JOÃO CARLOS DE LIMA Minha contribuição para este artigo foi efetuar a análise estrutural atual e documentála. Isto incluiu a estrutura física, tipos e modelos de equipamentos, configurações de roteadores e servidores. No entanto, toda esta análise foi baseada em idéias e contribuições do grupo que trabalhou em conjunto em cima da estrutura, buscando o máximo de detalhes e informações sobre seu atual estado. Após a contextualização e busca de informações sobre a estrutura, foi elaborado em conjunto todos os métodos de desenvolvimento, bem como a reestruturação física (hardware), através de novos equipamentos e de software, utilizando novas soluções baseadas em plataformas e opções livres. A conclusão elaborada foi baseada na experiência contribuída pela equipe, cada integrante prescreveu seu parecer final onde, no fim, através de todas as idéias e experiências adquiridas, transcrevemos o mesmo em apenas um único documento, concluindo assim o artigo que se segue abaixo. Reestruturação física de uma rede sem fio aberta e implementação de um servidor para controle, análise e autenticação. Emerson Schafhauser, João Carlos de Lima, Rodrigo José Petreça Curso de Especialização em Redes e Segurança de Sistemas Pontifícia Universidade Católica do Paraná Curitiba, 13 de Março de 2010 Resumo O objetivo deste artigo é propor uma nova estrutura de redes sem fio para Fundação Universidade do Contestado – FunC – Campus Universitário de Mafra/Rio Negrinho. A atual estrutura encontra-se com sérios problemas de instabilidade, perda de sinal e alto tráfego de dados, devido ao equipamento utilizado a as configurações atribuídas ao mesmo. Em seguida, após analisar e documentar a estrutura atual será proposta uma nova estrutura física (hardwares) e de software (utilizando a arquitetura livre como o Linux). Baseando-se na estrutura Linux como servidor de autenticação e controle da rede sem fio, atribuindo ao administrador um completo controle e análise de todas as conexões. Palavras chave: Wireless, Redes, Reestruturação, Linux, Servidores. 1 Introdução A idéia inicial do artigo baseia-se em um estudo de caso utilizando-se de uma estrutura real onde a equipe do projeto atualmente é colaboradora, esta estrutura de redes sem fio se encontra atualmente na Fundação Universidade do Contestado – FunC. Após um contínuo crescimento da estrutura acadêmica ouve a necessidade de atribuir o serviço de internet sem fio a Fundação. Para agilizar o processo estrutural da rede sem fio, foram adquiridos e implantados equipamentos baseados em estrutura AD-HOC, ou seja, estruturas utilizadas em home Office. Para os primeiros anos a estrutura suportou as diversas conexões simultâneas de acadêmicos e colaboradores. No entanto, conforme a estrutura da fundação cresceu, surgiram diversos problemas de instabilidade e contínuas quedas de conexão em terminais de acadêmicos. Baseado neste problema a equipe técnica (GTI – Grupo de Tecnologia da Informação), que forma a equipe de desenvolvimento deste artigo, atribuiu como principal objetivo analisar a atual estrutura e fornecer uma opção de baixo custo e com softwares baseados em arquiteturas Linux (livre) para melhorar e atribuir métodos de gerenciamento que facilitem a nível administrativo o monitoramento, autenticação e segurança para a rede sem fio da Fundação Universidade do Contestado. 