP ....................................................... 19
Figura 1.3 – Redes Wireless ..................................................................................... 21
Figura 2.1 - Hierarquia de botnets em ataques DDoS ................................................ 298
Figura 2.2 - Criptografia............................................................................................. 29
Figura 2.3 - Representação básica de um Firewall ................................................... 33
Figura 2.4 - Filtragem de Pacotes com o Firewall ..................................................... 33
Figura 3.1 – Ambiente de segurança Física. ............................................................. 37
Figura 3.2 - Processo de autenticação de sistema aberto......................................... 40
Figura 3.3 - Processo de autenticação de chave compartilhada. .............................. 41
Figura 3.4 - Processo de autenticação usando EAP ................................................. 44
Figura 3.5 - Processo de autenticação do RADIUS .................................................. 45
Figura 3.6 – Endereço MAC pelo comando ipconfig ................................................. 46
Figura 3.7 – Diagrama de Blocos do Protoloco WEP ................................................ 48
Figura 3.8 – Diagrama de Autenticação com Servidor Radius .................................. 51
Figura 4.1 – Localização Acess Point ....................................................................... 54
Figura 4.2 – Acesso ao Roteador não autorização ................................................... 55
Figura 4.3 – Localização inadequada do Rack.......................................................... 56
Figura 4.4 – Configuração arquivo sql.conf ............................................................... 57
Figura 4.5 – Tabela radcheck .................................................................................... 59
Figura 4.7 - Configuração do roteador....................................................................... 60
Figura 4.8 – Gerenciador de Redes sem fio do Windows 8 ...................................... 60
Figura 4.9 - Configuração do modo de segurança do Windows 8 ............................. 61
Figura 4.10 – Alteração da configuração de conexão ............................................... 61
Figura 4.11 - Configuração das Propriedades de conexão de Rede Sem Fio........... 62
Figura 4.12 - Configuração das propriedades de segurança de Rede Sem Fio ........ 62
Figura 4.13 - Configuração do Modo de Autenticação .............................................. 63
Figura 4.15 – Autenticação de Rede ......................................................................... 64
Figura 4.16 – Rede Autenticada ................................................................................ 64
LISTA DE TABELAS
Figura 2.1 – Tipo de invasores.......................................................................
25
LISTA DE ABREVIATURAS E SIGLAS
AAA – Autentication Authorization and Accouting
AC – Autoridade Certificadora
ACK – Acknowledge
AES – Advanced Encryption Standart
AP – Acess Point
APS – Automatic protection Switching
AR – Autoridade de Registro
CRC – Cyclical Redundancy Check
DDOS – Distributed Denial of Service
DLL - Dynamic-link library
DNS - Domain Name System
DOS – Denial of Service
EAP - Extensible Authentication Protocol
FEC – Forward Error Correcton
ICMP - Internet Control Message Protocol
IEEE - Institute for Electucal and Electronics Engeneers
IP - Internet Protocol.
ISSO – International Standards Organization
KSA – Key Schedule Algorithm
LDAP – Lightweight Directory Acess Protocol
MAC – Media Acess Control
OFDM – Othogonal Frequency Division Multiplexing
OSI – Open Systens Interconection
QAM – Quadrature Amplitude Modulatiom
QOS – Quality of Service
RADIUS – Remote Authentication Dial User Service
RPC - Remote Procedure Call
RST - reset
RVA - Risk Value Assessment
SQL - Structured Query Language.
SRP – Secure Remote Password Protocol
SSL – Secure Socket Louger
TCP - Transmission Control Protocol
TKIP- Temporal Key Intergryty Protocol
VM - Virtual Machine
VPN – Virtual Private Network
WPA – Wi-fi Protocol Acess
WEP – Wired Equivalent Privacy
WIFI – Wireless Fidelity
WLAN – Wireless Local Area Network
WWSE – World Wide Spectrum Effrescy
SUMÁRIO
INTRODUÇÃO .......................................................................................................... 16
1 REDES DE COMPUTADORES ............................................................................. 17
1.2 AS CAMADAS DO MODELO OSI ....................................................................... 18
1.3 REDES SEM FIO (WIRELESS) .......................................................................... 21
1.4 FREQUÊNCIAS................................................................................................... 23
1.4.1 Canais .............................................................................................................. 23
1.4.2 Banda de Radiofrequência Publica .................................................................. 23
2 SEGURANÇA DE REDES DE COMPUTADORES ................................................ 25
2.1 TIPOS DE AMEAÇAS ......................................................................................... 26
2.1.2 Trojan ............................................................................................................... 26
2.1.3 Eavesdropping ................................................................................................. 27
2.1.4 Phishing ............................................................................................................ 27
2.1.5 Denial of Service (DoS) .................................................................................... 27
2.2 TIPOS DE DEFESAS .......................................................................................... 29
2.2.1 Criptografia ....................................................................................................... 29
2.2.2 Certificado Digital ............................................................................................. 31
2.2.3 Firewalls ........................................................................................................... 32
3 MECANISMO DE SEGURANÇA EM REDES WIRELESS..................................... 36
3.1 CONTROLES DE ACESSO ................................................................................ 36
3.1.1 Segurança Física.............................................................................................. 36
3.1.2 Segurança Lógica............................................................................................. 38
3.2 AUTENTICAÇÃO ................................................................................................ 38
3.2.1 Métodos de autenticação ................................................................................. 39
3.2.2 Autenticação de sistema aberto ....................................................................... 39
3.2.3 Autenticação de chave compartilhada .............................................................. 40
3.2.4 Certificados e Shared Secrets .......................................................................... 42
3.2.5 Protocolos de autenticação emergentes .......................................................... 42
3.2.6 802.1x e EAP ................................................................................................... 42
3.3 RADIUS ............................................................................................................... 44
3.4 ENDEREÇAMENTO MAC ................................................................................... 45
3.5 PROTOCOLOS DE SEGURANÇA DE REDES WIRELESS ............................... 47
3.5.1 Wired Equivalent Privacy (WEP) ...................................................................... 47
3.5.1.1 Vulnerabilidades do WEP .............................................................................. 48
3.5.2 Wi-fi Protected Acess (WPA)........................................................................... 49
3.5.3 Extensible Authentication Protocol (EAP)......................................................... 50
4 ANÁLISE DE SEGURANÇA ................................................................................... 53
4.1 CONTROLE DE ACESSO FÍSICO ...................................................................... 53
4.2 CONTROLE DE ACESSO LÓGICO – TESTE COM SERVIDOR RADIUS ......... 56
4.2.1 Instalação, configuração e teste com Servidor FreeRadius. ............................ 56
4.2.2 Configuração do roteador ................................................................................. 59
4.2.3 Configuração do computador do usuário para acesso a rede .......................... 60
CONCLUSÃO ............................................................................................................ 66
REFERÊNCIAS BIBLIOGRÁFICAS .......................................................................... 68
16
INTRODUÇÃO
Nos dias atuais, devido à importância do uso da internet, cada vez mais as
pessoas interligam seus computadores as redes, com a necessidade de ter acesso à
internet de diversos lugares, essa demanda provocou a evolução das tecnologias de
redes de computadores. (TANENBAUM, 2013)
As redes Wireless vieram de encontro com essa necessidade de mobilidade,
praticidade e liberdade em sua utilização, seja para uso em empresas ou para uso
doméstico. Com isso as redes wireless estão em constante expansão, assim a
preocupação com a segurança da informação para esse tipo de tecnologia tem a
crescer.
Desse ponto em diante o termo Segurança da Informação tornou-se popular,
organização e um projeto de redes são fundamentais para ter maior segurança.
O presente trabalho identifica através de um estudo de caso de uma
infraestrutura de redes a importância tanto da segurança de acesso físico, como do
acesso lógico. Uma forma de controlar esse acesso é construir uma rede
estruturada, e seguir planejamentos como instalações, localização do AP e distância
do seu alcance, para a segurança do acesso físico. Outra forma de controlar esse
acesso é através de um servidor de autenticação, o RADIUS, é fazer a
implementação para controlar o acesso a redes sem fio, e incluir configurações para
autenticação. O uso desse servidor, em conjunto com equipamentos apropriados,
pode resolver o problema de segurança e de mobilidade.
O primeiro capítulo faz uma apresentação sobre os principais conceitos
teóricos de Redes de computadores, redes sem fio e seus padrões.
No segundo capítulo é feita uma abordagem sobre a segurança das redes,
com suas ameaças e defesas.
No terceiro capítulo são apresentados os detalhes da segurança de redes
sem fio, com uma abordagem sobre controle de acesso e seus protocolos de
segurança.
No quarto capítulo é feita uma abordagem sobre as configurações e
implementação do Servidor Radius para autenticação entre o cliente e servidor.
17
1 REDES DE COMPUTADORES
Atualmente é quase impossível não se deparar com uma rede de
computadores, pela alta necessidade de comunicação e transmissão de dados.
Com avanços na década de 60 possibilitaram o desenvolvimento dos
primeiros terminais interativos, permitindo aos usuários acesso a um computador
central através de uma linha de comunicação. (TANENBAUM, 2013)
Logo após na década de 70 ocorreram mudanças na caracterização dos
sistemas de computação assim surgiu um sistema único centralizado e de grande
porte disponível para todos os usuários de uma determinada organização
(universidade, instituições militares e empresas).
Assim a interconexão entre vários sistemas para o uso compartilhado de
dispositivos tornou-se importante, já que usuários de sistemas de computação não
desenvolviam trabalhos isolados
e
necessitavam do
compartilhamento
informações. (MORIMOTO, 2010)
Na imagem abaixo um exemplo de uma rede de computadores.
Figura 1.1 – Estrutura de uma rede de computador
Fonte: Pinheiro, 2004.
de
18
Pouco depois foram criadas novas arquiteturas como forma de melhorar o
desempenho e confiabilidade dos sistemas computacionais. Uma Rede de
Computadores é formada por um conjunto de computadores interligados por
sistemas de comunicação capazes de trocar informações e compartilhar recursos.
Por consequência surgiram as Redes Locais para viabilizar a troca e o
compartilhamento de informações e dispositivos periféricos (recursos de hardware e
software), permitindo a integração em ambiente de trabalho cooperativo.
