CENTRO ESTADUAL DE EDUCAÇÃO TECNOLÓGICA

PAULA SOUZA FACULDADE DE TECNOLOGIA DE LINS PROF. ANTONIO SEABRA

CURSO SUPERIOR DE TECNOLOGIA EM REDES DE COMPUTADORES

IVANI DA SILVA PUORRO

MARIANE PRADO NOGUEIRA

ASPECTOS DE SEGURANÇA EM PROJETOS DE REDES WIRELESS.

LINS/SP 2° SEMESTRE /2013

CENTRO ESTADUAL DE EDUCAÇÃO TECNOLÓGICA

PAULA SOUZA FACULDADE DE TECNOLOGIA DE LINS PROF. ANTONIO SEABRA

CURSO SUPERIOR DE TECNOLOGIA EM REDES DE COMPUTADORES

IVANI DA SILVA PUORRO

MARIANE PRADO NOGUEIRA

ASPECTOS DE SEGURANÇA EM PROJETOS DE REDES WIRELESS.

Trabalho de Conclusão de Curso apresentado à Faculdade de Tecnologia de Lins para obtenção do Titulo de Tecnólogo em Redes de Computadores.

Orientador: Prof. Me. Adriano Souza Marques.

LINS/SP 2° SEMESTRE /2013

IVANI DA SILVA PUORRO

MARIANE PRADO OGUEIRA

ASPECTOS DE SEGURANÇA EM PROJETOS DE REDES WIRELESS.

Trabalho de Conclusão de Curso apresentado à

Faculdade de Tecnologia de Lins, como parte dos

requisitos necessários para a obtenção do título de

Tecnólogo em Redes de Computadores sob a

orientação do Prof. Me. Adriano Souza Marques.

Data de aprovação _______/________/________

____________________________________________________

Orientador Adriano Souza Marques

____________________________________________________

Examinador

____________________________________________________

Examinador

Com muito carinho, dedico a minha mãe Isaura, pela compreensão e apoio e aos meus amigos.

Ivani da Silva Puorro

Dedico este trabalho à minha mãe Janice, a minha avó Francisca in memorian, ao meu irmão Lucas Rafael e aos meus amigos que sempre me apoiaram e nunca me deixaram desistir.

Mariane Prado Nogueira

AGRADECIMENTOS

Agradeço a Deus em primeiro lugar por ser essencial em minha vida e a todos

que estiveram presentes em minha trajetória acadêmica, amigos como Oscar

Beltrame, e a todos os que contribuíram com sua força, conselhos e ajuda.

Aos professores Naylor Garcia, Luciane Noronha e Henrique Brites que nos

auxiliaram nas dificuldades.

Em especial ao professor Me. Adriano Souza Marques, por nos aceitar e

ajudar como orientador.

E, por fim, agradeço a Mariane Prado Nogueira por ter aceitado a parceria

para realizar esse trabalho.

.

Ivani da Silva Puorro

AGRADECIMENTOS

Em primeiro lugar agradeço a Deus que me conduziu durante todo este longo

trajeto, dando-me força, saúde e sabedoria para chegar nesta etapa final.

Em especial ao meu orientador, o professor Me. Adriano Souza Marques pela

paciência e pelo comprometimento para com o nosso trabalho.

Agradeço também aos professores Naylor Garcia, Henrique Brites, Luciane

Noronha e ao amigo Oscar Beltrame pela ajuda e orientação para conseguir concluir

esse trabalho, e a todos os outros professores e colegas de sala que desde o inicio

me ajudaram e acrescentaram conhecimento a minha vida.

Sou muito grata a minha parceira Ivani da Silva Puorro por complementar

minhas ideias, se comprometer com o projeto, por toda paciência, pelo apoio nas

horas em que pensei em desistir e pela força de vontade para concluir este trabalho.

Agradeço a minha família e amigos por acreditar em mim, por tanto incentivo

e apoio que sempre demonstraram.

E por fim, agradeço a todos que direta ou indiretamente participaram ou

contribuíram para a conclusão deste trabalho.

Mariane Prado Nogueira

“Que os vossos esforços desafiem as impossibilidades, lembrai-vos de que as grandes coisas do homem foram conquistadas do que parecia impossível.” Charles Chaplin

RESUMO

O uso de redes wireless está em constante expansão devido ao crescimento das

tecnologias, o que demanda uma maior preocupação com a segurança neste tipo de

tecnologia já que ela proporciona à disponibilidade de comunicação sem o uso de

fios ou cabos, permitindo ao usuário acessar informações enquanto em movimento.

