JOÃO CARLOS DE LIMA
Minha contribuição para este artigo foi efetuar a análise estrutural atual e documentála. Isto incluiu a estrutura física, tipos e modelos de equipamentos, configurações de
roteadores e servidores. No entanto, toda esta análise foi baseada em idéias e contribuições do
grupo que trabalhou em conjunto em cima da estrutura, buscando o máximo de detalhes e
informações sobre seu atual estado.
Após a contextualização e busca de informações sobre a estrutura, foi elaborado em
conjunto todos os métodos de desenvolvimento, bem como a reestruturação física (hardware),
através de novos equipamentos e de software, utilizando novas soluções baseadas em
plataformas e opções livres.
A conclusão elaborada foi baseada na experiência contribuída pela equipe, cada
integrante prescreveu seu parecer final onde, no fim, através de todas as idéias e experiências
adquiridas, transcrevemos o mesmo em apenas um único documento, concluindo assim o
artigo que se segue abaixo.
Reestruturação física de uma rede sem fio aberta e implementação de um
servidor para controle, análise e autenticação.
Emerson Schafhauser, João Carlos de Lima, Rodrigo José Petreça
Curso de Especialização em Redes e Segurança de Sistemas
Pontifícia Universidade Católica do Paraná
Curitiba, 13 de Março de 2010
Resumo
O objetivo deste artigo é propor uma nova estrutura de redes sem fio para Fundação
Universidade do Contestado – FunC – Campus Universitário de Mafra/Rio Negrinho. A
atual estrutura encontra-se com sérios problemas de instabilidade, perda de sinal e alto
tráfego de dados, devido ao equipamento utilizado a as configurações atribuídas ao mesmo.
Em seguida, após analisar e documentar a estrutura atual será proposta uma nova estrutura
física (hardwares) e de software (utilizando a arquitetura livre como o Linux). Baseando-se
na estrutura Linux como servidor de autenticação e controle da rede sem fio, atribuindo ao
administrador um completo controle e análise de todas as conexões.
Palavras chave: Wireless, Redes, Reestruturação, Linux, Servidores.
1 Introdução
A idéia inicial do artigo baseia-se em um estudo de caso utilizando-se de uma estrutura
real onde a equipe do projeto atualmente é colaboradora, esta estrutura de redes sem fio se
encontra atualmente na Fundação Universidade do Contestado – FunC. Após um contínuo
crescimento da estrutura acadêmica ouve a necessidade de atribuir o serviço de internet sem
fio a Fundação. Para agilizar o processo estrutural da rede sem fio, foram adquiridos e
implantados equipamentos baseados em estrutura AD-HOC, ou seja, estruturas utilizadas em
home Office. Para os primeiros anos a estrutura suportou as diversas conexões simultâneas de
acadêmicos e colaboradores. No entanto, conforme a estrutura da fundação cresceu, surgiram
diversos problemas de instabilidade e contínuas quedas de conexão em terminais de
acadêmicos. Baseado neste problema a equipe técnica (GTI – Grupo de Tecnologia da
Informação), que forma a equipe de desenvolvimento deste artigo, atribuiu como principal
objetivo analisar a atual estrutura e fornecer uma opção de baixo custo e com softwares
baseados em arquiteturas Linux (livre) para melhorar e atribuir métodos de gerenciamento
que facilitem a nível administrativo o monitoramento, autenticação e segurança para a rede
sem fio da Fundação Universidade do Contestado.
2 Estrutura Atual
A atual estrutura física da Fundação Universidade do Contestado – Campus Mafra possui
nove prédios distintos divididos nas categorias abaixo:
• Blocos A, B, C, D, E, F, G;
• Ginásio de Esportes;
• Colégio Mafrense;
A velocidade da internet distribuída pelo sinal wireless dentro do campo é proveniente de um
link de 1,5 MB via fibra ótica da Brasil Telecom. Dentro da planta da instituição, representada
abaixo, na figura 1, estão distribuídas onze antenas que são responsáveis pela distribuição
deste sinal. Os aparelhos utilizados para a distribuição do sinal são:
• Roteador wireless D-Link WBR-2310;
• Roteador wireless D-Link DI624;
• Antenas Omni de 12 e 15 DBI;
Devido à alta demanda de conexões no bloco F, foram instaladas duas antenas de 15 DBI e
uma antena de 12 DBI neste bloco, e em todos os demais são antenas de 12 DBI.