(MORIMOTO, 2010)
Em virtude do avanço da tecnologia, surgiu também à necessidade de
mobilidade e flexibilidade, para ter acesso a dados e transmiti-los de qualquer lugar,
sem a necessidade de cabos, a partir daí surge à necessidade de utilizar a rede sem
fio, que vem crescendo cada vez mais, mas para isso acontecer foi preciso criar uma
arquitetura padrão para facilitar o processo de interconectividade o chamado modelo
Open Systems Interconnection (OSI). (TANENBAUM, 2003)
1.2 AS CAMADAS DO MODELO OSI
Conforme Gabriel Torres o OSI é um modelo usado para compreender como
os protocolos de rede funcionam. Quando as redes de computadores surgiram, uma
determinada tecnologia só era suportada exclusivamente por seu fabricante. Não era
possível de se misturar soluções de fabricantes diferentes. Dessa maneira, um
mesmo fabricante era responsável por construir quase tudo na rede. (TORRES,
2009)
De acordo com Gabriel Torres para facilitar a interconexão de sistemas de
computadores, a International Standards Organization (ISO) desenvolveu um
modelo de referência chamado OSI para que os fabricantes pudessem criar
protocolos a partir desse modelo. Ou seja, o protocolo é usado para transmitir dados
pela rede para que dois computadores possam se comunicar ambos deve usar o
mesmo protocolo. O papel do modelo OSI é padronizar a ordem em que a pilha de
protocolos trabalha. (TORRES, 2009)
Cada camada é responsável por algum tipo de processamento, e se
comunica apenas com a camada imediatamente inferior ou superior. O que é
importante relembrar é que cada camada adiciona (quando o computador estiver
19
transmitindo os dados) ou remove (quando o computador estiver recebendo dados)
informações de controle de sua responsabilidade.
A arquitetura OSI, assim como Transmission Control Protocol / Internet
Protocol (TCP/IP) realiza a divisão de funções do sistema de comunicação em
estruturas de camadas. (MACÊDO, 2012)
A figura abaixo mostra as definições das camadas do modelo OSI.
Figura 1.2 – Camadas do Modelo OSI e TCP/IP
Fonte: Macêdo, 2012.
Definições das camadas do modelo OSI:
Física: Esta camada pega os quadros enviados pela camada de Link de
Dados e os transforma em sinais compatíveis com o meio onde os dados deverão
ser transmitidos. Caso o meio for elétrico, essa camada converte os 0s e 1s dos
quadros em sinais elétricos a serem transmitidos pelo cabo; se o meio for óptico
essa camada converte os 0s e 1s dos quadros em sinais luminosos; se uma rede
sem fio for usada, então os 0s e 1s são convertidos em sinais eletromagnéticos; e
assim por diante. (TORRES, 2009)
Dados: Essa camada que também pode ser chamada de Enlace pega os
pacotes de dados recebidos da camada de rede e os transforma em quadros que
serão trafegados pela rede, acrescentando informações como o endereço da placa
de rede de origem, o endereço da placa de rede de destino, dados de controle, os
dados em si e uma soma de verificação, também conhecida como Cyclical
20
Redundancy Check (CRC). (TORRES, 2009)
O quadro criado por esta camada é enviado para a camada Física, que
converte esse quadro em sinais elétricos (ou sinais eletromagnéticos, se você
estiver usando uma rede sem fio) para serem enviados através do cabo de rede.
Quando o receptor recebe um quadro, a sua camada de Link de Dados
confere se o dado chegou íntegro, refazendo a soma de CRC. Se os dados
estiverem certos, ele envia uma confirmação de recebimento chamada Acknowledge
(ack). Caso essa confirmação não seja recebida, a camada Link de Dados do
transmissor reenvia o quadro, já que ele não chegou até o receptor ou então chegou
com os dados corrompidos. (TORRES, 2009)
Rede: As camadas deste grupo são camadas de baixo nível que lidam com a
transmissão e recepção dos dados da rede. Esta camada é responsável pelo
endereçamento dos pacotes, convertendo endereços lógicos em endereços físicos,
de forma que os pacotes consigam chegar corretamente ao destino. Essa camada
também determina a rota que os pacotes irão seguir para atingir o destino, levando
em consideração fatores como condições de tráfego da rede e prioridades.
(TORRES, 2009)
Transporte: Esta camada é responsável por pegar os dados recebidos da
rede e transformá-los em um formato compreensível pelo programa. Quando seu
computador está transmitindo dados, esta camada pega os dados e os divide em
vários pacotes para serem transmitidos pela rede. Quando seu computador está
recebendo dados, esta camada pega os pacotes recebidos e os coloca em ordem.
(TORRES, 2009)
Sessão: Esta camada permite que dois programas em computadores
diferentes estabeleçam uma sessão de comunicação. Nesta sessão, esses dois
programas definem como será feita a transmissão dos dados e coloca marcações
nos dados que estão sendo transmitidos. Caso a rede venha a falhar, os dois
computadores reiniciam a transmissão dos dados a partir da última marcação
recebida em vez de retransmitir todos os dados novamente. (TORRES, 2009)
Aplicação: Essas são as camadas mais altas que colocam os dados no
formato usado pelo programa. A camada de aplicação faz a interface entre o
programa que está enviando ou recebendo dados e a pilha de protocolos.
Apresentação: Também chamada camada de Tradução, esta camada
converte o formato do dado recebido pela camada de Aplicação em um formato
21
comum a ser usado pela pilha de protocolos. Esta camada também pode ser usada
para comprimir ou criptografar os dados. A compressão dos dados amplia o
desempenho da rede, já que se serão enviados menos dados para a camada inferior
(camada cinco). Se for usado algum tipo de criptografia, os dados irão circular
criptografados entre as camadas cinco e um e serão descriptografadas apenas na
camada seis no computador de destino. (TORRES, 2009)
1.3 REDES SEM FIO (WIRELESS)
Uma rede sem fio, Wireless ou também conhecido como Wireless Fidelity
(WI-FI) é a conexão entre equipamentos fixos ou moveis sem a necessidade de
cabos, que utiliza como meio de comunicação radiofrequência (RF) baseada no
padrão IEEE 802.11.
Figura 1.3 – Redes Wireless
Fonte: Alecrim, 2013.
Apenas os produtos certificados (um processo relativamente caro e
demorado) podem ostentar o logo “Wi-Fi Certified”, de forma que muitos produtos,
sobretudo os produtos mais baratos não passam pela certificação e não são
vendidos como produtos Wi-Fi, embora isso não signifique necessariamente que
eles sejam incompatíveis ou de qualidade inferior. (MORIMOTO, 2010)
802.11a - Esse padrão trabalha com uma faixa de velocidade máxima de 54
Mbps (108 em modo turbo), mas também pode operar em velocidades mais baixas
22
chegando a uma frequência de 5 GHz. Utiliza a modulação Orthogonal Frequency
Division Multiplexing (OFDM) que é melhor que a Frequency-hopping spread
spectrum (FHSS) e Direct Sequence Spread Spectrum (DSSS). Possui 12 canais
disponíveis ao invés dos 3 livres nos padrões 802.11b e 802.11g. O tamanho da sua
chave Wired Equivalent Privacy (WEP), pode chegar a 256 bits, mas ainda é
compatível com os tamanhos menores de 64 e 128 bits. (MORIMOTO, 2010)
802.11b - Foi primeiro padrão a ser definido, trabalha numa velocidade de
11Mbps de transmissão máxima, mas compatível com velocidades menores. Opera
na frequência de 2,4GHz e usa somente DSSS. O número máximo de clientes
conectados é 32, ainda é o padrão mais popular existente em redes sem fio, utiliza o
protocolo WEP. Esse padrão está deixando o mercado devido a melhorias de
velocidade e segurança em outros padrões como o 802.11g e o 802.11a.
(MORIMOTO, 2010)
802.11g - Sua principal diferença em relação a 802.11b é a sua velocidade de
transmissão que é 54Mbps, mas também trabalha na frequência de 2,4GHz e pode
trabalhar em conjunto com 802.11b, usa os protocolos WEP e Wi-Fi Protected
Access (WPA), utiliza também a modulação OFDM. (MORIMOTO, 2010)
802.11e - Foi desenvolvido para melhor a qualidade do serviço Quality of
Service (QoS) em ligações telefônicas, vídeo de alta resolução e outras aplicações.
Projetado para permitir que certos tipos de tráfego wireless sejam prioritários em
relação a outros para assegurar que ligações em telefones IP e conteúdo multimídia
serão acessados tão bem em redes wireless como em redes com fio. (MORIMOTO,
2010)
802.11i - Esse padrão foi desenvolvido para se ter melhor mecanismos de
segurança e privacidade em redes sem fio. Utiliza o protocolo WPA e o WPA2, que
usa como principal característica o algoritmo criptográfico Advanced Encryption
Standard (AES). (MORIMOTO, 2010)
802.11n - Também é conhecido como World Wide Spectrum Effiency
(WWSE), seu principal foco é no aumento de velocidade com o intuito de aumentar a
taxa de transmissão acima de 200Mbps. Sua principal mudança em relação aos
padrões atuais diz respeito à modificação de OFDM, conhecida como Multiple Input,
Multiple Out-OFDM (MIMO-OFDM), ou seja, entrada e saídas múltiplas. Além disso,
foi incluída também a codificação de Forward Error Correction (FEC), intercalação e
mapeamento de Quadrature Amplitude Modulation (QAM), para manter os custos
23
reduzidos e facilitar a compatibilidade com versões anteriores. (MORIMOTO, 2010)
1.4 FREQUÊNCIAS
Sinas de radiofrequência são utilizados pelos mais variados tipo de serviços,
que vão desde as infra-estruturas comercias, até as de uso militar, passando por
serviços comunitários e de rádio amador. Sempre que se fala de frequência de rádio,
tem em mente que um sinal será propagado no espaço por alguns centímetros ou
por vários quilômetros. A distância percorrida está diretamente ligada às frequências
do sinal. (RUFINO, 2005)
1.4.1 Canais
Assim a radiofrequência é dividida em faixas, que são intervalos reservados,
normalmente para um determinado tipo de serviço, definido por convenções
internacionais ou por agências reguladoras. Uma faixa é subdividida em frequências
menores, para permitir a transmissão em paralelos de sinais diferentes em cada uma
delas. Essas frequências menores ou sub-frequências são chamadas de canais,
como por exemplo, canais de rádios e de televisão. (RUFINO, 2005)
1.4.2 Banda de Radiofrequência Publica
Há pelo menos três diferentes segmentos de radiofrequência que podem ser
usados sem a necessidade de obter licença da agência reguladora governamental,
que no caso do Brasil esse órgão é a Anatel. Esses segmentos foram reservados
para uso publico como industrial científico e médico Industrial, Scientific e Medical
(ISM) por tanto podem ser utilizados de maneira irrestrita por qualquer aplicação que
se adapte a uma dessas categorias. (RUFINO, 2005)
As frequências disponíveis em cada uma das três faixas são:
Frequência 2,4 GHz – utilizada por uma grande quantidade de equipamentos
e serviços, como é utilizada por aparelhos de telefone sem fio, Bluetooth, forno
micro-ondas e pelos padrões 802.11b e 802.11g em virtude disso se diz que é
poluída ou suja. (RUFINO, 2005)
Frequência 5 Ghz – Por exemplo no Brasil, existem outras faixas reservadas
24
para ISM (tais como 24-24,25 GHz e 61 – 61,5 GHz). Entretanto a faixa de 5,725-5,
825 GHz está alocada para uso militar, o que deixa restrito a comercialização de
produtos que se utilizam dela. O que diferencia essa faixa de frequência das outras
é seu alcance do sinal, o que tanto pode ser um problema em ambientes amplos
como uma vantagem adicional quando não se deseja que o sinal atinja áreas muito
maiores que as necessárias para o funcionamento dos equipamentos da rede.