Sendo assim, esse trabalho faz uma análise das condições de segurança em redes

wireless, analisa os tipos, classificações e seus padrões e analisa, ainda, suas

ameaças e faz uma avaliação dos mecanismos de controle de segurança de acesso

por autenticação utilizando o Remote Authentication Dial In User Service (RADIUS).

Também aborda outros aspectos de segurança, e procura fazer uma análise

completa dos recursos disponíveis para possibilitar uma rede wireless mais segura e

confiável. È fundamental que o administrador de redes ou usuários domésticos

entenda as implicações de segurança de uma rede wireless, já que os riscos

precisam ser conhecidos para serem minimizados por meio de soluções disponíveis

e da aplicação de boa prática. Essas decisões envolvem questões de configuração e

planejamento. O estudo foi feito a partir de uma análise bibliográfica em materiais

dispostos na internet e livros.

Palavras chaves: redes wireless, segurança, Controle de acesso, RADIUS.

ABSTRACT

The use of wireless networks is constantly expanding due to the growth of

technologies , which demand a greater concern for safety in this type of technology

as it provides the availability of communication without the use of wires or cables ,

allowing the user to access information while moving. Therefore , this paper analyzes

the security conditions in wireless networks , analyzes the types , classifications and

standards , and also analyzes their threats and makes an assessment of the control

mechanisms of access security by authentication using the Remote Authentication

Dial in User Service ( RADIUS ) . It also addresses other aspects of security , and

seeks to make a complete analysis of the available resources to enable a more

secure and reliable wireless network. It is essential that the network administrator or

home users understand the security implications of a wireless network, since the

risks must be known to be minimized by means of solutions available and the

application of good practice. These decisions involve setting and planning issues .

The study was done from a literature review on materials arranged on the internet

and books .

Keywords: wireless networking, security, access, RADIUS,

LISTA DE ILUSTRAÇÕES

Figura 1.1 – Estrutura de uma redes de computadores ............................................ 17

Figura 1.2 – Camadas do Modelo OSI e TCP/IP ....................................................... 19

Figura 1.3 – Redes Wireless ..................................................................................... 21

Figura 2.1 - Hierarquia de botnets em ataques DDoS ................................................ 298

Figura 2.2 - Criptografia............................................................................................. 29

Figura 2.3 - Representação básica de um Firewall ................................................... 33

Figura 2.4 - Filtragem de Pacotes com o Firewall ..................................................... 33

Figura 3.1 – Ambiente de segurança Física. ............................................................. 37

Figura 3.2 - Processo de autenticação de sistema aberto......................................... 40

Figura 3.3 - Processo de autenticação de chave compartilhada. .............................. 41

Figura 3.4 - Processo de autenticação usando EAP ................................................. 44

Figura 3.5 - Processo de autenticação do RADIUS .................................................. 45

Figura 3.6 – Endereço MAC pelo comando ipconfig ................................................. 46

Figura 3.7 – Diagrama de Blocos do Protoloco WEP ................................................ 48

Figura 3.8 – Diagrama de Autenticação com Servidor Radius .................................. 51

Figura 4.1 – Localização Acess Point ....................................................................... 54

Figura 4.2 – Acesso ao Roteador não autorização ................................................... 55

Figura 4.3 – Localização inadequada do Rack .......................................................... 56

Figura 4.4 – Configuração arquivo sql.conf ............................................................... 57

Figura 4.5 – Tabela radcheck .................................................................................... 59

Figura 4.7 - Configuração do roteador....................................................................... 60

Figura 4.8 – Gerenciador de Redes sem fio do Windows 8 ...................................... 60

Figura 4.9 - Configuração do modo de segurança do Windows 8 ............................. 61

Figura 4.10 – Alteração da configuração de conexão ............................................... 61

Figura 4.11 - Configuração das Propriedades de conexão de Rede Sem Fio ........... 62

Figura 4.12 - Configuração das propriedades de segurança de Rede Sem Fio ........ 62

Figura 4.13 - Configuração do Modo de Autenticação .............................................. 63

Figura 4.15 – Autenticação de Rede ......................................................................... 64

Figura 4.16 – Rede Autenticada ................................................................................ 64

LISTA DE TABELAS

Figura 2.1 – Tipo de invasores....................................................................... 25

LISTA DE ABREVIATURAS E SIGLAS

AAA – Autentication Authorization and Accouting

AC – Autoridade Certificadora

ACK – Acknowledge

AES – Advanced Encryption Standart

AP – Acess Point

APS – Automatic protection Switching

AR – Autoridade de Registro

CRC – Cyclical Redundancy Check

DDOS – Distributed Denial of Service

DLL - Dynamic-link library

DNS - Domain Name System

DOS – Denial of Service

EAP - Extensible Authentication Protocol

FEC – Forward Error Correcton

ICMP - Internet Control Message Protocol

IEEE - Institute for Electucal and Electronics Engeneers

IP - Internet Protocol.