2.1 Estrutura Lógica
Para que ocorra a navegação, todos os equipamentos estão configurados para atuarem
como roteador wireless e não como “Access Point”. Para que ocorra a conectividade e a
navegação, há um servidor DHCP que distribui endereços IP para cada um dos roteadores
baseado no endereço MAC das interfaces de rede dos mesmos.
Além do IP obtido do servidor DCHP cada roteador possui ainda um IP fixo
pertencente à outra máscara de rede, este IP irá atuar como “gateway” nas conexões dos
clientes. Cada roteador está configurado para prover endereços IP dinâmicos através do
serviço DHCP e cada um está configurado para distribuir em média 30 endereços “IP” de
acordo com a faixa de endereços configurada localmente. Como essa distribuição de
endereços aos clientes fica sob responsabilidade do roteador, e esses modelos não oferecem
suporte a um número elevado de conexões e requisições isso acaba gerando um
processamento elevado por parte do roteador, vindo, por muitas vezes causar o travamento do
mesmo e com isso a interrupção do serviço.
Dentro da configuração dos roteadores, cada um está configurado para trabalhar em um canal
diferente dos demais para que não ocorra interferência/concorrência entre eles. Para finalizar a
configuração, cada roteador possui um “SSID” distinto para facilitar a identificação e a
localização do mesmo, tanto aos usuários da rede wireless como a equipe técnica.
Toda manutenção da configuração dos roteadores, bem como, análise de conexões são
realizadas via “browser”.
2.2 Análise do Tráfego
Por meio da interface web de administração dos roteadores foi possível, por meio de
análise, identificar que o horário de pico de utilização dos equipamentos se dá a partir das
19:00 horas e se estende até aproximadamente 22:30 horas. Dentro desse intervalo de tempo,
obteve-se um número em torno de 150 a 200 conexões simultâneas.
Por meio da interface de administração também foi possível constatar que os blocos
que geraram uma maior demanda e o maior número de conexões fora:
•
Bloco F;
•
Bloco G;
•
Biblioteca;
•
Bloco A;
•
Demais blocos;
O fato dos blocos F e G se mostrarem como os que mais geraram demanda de conexões devese ao fato dos mesmos serem os blocos que apresentam
apresentam o maior número de salas de aula e,
conseqüentemente o maior número de alunos.
A biblioteca e o bloco A vem em seguida, pois são as áreas que depois dos blocos F e G,
também possuem um elevado número de acessos, a biblioteca por ser uma área comum à
todos
os os alunos e utilizada para pesquisas e o bloco A por ser a área que concentra os
laboratórios de Informática onde se encontram os cursos da área de Tecnologia da
Informação, onde pode-se
se notar uma elevada ocorrência de notebooks.
2.3 Mapa da Atual Estrutura
O mapa da Figura 1, a seguir, apresenta a estrutura física e a distribuição dos
roteadores Wireless conectados a antenas Omni variantes de 12 a 15 dbi.
Figura 1: Mapa da atual estrutura Wireless da Fundação Universidade do Contestado
Contes
Distribuídos de forma estratégica através dos blocos, salas de aula e outras áreas, o
Campus Universitário conta com onze Roteadores Wireless baseados em arquitetura
Home/Office. (AD-HOC)
3 Proposta para nova estrutura
Após análise documentada da atual estrutura sem fio, abaixo, apresentam-se
apresentam todas as
ferramentas, métodos, estrutura e novos equipamentos a serem utilizados para implantar a
nova estrutura.