(RUFINO, 2005)
Frequências licenciadas – Acima de tudo algumas soluções de redes sem fio
(Wireless) optam por utilizar faixas de radiofrequência e, antes de mais nada que
tenham maior alcance. Quer dizer que para utilizar essas aplicações, o fornecedor
da solução deve requerer da agencia reguladora autorização. O padrão 802.16a
(Wimax), utiliza a faixa de 2 a 11 GHz e pode atingir 50 km a uma velocidade de 10
a 70 Mb. Os fornecedores de telefonia móvel (celulares) no padrão GSM utilizam, no
Brasil, a faixa de 1,8 GHz. (RUFINO, 2005)
Portanto a faixa de frequência licenciada requer regulamentação assim ela
terá prioridade de usar esta faixa numa região específica, já que é fiscalizada de
tempos em tempos, diminui a probabilidade que alguma outra entidade possa usar.
Isto é, a operadora tem um controle maior sobre a qualidade do serviço prestado.
(RUFINO, 2005)
Neste capitulo foram abordados aspectos gerais de rede de computadores e
de redes wireless.
No próximo capitulo serão abordados assuntos referentes à segurança de
redes, seus problemas e suas medidas se segurança.
25
2 SEGURANÇA DE REDES DE COMPUTADORES
A segurança em redes de computadores é um assunto muito amplo e inclui
inúmeros tipos de problemas. Em sua forma mais simples a segurança se preocupa
em garantir que outras pessoas mal intencionadas não leiam, modifiquem ou envie
dados importantes a outros destinatários. (TANENBAUM, 2003)
Segurança certamente é um dos assuntos mais importantes quando
falamos sobre redes de computadores – afinal não queremos nenhum
bisbilhoteiro acessando nossos dados ou um vândalo destruindo o nosso
trabalho. (TORRES, 2009, p. 492)
A segurança de redes não é muito diferente da segurança do mundo “real”,
pois não depende só da tecnologia usada para evitar acessos não autorizados e
ataques, assim como também de nada adianta colocar uma tranca de ultima
geração na porta da frente se a do fundo estiver desprotegida ou mesmo colocar um
dispositivo de segurança na rede se ele não for configurado corretamente.
(TORRES, 2009)
Segundo Tanenbaum (2003) a maior parte dos problemas de segurança é
causada por pessoas que tentam obter benefícios para chamar a atenção ou
prejudicar alguém. Alguns tipos de invasores mais comuns estão na tabela 2.1.
Tabela 2.1 – Tipos de invasores
Fonte: Tanenbaum, 2003, p. 543
De acordo com Tanenbaum (2003) os problemas das seguranças das redes
podem ser divididos em quatro áreas interligadas:
Sigilo: Está relacionado ao fato de manter as informações fora do alcance de
26
usuários não autorizados.
Autenticação: Cuida do processo de identificar com quem você esta se
comunicando antes de passar informações importantes ou entrar em uma transação
comercial.
Não repúdio: Trata de assinaturas, como provar que seu cliente fez realmente
o pedido eletrônico e confirmar seu preço correto.
Controle de integridade: Certifica que uma mensagem recebida é realmente
verdadeira e não algo como informações modificadas ou vírus. (TANENBAUM,
2003)
2.1 TIPOS DE AMEAÇAS
Os tipos de ameaças são qualquer ação que compromete a segurança da
informação.
2.1.1 Exploits
Este é um termo usado para descrever pequenos utilitários ou exemplos de
código que podem ser usados para explorar vulnerabilidades especificas. Eles
podem ser usados diretamente, quanto serem incorporados em vírus, cavalos de
tróia, ferramenta de detecção de vulnerabilidades e outros tipos de programas. O
Nessus, por exemplo, é um utilitário de detecção de vulnerabilidade, durante o teste
ele verifica se o programa está ativo e, caso esteja, simula um ataque contra ele,
com isso, é possível verificar se a versão utilizada é vulnerável. (MORIMOTO, 2010)
2.1.2 Trojan
O Trojan é conhecido como cavalo de tróia, é uma forma de invadir um
computador e fazer com que o próprio usuário execute um programa, ou acesse
uma página web que se aproveite da vulnerabilidades do navegador. Os Trojans
podem instalar um Backdoor também conhecido como porta dos fundos, é uma falha
na segurança que permite fazer acesso remoto no micro, ou instalar um Keytrap que
é um programa que monitora toda a atividade do teclado para capturar senhas e
outras informações digitadas. (MORIMOTO, 2010)
27
Embora os trojans sejam mais comuns no Windows, existem também Trojans
para Linux, o tipo mais perigoso são os Rootkits, ele tenta obter privilégios de root na
maquina afetada podendo assumir o controle da maquina mesmo se executado
usando uma conta normal de usuário. (MORIMOTO, 2010)
2.1.3 Eavesdropping
Em conexões que utiliza algoritmos fracos, pode ser que um atacante consiga
capturar os dados transmitidos dentro da área de alcance através da rede caso
tenha acesso à mídia, com isso, é possível obter senhas e outras informações
confidenciais.
Redes wireless sem encriptação ou que ainda utilizam o WEP são alvos
fáceis, pois bastaria conectar um notebook dentro da área de alcance do ponto de
acesso para capturar as transmissões. (MORIMOTO, 2010)
2.1.4 Phishing
Ataques de Phishing utilizam engenharia social para tentar levar o usuário a
revelar informações confidenciais, e usa de truques antigos como enviar e-mails que
simula um contato de banco ou de alguma loja que o usuário seja cliente e um tipo
de recadastramento solicitando assim senha atual com o cadastro de uma nova
senha. (MORIMOTO, 2010)
De acordo com Morimoto (2010) é possível coletar informações em redes
sociais que altera links em sites de forma a encaminhar os visitantes a sites forjados
e solicitar login e senha e depois exibir uma mensagem que informa que o site esta
em manutenção.
2.1.5 Denial of Service (DoS)
Os Denial of Service (DoS), ou ataque de negação de serviço são feitos com
o objetivo de tornar o sistema indisponível, já que eles podem ser lançados contra
qualquer host conectado a Internet. Não é necessário que os serviços com
vulnerabilidades de segurança estejam ativos, pois é possível tornar um servidor
web indisponível enviando um grande volume de requisições, para acesso às
28
páginas hospedadas. Se o servidor não possuir nenhum tipo de filtro ou regra de
firewall ele simplesmente passara a tentar responder todas as requisições fazendo
com que ele deixe de responder a requisições de usuários validos. (MORIMOTO,
2010)
O tipo mais conhecido de ataque Dos é o Distributed Denial of Service
(DDoS), onde o ataque é lançado e usa centenas ou milhares de hosts (situados em
locais diferentes) simultaneamente. (MORIMOTO, 2010 p. 395)
O ataque de DDoS é difícil de conter, pois é necessário bloquear as
requisições de cada um dos endereços usados antes que cheguem ao servidor.
Para lançar esse tipo de ataque é necessário um número grande de máquinas, que
precisam ser invadidas previamente e usa vulnerabilidades diversas, onde os hosts
controlados são chamados de “zumbis” (zombie computers) e continua a
desempenhar suas tarefas de forma aparentemente normal, até que sejam usadas
em ataques. (MORIMOTO, 2010)
Figura 2.1 - Hierarquia de botnets em ataques DDoS
Fonte: Alecrim ,2012
Uma forma de ataque bastante comum faz uso de botnets, um tipo de rede
formada por computadores infectados que pode ser controlada remotamente pelo
atacante. Nesta forma de ataque, é comum o uso de computadores domésticos,
Quando o computador passa a fazer parte de uma botnet, esta máquina pode ser
chamada de “zumbis”. Após a contaminação, os "zumbis" podem entrar em contato
29
com máquinas "mestres", que por sua vez recebem orientações de um computador
"atacante" Um computador "mestre" pode ter sob sua responsabilidade até milhares
de computadores. A hierarquia de botnets está na figura 2.1. (ALECRIM, 2012)
No momento em que de obter o controle de um numero suficiente de
maquinas, basta alguns comandos para fazer com que o ataque seja lançado, assim
é possível derrubar qualquer servidor conectado a uma grande rede. (MORIMOTO,
2010)
2.2 TIPOS DE DEFESAS
Os tipos de defesas são qualquer mecanismo projetado para detectar,
prevenir ou recuperar de ataques de segurança.
2.2.1 Criptografia
O termo criptografia surgiu da fusão das palavras gregas "kryptós" e
"gráphein", que significa "oculto" e "escrever", respectivamente. Trata-se de um
conjunto de conceitos e técnicas que visa codificar uma informação de forma que
somente o emissor e o receptor possam acessá-la, evitando que um intruso consiga
interpretá-la. Para isso, uma série de técnicas é usada e muitas outras surgem com
o passar do tempo. (ALECRIM, 2009)
Figura 2.2 - Criptografia
Fonte: Alecrim, 2009
O código mais sucedido já inventado foi usado pelas forças armadas dos
Estados Unidos durante a Segunda Guerra Mundial no Pacifico. Historicamente,
quatro grupos de pessoas desfrutaram e contribuíram para a arte de criptografia: os
militares, os diplomatas, as pessoas que gostam de guardar memórias e os
amantes.
30
Entre esse grupo teve em destaque os militares por definir bases para a
tecnologia. (TANENBAUM, 2003)
Segundo Tanenbaum (2003) até o surgimento dos computadores, umas das
restrições impostas à criptografia era a habilidade do auxilio de criptografia gerar as
transformações necessárias já que os equipamentos eram poucos.
As mensagens a serem criptografadas, conhecidas como texto simples (plain text),
são transformadas por uma função que é parametrizada por uma chave. Em
seguida, a saída do processo de criptografia, conhecido como texto cifrado (cipher
text), é transmitida, normalmente através de um mensageiro ou por radio.
Presumimos que o inimigo, ou intruso, ouça e copia cuidadosamente o texto
cifrado completo. No entanto, ao contrario do destinatário pretendido, ele não
conhece a chave para descriptografar o texto e, portanto, não pode fazê-lo com
muita facilidade. (TANENBAUM, 2003)
Às vezes, o intruso pode não só escutar o que se passa no canal de
comunicação (intruso passivo), como também pode gravar mensagens e reproduzilas mais tarde, injetar suas próprias mensagens ou modificar mensagens legitimas
antes que elas cheguem ao receptor (intruso ativo). A arte de solucionar mensagens
cifradas e chamadas criptoanalise. A arte de criar mensagens cifradas (criptografia)
e solucioná-las (criptoanalise) e chamada coletivamente criptologia. Uma regra
fundamental da criptografia e que se deve supor que o criptoanalista conheça os
métodos
genéricos
de
criptografia
e
descriptografia
que
são
utilizados.