2 Estrutura Atual A atual estrutura física da Fundação Universidade do Contestado – Campus Mafra possui nove prédios distintos divididos nas categorias abaixo: • Blocos A, B, C, D, E, F, G; • Ginásio de Esportes; • Colégio Mafrense; A velocidade da internet distribuída pelo sinal wireless dentro do campo é proveniente de um link de 1,5 MB via fibra ótica da Brasil Telecom. Dentro da planta da instituição, representada abaixo, na figura 1, estão distribuídas onze antenas que são responsáveis pela distribuição deste sinal. Os aparelhos utilizados para a distribuição do sinal são: • Roteador wireless D-Link WBR-2310; • Roteador wireless D-Link DI624; • Antenas Omni de 12 e 15 DBI; Devido à alta demanda de conexões no bloco F, foram instaladas duas antenas de 15 DBI e uma antena de 12 DBI neste bloco, e em todos os demais são antenas de 12 DBI. 2.1 Estrutura Lógica Para que ocorra a navegação, todos os equipamentos estão configurados para atuarem como roteador wireless e não como “Access Point”. Para que ocorra a conectividade e a navegação, há um servidor DHCP que distribui endereços IP para cada um dos roteadores baseado no endereço MAC das interfaces de rede dos mesmos. Além do IP obtido do servidor DCHP cada roteador possui ainda um IP fixo pertencente à outra máscara de rede, este IP irá atuar como “gateway” nas conexões dos clientes. Cada roteador está configurado para prover endereços IP dinâmicos através do serviço DHCP e cada um está configurado para distribuir em média 30 endereços “IP” de acordo com a faixa de endereços configurada localmente. Como essa distribuição de endereços aos clientes fica sob responsabilidade do roteador, e esses modelos não oferecem suporte a um número elevado de conexões e requisições isso acaba gerando um processamento elevado por parte do roteador, vindo, por muitas vezes causar o travamento do mesmo e com isso a interrupção do serviço. Dentro da configuração dos roteadores, cada um está configurado para trabalhar em um canal diferente dos demais para que não ocorra interferência/concorrência entre eles. Para finalizar a configuração, cada roteador possui um “SSID” distinto para facilitar a identificação e a localização do mesmo, tanto aos usuários da rede wireless como a equipe técnica. Toda manutenção da configuração dos roteadores, bem como, análise de conexões são realizadas via “browser”. 2.2 Análise do Tráfego Por meio da interface web de administração dos roteadores foi possível, por meio de análise, identificar que o horário de pico de utilização dos equipamentos se dá a partir das 19:00 horas e se estende até aproximadamente 22:30 horas. Dentro desse intervalo de tempo, obteve-se um número em torno de 150 a 200 conexões simultâneas. Por meio da interface de administração também foi possível constatar que os blocos que geraram uma maior demanda e o maior número de conexões fora: • Bloco F; • Bloco G; • Biblioteca; • Bloco A; • Demais blocos; O fato dos blocos F e G se mostrarem como os que mais geraram demanda de conexões devese ao fato dos mesmos serem os blocos que apresentam apresentam o maior número de salas de aula e, conseqüentemente o maior número de alunos. A biblioteca e o bloco A vem em seguida, pois são as áreas que depois dos blocos F e G, também possuem um elevado número de acessos, a biblioteca por ser uma área comum à todos os os alunos e utilizada para pesquisas e o bloco A por ser a área que concentra os laboratórios de Informática onde se encontram os cursos da área de Tecnologia da Informação, onde pode-se se notar uma elevada ocorrência de notebooks. 2.3 Mapa da Atual Estrutura O mapa da Figura 1, a seguir, apresenta a estrutura física e a distribuição dos roteadores Wireless conectados a antenas Omni variantes de 12 a 15 dbi. Figura 1: Mapa da atual estrutura Wireless da Fundação Universidade do Contestado Contes Distribuídos de forma estratégica através dos blocos, salas de aula e outras áreas, o Campus Universitário conta com onze Roteadores Wireless baseados em arquitetura Home/Office. (AD-HOC) 3 Proposta para nova estrutura Após análise documentada da atual estrutura sem fio, abaixo, apresentam-se apresentam todas as ferramentas, métodos, estrutura e novos equipamentos a serem utilizados para implantar a nova estrutura. 