3.1 Squid
O Squid é um dos proxyes mais utilizandos para Linux hoje na internet. Trata-se de
um programa simples, confiável e robusto. É um programa que se tornou obrigatório para
qualquer servidor proxy de pequena ou grande empresa que deseja controlar ou melhorar a
performance de sua conexão.
Um proxy é um servidor HTTP com características especiais de filtragem de pacotes
que tipicamente são executados em uma máquina firewall. O proxy aguarda por uma
requisição de dentro do firewall, e a repassa para um servidor remoto do outro lado do
firewall, recebe a resposta e a envia de volta a uma estação cliente.
Figura 2: Funcionamento do Proxy
3.2 ACL's
Umas das características mais interessantes do proxy é a restrição de acesso a sites não
autorizados. Isto inibe aos usuários o acesso a sites pornôs, jogos, comunidades de
relacionamento pessoal, comunicadores instantâneos, entre outros. Para isso utiliza-se as
ACLs que possuem outros recursos, como regular acesso por autenticação, hora e data.
A estrutura uma ACL é simples:
acl "NOME" "TIPO" "ARQUIVO"
Exemplo 1:
acl porno url_regex "/etc/squid/off/porn"
Onde:
NOME: é nome que será utilizado para identificar a ACL.
TIPO: indica qual é o tipo de leitura que será feito pela regra.
Existem vários tipo como: src, dst, srcdomain, dstdomain, srcdom_regex,
dstdom_regex, time, url_regex, urpath_regex, port, proto, method, browser, ident, iden_regex,
src_as, dst_as, proxy_auth, snmp_community, maxconn entre outros. Cada um com uma
função e deve ser utilizando para situações específicas.
No caso acima foi utilizado o "url_regex" que percorre toda a url à procura da
expressão que foi especificada. Então digamos que no arquivo "porn" estivesse a palavra,
"bumbum", quando o usuário estivesse navegando na internet, o proxy iria procurar em toda
url a palavra para bloqueá-la.
3.3. IPTABLES
Desde as primeiras versões do kernel (1.x) o Linux tem implementado a filtragem de
pacotes. Alan Cox, em 1994 implementou de forma nativa para o mesmo.
O firewall é responsável por filtrar todo o tráfego que chega e sai do host firewall e da
rede que o mesmo isola.
Quando isso acontece uma análise de regras que são inseridas pelo administrador,
acontece. Assim, liberando ou bloqueando pacotes, portas ou palavras, de acordo com a
configuração realizada.
Analisando Headers é a forma como o firewall filtra os pacotes, isso ocorre enquanto
os mesmo trafegam. E mediante a essa análise, pode-se ver o fruto da filtragem de pacotes,
onde as regras podem deixar um pacote trafegar livremente ou simplesmente parar sua
trajetória.
Essa é a forma mais eficaz de aplicar um firewall por iptables, não fazer isso é como
deixar as portas abertas da sua rede para qualquer pacote confiável ou não trafegar.
Mas, porque implementar um firewall na sua rede?
Existem três argumento que podem responder essa pergunta:
Controle, Segurança e Vigilância.
Para uma rede ser segura é necessário que tenha os três argumentos.
3.4 TIPOS DE FIREWALL
Dentro da classe de firewall encontramos alguns tipo que trabalham de forma diferente
na proteção da rede, abaixo será explicado um pouco sobre cada um deles.
3.4.1 FIREWALL NAT
O Firewall da classe NAT tem como principal objetivo manipular a rota dos pacotes
que atravessam o host firewall, aplicando-lhes a tradução de endereçamento. Isso agrega
diversas funcionalidades como, manipular endereço SNAT e destino DNAT dos pacotes,
realizar MASQUERADING sobre conexões PPP entre outras potencialidades.
O Firewall NAT abre um amplo leque de possibilidades, e seus conceitos vão além da
mera filtragem de pacotes, entrando em aspectos mais peculiares que envolvem roteamento de
redes. Um Firewall NAT pode tomar o lugar de um proxy de uma forma simples e eficiente.
Ele não é tão rápido como um proxy devido ao cache que o proxy utiliza porém, consegue
manter a rede segura.