(TANENBAUM, 2003)
Atualmente as técnicas mais conhecidas envolvem o conceito de chaves, as
chamadas chaves criptográficas. Trata-se de um conjunto de bits baseado em um
determinado algoritmo capaz de codificar e de decodificar informações. Se o
receptor da mensagem usar uma chave incompatível com a chave do emissor, não
conseguirá extrair a informação. (ALECRIM, 2009)
Há dois tipos de chaves criptográficas: chaves simétricas e chaves assimétricas.
Chave simétrica
Esse é um tipo de chave mais simples, onde o emissor e o receptor fazem
uso da mesma chave, isto é, uma única chave é usada na codificação e na
decodificação da informação.
O uso de chaves simétricas tem algumas desvantagens, fazendo com que
sua utilização não seja adequada em situações onde a informação é muito valiosa.
31
Para começar, é necessário usar uma grande quantidade de chaves caso muitas
pessoas ou entidades estejam envolvidas.
Ainda, há o fato de que tanto o emissor quanto o receptor precisam conhecer
a mesma chave. A transmissão dessa chave de um para o outro pode não ser tão
segura e cair em "mãos erradas". (ALECRIM, 2009)
Chave assimétrica
Também conhecida como "chave pública", a chave assimétrica trabalha com
duas chaves: uma denominada privada e outra denominada pública. Neste método,
um emissor deve criar uma chave de codificação e enviá-la ao receptor. Essa é a
chave pública. Uma outra chave deve ser criada para a decodificação. Esta, a chave
privada, é secreta. (ALECRIM, 2009)
2.2.2 Certificado Digital
A internet permite que indivíduos, empresas, governos e outras entidades
realizem uma série de procedimentos e transações de maneira rápida e precisa.
Com isso é possível fechar negócios, emitir ou receber documentos, acessar ou
disponibilizar informações sigilosas, diminuir processos burocráticos, entre outros.
No entanto, da mesma forma que os computadores oferecem meios para tudo isso,
podem também ser usados para fraudes, o que significa que tais operações, quando
realizadas por vias eletrônicas, precisam ser confiáveis e seguras. A certificação
digital é capaz de atender a essa necessidade.
Por tanto certificação digital é um tipo de tecnologia de identificação que
permite que transações eletrônicas dos mais diversos tipos sejam realizadas
considerando sua integridade, sua autenticidade e sua confidencialidade, de forma a
evitar que adulterações, captura de informações privadas ou outros tipos de ações
indevidas ocorram. Ele funciona com base em um documento eletrônico chamado
certificado digital e em um recurso denominado assinatura digital.
A assinatura digital é um mecanismo eletrônico que faz uso de criptografia,
mais precisamente, de chaves criptográficas. (ALECRIM, 2011)
Este método considera dois importantes aspectos: confidencialidade e autenticidade.
Resumidamente, o primeiro consiste em fazer com que a informação esteja
acessível somente a pessoas ou organizações autorizadas. O segundo, em fornecer
a certeza de que a informação provém da origem e forma esperadas, de forma que o
32
receptor reconheça isso.
Um exemplo de uso de certificados digitais vem dos bancos. Quando uma
pessoa acessa sua conta corrente pela internet, certificados digitais são usados para
garantir ao cliente que ele está realizando operações financeiras com o seu banco.
Se o usuário clicar no ícone correspondente no navegador de internet, poderá obter
mais detalhes do certificado. Se algum problema ocorrer com o certificado - prazo de
validade vencido, por exemplo -, o navegador alertará o usuário.
É importante frisar que a transmissão de certificados digitais deve ser feita por
meio de conexões seguras, como as que usam o protocolo Secure Socket Layer
(SSL), que é próprio para o envio de informações criptografadas.
Para que possa ser aceito e utilizado por pessoas, empresas e governos, os
certificados digitais precisam ser emitidos por entidades apropriadas. Sendo assim,
o primeiro passo é procurar uma Autoridade Certificadora (AC) ou uma Autoridade
de Registro (AR) para obter um certificado digital. Uma AC tem a função de associar
uma identidade a uma chave e inserir esses dados em um certificado digital. Para
tanto, o solicitante deve fornecer documentos que comprovem sua identificação. Já
uma AR tem uma função intermediária, já ela pode solicitar certificados digitais a
uma AC, mas não pode emitir esse documento diretamente. (ALECRIM, 2011)
2.2.3 Firewalls
Firewalls é uma coleção de regras que são aplicados ao trafego de rede, ele
bloqueia a passagem de pacotes não confiáveis, deixando passar somente os
pacotes confiáveis. Ele também limita o acesso a determinadas portas e a
determinados endereços da rede. (MORIMOTO, 2010)
De acordo com Morimoto (2010) o firewall trabalha verificando os endereços
de origem e de destino dos pacotes a portas que são destinadas e o status das
conexões. Ele não é destinado a verificar vírus, Trojans, Phishing e outros ataques
similares, para esses temos os antivírus, que trabalham verificando o conteúdo dos
arquivos acessados.
A sua tradução Parede de fogo deixa claro que o firewall se enquadra em
uma espécie de barreira de defesa. (ALECRIM, 2013)
33
Figura 2.3 - Representação básica de um Firewall
Fonte: Alecrim, 2013.
O trabalho de um firewall pode ser realizado de várias formas. O que define
uma metodologia ou fatores como critérios do desenvolvedor, necessidades
específicas do que será protegido, características do sistema operacional, estrutura
da rede e assim por diante. Por isso que podemos encontrar mais de um tipo de
firewall. A seguir, os mais conhecidos. (ALECRIM, 2013)
Filtragem de pacotes (packet filtering)
As primeiras soluções de firewall surgiram na década de 1980 baseando-se
em filtragem de pacotes de dados, uma metodologia mais simples e, por isso, mais
limitada, embora ofereça um nível de segurança significativa. Para compreender, é
importante saber que cada pacote possui um cabeçalho com diversas informações
ha seu respeito, como endereço IP de origem, endereço IP do destino, tipo de
serviço, tamanho, entre outros.
O Firewall então analisa estas informações de acordo com as regras
estabelecidas para liberar ou não o pacote, podendo também executar alguma tarefa
relacionada, como registrar o acesso ou tentativa de em um arquivo de log que é um
arquivo que guarda informações sobre um programa, como mensagens de erros por
exemplo. (ALECRIM, 2013)
Figura 2.4 - Filtragem de Pacotes com o Firewall
Fonte: Alecrim, 2013.
34
�
Filtragem estática e dinâmica
É possível encontrar dois tipos de firewall de filtragem de pacotes. O primeiro
utiliza o que é conhecido como filtros estáticos, enquanto que o segundo é um pouco
mais evoluído, utilizando filtros dinâmicos.
Na filtragem estática, os dados são bloqueados ou liberados meramente com
base nas regras, não importando a ligação que cada pacote tem com outro. A
princípio, esta abordagem não é um problema, mas determinados serviços ou
aplicativos podem depender de respostas ou requisições específicas para iniciar e
manter a transmissão. É possível então que os filtros contenham regras que
permitem o tráfego destes serviços, mas ao mesmo tempo bloqueiem as respostas
ou requisições necessárias, impedindo a execução da tarefa.
Na filtragem os filtros consideram o contexto em que os pacotes estão
inseridos para criar regras que se adaptam ao cenário, permitindo que determinados
pacotes trafeguem, mas somente quando necessário e durante o período
correspondente. Desta forma, as chances de respostas de serviços serem barradas,
por exemplo, cai consideravelmente. (ALEGRIM, 2013)
� Firewall de aplicação ou proxy de serviços (proxy services).
O firewall de aplicação, também conhecido como proxy de serviços ou apenas
proxy é uma solução de segurança que atua como intermediário entre um
computador ou uma rede interna e outra rede externa, normalmente a internet,
instalados em servidores potentes por precisarem lidar com um grande número de
solicitações, firewalls deste tipo são opções de segurança porque não permitem a
comunicação direta entre origem e destino.
Figura 2.5 – Firewall de aplicação – Proxy services
Fonte: Alecrim, 2013.
Na imagem 2.5 há um equipamento entre ambos que cria duas conexões:
35
entre a rede e o proxy e entre o proxy e a internet, ao invés da rede interna se
comunicar diretamente com a internet. (ALECRIM, 2013)
Perceba que todo o fluxo de dados necessita passar pelo proxy. Desta forma,
é possível, por exemplo, estabelecer regras que impeçam o acesso de determinados
endereços externos, assim como que proíbam a comunicação entre computadores
internos e determinados serviços remotos.
A implementação de um proxy não é tarefa fácil, haja visto a enorme
quantidade de serviços e protocolos existentes na internet, fazendo com que,
dependendo das circunstâncias, este tipo de firewall não consiga ou exija muito
trabalho de configuração para bloquear ou autorizar determinados acessos.
Os firewalls são soluções importantes de segurança, surgiram na década de
1980 e são amplamente utilizados até os dias de hoje. Porém, um firewall não é
capaz de proteger totalmente uma rede ou um computador, razão pela qual deve
ser utilizado em conjunto com outros recursos, como antivírus, sistemas de detecção
de intrusos, entre outros. (ALECRIM, 2013)
Neste capitulo foi explicado à importância da segurança e alguns dos tipos de
ataques e defesas da rede de computadores.
No próximo capitulo serão abordados alguns mecanismo de segurança de
redes sem fio, com enfoque nos controles de acesso físico e lógico e os protocolos
de segurança de redes sem fio.
36
3 MECANISMO DE SEGURANÇA EM REDES WIRELESS
Sobretudo um dos grandes problemas em uma rede wireless é que os sinais
são transmitidos pelo ar, não existe como impedir que o sinal se propague
livremente, de forma que a única forma eficaz de proteção é encriptar toda a
transmissão, fazendo com que a as informações capturadas não tenham serventia.
A maioria das redes já utilizam algum tipo de proteção, seja através do uso do WEP
ou da Wireless WPA, seja através de uma lista de acesso dos endereços MAC
autorizados a se conectar a rede.
As maiorias dos pontos de acesso utilizam antenas de 2 ou 2.2 dBi e as
placas wireless utilizam em geral antenas ainda menos sensíveis. O alcance
divulgado pelos fabricantes é calculado com base no uso das antenas padrão. Ao
utilizar uma antena apropriada, o sinal de um ponto de acesso colocado perto de
uma janela pode ser captado de 1,2 ou até mesmo três quilômetros de distancia em
lugares onde não existam obstáculos pelo caminho. Qualquer pessoa com um
computador próximo a uma antena de alto ganho pode conseguir captar o sinal da
rede e se conectar, tendo acesso à conexão com web, além de arquivos e outros
recursos que tenha compartilhamento pela rede. (MORIMOTO, 2010)
3.1 CONTROLES DE ACESSO
A proteção aos recursos de computacionais inclui desde aplicativos e
arquivos de dados até equipamentos, utilitários e o próprio sistema operacional.
