Marlos Henrique Sotto Maior
RELATO DE EXPERIÊNCIA – IMPLEMENTAÇÃO DE VLANS E
REGRAS DE ACESSO À REDE WIRELESS DA UNIVERSIDADE X
Monografia apresentada ao Curso de Pós
Graduação em Redes de Computadores Administração e Segurança da Faculdade de
Ciências Exatas da Universidade Tuiuti do Paraná
para conclusão do curso
Orientador Luiz Correia
CURITIBA
2011
SUMÁRIO
1. INTRODUÇÃO .........................................................................................................5
2. REFERÊNCIAL TEÓRICO ......................................................................................8
2.1 VLANs ...................................................................................................................8
2.2 REDES SEM FIO (WIRILESS NETWORK) .........................................................10
2.3 SEGURANÇA ......................................................................................................14
2.3.1 Iptables ...............................................................................................................16
2.3.2 Squid .................................................................................................................20
3. METODOLOGIA ....................................................................................................23
3.1 REVISÃO DA LITERATURA.............................................................................24
3.2 SITUAÇÃO DA UNIVERSIDADE X .................................................................24
3.3 CONFIGURAÇÃO DO SWITCH EDGE-CORE ES3526YA .............................25
3.4 CONFIGURAÇÃO DO SERVIDOR DHCP E ROTEAMENTO .......................28
3.5 IMPLEMENTAÇÃO DE REGRAS DE ACESSO ..............................................31
3.6 TESTES .................................................................................................................35
4. RESULTADOS ........................................................................................................39
5. CONCLUSÃO .........................................................................................................40
REFERÊNCIAS ............................................................................................................41
LISTA DE FIGURAS
FIGURA 01 – FORMATOS DOS QUADROS 802.3 E 802.1Q ............................................... 9
FIGURA 02 – TRUNK LINKS E ROTEADORES PARA LIGAR VLANS ........................... 10
FIGURA 03 – COMUNICAÇÃO AD HOC ............................................................................ 11
FIGURA 04 – MODO INFRAESTRUTURA (BSS / ESS) ..................................................... 11
FIGURA 05 – MAIORES RELACIONADOS A SEGURANÇA DE INFORMAÇÃO......... 15
FIGURA 06 – PAINÉIS: DIANTEIRO / TRASEIRO SWITCH ES526YA ........................... 25
FIGURA 07 – MODOS DE IMPLEMENTAÇÃO DE VLANs .............................................. 25
FIGURA 08 – CONFIGURAÇÃO – PUTTY.......................................................................... 26
FIGURA 09 – CONFIGURAÇÃO DO SWITCH ................................................................... 28
FIGURA 10 - TRACEROUTE ................................................................................................ 35
FIGURA 11 - PING.................................................................................................................. 35
FIGURA 12 – CONFIGURAÇÃO DO SERVIDOR PROXY ................................................ 36
FIGURA 13 – SOLICITAÇÃO DE AUTENTICAÇÃO ......................................................... 36
FIGURA 14 – ACESSO NEGADO – PALAVRA BLOQUEADA ........................................ 37
FIGURA 15 – ACESSO NEGADO – SITE BLOQUEADO ................................................... 37
FIGURA 16 – RESTRIÇÃO DE DOWNLOAD POR EXTENSÃO ...................................... 38
LISTA DE TABELAS
TABELA 01 – FAIXA DE FREQUÊNCIAS .......................................................................... 12
TABELA 02 – DSSS CANAIS E FREQUÊNCIAS ................................................................ 13
TABELA 03 – PONTOS CHAVE ........................................................................................... 17
TABELA 04 – SUBCOMANDOS IPTABLES ....................................................................... 18
TABELA 05 – ALVOS EMBUTIDOS DA CHAIN ................................................................ 19
5
1. INTRODUÇÃO
A comutação1 na camada 2 do modelo OSI permite a filtragem na rede através
do endereço MAC (Media Access Control). Os pacotes são encapsulados em quadros
(frames). Desta forma o encaminhamento de pacotes se dá pela análise deste endereço
o que torna este processo mais rápido e eficiente.
Os switches2 mantêm uma tabela com os endereços de hardware (MAC) e
permitem a segmentação da rede quebrando os domínios de colisão. Com isso
aumentam a largura de banda para cada conexão (interface).
Com o aumento gradativo da rede e do número de usuários a ela conectados,
seu desempenho pode ser afetado. Apesar da quebra do domínio de colisão, a rede
permanece com um grande domínio de broadcast. Todos os quadros de broadcast
transmitidos são enxergados por todos os dispositivos conectados a rede local,
diminuindo a largura de banda existente (FILIPPETTI, 2008).
Este aumento ainda pode gerar um gerenciamento complexo. Dependendo da
sua estruturação física e da localização dos usuários, novos equipamentos e novas
conexões devem ser implantados.
Outro problema encontrado é com relação à segurança, pois todos os usuários
deste segmento podem ter acesso a todos os dispositivos conectados. Um usuário mal
1
Do inglês Switching.
Dispositivos de rede da camada 2 que conectam segmentos de redes e são responsáveis por
encaminhar ou abandonar os quadros.
2
6
intencionado pode, através de um analisador de rede, capturar os pacotes que trafegam,
visualizando seu conteúdo.
Em uma Universidade denominada neste estudo como X, para fins de
privacidade, tem-se em torno de 8 Access Points (APs) distribuídos no campus. A
restrição existente é apenas a chave de acesso e ainda fazem parte do mesmo segmento
de rede. Cada aparelho recebe um endereço IP3 real e faz o roteamento para redes
internas, distribuindo endereços de rede privados para cada cliente, além de não haver
nenhum controle com relação ao conteúdo acessado. Dentro deste cenário como a
implementação de VLANs e a criação de algumas regras de segurança podem
minimizar eficazmente o problema encontrado?
A virtualização das redes locais (VLANs) permite uma melhor administração
da rede pelo fato de agrupar logicamente dispositivos, serviços e estações de trabalho
independente da sua localização física (CCNA3, 2003).
A implementação de uma VLAN reduz o tamanho domínio de broadcast. A
cada porta do switch pode ser atribuída uma rede local virtual. As portas que
compartilham a mesma VLAN fazem parte do mesmo domínio de broadcast. As
mensagens de broadcast são enviadas apenas para estas portas, ou seja, impede que o
broadcast propague por toda a rede (FILIPPETTI, 2008).
Para aumentar o controle sobre o tráfego e a segurança cada porta pode ser
configurada. Um usuário pode ser configurado a uma VLAN específica e o acesso a
recursos de determinada VLAN podem ser restritos. O desempenho aumenta em
3
Internet Protocol – protocolo de Internet.
7
função da redução dos domínios de broadcast, cada porta pode ser uma rede local
virtual. O gerenciamento torna-se mais fácil em função da segmentação da rede.
A implementação de algumas regras de segurança para restrição dos acessos
aumentarão o gerenciamento ao nível de usuário e conteúdo acessado, garantindo
maior confiabilidade e a integridade da rede.