3.4.2 FIREWALL HÍBRIDO
O Firewall híbrido agrega funções de filtragem de ambas às classes, deixando de ser
uma classe isolada.
Na "prática" pode-se observar que as finalidades de um firewall vão além de uma
simples ferramenta de segurança de redes. Com o passar do tempo novas funções lhe foram
agregadas dessa forma diferenciando o mesmo do projeto original.
Essa "evolução" trouxe outras necessidades, que seria para subdividi-lo em classes,
pois, através delas se tornaram possíveis um melhor entendimento de suas possíveis
aplicações.
3.4.3 FIREWALL EM IPTABLES
O iptables trata-se de uma ferramenta front-end que permite manipular a tabela
Netfilter, e é comumente confundido com um Firewall por si só. É uma versão estável,
robusta e completa tanto quanto seus antecessores IPFWADM e IPCHAINS.
Rusty Russell, criador do IPTABLES, também participou do desenvolvimento do
Netfilter colaborando com Michel Neuling e incorporando o mesmo à versão 2.4 do kernel
em 1999 fazendo assim parte da 4ª geração de firewalls no Linux.
O IPTABLES traz algumas características que são um diferencial. Além de realizar
tarefas rapidamente de uma forma segura e eficaz, é gratuito e tem um requerimento de
hardware baixo. Pode-se implementar um filtro utilizando a tabela Filter e NAT e também
outros controles mais avançados como desenvolvimento de QOS sobre tráfego.
Redirecionamento de endereçamento e portas, mascaramento de conexões, detecção de
fragmentos, monitoramento de tráfego, TOS, bloqueio a ataques Spoofing, Sy-Flood, DOS,
scanners ocultos, ping da morte entre muitos outros são proteções que podemos implementar.
Dentro da sintaxe do IPTABLES pode-se criar um script de várias formas, onde
utilizam-se tabelas, comandos, ações e alvos conforme exemplo 2.
iptables –t nat –A PREROUTING –i eth1 –j DNAT 10.1.1.1
Explicando:
Iptables –t nat : Insere uma regra utilizando a tabela nat.
-A: Anexa uma nova entrada no final da lista de regras.
PREROUTING: O prerouting faz parte da tabela nat e utiliza-se quando há
necessidade de fazer alterações em pacotes antes que os mesmos sejam roteados.
-i eth1: -i especifica a interface de entrada que será utilizada. Um firewall possui mais
de uma interface, e esta regra acaba sendo muito importante para distinguir a que interface o
filtro será aplicado, no caso eth1.
-j: define o alvo do pacote caso o mesmo se encaixe a uma regra. As opções mais
utilizadas em conjunto com o - j são: ACCEPT, DROP, REJECT e LOG.
DNAT: altera o endereço de destino das máquinas clientes.
10.1.1.1: destino dos pacotes.
Conforme o exemplo (2) todos os pacotes oriundos de qualquer rede que penetrarem
no firewall pela interface eth1 serão redirecionados para o ip 10.1.1.1.
3.5 DHCP (Dynamic Host Configuration Protocol)
Conforme o nome implica o dhcp configura hosts para conexão com sua rede. Através
dele, é possível configurar parâmetros TCP/IP de cada host, quando se conecta a rede tendo
acesso administrativo. Esses parâmetros incluem a distribuição automática de IP para um
endereço Mac previamente destinado ou de forma aleatória.
O dhcp fornece parâmetros da rede, mantendo informações de identificação para cada
cliente que conectar-se a rede. As informações destinadas mais comuns são:
- Endereço de sub-rede/host da rede – Hosts utilizam para se conectar a rede sem
restrições.
- Sub-rede/nome de host – Permite que o host determinado conecte com a sub rede.
- Endereço de sub-rede/hardware – Permite a um cliente determinado conectar a rede,
somente após obter o nome do host via DHCP.
Com o DHCP podemos alocar por períodos temporários ou permanentes um IP. As
atribuições temporárias conhecidas como leasing (empréstimo), podem ser entendidas ou
renunciadas. Para um host que esteja conectado permanentemente.