3.1 Squid O Squid é um dos proxyes mais utilizandos para Linux hoje na internet. Trata-se de um programa simples, confiável e robusto. É um programa que se tornou obrigatório para qualquer servidor proxy de pequena ou grande empresa que deseja controlar ou melhorar a performance de sua conexão. Um proxy é um servidor HTTP com características especiais de filtragem de pacotes que tipicamente são executados em uma máquina firewall. O proxy aguarda por uma requisição de dentro do firewall, e a repassa para um servidor remoto do outro lado do firewall, recebe a resposta e a envia de volta a uma estação cliente. Figura 2: Funcionamento do Proxy 3.2 ACL's Umas das características mais interessantes do proxy é a restrição de acesso a sites não autorizados. Isto inibe aos usuários o acesso a sites pornôs, jogos, comunidades de relacionamento pessoal, comunicadores instantâneos, entre outros. Para isso utiliza-se as ACLs que possuem outros recursos, como regular acesso por autenticação, hora e data. A estrutura uma ACL é simples: acl "NOME" "TIPO" "ARQUIVO" Exemplo 1: acl porno url_regex "/etc/squid/off/porn" Onde: NOME: é nome que será utilizado para identificar a ACL. TIPO: indica qual é o tipo de leitura que será feito pela regra. Existem vários tipo como: src, dst, srcdomain, dstdomain, srcdom_regex, dstdom_regex, time, url_regex, urpath_regex, port, proto, method, browser, ident, iden_regex, src_as, dst_as, proxy_auth, snmp_community, maxconn entre outros. Cada um com uma função e deve ser utilizando para situações específicas. No caso acima foi utilizado o "url_regex" que percorre toda a url à procura da expressão que foi especificada. Então digamos que no arquivo "porn" estivesse a palavra, "bumbum", quando o usuário estivesse navegando na internet, o proxy iria procurar em toda url a palavra para bloqueá-la. 3.3. IPTABLES Desde as primeiras versões do kernel (1.x) o Linux tem implementado a filtragem de pacotes. Alan Cox, em 1994 implementou de forma nativa para o mesmo. O firewall é responsável por filtrar todo o tráfego que chega e sai do host firewall e da rede que o mesmo isola. Quando isso acontece uma análise de regras que são inseridas pelo administrador, acontece. Assim, liberando ou bloqueando pacotes, portas ou palavras, de acordo com a configuração realizada. Analisando Headers é a forma como o firewall filtra os pacotes, isso ocorre enquanto os mesmo trafegam. E mediante a essa análise, pode-se ver o fruto da filtragem de pacotes, onde as regras podem deixar um pacote trafegar livremente ou simplesmente parar sua trajetória. Essa é a forma mais eficaz de aplicar um firewall por iptables, não fazer isso é como deixar as portas abertas da sua rede para qualquer pacote confiável ou não trafegar. Mas, porque implementar um firewall na sua rede? Existem três argumento que podem responder essa pergunta: Controle, Segurança e Vigilância. Para uma rede ser segura é necessário que tenha os três argumentos. 3.4 TIPOS DE FIREWALL Dentro da classe de firewall encontramos alguns tipo que trabalham de forma diferente na proteção da rede, abaixo será explicado um pouco sobre cada um deles. 