Pretende-se validar o benefício de segmentar a rede logicamente e restringir o
acesso em camadas superiores.
O desenvolvimento deste trabalho permitirá implementar as VLANs com
algumas regras de acesso dentro da Universidade X, onde os produtos a serem gerados
por este projeto são:
A) A modelagem de uma rede logicamente segmentada com a implementação
de regras de acesso;
B) A implementação desta rede proposta no item A num ambiente
virtualizado;
C) Experimentação e testes da rede implementada no item B.
8
2. REFERÊNCIAL TEÓRICO
2.1 VLANs
Redes comutadas (camada 2) são consideradas como planas, os domínios de
colisão diminuem com a segmentação da rede, ou seja, os dados trafegam apenas no
mesmo segmento criando seu próprio domínio de colisão.
No entanto o domínio de broadcast continua único uma vez que todos os
pacotes de broadcast são enxergados por todos os dispositivos conectados a esta rede.
Quanto maior o número de usuários e dispositivos maior será o número de pacotes e
broadcast transmitidos nesta rede. A segurança pode ser comprometida uma vez que
todos os usuários podem encontrar todos os dispositivos (FILLIPPETI, 2008).
VLANs são redes comutadas virtuais que agrupam logicamente estações de
trabalho e dispositivos de redes. São utilizadas principalmente para diminuir domínios
de broadcast e separar segmentos de rede, aumentando assim a segurança dos dados
que trafegam nestas redes e a banda disponível. Como já comentado cada porta do
switch pode ser uma VLAN.
Uma empresa pode utilizar este recurso para separar departamentos, por
exemplo cada um em uma subrede separada. A comunicação entre eles é restrita
apenas ao grupo em que participam, ou seja, a mesma VLAN.
A identificação dos quadros que trafegam em switches que suportam VLANs
se dá através de uma marcação, inserindo um campo no quadro. O IEEE (Instituto de
Engenheiros Elétricos e Eletrônicos) definiu um método padrão (802.1Q) que
determina a alteração no cabeçalho Ethernet com a inclusão desta marca (tag)
(TANENBAUM, 2003).
A Figura abaixo mostra a alteração realizada no quadro (frame).
9
FIGURA 01 – FORMATOS DOS QUADROS 802.3 E 802.1Q
FONTE: TANENBAUM, 2003, p. 262.
Foram adicionados 2 campos de 2 Bytes, o primeiro é o ID do protocolo de
VLAN, com o valor fixo de 0x8100, assim as placas de Ethernet o identificam como
um tipo. O segundo campo contém três subcampos, o principal deles é o identificador
da VLAN que diz a qual VLAN o quadro pertence. Esta alteração foi necessária para
estabelecer o transporte dos quadros (TANENBAUM, 2003).
Para que haja comunicação entre VLANs diferentes é necessário a utilização
de um dispositivo de camada 3, um roteador ou um switch camada 3 que suportem o
padrão 802.1Q. A comunicação acontece através de um link de transporte (trunk link)
que é responsável pelo transporte dos quadros contendo a identificação de qual VLAN
pertencem (FILLIPPETI, 2008).
Em redes comutadas os links de transportes são conexões ponto-a-ponto e
podem suportar várias VLANs. Pode conter vários links virtuais em um único meio
físico, transitando sobre um cabo único. O mecanismo de marcação de quadros (frame
tagging) é o padrão do IEEE 802.1Q para trunking, este mecanismo permite uma
entrega rápida dos frames (quadros) e facilitam o gerenciamento (CCNA3, 2003).
A figura 2 mostra como estes links podem são implementados e as vantagens
da utilização de dispositivos de camada 3 para comunicação inter-VLANs.
10
FIGURA 02 – TRUNK LINKS E ROTEADORES PARA LIGAR VLANS
FONTE: CCNA3, 2003
As VLANs podem ser configuradas de 2 formas:
− Estáticas: método mais comum, a porta do switch é designada para uma
VLAN específica, configurada diretamente. O controle é maior pois
toda implementação e mudança são gerenciadas.
− Dinâmicas: a designação da VLAN é automática através de softwares
específicos, não dependem de portas designadas.
2.2 REDES SEM FIO (WIRILESS NETWORK)
Atualmente é uma das tecnologias mais difundidas, seja através de celulares,
infravermelho, bluetooth, entre dispositivos que se comunicam através de Wi-fi4 e
ainda com o surgimento de novas tecnologias como o WIMAX5 (FILIPPETTI, 2008).
A principal diferença entre as redes cabeadas e sem fio (wireless) está no
modo de transmissão. Redes cabeadas utilizam sinais elétricos em cabo metálico ou
luminosos em fibras-ópticas e redes sem fio utilizam ondas de rádio para transmissão
de quadros. O ar como meio de transmissão preconiza a utilização do modo half-
4
Wireless Fidelity – acesso sem fio de alta velocidade.
Worldwide Interoperability for Microwave Access – permite velocidades de até 130Mbps e
alcance de 45 Km.
5
11
duplex de operação para evitar a incidência de colisões e do algoritmo CSMA/CD6
(FILIPPETTI, 2008).
Há dois modos de operação para redes sem fio (FILLIPPETI, 2008):
− Ad Hoc – os dispositivos podem se conectar sem a necessidade de um
ponto de acesso (access point - AP). A Figura 3 mostra a interconexão
destes dispositivos
FIGURA 03 – COMUNICAÇÃO AD HOC
FONTE: http://img.vivaolinux.com.br/imagens/artigos/comunidade/ad-hoc.png
Acessado em 05 mar 2011
− Infraestrutura – implica na utilização de um AP conectado a uma rede
cabeada através de um cabo metálico. Os quadros são enviados para o
AP que redireciona para o destino. Dois tipos de serviços são
suportados: BSS (Basic Service Set) onde se utiliza apenas 1 AP para
implementação da WLAN (Wireless LAN) e o ESS (Extended Service
Set) que deve utilizar no mínimo 2 APs para implementar a WLAN.
FIGURA 04 – MODO INFRAESTRUTURA (BSS / ESS)
6
Carrier Sense Multiple Access / Collision Avoidance – Acesso múltiplo com verificação de
portadora com anulação / prevenção de colisão.
12
Para que não haja interferência com transmissões de rádio públicas, como
rádios AM/FM, a ANATEL7 define uma faixa de frequência específica e os
fabricantes devem seguir estas normas, não havendo assim a necessidade de licença
para a transmissão (FILLIPPETI, 2008).
A tabela 01 mostra as faixas de frequências liberadas por órgãos reguladores.