Utilizar o DHCP no servidor garante algumas vantagens para a rede. Primeiro ele tira a
responsabilidade do administrador de distribuir manualmente os endereços IP, assim também
diminuindo o risco de erro humano. Em segundo faz um melhor uso dos endereços IP que
são limitados e é vantagem para o usuário, que não precisa definir manualmente endereços na
sua máquina.
3.6. DNS (Domain Name System)
Um sistema de computador ajuda a identificar uma máquina na rede através de IP, mas
não ajuda uma pessoa a fazer a identificação.
O DNS um sistema de nome de domínio é
usado universalmente na internet auxiliando na identificação dos hosts através de nomes.
Os nomes de host, como www.pucpr.br, são apenas uma forma de identificação através
de nome para os usuários, porém esses nomes devem ser convertidos em IP, esse processo
leva o nome de resolução de nome.
O DNS é fundamental para várias operações de rede, especialmente para fornecer
conexão ao mundo exterior pela internet. Foi projetado para tornar a atribuição e
transformação de nomes consistente e portável para os recursos da rede.
É um sistema simples e facilmente mal configurado onde erros na resolução de nomes
podem aparecer de uma forma complexa, bem depois de pequenas alterações, tais erros
podem levar a grandes embaraços no serviço.
Normalmente, apenas administradores de sistema ou da rede precisam se preocupar
com a configuração do DNS.
No caso do servidor Wireless proposto, criamos um cachê do DNS local para que a
pesquisa de nomes seja mais rápida e evite erros desnecessários.
3.7 WEBMIM
O Webmim é uma ferramenta gráfica para gerencia de sistemas, foi desenvolvido por
Jamie Cameron, na linguagem Perl. A ferramenta tem como objetivo oferecer aos
administradores de redes e sistemas uma forma interativa e gráfica para gerencia de um
ambiente de TI.
Pose-se realizar uma tarefa simples como criar uma conta de usuário ou algo
complexo como habilitar acesso remoto.
Existem outras ferramentas para gerenciar um sistema ou um serviço em modo
gráfico, porém o Webmim tem várias vantagens, e uma delas é a mesclar vários tipos de
serviço ou aplicações em apenas uma interface, assim proporcionando uma forma mais
organizada e interativa para o usuário.
A aplicação utiliza o navegador como método para demonstrar sua interface, sendo
assim, muito navegadores são compatíveis com a aplicação, tendo dessa forma um
desempenho satisfatório.
Através do Webmim podemos administrar e configurar vários serviços de hardware,
rede e sistema tais como:
- hardware: grub, raid, impressoras.
- Rede: nfs, adsl, kerberus.
- Serviços: apache, ssh, squid, dhcp, mysql, samba, qmail etc.
- Sistema: cron, idap, senha de usuários e grupos, quotas do distro, entre outros.
Alem de possuir uma interface simples, é uma excelente ferramenta para gerenciar
sistemas, é gratuita fazendo assim jus a sua fama.
4.0 Nova Estrutura
Analisando a estrutura atual, onde não existe um cabeamento estruturado, uma divisão
correta de redes, nem equipamentos adequados, propomos:
4.1 PROXY Autênticado
A aplicação Squid mencionada no item 3.1, proporciona além de grandes controles a
autenticação de usuário.
Normalmente, o arquivo de configuração do Squid fica em "/etc/squid/squid.conf",
editando esse arquivo e incluindo algumas linhas como:
auth_param basic program /usr/bin/ncsa_auth /etc/squid/passwd
auth_param basic children 15
auth_param basic realm UnC RNO - Digite Sua Senha
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
acl password proxy_auth REQUIRED
É possível forçar o usuário a utilizar uma autenticação para ter acesso aos recursos da
rede conforme FIGURA 3.
Figura 3: Método de Autenticação
O login e senha fornecidos pelo usuário podem ser incluídos manualmente no servidor
ou de forma automática via script.