Os controles de acesso, físicos e lógicos, têm como objetivo proteger esses recursos
computacionais
contra
perda,
modificação
ou
divulgação
não
autorizada.
(PINHEIRO, 2004).
3.1.1 Segurança Física
A segurança física está diretamente relacionada aos aspectos associados ao
acesso físico a recursos de informações, tais como disponibilidade física, sejam
esses recursos ás próprias informações, seus meios de suporte e armazenamento
ou mecanismo de controle de acesso ás informações (PINHEIRO, 2004).
O controle do acesso físico às instalações é um aspecto particularmente
37
importante da segurança física. Os acessos de visitantes, clientes e outras pessoas
não envolvidas com a operação do sistema devem ser feitos com restrições.
Podemos definir três ambientes no que se refere à segurança física, conforme
mostra a Figura abaixo:
Figura 3.1 – Ambiente de segurança Física.
Fonte: Pinheiro, 2013.
�
Ambiente Global de Segurança: área sobre a qual a organização mantém
alguma forma de controle ou influência, tal como áreas vizinhas ao local da
rede de computadores;
� Ambiente Local de Segurança: salas adjacentes ao local da rede de
computadores. O controle de entrada e saída deste ambiente deve ser feito
de acordo com as medidas necessárias previamente estabelecidas na política
de segurança da organização. Dentro deste ambiente podem existir diferentes
regiões com controles de acesso distintos;
�
Ambiente Eletrônico de Segurança: sala onde se localiza efetivamente a
instalação computacional e seus equipamentos periféricos. Os recursos a
serem protegidos e que se encontram no ambiente eletrônico de segurança
são servidores, impressoras, terminais, roteadores, scanners, etc. O acesso
aos ambientes pode ser feito por intermédio de controles explícitos e de
controles de regulamentação de acesso. Os controles explícitos são
38
representados por fechaduras mecânicas e eletrônicas, câmeras de vídeo,
alarmes e guardas de segurança. Os controles de regulamentação ao acesso
são constituídos por senhas, cartões magnéticos ou sistemas biométricos.
(PINHEIRO, 2004).
Uma boa infraestrutura não garante por si só a segurança física,
componentes de má qualidade certamente poderá proporcionar danos elevados. Por
esse motivo deve sempre ser observado qualquer tipo de ameaças presentes e que
às vezes passam despercebidas, tais como: riscos de incêndios, desabamentos,
inundações e alagamentos, falhas na rede elétrica, sistemas de fornecimento de
energia ininterrupto, sistemas de alarmes, circuitos internos de televisão,
monitoramento e controle de acesso dentre outras, devem ser adotadas utilizandose componentes adequados. (PINHEIRO, 2004)
3.1.2 Segurança Lógica
Considerando que o controle de acesso físico não é suficiente para garantir a
segurança
das informações,
é
necessário
o
controle
de
acesso lógico,
representados por medidas de segurança com a finalidade de impedir acessos não
autorizados ao sistema.
Os controles de acesso lógicos envolvem o fornecimento da identificação do
usuário e de senha que serve de autenticação, provando ao sistema que o indivíduo
é realmente quem diz ser.
O principal objetivo desse controle é que apenas usuários autorizados tenham
acesso aos recursos da rede, e para cumprir esse objetivo os controles de acesso
lógicos devem atender a procedimentos formais que contemplem todo o ciclo de
vida do acesso do usuário, desde seu registro inicial, o gerenciamento dos
privilégios e senhas, a exclusão. Estes procedimentos devem estar em
conformidade com a política de disseminação da informação. (PINHEIRO, 2004).
3.2 AUTENTICAÇÃO
A autenticação é o modo de provar a própria identidade a alguém. Com os
seres humanos a varias formas de provar essa autenticação como, comparar uma
foto, pela voz ao telefone e outros meios e assim acontece quando uma rede de
39
computador se comunica co outra rede, é preciso que uma autenticação aconteça
para que a transferência de dados acorra de forma segura e que não foi alvo de
mutações ao longo de um processo. (KUROSE, 2006)
O modo mais simples de se compreender como funciona uma autenticação
na rede é imaginar um usuário A enviando uma mensagem para o usuário B, o
protocolo de autenticação vai se encarregar de que um terceiro usuário não penetre
na rede e faça a alterações dessa mensagem como mudar a identificação de seu
remetente ou modificar o conteúdo da mensagem. (KUROSE, 2006)
3.2.1 Métodos de autenticação
O padrão IEEE 802.11 especifica dois métodos de autenticação são eles o de
sistema aberto e autenticação de chave compartilhada. Entre esses três métodos o
mais seguro e simples é a autenticação de sistema aberto. Durante o processo de
autenticação o usuário deve passar por varias etapas para autenticar suas
informações, com variações de um método para o outro. (FARIAS, 2006)
3.2.2 Autenticação de sistema aberto
Autenticação de sistema aberto é o método usado nos equipamentos
Wireless. Dessa forma usando esse método uma estação pode se associar com
qualquer Access Point (AP) que também usem o método. Este método de
autenticação é baseado no Service Set IDentifier (SSID), para que isso ocorra basta
que a estação e o AP tenham o mesmo Service Set IDentifier (SID) para que a
autenticação ocorra. O processo de autenticação de sistema aberto é usado de
forma muito eficaz tanto em ambientes seguros quanto não seguros. (FARIAS,
2006)
Como o processo ocorre:
O cliente faz um pedido para se associar ao AP, e o AP toma conhecimento
desse pedido, envia uma resposta positiva e autentica o cliente. Conforme ilustração
da figura 3.2.
É possível também usar a opção WEP para criptografar o processo de
autenticação. Porém a criptografia não é feita durante o processo de autenticação
em si, ou seja, a chave WEP não é verificada por ambos os lados durante a
40
autenticação, mas para criptografar os dados depois que o cliente já estiver
autenticado e associado.
Este método de autenticação é usado em diversos cenários, mas há duas razões
principais para isso:
� É considerado o mais seguro dos dois métodos disponíveis.
� Já é usado por padrão nos dispositivo wireless, o que não requer
configuração adicional. (FARIAS, 2006)
Figura 3.2 - Processo de autenticação de sistema aberto
Fonte: Farias, 2006.
3.2.3 Autenticação de chave compartilhada
Nesse método o uso do WEP é obrigatório já que se usam chaves tanto no
cliente quanto no AP e ambos devem utilizar as mesmas para que o WEP possa
operar. Lembrando que essas chaves são configuradas manualmente.
Como o processo ocorre: O usuário faz uma solicitação de associação ao AP,
esse processo ocorre da mesma forma da autenticação de sistema aberto.
O AP encaminha uma pergunta ao usuário. Então essa pergunta gera um texto
aleatório e envia ao cliente de forma de texto puro.
O cliente responde a essa pergunta. A chave WEP do cliente é usada para
criptografar a pergunta e por fim a mesma é enviada já codificada de volta ao AP.
41
Por fim AP retorna a resposta do cliente, após isso a resposta codificada
encaminhada pelo cliente é decodificada usando a chave WEP do AP, caso o cliente
tenha a mesma chave o AP responderá positivamente e autenticará o cliente, caso a
chave não for correta o respondera negativamente e não será feita a autenticação
do usuário. (FARIAS, 2006)
Segurança da autenticação: esse processo não é considerado seguro, pois o
AP transmite a pergunta em texto puro e recebe a mesma pergunta codificada com a
chave WEP. Isso permite a um hacker usar um sniffer para ver ambos a pergunta
em texto puro e a pergunta codificada. De posse desses dois valores, um programa
cracker poderia ser usado para gerar a chave WEP. Uma vez obtida à chave WEP, o
hacker em questão poderia descriptografar o tráfego codificado. Por essa razão a
autenticação de sistema aberto é mais seguro que a de chave compartilhada.
É importante ressaltar que nenhum dos dois métodos é realmente seguro, e,
portanto uma solução de segurança mais completa seria importante e necessária.
(FARIAS, 2006)
Figura 3.3 - Processo de autenticação de chave compartilhada.
Fonte: Farias, 2006
42
3.2.4 Certificados e Shared Secrets
São strings de números ou texto que são referidos como chave WEP.
Certificados são outro método de identificação do usuário, usados em redes
wireless. Do mesmo modo que chaves WEP, são colocadas na máquina cliente.
Essa colocação é feita de uma forma que quando o usuário deseja autenticar
com a rede wireless, o mecanismo de autenticação já se encontra na máquina
cliente. (FARIAS, 2006)
3.2.5 Protocolos de autenticação emergentes
Existem novas soluções de segurança de autenticação e protocolos no
mercado de hoje em dia, incluindo VPN, 802.1x usando EAP (Protocolo de
autenticação extensível).
Muita dessas soluções de segurança envolve a passagem da autenticação
por servidores de autenticação que por sua vez repassam a autorização ao AP,
enquanto o cliente fica aguardando por essa autorização durante a fase de
autenticação. (FARIAS, 2006)
3.2.6 802.1x e EAP
O padrão 802.1x é um modo mais recente, e os dispositivos que o suportam
tem a habilidade de permitir a conexão para a rede na camada 2, somente se a
autenticação do usuário for bem sucedida. A autenticação do usuário é realizada
usando um servidor Remote Authentication Dial In User Service (RADIUS) e algum
tipo de base de dados de usuários (RADIUS, NDS, Active Directory, LDAP) para
validação dos mesmos. O novo padrão 802.1i, também conhecido como WPA,
inclue suporte a 802.1x, EAP, AAA, autenticação mútua e geração de chave.
No modelo 802.1x padrão a autenticação da rede consiste de três partes: o
requerente (cliente), o autenticador (ponto de acesso) e o servidor de autenticação
RADIUS. (FARIAS, 2006)
Como a segurança de uma rede Wireless Local Area Network (WLAN) é
indispensável, a autenticação EAP fornece meios para assegurar uma conexão
WLAN. Conhecer esse tipo de autenticação EAP é importante no entendimento das
43
características do método de autenticação que está sendo utilizado, que são eles:
senhas, geração de chave, autenticação mutua e protocolos. Porém é importante
lembrar que somente o uso do EAP não é suficiente para estar bem protegido, são
necessários escolher o tipo de EAP que será usado. Alguns dos tipos de
autenticação EAP mais comuns são:
�
EAP-MD-5 Challenge – Um dos mais antigos tipos de autenticação, seu papel
é duplicar a proteção de senha CHAP em uma WLAN.
�
EAP-Cisco Wireless – Esse tipo também pode ser chamado de LEAP, ele é
usado somente em Automatic Protection Switching (APS) Cisco. LEAP
proporciona segurança durante a troca de credenciais, por fim criptografa os
dados transmitidos usando chaves WEP dinâmicas e suporta autenticação
mutua.