TABELA 01 – FAIXA DE FREQUÊNCIAS
Faixa Frequência
Nome
Exemplos de Dispositivos
900 KHz
Industrial, Scientific, Mechanical (ISM)
Telefones sem fio antigos
2.4 GHz
ISM
Telefones mais modernos e dispositivos Wi-
5 GHz
Unlicensed National Information
Telefones mais modernos e dispositivos Wi-
Infrastructures (U-NII)
Fi 802.11a, 802.11n
Fi 802.11, 802.11b, 802.11g
FONTE: FILLIPPETI, 2008, p77
O IEEE 802.11 define os padrões a serem utilizados para redes sem fio para
operar tanto em modo ad hoc como infraestrutura. O propósito é definir a
conectividade entre equipamentos que utilizam a tecnologia sem fio. Mais
especificamente também definem procedimentos e regras
para garantir
a
confiabilidade dos dados que trafegam no meio sem fio. O formato dos quadros MAC
criando convenções, a modulação necessário para o tráfego destes quadros e outros.
(IEEE 802.11, 2007).
As três modulações mais comuns são (FILLIPPETI, 2008):
− FHSS (Frequency Hopping Spread Spectrum) – utiliza as frequências
disponíveis. Evita desta forma a interferência por outros dispositivos
que utilizam a mesma frequência.
− DSSS (Direct Sequence Spread Spectrum) – projetada para operar na
faixa de frequência de 2.4 GHz a 2.4835 GHz, pode trabalhar em até 14
canais (dependendo da região). A tabela 02 mostra as regulamentações
para os países que implementam esta classe de codificação.
7
Agência Nacional de Telecomunicações.
13
TABELA 02 – DSSS CANAIS E FREQUÊNCIAS
FONTE: IEEE 802.11Q, 2007, p 566
No Brasil utilizamos o padrão da FCC (Federal Communications
Commission órgão regulamentador norte americano) com 11 canais.
Estes canais são parcialmente sobrepostos, mas 3 deles não se encontram
(1, 6, 11) e portanto podem ser utilizados em uma mesma WLAN.
− OFDM (Orthogonal Frequency Division Mutiplexing) – projetada para
operar em 5 GHz, permite velocidade de banda de até 54 Mb/s (IEEE
802.1Q, 2007). Podem também utilizar múltiplos canais.
Para configuração de um AP (tanto em modo BSS ou ESS) são necessários
alguns parâmetros para seu funcionamento (FILLIPPETI, 2008):
− Padrão IEEE (a, b, ou g);
− Configuração do canal (1 a 11);
− Configuração do SSID (Service Set Identifier) – é o identificador da
WLAN, formado por 32 caracteres da tabela ASCII. Para o modo ESS
todos os APs participantes devem ter o mesmo SSID.
Os métodos de segurança também devem ser implementados na configuração
de uma rede sem fio.
14
Estes métodos ou padrões estão em constante evolução conforme demanda.
Inicialmente o padrão WEP (Wired Equivalent Privacy) foi criado originalmente pelo
IEEE 802.11, um algoritmo de autenticação e criptográfico. Este método é fraco com
relação a criptografia e autenticação, podendo ser facilmente quebrado. O
comprimento da chave é de 40 ou 104 bits, com um método estático de troca de chaves
(PSK – Static Preshared Keys) facilitando assim seu descobrimento (FILLIPPETI,
2008).
Necessitava-se de um novo método de segurança que suprisse as falhas do
sistema WEP. O IEEE estava trabalhando no padrão 802.11i mas em função da
demora o grupo Wi-fi Alliance8 utilizou parte do que o IEEE já havia desenvolvido e
em cima disto criou o padrão WPA (Wi-fi Protected Access). Este novo padrão inclui a
troca dinâmica de chaves através do protocolo TKIP (Temporal Key Integrity
Protocol) também permite autenticação através de PSK (FILLIPPETI, 2008).
IEEE em 2004 implementou o padrão 802.11i, e no mesmo ano a nisto a Wi-fi
Alliance introduziu o WPA2. Com as mesmas características do WPA com a inclusão
do algoritmo de encriptação AES (Advanced Encryption Standard) onde chaves são
mais extensas com blocos 128 bits que permitem 3 tamanhos de chaves 12, 192 e 256
bits, o WPA2 / 802.11i utilizam uma chave de 128 bits. Oferecendo assim maior
segurança e confiabilidade (Wi-fi Alliance, 2005) dúvida em como referenciar.
2.3 SEGURANÇA
Com o crescente uso da Internet, o aumento de ataques às redes corporativas e
governamentais e a proliferação de vírus tem se intensificado. Apesar da evolução de
tecnologias e a maior conscientização sobre segurança da informação, muitas
empresas e órgãos ainda enfrentam problemas com segurança.
8
Um grupo criado em 1999 sem fins lucrativos com o intuito simplificar e padronizar redes
sem fio de alta velocidade, fonte - http://www.wi-fi.org/organization.php acessado em 05
mar 2011.
15
De acordo com a 10ª edição da pesquisa Nacional de Segurança da Informação
33% das companhias não sabem quantificar as perdas decorrentes de falhas na
segurança. A falta de planejamento na área de segurança em 35 % das empresas não
existe. O resultado é que as ações são dedicadas a resolver os problemas e corrigir
falhas (48%), quando encontrados (http://www.modulo.com.br/media, 2006).
A pesquisa ainda revela que 24% das falhas de segurança são causadas por
funcionários, 20% por hackers, problemas com vírus 15% e spam 10% e 8 % fraudes.
Futuramente tem-se um expectativa de aumento dos problemas relacionados a
segurança (77%), problemas com vírus 10 %, spam 15% vazamento de informações
7%
e
outros
7%
com
acesso
remoto
indevido
(invasão),
entre
outros
(http://www.modulo.com.br/media, 2006).
Na figura 05 é possível visualizar as maiores de incidências dos problemas
relacionados à segurança da informação.
FIGURA 05 – MAIORES RELACIONADOS A SEGURANÇA DE INFORMAÇÃO
FONTE - http://www.modulo.com.br/media/10a_pesquisa_nacional.pdf, p 07, Acessado em
08 mar 2011 (dúvida na referência, coloco o arquivo pdf? Ou deixo na referência bibliográfica)
Dentro deste cenário faz-se necessária a criação de regras e políticas de
segurança que visem minimizar os problemas enfrentados atualmente.
Duas ferramentas hoje disponíveis no mercado auxiliam na criação destas
regras e políticas o firewall iptables e o proxy squid.
16
2.3.1 Iptables
Primeiramente precisa-se explanar o conceito de firewall, segundo Neto
(2004) um firewall pode ser definido como:
Firewall é um programa que detém autonomia concedida pelo próprio
sistema para pré-determinar e disciplinar todo o tipo de tráfego existente
entre o mesmo e outros hosts/redes; salvo situações onde o Firewall é um
componente de soluções denominado “Firewall in-a-box”, onde neste caso,
trata-se não somente de um software e sim de um agrupamento de
componentes incluindo software e hardware, ambos projetados sob medida
para compor soluções de controle perante o tráfego de um host/rede. (NETO,
2004, p. 9-10).
Tem como objetivo impedir acessos e bloquear passagem de pacotes
indesejados.
A partir kernel9 2.4 do Linux foi introduzido o iptables. Ele é um firewall que
funciona ao nível de pacotes, baseando-se no endereço e porta, tanto de destino quanto
origem. Ele faz comparação de regras para avaliar se o pacote deve ou não passar.