O arquivo com todos os usuários e senhas cadastrados fica em "/etc/squid/passwd",
porém o mesmo pode estar em outro lugar, isso fica a critério do administrador.Dentro do
arquivo o usuário fica visível e a senha criptografada conforme exemplo 3.
marta.silva:21/hfQmf6FasI
rodinei.pereira:14GgEao8lNRnQ
suelen.goncalves:43lH5XpOjgA16
alexandre.neppel:29xJRO6pTl3o6
carolina.kormann:10GuMaqNsteSA
prof.malis:18NhnWiSuoWHw
elizandro.diener:80bMnkIoFv8X6
suellen.preissler:55CbD6q0vQrZI
gti:804/bKBp2UazI
É um arquivo simples de texto que não altera drasticamente seu tamanho indiferente
do número de pessoas cadastradas, facilitando o backup do mesmo.
4.2 FIREWALL
O próximo passo após o proxy seria a configuração de um script de Firewall, o proxy
por si só consegue bloquear e moderar várias coisas, porém para garantir a segurança do
servidor e da conexão é necessário implementar um Firewall conjunto, no caso em
IPTABLES.
O script de Firewall pode ser extremamente simples, apenas redirecionando uma
conexão ou compartilhando a mesma, como pode ser extremamente complexo, monitorando e
evitando tentativas de invasões como exemplo 4.
(4)
# ----------------------------------------------# PORTAS ABERTAS PARA ESTABELECER CONECCOES
# ----------------------------------------------iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED -j ACCEPT
iptables -A INPUT -p tcp -i $adsl --dport 1023:65535 -j ACCEPT
iptables -A INPUT -p udp -i $adsl --dport 1023:65535 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -s 0/0 -i $adsl -j ACCEPT
iptables -A INPUT -p icmp --icmp-type destination-unreachable -s 0/0 -i $adsl -j
ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded -s 0/0 -i $adsl -j ACCEPT
iptables -A OUTPUT -p icmp -o $adsl -j ACCEPT
# -----------------------------------------------
# ----------------------------------------------# BLOQUEIA TRACERTROUTE
# ----------------------------------------------iptables -A INPUT -p udp -s 0/0 -i $adsl --dport 33435:33525 -j DROP
# ----------------------------------------------# ----------------------------------------------# BLOQUEIA P2P IMESH/BEARSHARE/TOADNODE/WINMX/NAPIGATOR
# MORPHEUS/KAZAA/LIMEWIRE/AUDIOGALAXY
# ----------------------------------------------iptables -A FORWARD -d 216.35.208.0/24 -j REJECT # imesh
iptables -A FORWARD -p TCP --dport 6346 -j REJECT # BearShare
iptables -A FORWARD -p TCP --dport 6346 -j REJECT # ToadNode
iptables -A FORWARD -d 209.61.186.0/24 -j REJECT # WinMx
iptables -A FORWARD -d 64.49.201.0/24 -j REJECT
# WinMX
iptables -A FORWARD -d 209.25.178.0/24 -j REJECT # Napigator
iptables -A FORWARD -d 206.142.53.0/24 -j REJECT # Morpheus
iptables -A FORWARD -p TCP --dport 1214 -j REJECT # Morpheus
iptables -A FORWARD -d 213.248.112.0/24 -j REJECT # kazaa
iptables -A FORWARD -p TCP --dport 1214 -j REJECT # kazaa
iptables -A FORWARD -p TCP --dport 6346 -j REJECT # LimeWire
iptables -A FORWARD -d 64.245.58.0/23 -j REJECT
# Audiogalaxy
# ----------------------------------------------# ----------------------------------------------# BLOQUEIA MSN/ICQ/AIM/YAHOOMESSENGER
# ----------------------------------------------iptables -A FORWARD -d login.oscar.aol.com -j REJECT # AIM
iptables -A FORWARD -p TCP --dport 5190 -j REJECT
# ICQ
iptables -A FORWARD -p TCP --dport 4000 -j REJECT
# ICQ
iptables -A FORWARD -d login.icq.com -j REJECT
# ICQ
iptables -A FORWARD -p TCP --dport 1863 -j REJECT