ISSO – International Standards Organization

KSA – Key Schedule Algorithm

LDAP – Lightweight Directory Acess Protocol

MAC – Media Acess Control

OFDM – Othogonal Frequency Division Multiplexing

OSI – Open Systens Interconection

QAM – Quadrature Amplitude Modulatiom

QOS – Quality of Service

RADIUS – Remote Authentication Dial User Service

RPC - Remote Procedure Call

RST - reset

RVA - Risk Value Assessment

SQL - Structured Query Language.

SRP – Secure Remote Password Protocol

SSL – Secure Socket Louger

TCP - Transmission Control Protocol

TKIP- Temporal Key Intergryty Protocol

VM - Virtual Machine

VPN – Virtual Private Network

WPA – Wi-fi Protocol Acess

WEP – Wired Equivalent Privacy

WIFI – Wireless Fidelity

WLAN – Wireless Local Area Network

WWSE – World Wide Spectrum Effrescy

SUMÁRIO

INTRODUÇÃO .......................................................................................................... 16

1 REDES DE COMPUTADORES ............................................................................. 17

1.2 AS CAMADAS DO MODELO OSI ....................................................................... 18

1.3 REDES SEM FIO (WIRELESS) .......................................................................... 21

1.4 FREQUÊNCIAS................................................................................................... 23

1.4.1 Canais .............................................................................................................. 23

1.4.2 Banda de Radiofrequência Publica .................................................................. 23

2 SEGURANÇA DE REDES DE COMPUTADORES ................................................ 25

2.1 TIPOS DE AMEAÇAS ......................................................................................... 26

2.1.2 Trojan ............................................................................................................... 26

2.1.3 Eavesdropping ................................................................................................. 27

2.1.4 Phishing ............................................................................................................ 27

2.1.5 Denial of Service (DoS) .................................................................................... 27

2.2 TIPOS DE DEFESAS .......................................................................................... 29

2.2.1 Criptografia ....................................................................................................... 29

2.2.2 Certificado Digital ............................................................................................. 31

2.2.3 Firewalls ........................................................................................................... 32

3 MECANISMO DE SEGURANÇA EM REDES WIRELESS..................................... 36

3.1 CONTROLES DE ACESSO ................................................................................ 36

3.1.1 Segurança Física.............................................................................................. 36

3.1.2 Segurança Lógica............................................................................................. 38

3.2 AUTENTICAÇÃO ................................................................................................ 38

3.2.1 Métodos de autenticação ................................................................................. 39

3.2.2 Autenticação de sistema aberto ....................................................................... 39

3.2.3 Autenticação de chave compartilhada .............................................................. 40

3.2.4 Certificados e Shared Secrets .......................................................................... 42

3.2.5 Protocolos de autenticação emergentes .......................................................... 42

3.2.6 802.1x e EAP ................................................................................................... 42

3.3 RADIUS ............................................................................................................... 44

3.4 ENDEREÇAMENTO MAC ................................................................................... 45

3.5 PROTOCOLOS DE SEGURANÇA DE REDES WIRELESS ............................... 47

3.5.1 Wired Equivalent Privacy (WEP) ...................................................................... 47

3.5.1.1 Vulnerabilidades do WEP .............................................................................. 48

3.5.2 Wi-fi Protected Acess (WPA) ........................................................................... 49

3.5.3 Extensible Authentication Protocol (EAP) ......................................................... 50

4 ANÁLISE DE SEGURANÇA ................................................................................... 53

4.1 CONTROLE DE ACESSO FÍSICO ...................................................................... 53

4.2 CONTROLE DE ACESSO LÓGICO – TESTE COM SERVIDOR RADIUS ......... 56

4.2.1 Instalação, configuração e teste com Servidor FreeRadius. ............................ 56

4.2.2 Configuração do roteador ................................................................................. 59

4.2.3 Configuração do computador do usuário para acesso a rede .......................... 60

CONCLUSÃO ............................................................................................................ 66

REFERÊNCIAS BIBLIOGRÁFICAS .......................................................................... 68

16

INTRODUÇÃO

Nos dias atuais, devido à importância do uso da internet, cada vez mais as

pessoas interligam seus computadores as redes, com a necessidade de ter acesso à

internet de diversos lugares, essa demanda provocou a evolução das tecnologias de

redes de computadores. (TANENBAUM, 2013)

As redes Wireless vieram de encontro com essa necessidade de mobilidade,

praticidade e liberdade em sua utilização, seja para uso em empresas ou para uso

doméstico. Com isso as redes wireless estão em constante expansão, assim a

preocupação com a segurança da informação para esse tipo de tecnologia tem a

crescer.