Também pode ser utilizado para monitorar o tráfego na rede, NAT10, redirecionar e
marcar pacotes, entre outros (SILVA, 2007).
O iptables é modular, ou seja, novas funções podem ser agregadas. É
necessário um conhecimento básico de redes TCP/IP e roteamento, para entender e
implementar regras que serão responsáveis por assegurar o sistema. Do controle destas
regras dependerão a segurança do sistema (SILVA, 2007).
O subsistema para pacotes do kernel do Linux é o Netfilter, o iptables é um
conjunto de comandos para sua configuração. É um agrupamento de regras que
processam os pacotes da rede, consiste em combinações de cláusulas que determinam
o destino do pacote. O iptables atua na camada de rede do modelo OSI (PURDY,
2005).
Algumas características do iptables conforme Silva (2004):
9
Núcleo, faz todo o controle do hardware, é a interface entre os programas e o meio físico.
Network Address Translation – tradução de endereços, de origem e destino, faz com que 2
redes distintas conversem, geralmente a rede local com a Internet.
10
17
– Mecanismos
internos
para
rejeitar
pacotes
mal
formados
automaticamente;
– Redirecionamento de portas;
– Masquerading11;
– SNAT / DNAT (modificação dos endereços de origem e destino,
respectivamente);
– Suporta protocolos TCP, UDP e ICMP;
– Manipulação do proxy da rede;
– Detecta fragmentos;
– Limitação das passagens de pacote.
Purdy (2005) define cinco pontos chave no processamento das rotas, conforme
tabela abaixo:
TABELA 03 – PONTOS CHAVE
Ǧ
ǤǤǤ
ǤǤǤ×
FONTE: PURDY, p 8, 2005.
As chains (sequência ou cadeia de regras) determinam o destino dos pacotes, a
operação do firewall. Podem ser embutidas (OUTPUT, INPUT, FORWARD,
11
Mascaramento, faz com que a rede interna possa alcançar a rede externa com endereço
válido na Internet
18
PREROUTING, POSTROUTING), ou criadas pelo usuário. Elas representam os
pontos-chave dentro do fluxo do pacote (PURDY, 2005).
As tabelas são os locais para armazenar as regras e as chains. O iptables
contém 3 tabelas:
– NAT – responsável pela tradução de endereços e redirecionamento das
conexões, são baseadas nos endereços de origem e destino. Possui 3
chains embutidas: OUTPUT, PREROUTING e POSTROUTING;
– FILTER – estabelece as políticas para o tráfego dentro, através e fora da
rede (tabela padrão). Também possui 3 chains embutidas: FORWARD,
INPUT e OUTPUT;
– MANGLE – responsável por operações específicas nos pacotes,
modificação do tipo de serviço por exemplo. Chains embutidas:
FORWARD, INPUT, OUTPUT, PREROUTING e POSTROUTING.
As regras são critérios de combinações passados ao iptables para determinar a
ação desejada, quais os pacotes de rede a regra atingirá e quais serão afetados (se serão
bloqueados ou não). De acordo com a origem e destino (pode ser a interface, a porta,
etc.). O processamento é em ordem (top-down) (SILVA, 2007).
A tabela 04 mostra os subcomandos do iptables.
TABELA 04 – SUBCOMANDOS IPTABLES
FONTE: PURDY, p 29, 2005.
19
Os alvos definem a ação a ser tomada propriamente dita e também especifica a
regra da chain. A tabela 05 mostra os alvos embutidos e sua descrição.
TABELA 05 – ALVOS EMBUTIDOS DA CHAIN
FONTE: PURDY, p 13, 2005.
Purdy (2005) descreve algumas aplicações e técnicas de processamento:
– Rastreamento e estado de Conexão (connection tracking/state):
associação lógica das conexões as quais o pacote pertence, faz o
rastreamento e determina o estado destas conexões através de ciclos de
vida. São interpretações do módulo ip_conntrack. Especifica as regras
de acordo com o estado da conexão com as seguintes opções:
• ESTABLISHED – conexões estabelecidas;
• INVALID – nenhuma conexão rastreada;
• NEW – nova conexão;
• RELATED – nova conexão, porém associado a uma já existente;
– Accountig (contagem) – Automaticamente são contabilizados os pacotes
e bytes de cada regra, é possível assim verificar o tráfego na rede,
sabendo por quais regras o pacote passou (listando as regras através
com a opção iptables –L –v por exemplo);
– NAT (tradução dos endereços) – é a tradução ou mudança de portas e ou
endereços na de pacotes na rede. Executa diversas funções através da
manipulação dos endereços e portas de origem e destino;
20
– SNAT (tradução dos endereços de origem) – compartilhamento de uma
conexão com a Internet com a rede interna, modificando o endereço de
origem das máquinas na rede interna antes do envio do pacote para o
endereço do roteador. Utiliza a chain POSTROUTING. Um tipo
especial de SNAT é o mascaramento (masquerading) utilizado quando
o endereço do roteador é dinâmico.
– DNAT (tradução do endereço de destino) – modifica os endereços de
destino, da rede interna para a Internet. Faz com que o tráfego de
retorno volte para sua origem. Um método específico do DNAT é o
redirecionamento de portas, repassa as conexões de destino de uma
porta para outra no mesmo host. Um método de redirecionamento
muito utilizado é o de proxy transparente, redirecionando todo o tráfego
da Internet da porta 80 para a porta 3128 (porta específica do proxy
squid, assunto do próximo tópico) por exemplo;
– Balanceamento de Carga – com iptables é possível também fazer o
balanceamento de carga, é um refinamento da distribuição, utilizando
estatísticas de cargas das máquinas de destino. Distribuindo conexões
fazendo com que a saída total seja alta. Uma forma simples de
implementar é redirecionando portas, com a seleção no modo roundrobin (carga alternada) no endereço de destino.
2.3.2 Squid
O Squid é um proxy-cache que atua com os protocolos FTP, gopher e HTTP.
Com controle de acesso, autorização e autenticação, ainda suporta SSL e é
multiplataforma. Pode armazenar ainda cache de nomes DNS e realizar o proxi
transparente além de manter meta dados em memória RAM (BASTOS, 2005). Com
isto as consultas a sites que estejam armazenados neste servidor tornam a busca e
21
resposta mais rápidos, por não ser necessário buscar o conteúdo de uma determinada
consulta na rede mundial (Internet).
Por proporcionar todas estas ferramentas o Squid fornece um aumento no
desempenho, acesso e segurança da rede. É uma ferramenta de código aberto em
constante desenvolvimento. Funciona como um intermediário entre uma rede local e a
Internet por exemplo, uma rede externa.
O Squid utiliza para comunicação os protocolos TCP, para comunicação entre
servidores web e o cliente, e ICP para comunicação com servidores de cache. Apenas
uma porta é configurada para enviar requisições e ouvir as respostas (BASTOS, 2005).