# MSN
iptables -A FORWARD -d 64.4.13.0/24 -j REJECT
# MSN
#iptables -A FORWARD -d cs.yahoo.com -j REJECT
# Yahoo Messenger
iptables -A FORWARD -d scsa.yahoo.com -j REJECT
# Yahoo Messenger
# ----------------------------------------------# SSH - 3 TENTATIVAS DE CONEXAO POR MINUTO
# ----------------------------------------------iptables -A INPUT -p tcp --dport 222 -m state --state NEW -m recent --set --name
SSH -j ACCEPT
iptables -A INPUT -p tcp --dport 222 -m recent --update --seconds 60 --hitcount 3
--rttl --name SSH -j LOG --log-prefix "(SSH-Brute-Force) "
iptables -A INPUT -p tcp --dport 222 -m recent --update --seconds 60 --hitcount 3
--rttl --name SSH -j DROP
# ----------------------------------------------# ----------------------------------------------# REGRAS PORTSCAN
# ----------------------------------------------iptables -N PortScan
iptables -A PortScan -p tcp -m limit --limit 1/s -j LOG --log-prefix "(PortScanAttack) "
iptables -A PortScan -p udp -m limit --limit 1/s -j LOG --log-prefix "(PortScanAttack) "
iptables -A PortScan -p icmp -m limit --limit 1/s -j LOG --log-prefix "(PortScanAttack) "
iptables -A PortScan -f -m limit --limit 1/s -j LOG --log-prefix "(PortScan-Attack)
"
iptables -A PortScan -j ACCEPT
# ----------------------------------------------O script acima, compõem apenas parte do mesmo, sendo desnecessário apresentá-lo
completamente.
4.3 DHCP
No Linux, o servidor DHCP é representado pela aplicação DHCPD, seu arquivo de
configuração fica em "/etc/dhcp/dhcpd.conf", sua configuração é simples, porém deve ser
feita com cuidado para não dar um nó na rede.
Através dele todas as máquinas da rede podem buscar seu endereço IP de forma
automática e ao mesmo tempo reservar alguns endereços via Mac, conforme exemplo 5.
ddns-update-style none;
option domain-name "rno.unc.br";
option domain-name-servers 157.192.24.1;
default-lease-time 84600;
max-lease-time 84600;
INTERFACES="eth1";
subnet 10.1.1.0 netmask 255.255.255.0 {}
subnet 157.192.24.0 netmask 255.255.255.0 { # Definindo Rede / Mascara
authoritative;
range 157.192.24.15 157.192.24.245; # Definindo Faixa de ip Liberado
option routers 157.192.24.1;
# Definindo Gateway
}
# ------------------------------------------# LISTA IP'S FIXOS
# Access point 1 uncrno1
host accesspoint1 {
hardware ethernet 00:1e:58:a5:cd:fc;
fixed-address 157.192.24.5;
}
# Access point 2 uncrno2
host accesspoint2 {
hardware ethernet 00:1e:58:a5:cd:77;
fixed-address 157.192.24.6;
}
# Access point 4 uncrno3
host accesspoint3 {
hardware ethernet 00:15:e9:e8:c1:e9;
fixed-address 157.192.24.7;
}
# ------------------------------------------5.0 Propostas para novos Equipamentos (Hardware)
Após analisar as condições relacionadas ao nível físico estrutural atual, ao montante de
conexões simultâneas e baseando-se em uma base de conhecimento adquirido atuando no
serviço de conexões sem fio, propusemos a seguinte configuração de equipamentos.
- Access Point D-Link DWL-7700AP
Especificações: (Fonte: http://www.dlink.com/products/?pid=376)
Equipamento apropriado para soluções Wireless Outdoor, pertencente à família DD
Link AirPremier e compatível com o padrão 802.11a e 802.11g, que permite implementar
implementa
soluções de acesso sem fio outdoor, como os conhecidos Hotspots, facilitando desta forma o
enlace e a comunicação com usuários móveis, com a Internet ou com redes privadas.