3.4.1 FIREWALL NAT O Firewall da classe NAT tem como principal objetivo manipular a rota dos pacotes que atravessam o host firewall, aplicando-lhes a tradução de endereçamento. Isso agrega diversas funcionalidades como, manipular endereço SNAT e destino DNAT dos pacotes, realizar MASQUERADING sobre conexões PPP entre outras potencialidades. O Firewall NAT abre um amplo leque de possibilidades, e seus conceitos vão além da mera filtragem de pacotes, entrando em aspectos mais peculiares que envolvem roteamento de redes. Um Firewall NAT pode tomar o lugar de um proxy de uma forma simples e eficiente. Ele não é tão rápido como um proxy devido ao cache que o proxy utiliza porém, consegue manter a rede segura. 3.4.2 FIREWALL HÍBRIDO O Firewall híbrido agrega funções de filtragem de ambas às classes, deixando de ser uma classe isolada. Na "prática" pode-se observar que as finalidades de um firewall vão além de uma simples ferramenta de segurança de redes. Com o passar do tempo novas funções lhe foram agregadas dessa forma diferenciando o mesmo do projeto original. Essa "evolução" trouxe outras necessidades, que seria para subdividi-lo em classes, pois, através delas se tornaram possíveis um melhor entendimento de suas possíveis aplicações. 3.4.3 FIREWALL EM IPTABLES O iptables trata-se de uma ferramenta front-end que permite manipular a tabela Netfilter, e é comumente confundido com um Firewall por si só. É uma versão estável, robusta e completa tanto quanto seus antecessores IPFWADM e IPCHAINS. Rusty Russell, criador do IPTABLES, também participou do desenvolvimento do Netfilter colaborando com Michel Neuling e incorporando o mesmo à versão 2.4 do kernel em 1999 fazendo assim parte da 4ª geração de firewalls no Linux. O IPTABLES traz algumas características que são um diferencial. Além de realizar tarefas rapidamente de uma forma segura e eficaz, é gratuito e tem um requerimento de hardware baixo. Pode-se implementar um filtro utilizando a tabela Filter e NAT e também outros controles mais avançados como desenvolvimento de QOS sobre tráfego. Redirecionamento de endereçamento e portas, mascaramento de conexões, detecção de fragmentos, monitoramento de tráfego, TOS, bloqueio a ataques Spoofing, Sy-Flood, DOS, scanners ocultos, ping da morte entre muitos outros são proteções que podemos implementar. Dentro da sintaxe do IPTABLES pode-se criar um script de várias formas, onde utilizam-se tabelas, comandos, ações e alvos conforme exemplo 2. iptables –t nat –A PREROUTING –i eth1 –j DNAT 10.1.1.1 Explicando: Iptables –t nat : Insere uma regra utilizando a tabela nat. -A: Anexa uma nova entrada no final da lista de regras. PREROUTING: O prerouting faz parte da tabela nat e utiliza-se quando há necessidade de fazer alterações em pacotes antes que os mesmos sejam roteados. -i eth1: -i especifica a interface de entrada que será utilizada. Um firewall possui mais de uma interface, e esta regra acaba sendo muito importante para distinguir a que interface o filtro será aplicado, no caso eth1. -j: define o alvo do pacote caso o mesmo se encaixe a uma regra. As opções mais utilizadas em conjunto com o - j são: ACCEPT, DROP, REJECT e LOG. DNAT: altera o endereço de destino das máquinas clientes. 10.1.1.1: destino dos pacotes. Conforme o exemplo (2) todos os pacotes oriundos de qualquer rede que penetrarem no firewall pela interface eth1 serão redirecionados para o ip 10.1.1.1. 