A técnica de proxy transparente, mencionada acima, permite que, mesmo que
não haja uma configuração prévia no navegador, as requisições para Internet passem
pelo proxy. Isso é muito útil para evitar que os usuários utilizem outro meio de
comunicação com a Internet senão o proxy. Para que seja possível o funcionamento
um redirecionamento no firewall é necessário. Direcionar todas as requisições da rede
interna na porta 80 (padrão dos serviços www) para a porta 3128 (porta padrão do
Squid). Por exemplo:
# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT -to-port 3128
A autenticação padrão é feita por máquina, mas o Squid permite o controle
também por usuário e senha para liberar o acesso. Pode ser feita de várias maneiras,
NCSA é uma delas, já vem implementado com o Squid através do módulo ncsa_auth e
é simples de ser utilizada. O cadastro de usuários é feito através do utilitário htpasswd.
Para autenticação no proxy alguns parâmetros devem ser habilitados (PINHEIRO,
2006).
Outros métodos de autenticação podem ser implementados, para este trabalho
será utilizado o método de autenticação acima, sua implementação será apresentada na
seção seguinte.
Uma outra funcionalidade interessante que o Squid disponibiliza é o controle
de banda através do recurso delay pools. Por exemplo, se a banda disponível é pouca e
22
uma determinada área dentro de uma instituição necessita de um canal maior para uma
tarefa específica que utilizará um tráfego maior, através de delay pools é possível
determinar para este determinado grupo uma faixa de banda maior do link disponível
para realizar determinada tarefa.
A forma como o Squid controla os acessos e as demais configurações são
através de listas de acesso (ACL). Estas listas são a estrutura deste sistema. Através
delas são realizados bloqueio a sites, usuários, máquinas, etc. Esta parametrização se
dá através do tipo da ACL, abaixo os tipos mais comuns de ACLs (VISOLVE,2006):
– src: origem e destino de endereços IPs
• acl <nome > scr <endereço IP>/ <Máscara>;
– time: restrição de horário:
• acl <nome> time <dia da semana> <horário>
– url_regex: busca expressões regulares em uma URL:
• acl <nome> url_regex –i <expressão>
– port: portas de destino, acesso liberado ou restrito:
• acl <nome> port <num_da_porta>
– proxy_auth: autenticação, com um processo externo (ex: NSCA)
• acl <nome> proxy_auth <nome_do_usuário> ou REQUIRED
– method: conexão em portas seguras, métodos (CONECT, POST e GET)
• acl <nome> method <método>.
Os operadores de acesso são necessários para ativação das regras criadas
através das listas. O operador mais utilizado é o http_access, sua estruturação segue
abaixo, e este formato é praticamente o mesmo para outros operadores (PEARSON,
2006):
– http_access deny|allow [!]<nome_da_acl>
Pode-se permitir ou negar a regra criada, a utilização do “!” significa a
negação do conteúdo da regra.
23
3. METODOLOGIA
Relembro que o objetivo deste relato é a implantação de VLANs para a rede
sem fio da Universidade X com aplicação de algumas regras de acesso. Para que seja
possível alcançar este objetivo as seguintes atividades estão definidas na metodologia:
1. Revisão da literatura;
2. Situação atual na Universidade X;
3. Configuração das redes virtuais:
a) Switch Gerenciável Edge-Core ES3526YA;
b) Configuração do servidor DHCP12 e de roteamento;
c) Implementação de regras de acesso;
4. Testes.
12
endereços IP
Dynamic Host Configuration Protocol – protocolo que oferece configuração automática de
24
3.1 REVISÃO DA LITERATURA
A pesquisa foi realizada através de leituras de artigos, publicações e livros
referentes ao tema para o entendimento do assunto. O produto gerado nesta etapa foi é
apresentado na seção 2.
3.2 SITUAÇÃO DA UNIVERSIDADE X
Atualmente a Universidade X está em projeto de implantação em um outro
setor. Por se tratar de uma instituição pertencente ao Governo Federal as aquisições de
equipamentos são determinadas pela lei nº 8.666 de Junho de 1993 e pelo decreto 5450
(pregão eletrônico).
Uma unidade dentro da universidade é responsável por realizar estas compras.
Esta unidade está passando por um processo de reestruturação, padronizando os
equipamentos informáticos dentro da instituição.
Antigamente os equipamentos eram comprados de acordo com o que
determinada unidade requisitava, sem passar por avaliação da área de tecnologia da
informação (TI). Com isto diferentes tecnologias e plataformas fazem parte do parque
informático na Universidade.
Esta diversidade acaba gerando uma dificuldade na administração e gerencia.
Outro fator importante é que esta mesma unidade gerencia o tráfego da rede e
especifica a banda disponível para o setor em implantação. Os IPs fornecidos são reais,
apenas parte do parque informático está em uma rede privada.
Contrastando com isto o acesso a Internet tem poucas restrições, dificultando
ainda mais a administração dos recursos disponíveis. Alguns dispositivos da rede sem
fio estão com a proteção por chave de segurança e filtro de endereços de MAC e
outros somente com chave de segurança.
25
3.3 CONFIGURAÇÃO DO SWITCH EDGE-CORE ES3526YA
O Edge-Core é um Switch gerenciável de camada 2 com 24 portas 10BASET/100BASE-TX, conta ainda com duas portas Gbps para “empilhamento” de switches
e 2 portas 1000BASE-T integradas com 2 conectores SFP13.
A figura 06 mostra os painéis dianteiro e traseiro do equipamento
FIGURA 06 – PAINÉIS: DIANTEIRO / TRASEIRO SWITCH ES526YA
FONTE: MANUAL DE INSTALAÇÃO
Este switch suporta até 255 VLANs, tem suporte para tagged VLANs de
acordo com o IEEE 802.11Q. A figura 07 demonstra as diversas possibilidades para
implementação das redes virtuais.
FIGURA 07 – MODOS DE IMPLEMENTAÇÃO DE VLANs
FONTE: MANUAL DO SWITCH
13
Small
form-factor
telecomunicações e dados.
pluggable-
um
transmissor
para
aplicações
usado
tanto
para
26
A configuração do switch pode ser através da porta serial 9 pinos (DB-9),
através da configuração do IP para a VLAN padrão (1), acessando via web ou via
telnet.
O modo escolhido para configuração foi através da entrada serial DB-9 através
do software PuTTy (um cliente SSH) que possibilita o gerenciamento remoto através
de telnet, SSH (Secure Shell) e serial (figura 08 com as configurações do PuTTy para o
acesso serial).