O DWL-7700AP
7700AP é uma solução ideal para provedores de serviços de comunicação de
Banda
anda Larga e para médias e grandes empresas.
•
•
•
•
•
•
•
•
Suporte 11a/g, 54Mbps
Robusto Access Point para soluções Outdoor (Hotspots)
Suporte de PoE (Power over Ethernet), 802.3af
Hardware projetado para suportar condições ambientais adversas
Suporte WEP
Segurança Ampliada, com suporte de ACL, 802.1x, WPA2 y MAC Address control
Administração versátil, via D-Link
D
D-View, SNMP v3, Web e Telnet
Ideal para conexões entre edifícios e Hotspots
Padrões Utilizados
•
•
•
•
•
IEEE 802.11a/b/g
IEEE 802.3 Ethernet
IEEE 802.3u Fast Ethernet
IEEE 802.3x Flow Control
IEEE 802.3af
Intervalo de Cobertura – Valores Nominais
• Até 500 mts (Linha vista)
• Fatores ambientais podem afetar adversamente os intervalos de cobertura..
A Figura 4 apresenta o modelo de AP proposto.
Figura 4: DWL-7700AP
Para mais detalhes, acesse: http://www.dlink.com/products/?pid=376
6.0 Nova estrutura física e distribuição dos Access Point’s
A Figura 4, a seguir, apresenta a proposta da nova distribuição dos Access Point’s
(AP’s)
Figura 5:: Novo mapa físico estrutural da Rede Sem fio – Fundação Universidade do
Contestado
Os AP’s serão distribuídos de forma estratégica para que nenhum bloco, prédio ou
outras áreas fiquem sem o sinal de internet sem fio. Baseando-se
Baseando se no maior número e
concentração de alunos em áreas específicas, serão distribuídos alguns AP’s extras, visando a
estabilidade
ilidade da Rede Wireless.
A centralização e a forma como serão posicionadas as antenas, levando em
consideração sua altura e objetos ou paredes que diminuam o nível de sinal, também foram
levados em consideração na análise da nova estrutura física.
7 Considerações Finais
O cenário atual documentado nos apresentou uma estrutura de redes sem fio precária e
instável.. No momento em que a mesma foi implantada, não houve um embasamento ou um
estudo que pudesse prever o crescimento contínuo de acessos por parte dos acadêmicos da
Fundação Universidade do Contestado. O processo de implantação exigiu agilidade para
colocar o serviço ativo para o campus. Esta exigência ocasionou futuramente, contínuas
reclamações por parte de colaboradores e acadêmicos do campus.
campu
Após considerar o modelo atual, e baseando-se
baseando se principalmente na estrutura física,
conseguimos apresentar e propor uma nova estrutura que conta com três principais fatores:
Estabilidade, Segurança e Garantia de Serviço Ativo. No modelo antigo, existem brechas
significativas de segurança, o que compromete a credibilidade da Fundação UnC, sendo que
qualquer pessoa mal intencionada, poderia facilmente cometer crimes e roubos virtuais, sem
ser identificado, pelo fato de não existirem serviços apropriados de monitoração e controle.
Esses serviços devem ser essências em redes de médio porte, na qual consideramos a estrutura
atual. Esta proposta não pretende ficar apenas em documento, já que o Grupo de Tecnologia
da informação (GTI) vem trabalhando para prover melhorias na prestação de diversos outros
serviços de Redes oferecidos pela Fundação Universidade do Contestado.
8 Bibliografia
[1] Squid Prático e didático, Arco Agisander Lunardi 2005
[2] Dominando Firewall Iptables, Urubatan Neto 2004
[3] Dominando Linux Red Hat e Fedora, Bill Ball e Hoyt Duff 2004
[4] Squid Configurando o Proxy para Linux 5ª Edição Atualizada, Antonio Marcelo 2005
[5] http://www.vivaolinux.com.br/artigo/Webmin-Solucao-em-administracao-de-sistemas
Acessado: 11/03/2010-16:47
Download

Joao Carlos de Lima - Artigo