3.5 DHCP (Dynamic Host Configuration Protocol) Conforme o nome implica o dhcp configura hosts para conexão com sua rede. Através dele, é possível configurar parâmetros TCP/IP de cada host, quando se conecta a rede tendo acesso administrativo. Esses parâmetros incluem a distribuição automática de IP para um endereço Mac previamente destinado ou de forma aleatória. O dhcp fornece parâmetros da rede, mantendo informações de identificação para cada cliente que conectar-se a rede. As informações destinadas mais comuns são: - Endereço de sub-rede/host da rede – Hosts utilizam para se conectar a rede sem restrições. - Sub-rede/nome de host – Permite que o host determinado conecte com a sub rede. - Endereço de sub-rede/hardware – Permite a um cliente determinado conectar a rede, somente após obter o nome do host via DHCP. Com o DHCP podemos alocar por períodos temporários ou permanentes um IP. As atribuições temporárias conhecidas como leasing (empréstimo), podem ser entendidas ou renunciadas. Para um host que esteja conectado permanentemente. Utilizar o DHCP no servidor garante algumas vantagens para a rede. Primeiro ele tira a responsabilidade do administrador de distribuir manualmente os endereços IP, assim também diminuindo o risco de erro humano. Em segundo faz um melhor uso dos endereços IP que são limitados e é vantagem para o usuário, que não precisa definir manualmente endereços na sua máquina. 3.6. DNS (Domain Name System) Um sistema de computador ajuda a identificar uma máquina na rede através de IP, mas não ajuda uma pessoa a fazer a identificação. O DNS um sistema de nome de domínio é usado universalmente na internet auxiliando na identificação dos hosts através de nomes. Os nomes de host, como www.pucpr.br, são apenas uma forma de identificação através de nome para os usuários, porém esses nomes devem ser convertidos em IP, esse processo leva o nome de resolução de nome. O DNS é fundamental para várias operações de rede, especialmente para fornecer conexão ao mundo exterior pela internet. Foi projetado para tornar a atribuição e transformação de nomes consistente e portável para os recursos da rede. É um sistema simples e facilmente mal configurado onde erros na resolução de nomes podem aparecer de uma forma complexa, bem depois de pequenas alterações, tais erros podem levar a grandes embaraços no serviço. Normalmente, apenas administradores de sistema ou da rede precisam se preocupar com a configuração do DNS. No caso do servidor Wireless proposto, criamos um cachê do DNS local para que a pesquisa de nomes seja mais rápida e evite erros desnecessários. 3.7 WEBMIM O Webmim é uma ferramenta gráfica para gerencia de sistemas, foi desenvolvido por Jamie Cameron, na linguagem Perl. A ferramenta tem como objetivo oferecer aos administradores de redes e sistemas uma forma interativa e gráfica para gerencia de um ambiente de TI. Pose-se realizar uma tarefa simples como criar uma conta de usuário ou algo complexo como habilitar acesso remoto. Existem outras ferramentas para gerenciar um sistema ou um serviço em modo gráfico, porém o Webmim tem várias vantagens, e uma delas é a mesclar vários tipos de serviço ou aplicações em apenas uma interface, assim proporcionando uma forma mais organizada e interativa para o usuário. A aplicação utiliza o navegador como método para demonstrar sua interface, sendo assim, muito navegadores são compatíveis com a aplicação, tendo dessa forma um desempenho satisfatório. Através do Webmim podemos administrar e configurar vários serviços de hardware, rede e sistema tais como: - hardware: grub, raid, impressoras. - Rede: nfs, adsl, kerberus. - Serviços: apache, ssh, squid, dhcp, mysql, samba, qmail etc. - Sistema: cron, idap, senha de usuários e grupos, quotas do distro, entre outros. Alem de possuir uma interface simples, é uma excelente ferramenta para gerenciar sistemas, é gratuita fazendo assim jus a sua fama. 4.0 Nova Estrutura Analisando a estrutura atual, onde não existe um cabeamento estruturado, uma divisão correta de redes, nem equipamentos adequados, propomos: 4.1 PROXY Autênticado A aplicação Squid mencionada no item 3.1, proporciona além de grandes controles