�
EAP-TLS – Esse processo é baseado no uso de certificados, ele oferece a
autenticação mutua do cliente e da rede. EAP-TLS confia nos certificados do
lado cliente e do servidor para realizar a autenticação usando chaves WEP
geradas dinamicamente baseadas na sessão e no usuário para proteger a
conexão.
� EAP-TTLS – É uma extensão do EAP-TLS, é necessário apenas certificados
no lado do servidor, alem de suportar vários tipos de senhas de modo que
pode usar com sistemas de autenticação existentes tais como: Active
Directory e NDS. Encapsula dentro de túneis a autenticação do cliente dentro
do EAP-TLS garantindo que o usuário permaneça anônimo no link wireless.
Chaves WEP são geradas e distribuídas dinamicamente para proteger a
conexão do usuário.
� EAP-SRP – Esse protocolo é baseado em troca de chaves seguras e senha.
Também é capaz de solucionar problemas de autenticar o cliente com o
servidor de um modo seguro em situações que o usuário deve memorizar
uma pequena senha e não carregar nenhum tipo de informação secreta. Ou
seja, o servidor carrega um verificador para cada usuário que permite a ele
autenticar o cliente. Caso o verificador encontre um hacker em seu caminho
não será possível a ele se passar pelo cliente já que o Secure Remote
Password Protocol (SRP) e baseado em criptografia forte o que permite
ambas as partes fazer a comunicação de forma segura. (FARIAS, 2006)
44
Figura 3.4 - Processo de autenticação usando EAP
Fonte: Farias, 2006
3.3 RADIUS
O RADIUS é um protocolo que utiliza o conceito AAA para gerir o acesso à
rede, este conceito refere-se aos processos de autenticação e autorização e
contabilização (accounting). É normalmente usado para gerir e tornar mais seguro o
acesso à Internet ou a redes internas. (ANTUNES, 2009)
O protocolo RADIUS baseia-se no modelo cliente/servidor, tendo de um lado
o Network Access Server (NAS) como cliente e do outro o servidor RADIUS. O
usuário, o NAS e o servidor trocam mensagens entre si quando o cliente ou
utilizador pretende autenticar para utilizar um determinado servidor de rede. O NAS
é responsável por adquirir todos os dados do cliente, que normalmente são nome e
senha e enviá-los para o servidor RADIUS através de um pedido de acesso que se
designa de Access-Request. Este é também responsável por processar respostas
vindas do servidor RADIUS. (ANTUNES, 2009)
O servidor ao receber um pedido de acesso tenta a autenticação do cliente,
enviando de seguida a resposta para o NAS contendo um Access-Reject caso o
acesso lhe seja negado ou, caso o acesso seja aceite contendo Access-Accept, ou
caso seja pedida uma nova confirmação contendo Access-Challenge. Após
autenticação, são comparados e verificados alguns dados do pedido de modo a que
45
o servidor determine qual o grau de acesso que pode ser dado a este utilizador que
foi autenticado. A figura 3.5 ilustra o funcionamento do Radius.
Figura 3.5 - Processo de autenticação do RADIUS
Fonte: Antunes, 2009
Existem no
mercado
muitas
soluções para
servidores
RADIUS.
O
freeRADIUS é o servidor RADIUS mais utilizado para sistemas Linux. Este é
responsável pela autenticação de pelo menos um terço dos utilizadores na Internet.
Os restantes utilizadores encontram-se divididos entre os restantes servidores,
destacando-se entre eles o Cisco Access Control Server (ACS) e o Microsoft Internet
Authentication Service (IAS). (ANTUNES, 2009)
3.3.1 FreeRADIUS
O freeRADIUS é uma implementação de RADIUS modular, de alta
performance e rica em opções e funcionalidades. Esta inclui servidor, cliente,
bibliotecas de desenvolvimento e muitas outras utilidades. Pode ser instalada em
sistemas Linux e Machintosh. (ANTUNES, 2009)
3.4 ENDEREÇAMENTO MAC
Para o bom funcionamento de uma rede padrão Ethernet ou Wireless, cada
46
dispositivo dela deve ter um número único, definido pelo fabricante e controlado pelo
Intitute of Electrical and Electronics Engineers (IEEE). Esse número permite
identificar de forma inequívoca um equipamento em relação a qualquer outro
fabricado no mundo, da mesma ou de outra fabricante.
Esse tipo de informação é facilmente identificado na maior parte dos
equipamentos com interface de rede sem fio. Em sistemas Windows essa
informação pode ser dada pelo comando ipconfig, onde a linha Endereço Físico
indica o endereço MAC dessa interface:
Figura 3.6 – Endereço MAC pelo comando ipconfig
Fonte: Elaborada pelas autoras, 2013
Em sistemas Unix, essa informação pode ser dada pelo comando ifconfig,
onde ehert indica o endereço MAC em sistemas, ou em outros casos o nome a ser
mostrado seria simplesmente address.
Uma das formas encontradas para restringir o acesso a uma determinada
rede sem fio é mediante o cadastro prévio dos dispositivos participantes, como o
endereçamento MAC identifica de forma única cada interface de rede, apenas os
dispositivos cadastrados terão acesso permitido.
Esse tipo de mecanismo exigirá sempre alguma manutenção, de acordo com
o fluxo de usuários e interfaces, porem esse tipo de autenticação pode identificar o
equipamento e não o usuário, isso é importante em computadores compartilhados
ou vulneráveis a acessos não autorizados, quer sejam físicos ou remotos.
Por outro lado, essa mesma técnica pode ser utilizada por clientes para
conectar com o concentrador correto, a configuração nesse caso é invertida, em vez
47
de o concentrador selecionar de quais equipamentos aceita conexão, o cliente é
quem configura o endereço MAC do concentrador, dessa maneira, poderá ter
certeza de que está conectando com o concentrador desejado. (RUFINO, 2005)
3.5 PROTOCOLOS DE SEGURANÇA DE REDES WIRELESS
3.5.1 Wired Equivalent Privacy (WEP)
De acordo com Tanembaum (2003) nas redes IEEE 802.11 o tráfego é
criptografado através da utilização do protocolo WEP, que utiliza uma cifra de fluxo
baseado no algoritmo RC4, uma das vantagens desse algoritmo é a facilidade de
implementação e o baixo consumo de recurso, e foi projetado por Ronald Rivest que
se manteve secreto até vazar e ser publico na Internet em 1994.
Ao padrão 802.11 prescreve um protocolo de segurança do nível de enlace
de dados, chamado WEP (Wired Equivalent Privacy), projetado para tornar
a segurança de uma LAN sem fio tão boa quanto à de uma LAN fisicamente
conectada. (TANEMBAUM, 2003 p. 587)
O algoritmo de criptografia RC4 possui duas funcionalidades básicas: uma
para gerar um "código" que será usado para encriptar e decriptar o Key Scheduler
Algorithm (KSA) e outra para realizar a criptografia propriamente dita da mensagem
com o uso deste código o Pseudo Random Generation Algorithm (PRGA).
A função KSA é responsável por gerar uma permutação pseudo-aleatória do
conteúdo de uma chave secreta. O fato de ela ser pseudo-aleatória se deve à
invariância do valor retornado com relação ao tempo, dependendo apenas do valor
de entrada. Portanto, é necessária a execução desta função apenas uma vez para a
obtenção da permutação que será usada.
A função PRGA, é responsável pela encriptação da mensagem a partir do
valor retornado pelo KSA. Ela consiste basicamente de operações de Ou-Exclusivo
entre a permutação da chave secreta e a mensagem de entrada, retornando uma
mensagem cifrada. A aplicação do PRGA na mensagem cifrada gera a mensagem
original caso a permutação utilizada seja a mesma do processo de encriptação.
A compreensão do funcionamento do mecanismo de encriptação/decriptação
baseia-se no entendimento do algoritmo RC4. Para garantir maior segurança ao
processo, a permutação oriunda do KSA deve ser diferente a cada mensagem
enviada. Para isto, existe um vetor de inicialização pseudo-aleatório que é
recalculado a cada iteração do algoritmo e é acrescido à chave secreta. Como quem
48
recebe a mensagem não possui este valor, o mesmo deve ser incluído no texto
cifrado que será enviado. Por fim, existe ainda um mecanismo que provê integridade
ao conteúdo do texto cifrado que é recebido, tendo em vista que o meio de
propagação da mensagem é muito suscetível a erros. (PAIM, 2011)
Figura 3.7 – Diagrama de Blocos do Protoloco WEP
Fonte: Paim, 2011
A grande vantagem é a sua simplicidade de implementação, requerendo
poucas operações. Contudo, ele peca no quesito segurança, pelo fato de cada bit de
saída ser uma função apenas do bit de entrada, enquanto no outro é uma função de
todos os bits do bloco original. (PAIM, 2011)
3.5.1.1 Vulnerabilidades do WEP
Existem diversas falhas conhecidas há mais de uma década no protocolo
WEP. Elas são muitas vezes exploradas por pessoas maliciosas que desejam
prejudicar o uso da rede sem fio ou simplesmente obter acesso à Internet. Entre as
falhas mais graves, encontram-se presente no mecanismo de confirmação de
recebimento de quadros WEP, a possibilidade de inundação da rede com quadros
repetidos e a fragilidade do algoritmo RC4.
Dentre os diversos ataques existentes para a obtenção da chave secreta
utilizada no WEP, alguns se destacam pela simplicidade e tempo de execução muito
49
baixos, da ordem de minutos:
�
Força Bruta: A chave secreta do WEP possui 40 bits, valor relativamente alto,
mas que, com o uso de ataques de dicionário, isto é, através da utilização de
nomes que são comumente utilizados, torna-se plausível sua execução.
� Conexão: Durante a conexão de um suplicante ao ponto de acesso, o desafio
passa em claro e logo depois encriptado. Assim, é possível ter acesso ao
mesmo conteúdo das duas formas, facilitando o processo de obtenção da
chave secreta.
� Escuta: Existem outros tipos de ataque que conseguem recuperar a chave
secreta a partir da escuta do tráfego por alguns minutos, até que o valor do
vetor de inicialização se repita.
O maior agravante do processo de encriptação do WEP é a utilização da chave
secreta (que não é provisória), em todas as etapas. Assim, a descoberta deste valor
significa a utilização da rede até que o mesmo seja trocado pelo administrador da
mesma.