Desse ponto em diante o termo Segurança da Informação tornou-se popular,

organização e um projeto de redes são fundamentais para ter maior segurança.

O presente trabalho identifica através de um estudo de caso de uma

infraestrutura de redes a importância tanto da segurança de acesso físico, como do

acesso lógico. Uma forma de controlar esse acesso é construir uma rede

estruturada, e seguir planejamentos como instalações, localização do AP e distância

do seu alcance, para a segurança do acesso físico. Outra forma de controlar esse

acesso é através de um servidor de autenticação, o RADIUS, é fazer a

implementação para controlar o acesso a redes sem fio, e incluir configurações para

autenticação. O uso desse servidor, em conjunto com equipamentos apropriados,

pode resolver o problema de segurança e de mobilidade.

O primeiro capítulo faz uma apresentação sobre os principais conceitos

teóricos de Redes de computadores, redes sem fio e seus padrões.

No segundo capítulo é feita uma abordagem sobre a segurança das redes,

com suas ameaças e defesas.

No terceiro capítulo são apresentados os detalhes da segurança de redes

sem fio, com uma abordagem sobre controle de acesso e seus protocolos de

segurança.

No quarto capítulo é feita uma abordagem sobre as configurações e

implementação do Servidor Radius para autenticação entre o cliente e servidor.

17

1 REDES DE COMPUTADORES

Atualmente é quase impossível não se deparar com uma rede de

computadores, pela alta necessidade de comunicação e transmissão de dados.

Com avanços na década de 60 possibilitaram o desenvolvimento dos

primeiros terminais interativos, permitindo aos usuários acesso a um computador

central através de uma linha de comunicação. (TANENBAUM, 2013)

Logo após na década de 70 ocorreram mudanças na caracterização dos

sistemas de computação assim surgiu um sistema único centralizado e de grande

porte disponível para todos os usuários de uma determinada organização

(universidade, instituições militares e empresas).

Assim a interconexão entre vários sistemas para o uso compartilhado de

dispositivos tornou-se importante, já que usuários de sistemas de computação não

desenvolviam trabalhos isolados e necessitavam do compartilhamento de

informações. (MORIMOTO, 2010)

Na imagem abaixo um exemplo de uma rede de computadores.

Figura 1.1 – Estrutura de uma rede de computador Fonte: Pinheiro, 2004.

18

Pouco depois foram criadas novas arquiteturas como forma de melhorar o

desempenho e confiabilidade dos sistemas computacionais. Uma Rede de

Computadores é formada por um conjunto de computadores interligados por

sistemas de comunicação capazes de trocar informações e compartilhar recursos.

Por consequência surgiram as Redes Locais para viabilizar a troca e o

compartilhamento de informações e dispositivos periféricos (recursos de hardware e

software), permitindo a integração em ambiente de trabalho cooperativo.

(MORIMOTO, 2010)

Em virtude do avanço da tecnologia, surgiu também à necessidade de

mobilidade e flexibilidade, para ter acesso a dados e transmiti-los de qualquer lugar,

sem a necessidade de cabos, a partir daí surge à necessidade de utilizar a rede sem

fio, que vem crescendo cada vez mais, mas para isso acontecer foi preciso criar uma

arquitetura padrão para facilitar o processo de interconectividade o chamado modelo

Open Systems Interconnection (OSI). (TANENBAUM, 2003)

Conforme Gabriel Torres o OSI é um modelo usado para compreender como

os protocolos de rede funcionam. Quando as redes de computadores surgiram, uma

determinada tecnologia só era suportada exclusivamente por seu fabricante. Não era

possível de se misturar soluções de fabricantes diferentes. Dessa maneira, um

mesmo fabricante era responsável por construir quase tudo na rede. (TORRES,

2009)

De acordo com Gabriel Torres para facilitar a interconexão de sistemas de

computadores, a International Standards Organization (ISO) desenvolveu um

modelo de referência chamado OSI para que os fabricantes pudessem criar

protocolos a partir desse modelo. Ou seja, o protocolo é usado para transmitir dados

pela rede para que dois computadores possam se comunicar ambos deve usar o

mesmo protocolo. O papel do modelo OSI é padronizar a ordem em que a pilha de

protocolos trabalha. (TORRES, 2009)

Cada camada é responsável por algum tipo de processamento, e se

comunica apenas com a camada imediatamente inferior ou superior. O que é

importante relembrar é que cada camada adiciona (quando o computador estiver

1.2 AS CAMADAS DO MODELO OSI

19

transmitindo os dados) ou remove (quando o computador estiver recebendo dados)

informações de controle de sua responsabilidade.