FIGURA 08 – CONFIGURAÇÃO – PUTTY
Na sequência são apresentados os passos para configuração das VLANs:
1 – Configuração da VLAN (Configuração utilizada)
Console#conf
Console(config)#vlan database
Console(config-vlan)#vlan 2 name Vlan2 media ethernet state active
Console(config-vlan)#vlan 3 name Vlan3 media ethernet state active
Console(config-vlan)#vlan 4 name Vlan4 media ethernet state active
Console(config-vlan)#vlan 5 name Vlan5 media ethernet state active
Console(config-vlan)#end
27
2 – Configuração da Portas
Console#conf
Console(config)#int ethernet 1/1
Console(config-if)#switchport allowed vlan add 1 untagged
Console(config-if)#switchport native vlan 1
Console(config-if)#switchport allowed vlan add 2 tagged
Console(config-if)#switchport allowed vlan add 3 tagged
Console(config-if)#switchport allowed vlan add 4 tagged
Console(config-if)#switchport allowed vlan add 5 tagged
Console(config-if)#exit
Console(config)#int ethernet 1/2
Console(config-if)#switchport allowed vlan add 2 untagged
Console(config-if)#switchport native vlan 2
Console(config-if)#exit
Console(config)#int ethernet 1/2
Console(config-if)#switchport allowed vlan add 2 untagged
Console(config-if)#switchport native vlan 2
Console(config-if)#exit
Console(config)#int ethernet 1/3
Console(config-if)#switchport allowed vlan add 3 untagged
Console(config-if)#switchport native vlan 3
Console(config-if)#exit
Console(config)#int ethernet 1/4
Console(config-if)#switchport allowed vlan add 4 untagged
Console(config-if)#switchport native vlan 4
Console(config-if)#exit
Console(config)#int ethernet 1/5
Console(config-if)#switchport allowed vlan add 5 untagged
Console(config-if)#switchport native vlan 5
Console(config-if)#exit
A porta 1 do switch foi escolhida como porta de transporte dos pacotes. Como
se percebe na configuração os pacotes nesta porta para todas as Vlans são marcados
como tagged. Esta é a forma de se construir um link de transporte entre as respectivas
redes.
28
Para as portas 2 a 5 os pacotes são marcados como untagged e a vlan nativa é
alterada conforme a porta, esta é a forma para que o pacote possa trafegar em cada
rede.
A figura 09 mostra a configuração armazenada no switch.
FIGURA 09 – CONFIGURAÇÃO DO SWITCH
3.4 CONFIGURAÇÃO DO SERVIDOR DHCP E ROTEAMENTO
Abaixo
a
configuração
do
arquivo
dhcpd.conf
localizado
/etc/dhcp3/dhcpd.conf
#
# Sample configuration file for ISC dhcpd for Debian
#
# $Id: dhcpd.conf,v 1.1.1.1 2002/05/21 00:07:44 peloy Exp $
#
# The ddns-updates-style parameter controls whether or not the
server will
# attempt to do a DNS update when a lease is confirmed. We default
to the
# behavior of the version 2 packages ('none', since DHCP v2 didn't
# have support for DDNS.)
ddns-update-style none;
em
29
# option definitions common to all supported networks...
option domain-name "example.org";
option domain-name-servers ns1.example.org, ns2.example.org;
default-lease-time 600;
max-lease-time 7200;
# If this DHCP server is the official DHCP server for the local
# network, the authoritative directive should be uncommented.
#authoritative;
# Use this to send dhcp log messages to a different log file (you
also
# have to hack syslog.conf to complete the redirection).
log-facility local7;
# No service will be given on this subnet, but declaring it helps
the
# DHCP server to understand the network topology.
subnet 10.0.0.0 netmask 255.255.255.192 {
range 10.0.0.10 10.0.0.50;
option routers 10.0.0.1;
option domain-name-servers 200.17.236.29;
option broadcast-address 10.0.0.63;
}
subnet 20.0.0.0 netmask 255.255.255.192 {
range 20.0.0.10 20.0.0.50;
option routers 20.0.0.1;
option domain-name-servers 200.17.236.29;
option broadcast-address 20.0.0.63;
}
subnet 30.0.0.0 netmask 255.255.255.192 {
range 30.0.0.10 30.0.0.50;
option routers 30.0.0.1;
option domain-name-servers 200.17.236.29;
option broadcast-address 30.0.0.63;
}
subnet 40.0.0.0 netmask 255.255.255.192 {
range 40.0.0.10 40.0.0.50;
option routers 40.0.0.1;
option domain-name-servers 200.17.236.29;
option broadcast-address 40.0.0.63;
}
As interfaces que terão o serviço DHCP ativo devem ser especificadas no
arquivo /etc/default/dhcp3-server:
INTERFACES="eth0.2 eth0.3 eth0.4 eth0.5"
30
Para que o roteamento possa acontecer e os pacotes consigam trafegar deve ser
habilitado no roteador o encaminhamento de pacotes. Pode ser feito de 2 formas:
1 – inserindo 1 no arquivo ip_forward:
# echo 1 > /proc/sys/net/ipv4/ip_forward
2 – alterando o sysctl.conf:
#
vi
/etc/sysctl.conf,
removendo
o
comentário
na
linha
net.ipv4.ip_forward = 1
Configuração das Vlans no Debian através do pacote vconfig:
# vconfig add eth0 2
# vconfig add eth0 3
# vconfig add eth0 4
# vconfig add eth0 5
A configuração das interfaces de rede ficam configuradas da seguinte forma:
eth0
Link encap:Ethernet HWaddr 08:00:27:71:5f:46
inet6 addr: fe80::a00:27ff:fe71:5f46/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:94268 errors:0 dropped:0 overruns:0 frame:0
TX packets:35208 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:25460397 (24.2 MiB) TX bytes:32289247 (30.7 MiB)
eth1
Link encap:Ethernet HWaddr 08:00:27:b5:b1:d7
inet addr:200.17.236.40 Bcast:200.17.236.255
Mask:255.255.255.0
inet6 addr: fe80::a00:27ff:feb5:b1d7/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1182614 errors:0 dropped:0 overruns:0 frame:0
TX packets:48213 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:143222796 (136.5 MiB) TX bytes:7320394 (6.9 MiB)
eth0.2
Link encap:Ethernet HWaddr 08:00:27:71:5f:46
inet addr:10.0.0.1 Bcast:10.0.0.63 Mask:255.255.255.192
inet6 addr: fe80::a00:27ff:fe71:5f46/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:77428 errors:0 dropped:0 overruns:0 frame:0
TX packets:18165 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:21791122 (20.7 MiB) TX bytes:17146868 (16.3 MiB)
31
eth0.3
Link encap:Ethernet HWaddr 08:00:27:71:5f:46
inet addr:20.0.0.1 Bcast:20.0.0.63 Mask:255.255.255.192