a autenticação de usuário. Normalmente, o arquivo de configuração do Squid fica em "/etc/squid/squid.conf", editando esse arquivo e incluindo algumas linhas como: auth_param basic program /usr/bin/ncsa_auth /etc/squid/passwd auth_param basic children 15 auth_param basic realm UnC RNO - Digite Sua Senha auth_param basic credentialsttl 2 hours auth_param basic casesensitive off acl password proxy_auth REQUIRED É possível forçar o usuário a utilizar uma autenticação para ter acesso aos recursos da rede conforme FIGURA 3. Figura 3: Método de Autenticação O login e senha fornecidos pelo usuário podem ser incluídos manualmente no servidor ou de forma automática via script. O arquivo com todos os usuários e senhas cadastrados fica em "/etc/squid/passwd", porém o mesmo pode estar em outro lugar, isso fica a critério do administrador.Dentro do arquivo o usuário fica visível e a senha criptografada conforme exemplo 3. marta.silva:21/hfQmf6FasI rodinei.pereira:14GgEao8lNRnQ suelen.goncalves:43lH5XpOjgA16 alexandre.neppel:29xJRO6pTl3o6 carolina.kormann:10GuMaqNsteSA prof.malis:18NhnWiSuoWHw elizandro.diener:80bMnkIoFv8X6 suellen.preissler:55CbD6q0vQrZI gti:804/bKBp2UazI É um arquivo simples de texto que não altera drasticamente seu tamanho indiferente do número de pessoas cadastradas, facilitando o backup do mesmo. 4.2 FIREWALL O próximo passo após o proxy seria a configuração de um script de Firewall, o proxy por si só consegue bloquear e moderar várias coisas, porém para garantir a segurança do servidor e da conexão é necessário implementar um Firewall conjunto, no caso em IPTABLES. O script de Firewall pode ser extremamente simples, apenas redirecionando uma conexão ou compartilhando a mesma, como pode ser extremamente complexo, monitorando e evitando tentativas de invasões como exemplo 4. (4) # ----------------------------------------------# PORTAS ABERTAS PARA ESTABELECER CONECCOES # ----------------------------------------------iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT iptables -A INPUT -m state --state RELATED -j ACCEPT iptables -A INPUT -p tcp -i $adsl --dport 1023:65535 -j ACCEPT iptables -A INPUT -p udp -i $adsl --dport 1023:65535 -j ACCEPT iptables -A INPUT -p icmp --icmp-type echo-reply -s 0/0 -i $adsl -j ACCEPT iptables -A INPUT -p icmp --icmp-type destination-unreachable -s 0/0 -i $adsl -j ACCEPT iptables -A INPUT -p icmp --icmp-type time-exceeded -s 0/0 -i $adsl -j ACCEPT iptables -A OUTPUT -p icmp -o $adsl -j ACCEPT # ----------------------------------------------- # ----------------------------------------------# BLOQUEIA TRACERTROUTE # ----------------------------------------------iptables -A INPUT -p udp -s 0/0 -i $adsl --dport 33435:33525 -j DROP # ----------------------------------------------# ----------------------------------------------# BLOQUEIA P2P IMESH/BEARSHARE/TOADNODE/WINMX/NAPIGATOR # MORPHEUS/KAZAA/LIMEWIRE/AUDIOGALAXY # ----------------------------------------------iptables -A FORWARD -d 216.35.208.0/24 -j REJECT # imesh iptables -A FORWARD -p TCP --dport 6346 -j REJECT # BearShare iptables -A FORWARD -p TCP --dport 6346 -j REJECT # ToadNode iptables -A FORWARD -d 209.61.186.0/24 -j REJECT # WinMx iptables -A FORWARD -d 64.49.201.0/24 -j REJECT # WinMX iptables -A FORWARD -d 209.25.178.0/24 -j REJECT # Napigator iptables -A FORWARD -d 206.142.53.0/24 -j REJECT # Morpheus iptables -A FORWARD -p TCP --dport 1214 -j REJECT # Morpheus iptables -A FORWARD -d 213.248.112.0/24 -j REJECT # kazaa iptables -A FORWARD -p TCP --dport 1214 -j REJECT # kazaa iptables -A FORWARD -p TCP --dport 6346 -j REJECT # LimeWire iptables -A FORWARD -d 64.245.58.0/23 -j REJECT # Audiogalaxy # ----------------------------------------------# ----------------------------------------------# BLOQUEIA MSN/ICQ/AIM/YAHOOMESSENGER # ----------------------------------------------iptables -A FORWARD -d login.oscar.aol.com -j REJECT # AIM iptables -A FORWARD -p TCP --dport 5190 -j REJECT # ICQ iptables -A FORWARD -p TCP --dport 4000 -j REJECT # ICQ iptables -A FORWARD -d login.icq.com -j REJECT # ICQ iptables -A FORWARD -p TCP --dport 1863 -j REJECT # MSN iptables -A FORWARD -d 64.4.13.0/24 -j REJECT # MSN #iptables -A FORWARD -d cs.yahoo.com -j REJECT # Yahoo Messenger iptables -A FORWARD -d scsa.yahoo.com -j REJECT # Yahoo Messenger # ----------------------------------------------# SSH - 3 TENTATIVAS DE CONEXAO POR MINUTO # ----------------------------------------------iptables -A INPUT -p tcp --dport 222 -m state --state NEW -m recent --set --name SSH -j ACCEPT iptables -A INPUT -p tcp --dport 222 -m recent --update --seconds 60 --hitcount 3 --rttl --name SSH -j LOG --log-prefix "(SSH-Brute-Force) " iptables -A INPUT -p tcp --dport 222 -m recent --update --seconds 60 --hitcount 3 --rttl --name SSH -j DROP # ----------------------------------------------# ----------------------------------------------# REGRAS PORTSCAN # ----------------------------------------------iptables -N PortScan iptables -A PortScan -p tcp -m limit --limit 1/s -j LOG --log-prefix "(PortScanAttack) " iptables -A PortScan -p udp -m limit --limit 1/s -j LOG --log-prefix "(PortScanAttack) " iptables -A PortScan -p icmp -m limit --limit 1/s -j LOG --log-prefix "(PortScanAttack) " iptables -A PortScan -f -m limit --limit 1/s -j LOG --log-prefix "(PortScan-Attack) " iptables -A PortScan -j ACCEPT # ----------------------------------------------O script acima, compõem apenas parte do mesmo, sendo desnecessário apresentá-lo completamente. 4.3 DHCP No Linux, o servidor DHCP é representado pela aplicação DHCPD, seu arquivo de configuração fica em "/etc/dhcp/dhcpd.conf", sua configuração é simples, porém deve ser feita com cuidado para não dar um nó na rede. Através dele todas as máquinas da rede podem buscar seu endereço IP de forma automática e ao mesmo tempo reservar alguns endereços via Mac, conforme exemplo 5. ddns-update-style none; option domain-name "rno.unc.br"; option domain-name-servers 157.192.24.1; default-lease-time 84600; max-lease-time 84600; INTERFACES="eth1"; subnet 10.1.1.0 netmask 255.255.255.0 {} subnet 157.192.24.0 netmask 255.255.255.0 { # Definindo Rede / Mascara authoritative; range 157.192.24.15 157.192.24.245; # Definindo Faixa de ip Liberado option routers 157.192.24.1; # Definindo Gateway } # ------------------------------------------# LISTA IP'S FIXOS # Access point 1 uncrno1 host accesspoint1 { hardware ethernet 00:1e:58:a5:cd:fc; fixed-address 157.192.24.5; } # Access point 2 uncrno2 host accesspoint2 { hardware ethernet 00:1e:58:a5:cd:77; fixed-address 157.192.24.6; } # Access point 4 uncrno3 host accesspoint3 { hardware ethernet 00:15:e9:e8:c1:e9; fixed-address 157.192.24.7; } # ------------------------------------------5.0 Propostas para novos Equipamentos (Hardware) Após analisar as condições relacionadas ao nível físico estrutural atual, ao montante de conexões simultâneas e baseando-se em uma base de conhecimento adquirido atuando no serviço de conexões sem fio, propusemos a seguinte configuração de equipamentos. - Access Point D-Link DWL-7700AP Especificações: (Fonte: http://www.dlink.com/products/?pid=376) Equipamento apropriado para soluções Wireless Outdoor, pertencente à família DD Link AirPremier e compatível com o padrão 802.11a e 802.11g, que permite implementar implementa soluções de acesso