Outro tipo de ataque bastante conhecido no protocolo WEP é a captura de
quadros transmitidos e a alteração do conteúdo de alguns deles. A função resumo
utilizada como provedora de integridade (CRC-32) possui um comportamento
conhecido para determinados padrões de alteração de bits, o que possibilita alguém
mal-intencionado forjar o conteúdo de mensagens. (PAIM, 2011)
O grande problema é que o WEP é baseado no uso de vetores de
inicialização que, combinados com todas essas outras vulnerabilidades, tornam as
chaves fáceis de quebrar. Ele pode dar certa segurança, mais na verdade seria
como fechar a porta de casa com um arame, pois só daria o trabalho do invasor
desenrolá-lo para entrar. (MORIMOTO, 2010)
Porém, após terem sido expostas há várias fragilidades, o Wep ainda provê
segurança adequada a vários tipos de cenários. (RUFINO, 2005)
3.5.2 Wi-fi Protected Acess (WPA)
Tendo em vista os problemas de segurança e as vulnerabilidades divulgados
no WEP, o WI-FI Alliance adiantou a parte de autenticação e cifração do trabalho
que estava sendo feito para o fechamento do padrão 802.11i, e liberou o protocolo
WAP, que é um padrão de segurança, destinado a ser implantados nos demais
50
padrões. (RUFINO, 2005)
Dentre as novidades do WAP há o Temporal Key Integrity Protocol (TKIP),
protocolo responsável pela gerência de chaves temporárias usadas pelos
equipamentos em comunicação, possibilitando a preservação do segredo mediante
a troca constante da chave. Outra vulnerabilidade corrigida e usada no TKIP é o
aumento significativo do tamanho do vetor de iniciação, que passou dos originais 24
para 48 bits, permitindo uma substancial elevação na quantidade de combinações
possíveis. (RUFINO, 2005)
O TKIP é o protocolo usado pelo WPA para encriptação da mensagem
transmitida. Ele faz uso do algoritmo RC4, da mesma forma que o WEP, mas toma
algumas precauções para evitar ataques, como não enviar a chave secreta "em
claro" e trabalhar com uma política de vetores de inicialização mais inteligente.
(PAIM, 2011)
Além do padrão WAP original, temos também o WAP 2, que corresponder à
versão finalizada do 802.11i. Mesmo com melhorias no padrão WAP foi descoberto
existência de falhas, então o WAP 2 foi lançado para efetuar correções de falhas de
segurança. A principal diferença entre os dois é que o WPA utiliza algoritmo RC4, o
mesmo usado no WEP, enquanto o WAP 2 utiliza o Advanced Encryption Standard
(AES).
O AES é um padrão de criptografia muito seguro, usado pelo governo do
EUA, o problema é que exige mais processamento, tornado mais pesado. Tanto ao
usar o TKIP quanto o AES, é importante definir uma boa passphrase, que é uma
espécie de senha que garante o acesso a rede, com pelo menos vinte caracteres
aleatórios, onde a senha não fica tão fácil de ser adivinhada. (MORIMOTO, 2010)
3.5.3 Extensible Authentication Protocol (EAP)
Um modelo para autenticação também foi definido no WPA, conhecido como
EAP, que permite integrar soluções de autenticação já conhecidas e testadas. O
EAP utiliza o padrão 802.11x e permite vários métodos de autenticação, incluindo a
possibilidade de certificação digital.
Portanto o protocolo EAP permite que um usuário se autentique em um
servidor específico a fim de receber mensagens provenientes do ponto de acesso.
Este servidor trabalha com o uso do protocolo Remote Authentication Dial In
51
User Service (RADIUS) e tanto pode ser representado pelo ponto de acesso quanto
por uma outra máquina dedicada a este fim.
O EAP foi desenvolvido originalmente para trabalhar com o protocolo PPP
(Protocolo Ponto-a-Ponto). Assim, seu funcionamento pode ser entendido como uma
evolução deste tipo de modelo. Ele possui quatro tipos de mensagem básica que
são usadas durante a conexão: Requisição, Resposta, Sucesso e Falha.
Figura 3.8 – Diagrama de Autenticação com Servidor Radius
Fonte: Paim, 2011.
Para a conexão em uma rede sem fio trabalhar com o EAP é enviado uma
mensagem de Requisição para o ponto de acesso. Este, por sua vez, retorna um
pedido da identidade que o suplicante possui. Ao receber a resposta do suplicante, o
ponto de acesso a envia diretamente para o servidor RADIUS. Ele, então, cria um
desafio pelo qual o suplicante deve passar com o uso da senha que ele possui.
Assim, caso este responda de maneira correta, terá acesso à rede sem fio;
caso contrário, receberá uma mensagem de falha de conexão. Por fim, se o
protocolo usado para encriptação for o WPA ou WPA2, então ocorre o acordo entre
o suplicante e o ponto de acesso a fim de decidir os valores de chaves temporais
que serão usadas durante a comunicação. (PAIM, 2011)
Este modelo apresenta uma característica muito interessante que é o
isolamento do servidor RADIUS: em nenhum momento o suplicante envia uma
52
mensagem diretamente para ele; sempre deve haver o intermédio do ponto de
acesso. Isto garante uma maior segurança ao servidor, o que é vital, pois ele contém
informações referentes a todos os usuários que são passíveis de acessar a rede.
Além disto, o isolamento é importante ao permitir uma maior flexibilidade na hora da
manutenção da rede, pois caso o esquema de segurança seja alterado, deve-se
apenas mexer na conexão entre o servidor e o ponto de acesso. (PAIM, 2011)
Neste capitulo foram abordados os aspectos da segurança física e lógica com
enfoque na autenticação e nos protocolos de segurança.
No próximo capitulo contém um estudo de caso do acesso físico e lógico, com
aplicação dos métodos de segurança, e ferramenta que é utilizada para a segurança
do acesso lógico utilizando a autenticação.
53
4 ANÁLISE DE SEGURANÇA
Para avaliar as condições da rede sem fio em estudo, foi analisada a
importância do controle dos acessos físicos e lógicos, e foi realizada uma avaliação
dos métodos de segurança adotados na mesma, usando o método de segurança do
acesso físico com padronizações e limites físicos, e o da segurança lógica usando o
método de autenticação procurando obter mais confiabilidade na segurança da rede
Wireless, tendo em vista que estas redes são comprovadamente menos segura do
que as redes conectadas por cabos.
As ferramentas utilizadas foram empregadas com o intuito de aumentar a
segurança com o controle de acesso.
4.1 CONTROLE DE ACESSO FÍSICO
A segurança física de uma rede sem fio, muitas vezes não é lembrada e nem
levada em consideração em muitos casos na hora da implementação. (RUFINO,
2005)
Os pontos de acesso que serão instalados para implementação da rede
wireless, seja ele em cenário doméstico ou corporativo, deve ser estudado de forma
minuciosa para que o sinal fique apenas ao alcance das delimitações do
estabelecimento e os aparelhos fiquem em ambientes seguros. Por exemplo, se
instalarmos um ponto de acesso em um lugar bem alto terá um bom desempenho,
porém seu alcance será maior, abrindo mais possibilidades de seu sinal ser
interceptado.
Uma forma de resolvermos este problema é diminuindo a potência do sinal,
ou posicionando os pontos de acesso em lugares onde o sinal será mais bem
aproveitado dentro de determinada área, de tal forma que este fique a um alcance
seguro dentro do estabelecimento onde é utilizada a rede wireless.(TANENBAUM,
2003)
Ou seja, para acessar uma rede wireless, basta estar próximo de dispositivos
de acesso e se posicionar de forma a obter um sinal cuja potência do sinal permita
uma conexão.
54
Figura 4.1 – Localização Acess Point.
Fonte: Telasocia, 2013
Para ajudar a minimizar o problema de acesso não autorizado, algo a se levar
em conta quando se for construir uma rede sem fio é a posição do Access Point,
para que as ondas eletromagnéticas fiquem centralizadas, minimizando a área
coberta pela rede fora do perímetro desejado. (RUFINO, 2005)
Mas ainda sim as ameaças de segurança física da rede sem fio podem ter
diferentes fontes.
As ameaças podem ser classificadas em:
�
Naturais: são ameaças às quais todos os equipamentos ou instalações físicas
de uma organização podem estar sujeitas: fogo, inundações, quedas de
energia.
�
Não intencionais: são perigos trazidos pela ignorância dos seus usuários ou
administradores e não por ações maliciosas
�
Intencionais: são as ameaças, sobre as quais os produtos de segurança
melhor podem atuar. As ameaças intencionais podem surgir a partir de dois
tipos de vilões: internos ou externos.
Os ataques de segurança são ações que comprometem a segurança da
informação mantida por uma organização Existem quatro tipos básicos de
ataques. (RUFINO, 2005)
55
Figura 4.2 – Acesso ao Roteador não autorização.
Fonte: imguol, 2013
As vulnerabilidades são pontos nos quais o sistema é suscetível a ataques e
ameaças de segurança. Existem os seguintes tipos básicos de vulnerabilidades de
segurança:
� Físicas: Os prédios e salas que mantém sistemas computacionais são
vulneráveis podendo ser invadidos, por exemplo, através de arrombamento.
� Naturais: incluem desastres de ordem natural e às ameaças ambientais.
Como exemplos de desastres, podem-se citar: incêndios, inundação,
terremotos e perda de energia. As ameaças ambientais, por sua vez, podem
advir de poeira, umidade ou condições de temperatura inadequadas para
instalações computacionais.
�
Hardware e Software: Falhas de hardware e software podem comprometer
toda a segurança de um sistema. Por exemplo, de falha de hardware, podese citar a queda de um enlace ou mesmo do sistema de contingência. Já no
caso de software, a configuração errada de um roteador de uma rede, por
exemplo, pode impedir o tráfego de informação correto entre os sistemas.
� Humanas: As pessoas que administram e usam o sistema representam sua
maior vulnerabilidade. Os usuários, operadores ou administradores do
sistema podem cometer erros que comprometam o sistema.
56
Figura 4.3 – Localização inadequada do Rack.
Fonte: Unioeste, 2013.
4.2 CONTROLE DE ACESSO LÓGICO – TESTE COM SERVIDOR RADIUS
Utilizou-se na implementação desse servidor de autenticação o RADIUS por
ser gratuito e apresenta uma série de funcionalidades que o qualifica como um
eficiente sistema de autenticação adaptável as mais diversas condições de rede, ele
é utilizado tanto para autenticar os usuários ou dispositivos antes de conceder-lhes
acesso a uma rede, quanto para autorizar os usuários ou dispositivos para
determinados serviços de rede.
4.2.1 Instalação, configuração e teste com Servidor FreeRadius.
Utilizou-se como servidor uma maquina virtual do VirtualBox com a
distribuição Linux Ubuntu Server 12.04.2.
Primeiramente instala-se o freeradius:
# apt-get installl freeradius freeradius-mysql mysql-server
Esse comando instala o FreeRADIUS para autenticação em base de dados
MySQL, baixando uma coleção de arquivos pré-configurados para o acesso a base
de dados.
57
Após a instalação do FreeRadius é necessário alterações nos arquivos de
configuração.
Para o cliente obter permissão é necessário configurar os dados do roteador
utilizado adicionando as seguintes linhas no arquivo clients.conf.
Client 192.168.1.1{
Secret = testing123
O cliente é o IP do roteador e secret é a senha colocado no roteador
Para que seja possível importar as informações para o MySQL é preciso
primeiramente acessar o MySQL e criar o banco de dados.