inet6 addr: fe80::a00:27ff:fe71:5f46/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:801 errors:0 dropped:0 overruns:0 frame:0
TX packets:681 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:40050 (39.1 KiB) TX bytes:43844 (42.8 KiB)
eth0.4
Link encap:Ethernet HWaddr 08:00:27:71:5f:46
inet addr:30.0.0.1 Bcast:30.0.0.63 Mask:255.255.255.192
inet6 addr: fe80::a00:27ff:fe71:5f46/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:801 errors:0 dropped:0 overruns:0 frame:0
TX packets:681 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:40050 (39.1 KiB) TX bytes:43844 (42.8 KiB)
eth0.5
Link encap:Ethernet HWaddr 08:00:27:71:5f:46
inet addr:40.0.0.1 Bcast:40.0.0.63 Mask:255.255.255.192
inet6 addr: fe80::a00:27ff:fe71:5f46/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:14423 errors:0 dropped:0 overruns:0 frame:0
TX packets:15631 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2228351 (2.1 MiB) TX bytes:15046717 (14.3 MiB)
lo
Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:136 errors:0 dropped:0 overruns:0 frame:0
TX packets:136 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:10320 (10.0 KiB) TX bytes:10320 (10.0 KiB)
3.5 IMPLEMENTAÇÃO DE REGRAS DE ACESSO
Abaixo as regras de configuração de acessos no iptables :
#!/bin/bash
####
CONFIGURAÇES DO IPTABLES FIREWALL
# REDIRECIONAMENTO LIGADO (Forwarding ON) #
echo 1 > /proc/sys/net/ipv4/ip_forward
# CARREGANDO MODULOS #
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
####
32
modprobe ip_tables
modprobe iptable_nat
modprobe ip_conntrack
# LIMPANDO (FLUSH)
iptables -t nat -F
iptables -t nat -F
iptables -t nat -F
iptables -t mangle
iptables -F
# DEFININDO
iptables -P
iptables -P
iptables -P
POSTROUTING
PREROUTING
OUTPUT
-F
POLITICAS PADROES
INPUT
DROP
FORWARD DROP
OUTPUT ACCEPT
# LIBERAR O TRAFEGO DE REDE PARA O ROTEADOR
iptables -A INPUT -i lo -j ACCEPT
#Estabilizando Conexoes
iptables -A INPUT
-m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A FORWARD -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A FORWARD -m unclean -j DROP
#roteamento
iptables -A
iptables -A
iptables -A
iptables -A
entre as vlans para sair
FORWARD -i eth0.2 -o eth1
FORWARD -i eth0.3 -o eth1
FORWARD -i eth0.4 -o eth1
FORWARD -i eth0.5 -o eth1
#Sai apenas
iptables -A
-j ACCEPT
iptables -A
-j ACCEPT
iptables -A
-j ACCEPT
iptables -A
-j ACCEPT
pelo proxy no servidor
INPUT -s 10.0.0.0/26 -p tcp -d 10.0.0.1/26 --dport 3128
ACCEPT
ACCEPT
ACCEPT
ACCEPT
INPUT -s 20.0.0.0/26 -p tcp -d 20.0.0.1/26 --dport 3128
INPUT -s 30.0.0.0/26 -p tcp -d 30.0.0.1/26 --dport 3128
INPUT -s 40.0.0.0/26 -p tcp -d 40.0.0.1/26 --dport 3128
#Gerando os Logs
iptables -A INPUT
"INPUT_LOG: "
iptables -A INPUT
"INPUT_LOG: "
iptables -A INPUT
"INPUT_LOG: "
iptables -A INPUT
"INPUT_LOG: "
iptables -A FORWARD
"FORWARD_LOG: "
#FIM!!!
-j
-j
-j
-j
-s 40.0.0.0/26 -j LOG --log-level 4 --log-prefix
-s 30.0.0.0/26 -j LOG --log-level 4 --log-prefix
-s 20.0.0.0/26 -j LOG --log-level 4 --log-prefix
-s 10.0.0.0/26 -j LOG --log-level 4 --log-prefix
-i eth0.4 -j LOG --log-level 4 --log-prefix
33
echo -e
' Firewall \t\t \E[32m[
OK '
]; tput sgr0 #
Estas regras definem basicamente o acesso a rede mundial, a maneira como a
rede interna acessará a internet através do responsável pelo roteamento de cada rede.
Regras de registros de nível 4, registra os pacotes com status de aviso, também foram
criadas para a sequência INPUT e FORWARD.
Para o acesso no navegador da internet as regras principais do squid foram
implementadas da seguinte forma:
auth_param basic program /usr/lib/squid3/ncsa_auth
/etc/squid3/passwd
auth_param basic children 5
auth_param basic realm SQUID - Digite seu usuario
auth_param basic credentialsttl 2 hours
#Recommended minimum configuration:
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
#
#REDES DA VLAN
acl localnet1 src 10.0.0.0/26
# RFC1918 possible internal network
acl localnet2 src 20.0.0.0/26
# RFC1918 possible internal network
acl localnet3 src 30.0.0.0/26
# RFC1918 possible internal network
acl localnet src 40.0.0.0/26
#Usuários
acl usuarios proxy_auth REQUIRED
acl gti proxy_auth -i "/etc/squid3/gti" REQUIRED
#downloads proibidos
acl download url_regex -i .exe$ .mp3$ .tar.gz$ .gz$ .zip$ .rar$
.avi$ .mpeg$ .mpg$ .qt$ .ram$ .rm$ .iso$ .raw$ .wav$
#acessos restritos
acl sites_bloqueados url_regex -i "/etc/squid3/sites_bloqueados"
acl palavras_bloqueadas url_regex -i
"/etc/squid3/palavras_bloqueadas"
#
acl
acl
acl
acl
acl
acl
acl
acl
acl
SSL_ports port 443
Safe_ports port 80
Safe_ports port 21
Safe_ports port 443
Safe_ports port 70
Safe_ports port 210
Safe_ports port 1025-65535
Safe_ports port 280
Safe_ports port 488
#
#
#
#
#
#
#
#
http
ftp
https
gopher
wais
unregistered ports
http-mgmt
gss-http
34
acl Safe_ports port 591
acl Safe_ports port 777
acl CONNECT method CONNECT
# filemaker
# multiling http
#Recommended minimum configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
#
# from where browsing should be allowed
http_access allow gti
http_access deny download
http_access deny palavras_bloqueadas
http_access deny sites_bloqueados
http_access allow usuarios
http_access allow localnet
http_access allow localnet1
http_access allow localnet2
http_access allow localnet3
http_access allow localhost
Definindo o método de autenticação e o modo de acesso as redes e conteúdos,
restringindo inclusive o download.
Os arquivos contendo palavras bloqueadas e sites bloqueados:
Palavras_bloqueadas:
sexo
suruba
hardcore
ninfeta
jogo
game
Sites_bloqueados:
.playboy.com.
.sexy.com.
.youtube.com
.facebook.com.
.orkut.com.
.twitter.com
35
3.6 TESTES
Para validação das regras implementadas foram realizados testes de acesso e
comunicação entre as redes. Ferramentas comuns como os comandos ping, que utiliza
o protocolo ICMP e é responsável por testar a conexão até a camada de rede,
traceroute que mostra a rota possível que um pacote pode percorrer foram utilizadas.
As figuras 10 e 11 mostram que as tentativas de acesso ao gateway da rede são
impedidas, mas a sua rede não, validando as regras de acesso.