sem fio outdoor, como os conhecidos Hotspots, facilitando desta forma o enlace e a comunicação com usuários móveis, com a Internet ou com redes privadas. O DWL-7700AP 7700AP é uma solução ideal para provedores de serviços de comunicação de Banda anda Larga e para médias e grandes empresas. • • • • • • • • Suporte 11a/g, 54Mbps Robusto Access Point para soluções Outdoor (Hotspots) Suporte de PoE (Power over Ethernet), 802.3af Hardware projetado para suportar condições ambientais adversas Suporte WEP Segurança Ampliada, com suporte de ACL, 802.1x, WPA2 y MAC Address control Administração versátil, via D-Link D D-View, SNMP v3, Web e Telnet Ideal para conexões entre edifícios e Hotspots Padrões Utilizados • • • • • IEEE 802.11a/b/g IEEE 802.3 Ethernet IEEE 802.3u Fast Ethernet IEEE 802.3x Flow Control IEEE 802.3af Intervalo de Cobertura – Valores Nominais • Até 500 mts (Linha vista) • Fatores ambientais podem afetar adversamente os intervalos de cobertura.. A Figura 4 apresenta o modelo de AP proposto. Figura 4: DWL-7700AP Para mais detalhes, acesse: http://www.dlink.com/products/?pid=376 6.0 Nova estrutura física e distribuição dos Access Point’s A Figura 4, a seguir, apresenta a proposta da nova distribuição dos Access Point’s (AP’s) Figura 5:: Novo mapa físico estrutural da Rede Sem fio – Fundação Universidade do Contestado Os AP’s serão distribuídos de forma estratégica para que nenhum bloco, prédio ou outras áreas fiquem sem o sinal de internet sem fio. Baseando-se Baseando se no maior número e concentração de alunos em áreas específicas, serão distribuídos alguns AP’s extras, visando a estabilidade ilidade da Rede Wireless. A centralização e a forma como serão posicionadas as antenas, levando em consideração sua altura e objetos ou paredes que diminuam o nível de sinal, também foram levados em consideração na análise da nova estrutura física. 7 Considerações Finais O cenário atual documentado nos apresentou uma estrutura de redes sem fio precária e instável.. No momento em que a mesma foi implantada, não houve um embasamento ou um estudo que pudesse prever o crescimento contínuo de acessos por parte dos acadêmicos da Fundação Universidade do Contestado. O processo de implantação exigiu agilidade para colocar o serviço ativo para o campus. Esta exigência ocasionou futuramente, contínuas reclamações por parte de colaboradores e acadêmicos do campus. campu Após considerar o modelo atual, e baseando-se baseando se principalmente na estrutura física, conseguimos apresentar e propor uma nova estrutura que conta com três principais fatores: Estabilidade, Segurança e Garantia de Serviço Ativo. No modelo antigo, existem brechas significativas de segurança, o que compromete a credibilidade da Fundação UnC, sendo que qualquer pessoa mal intencionada, poderia facilmente cometer crimes e roubos virtuais, sem ser identificado, pelo fato de não existirem serviços apropriados de monitoração e controle. Esses serviços devem ser essências em redes de médio porte, na qual consideramos a estrutura atual. Esta proposta não pretende ficar apenas em documento, já que o Grupo de Tecnologia da informação (GTI) vem trabalhando para prover melhorias na prestação de diversos outros serviços de Redes oferecidos pela Fundação Universidade do Contestado. 8 Bibliografia [1] Squid Prático e didático, Arco Agisander Lunardi 2005 [2] Dominando Firewall Iptables, Urubatan Neto 2004 [3] Dominando Linux Red Hat e Fedora, Bill Ball e Hoyt Duff 2004 [4] Squid Configurando o Proxy para Linux 5ª Edição Atualizada, Antonio Marcelo 2005 [5] http://www.vivaolinux.com.br/artigo/Webmin-Solucao-em-administracao-de-sistemas Acessado: 11/03/2010-16:47