O comando abaixo acessa o Mysql e em seguida cria o banco de dados:
# mysql –u root -p
Mysql> CREATE DATABASE radius;
Em seguida executa-se o script e cria as tabelas necessárias para o uso do
freeradius:
# mysql –u root –p
radius < /etc/freeradius/sql/mysql/
shema.sql
O arquivo sql.conf já vem configurado por padrão, para acesso ao banco de
dados, basta alterar alguns campos para realizar testes como o user endereço do
banco de dados, o login com o nome do usuário, o password com a senha que será
utilizada pelo Freeradius para acessar o banco de dados e o radius_db que indica o
bando de dados que será acessado.
Figura 4.4 – Configuração arquivo sql.conf
Fonte: Elababorada pelas autoras, 2013
58
Em Linux diversas distribuições utilizam o caractere # como marcador de
comentário. Por tanto é necessário retirar esse caracter para descomentar a linha
mencionada.
No arquivo /etc/freeradius/radiusd.com é necessário descomentar a seguinte
linha:
$INCLUDE SQL.conf
Isso faz com que esse arquivo de configuração carregue as informações de
como o freeradius deve acessar o servidor de banco de dados.
É
preciso
também
configurar
o
arquivo
/etc/init.d/freeradius/sites-
enabled/default descomentando os ‘sql’ as seguintes seções:
authorize{
...
SQL
...
}
Accounting{
...
SQL
...
}
Session{
...
SQL
...
}
Post-auth{
...
SQL
...
}
Após essas configurações acessa o banco de dados, para os testes de
autenticação precisa criar entradas na tabela radcheck com usuário e senha para
teste, utilizando o comando abaixo:
mysql> INSERT INTO radcheck(‘id’,’username’,’attribute’,
’op’,’value’)VALUES(NULL,’test’,’Password’,’:=’,’1234’);
59
Para visualizar utilize-se o comando:
Figura 4.5 – Tabela radcheck
Fonte: Elababorada pelas autoras, 2013
Após sair do banco de dados, inicia-se o freeradius e executa um teste com o
modo de debug, com uma senha teste cadastrada no banco de dados:
#radtest test 1234 localhost 1812 testing123
Resultado do teste:
Figura 4.6 – resultado teste radtest
Fonte: Elababorada pelas autoras, 2013
4.2.2 Configuração do roteador
O IP roteador é 192.168.1.1, a mesma rede em que foi configurado o servidor
Freeradius. Para configuração do roteador sem fio é necessario ativar a segurança
Wireless, e o tipo de segurança WAP/WPA2 para liberar a opção de segurança por
Radius conforme ilistração da imagem 4.8.
Alguns roteadores não tem a opção do tipo de segurança WAP/WPA2, sendo
assim impossivel de habilitar o Radius, nesse caso foi utilizado o roteador Multilaser
RERO054BIVML.
60
Figura 4.7 - Configuração do roteador
Fonte: Elababorada pelas autoras, 2013
4.2.3 Configuração do computador do usuário para acesso a rede
Para a configuração da maquina do usuário utilizou-se notebook com
Windows 8. Adicionou-se uma nova rede sem fio, e a nomeou com o mesmo nome
da configuração do roteador.
Figura 4.8 – Gerenciador de Redes sem fio do Windows 8
Fonte: Elababorada pelas autoras, 2013
61
Figura 4.9 - Configuração do modo de segurança do Windows 8
Fonte: Elababorada pelas autoras, 2013
Figura 4.10 – Alteração da configuração de conexão
Fonte: Elababorada pelas autoras, 2013
Abaixo as caixas de seleção foram desmarcadas para que o sistema não
conecte automaticamente na rede sem fio.
62
Figura 4.11 - Configuração das Propriedades de conexão de Rede Sem Fio
Fonte: Elababorada pelas autoras, 2013
Figura 4.12 - Configuração das propriedades de segurança de Rede Sem Fio
Fonte: Elababorada pelas autoras, 2013
63
Figura 4.13 - Configuração do Modo de Autenticação
Fonte: Elababorada pelas autoras, 2013
Figura 4.14 - Configuração Propriedade Avançada do EAP
Fonte: Elababorada pelas autoras, 2013
64
Feito todas essas configurações é necessário realizar o acesso e inserir o
usuário e a senha quando solicitado conforme figura 4.16.
Figura 4.15 – Autenticação de Rede
Fonte: Elababorada pelas autoras, 2013
Ao fazer a autenticação, o servidor recebe a mensagem contendo o login e
senha, ao receber esta mensagem o Radius gera uma requisição contendo todos os
dados do usuário.Após validar as informações o servidor encaminha uma resposta
para o usuário permitindo o acesso, ou negando o acesso caso as informações não
sejam válidas. A figura 4.17 mostra o acesso efetuado com sucesso.
Figura 4.16 – Rede Autenticada
Fonte: Elababorada pelas autoras, 2013
65
Realizado toda a implementação descrita nesse capitulo, pode-se realizar a
autenticação de usuários de forma segura, a utilização do Radius funciona como um
mecanismo de segurança, agregado ao bom dimensionamento do ponto de acesso
existente com seus limites físicos definido é possível fornecer com maior segurança
o acesso de redes sem fio.
66
CONCLUSÃO
A segurança dos dados é sempre uma situação preocupante para qualquer
sistema, o fato é que uma única ferramenta não consegue garantir um nível
desejável de segurança.
Diante desse fato e após pesquisa bibliográfica sobre as redes de
computadores e redes sem fio, e buscando identificar os tipos de ataques e seus
mecanismos de defesas, é importante mencionar a dificuldade em sem manter uma
rede Wireless sempre segura.
Seguindo esta linha, foram apresentados os termos, conceitos com os
diversos tipos de protocolos de autenticação, tipos de transmissão, como também a
importância de manter os equipamentos de uma rede em ambientes seguros onde
somente pessoas que tenham a capacidade de manter seu funcionamento de forma
correta sem correr o risco de desconfigurar ou danificar essa rede.
Entretanto, os acessos à rede sem fio não são devidamente controlados,
sendo completamente alheia ao domínio, tendo dificuldade para o acesso a rede,
necessitando de senhas específicas para liberar o acesso, dificultando desta forma,
o dia a dia destes usuários. Desta forma, a utilização de um Servidor Radius,
implementado através do Serviço de autenticação, vem de encontro com as
necessidades de administradores que possuem o gerenciamento de máquinas e
usuários.
Sendo assim Com os conceitos devidamente definidos, esclarecidos foram
analisadas, e testadas às ferramentas que permitem a autenticação de usuários,
utilizando Radius através do Serviço de Autenticação.
Com base nas configurações realizadas e nas dificuldades encontradas para
configurar o servidor Radius foi possível concluir que de inicio leva-se algum tempo
para realizar as instalações e configurações, mas com a prática é possível
facilmente configurar um servidor para uma pequena rede. Embora a configuração
dos terminais dos usuários seja um pouco complicada exigindo o uso de um manual
de instruções para que os próprios usuários configurem seus equipamentos para
acesso a rede. Sendo assim a utilização do RADIUS garantirá um maior controle do
acesso à rede sem fio e fortificará a de segurança.
Existe ainda, a possibilidade de implementar a autenticação Radius seja
67
autenticando
por
Mac
ou
outras
formas
apresentadas
nesse
trabalho,
independentemente do tipo de acesso, Wi-Fi dentre outros.
Enfim um gerenciamento centralizado e sob controle de diversas aplicações,
inclusive em clientes de acesso sem fio, permitindo uma total integração dos
mesmos através do protocolo Radius.
Estender a utilização do domínio a usuários de redes sem fio, com segurança,
controle e praticidade, é o foco principal deste trabalho. Por certo que pode ser
aplicado em qualquer ambiente que se utilize de uma rede sem fio.
68
REFERÊNCIAS BIBLIOGRÁFICAS
ALECRIM, Emerson. Ataques DoS (Denial of Service) e DDoS (Distributed DoS),
2012. Disponível em: <http://www.infowester.com/ddos.php> Acesso: 20 Nov. 2012.
ALECRIM,
Emerson.
Criptografia,
2009.
Disponível
em:
<
http://www.infowester.com/criptografia.php> Acesso: Fev. 2013.
ALECRIM, Emerson. Entendendo a Certificação Digital, 2011. Disponível em: <
http://www.infowester.com/assincertdigital.php> Acesso: 23 Fev. 2013
ALECRIM, Emerson. O que é firewall? – Conceito, tipos e arquiteturas, 2013.
Disponível em: < http://www.infowester.com/firewall.php > Acesso: 23 Fev. 2013.
ANTUNES, Vítor H. L. Frontend Web.2.0 para Gestão de Radius, 2009. Disponível
em:< http://paginas.fe.up.pt/~ee04199/index.html> Acesso: 15 Dez. 2013.
FÁRIAS,
Paulo
C.
B.
Redes
Wireless,
2006.
Disponível
em:
<
http://www.juliobattisti.com.br/tutoriais/paulocfarias/redeswireless021.asp > Acesso:
13 Abr. 2013.
IMGUOL. Roteador sem fio - Diponível em: <http://imguol.com/2012/08/17/usuarioinsere-cabo-em-roteador-sem-fio-1345245217 637_300x300.jpg> Acesso: 20 Set.
2013.
KUROSE, James F., ROSS, Keith W. Redes de Computadores e a internet.
Tradução da 3° ed. Person Education do Brasil – São Paulo 2006.
MACÊDO, Diego. Arquitetura e protocolo TCP/IP, 2012 – Disponível em: <
http://www.diegomacedo.com.br/arquitetura-e-protocolos-tcp-ip/ > Acesso: 20 Fev.
2013.
MORIMOTO, Carlos E. – Redes Guia Prático – Porto Alegre – Sul Editores, 2° 2010
69
PAIM,
Rodrigo
R,
Wep,
Wap
e
Eap,
2011.
Disponível
em:
<http://www.gta.ufrj.br/ensino/eel879/trabalhos_vf_2011_2/rodrigo_paim/index.html >
Acesso: 22 Abr. 2013.
PINHEIRO, José M. S. Redes de computadores, 2004 - Disponível em: <
http://www.projetoderedes.com.br/tutoriais/tutorial_equipamentos _de_redes_01.php
> Acesso: Fev. 2013.
RUFINO, Nelson Murilo de O. Segurança em Redes sem fio, Ed. Novatec, 2005.
TANENBAUM, Andrew S. Redes de Computadores. Tradução da 4° ed. Americana
Vandenberg D. de Souza, Rio de Janeiro: Campus Elsevier, 2003.
TELASOCIAL,
Wifi
–
Disponível
em:
<http://www.telasocial.com/conceitos-e-
preocupacoes-sinalizac%CC%A7a%CC%83o-digital/sinalizacao-digital-proximowifi.jpg> Acesso: Set. 2012.
TORRES, Gabriel – Redes de Computadores. 2° Ed. – Nova terra, 2009.
���������������������������������������������������������������������������
���������������������������������������������������������������������������������
�����������������������������������������������������