FIGURA 10 - TRACEROUTE
FIGURA 11 - PING
36
Após validado o acesso inter redes, o próximo passo foi o teste com a internet,
conforme a subseção 3.5. A configuração do Squid valida um usuário limitado com
acesso restrito.
Para isso cada rede deve configurar o servidor proxy em seu navegador.
Validando a saída da rede interna para externa apenas pela porta 3128 de cada
gateway, conforme figura 12 abaixo (no exemplo o navegador Firefox foi utilizado).
FIGURA 12 – CONFIGURAÇÃO DO SERVIDOR PROXY
Será solicitado um usuário e senha para autenticar o acesso para que a
navegação possa ocorrer, a figura 13 mostra esta solicitação.
FIGURA 13 – SOLICITAÇÃO DE AUTENTICAÇÃO
37
Após autenticado o usuário, as regras passam a vigorar, como demonstrado na
subseção 3.5. As restrições de acesso para o usuário limitado são validadas.
FIGURA 14 – ACESSO NEGADO – PALAVRA BLOQUEADA
A figura 14 acima mostra a restrição quando a palavra restrita “sexo” foi
solicitada.
O acesso a sites também é controlado, a figura 15 mostra o acesso negado para
uma consulta a um site bloqueado pela regra.
FIGURA 15 – ACESSO NEGADO – SITE BLOQUEADO
38
Os acessos a downloads também foram restritos para o usuário limitado
validando a regra para restringir download de determinadas extensões. A figura 16
exibe a mensagem de erro ao se tentar baixar um arquivo com restrição de extensão.
FIGURA 16 – RESTRIÇÃO DE DOWNLOAD POR EXTENSÃO
Como se pode verificar o usuário tentou realizar um download de um arquivo
com extensão .exe, que conforme a regra apresentada na subseção 3.5 é restrito.
39
4. RESULTADOS
A implementação das redes virtuais na Universidade X permitirá o isolamento
das redes sem fio. Desta forma a cada dispositivo wireless gera seu próprio domínio de
broadcast conseguindo desta forma uma melhora no desempenho da rede. Aliado a
utilização do Squid e do firewall Iptables, com restrição ao acesso a determinados
downloads e acesso a alguns sites de conteúdo duvidoso.
Obtém-se rá ainda um aumento na segurança da instituição como um todo.
Conforme acima mencionado, o isolamento da rede por VLANS, em caso de uma
infecção por vírus ou algum programa malicioso afetará apenas o segmento atacado,
não propagando para outros setores dentro da instituição.
Isto ainda será minimizado com a introdução das regras de acesso
implementadas no proxy Squid em conjunto com as regras do Iptables, reduzindo
assim os ataques e infecções. Contribuindo também no processo de desinfecção e / ou
correção de possíveis falhas de segurança em segmentos menores.
O fato de contribuir na verificação não solucionará o problema totalmente,
pois o número de hosts que se conecta a cada dispositivo dentro da Universidade é
muito grande. O mesmo host pode se conectar a outro segmento e propagar o
problema caso não seja identificado a tempo.
Efetivamente o resultado será positivo, antigamente o acesso a estas redes era
liberado sem nenhum controle ou restrição. Os recursos oferecidos aos alunos da
instituição são os de pesquisa para aprimoramento do conhecimento. Haverá um ganho
da disponibilização de serviços da rede mundial específicos para este fim.
Os testes realizados demonstraram a eficiência e a validade da implementação
deste sistema, como um mecanismo que auxilie na utilização da rede.
40
5. CONCLUSÃO
Este projeto teve como objetivo principal implementar as VLANS e
juntamente com algumas regras de acesso para a Universidade X. Restringindo o
acesso a conteúdos duvidosos e reduzindo os domínios de broadcast. Com isso
aumentando a disponibilidade da rede e diminuindo a incidência de possíveis ataques.
Os resultados obtidos com os testes realizados, com os cenários gerados na
subseção 3.6 demonstraram a eficiência deste sistema de redes virtuais, confirmando
sua necessidade no ambiente encontrado na Universidade X.
Sua total implementação não foi definida, há um projeto em andamento para
restruturação da rede, solicitado pelo setor principal da Universidade. Neste projeto a
rede sofrerá grande alteração.
Para trabalhos futuros sugere-se:
– Um controle de acesso mais específico, para cada aluno ter seu próprio
acesso, atrelado a um usuário padrão na rede da Universidade;
– Controle de banda, para determinadas redes a largura de banda
disponível pode ser aumentada, em função de tarefas específicas que
necessitem de uma disponibilidade com menor tempo na rede;
– A utilização de ferramentas de rastreamento, para determinar possíveis
ameaças em máquinas de alunos dentro do campus.
41
REFERÊNCIAS
BASTOS, Eri Ramos. Configurando um Squid “Ninja”. LinuxMan, 2005.
Disponível em: http://www.linuxman.pro.br/squid/squid-ninja.pdf. Acesso em:
20 abr 2011.
CISCO SYSTEM INC. Programa da Cisco Networking Academy. CCNA3:
Conceitos Básicos de Switching e Roteamento Intermediário v3.1, 2003.
FILLIPPETI, Marco Aurélio, CCNA 4.1 Guia Completo de Estudo.
Florianópolis: Visual Books, 2008.
IEEE STANDARDS ASSOCIATION. IEEE Standards for Local and
Metropolitan Area Networks, 2007. Disponível em:
http://standards.ieee.org/getieee802/download/802.11-2007.pdf. Acesso em:
06 mar 2011.
MODULO. 10ª PESQUISA NACIONAL DE SEGURANÇA DA
INFORMAÇÃO, 2006. Disponível em:
http://www.modulo.com.br/media/10a_pesquisa_nacional.pdf. Acesso em: 08
mar 2011.
PEARSON, Oskar. Access Control and Access Control Operators. Squid
User’s Guide., África do Sul, 2006. Disponível em:
http://www.deckle.co.za/squid-usersguide/Access_Control_and_Access_Control_Operators#Access_Classes_and_
Operators. Acesso em: 20 abr 2011.
PINHEIRO, Antonio Claudio Sales. Uso e configuração do Squid – Parte 1.
Squid-cache.org.br A casa Brasileira do Squid, 2006. Disponível em:
http://www.squidcache.org.br/index.php?option=com_content&task=view&id=81&Itemid=27.
Acesso em: 20 abr 2011.
PURDY, Gregor N., Linux iptables Guia de Bolso. Rio de Janeiro: Alta
Books, 2005.
TANENBAUM, Andrew S., Redes de Computadores.4 ed.: Campus, 2003.
VISOLVE OPEN SOURCE SOLUTIONS. Squid 2.4 Configuration Manual,
2002. Disponível em:
http://www.visolve.com/squid/squid24s1/access_controls.php. Acesso em: 20
abr 2011.
42
WI-FI ALLIANCE, Deploying Wi-Fi Protected Access (WPA™) and WPA2™
in the Enterprise. Disponível em: http://www.wi-fi.org/files/wp_9_WPAWPA2%20Implementation_2-27-05.pdf . Acesso em: 06 mar. 2011.
Download