A arquitetura OSI, assim como Transmission Control Protocol / Internet

Protocol (TCP/IP) realiza a divisão de funções do sistema de comunicação em

estruturas de camadas. (MACÊDO, 2012)

A figura abaixo mostra as definições das camadas do modelo OSI.

Figura 1.2 – Camadas do Modelo OSI e TCP/IP Fonte: Macêdo, 2012. Definições das camadas do modelo OSI:

Física: Esta camada pega os quadros enviados pela camada de Link de

Dados e os transforma em sinais compatíveis com o meio onde os dados deverão

ser transmitidos. Caso o meio for elétrico, essa camada converte os 0s e 1s dos

quadros em sinais elétricos a serem transmitidos pelo cabo; se o meio for óptico

essa camada converte os 0s e 1s dos quadros em sinais luminosos; se uma rede

sem fio for usada, então os 0s e 1s são convertidos em sinais eletromagnéticos; e

assim por diante. (TORRES, 2009)

Dados: Essa camada que também pode ser chamada de Enlace pega os

pacotes de dados recebidos da camada de rede e os transforma em quadros que

serão trafegados pela rede, acrescentando informações como o endereço da placa

de rede de origem, o endereço da placa de rede de destino, dados de controle, os

dados em si e uma soma de verificação, também conhecida como Cyclical

20

Redundancy Check (CRC). (TORRES, 2009)

O quadro criado por esta camada é enviado para a camada Física, que

converte esse quadro em sinais elétricos (ou sinais eletromagnéticos, se você

estiver usando uma rede sem fio) para serem enviados através do cabo de rede.

Quando o receptor recebe um quadro, a sua camada de Link de Dados

confere se o dado chegou íntegro, refazendo a soma de CRC. Se os dados

estiverem certos, ele envia uma confirmação de recebimento chamada Acknowledge

(ack). Caso essa confirmação não seja recebida, a camada Link de Dados do

transmissor reenvia o quadro, já que ele não chegou até o receptor ou então chegou

com os dados corrompidos. (TORRES, 2009)

Rede: As camadas deste grupo são camadas de baixo nível que lidam com a

transmissão e recepção dos dados da rede. Esta camada é responsável pelo

endereçamento dos pacotes, convertendo endereços lógicos em endereços físicos,

de forma que os pacotes consigam chegar corretamente ao destino. Essa camada

também determina a rota que os pacotes irão seguir para atingir o destino, levando

em consideração fatores como condições de tráfego da rede e prioridades.

(TORRES, 2009)

Transporte: Esta camada é responsável por pegar os dados recebidos da

rede e transformá-los em um formato compreensível pelo programa. Quando seu

computador está transmitindo dados, esta camada pega os dados e os divide em

vários pacotes para serem transmitidos pela rede. Quando seu computador está

recebendo dados, esta camada pega os pacotes recebidos e os coloca em ordem.

(TORRES, 2009)

Sessão: Esta camada permite que dois programas em computadores

diferentes estabeleçam uma sessão de comunicação. Nesta sessão, esses dois

programas definem como será feita a transmissão dos dados e coloca marcações

nos dados que estão sendo transmitidos. Caso a rede venha a falhar, os dois

computadores reiniciam a transmissão dos dados a partir da última marcação

recebida em vez de retransmitir todos os dados novamente. (TORRES, 2009)

Aplicação: Essas são as camadas mais altas que colocam os dados no

formato usado pelo programa. A camada de aplicação faz a interface entre o

programa que está enviando ou recebendo dados e a pilha de protocolos.

Apresentação: Também chamada camada de Tradução, esta camada

converte o formato do dado recebido pela camada de Aplicação em um formato

21

comum a ser usado pela pilha de protocolos. Esta camada também pode ser usada

para comprimir ou criptografar os dados. A compressão dos dados amplia o

desempenho da rede, já que se serão enviados menos dados para a camada inferior

(camada cinco). Se for usado algum tipo de criptografia, os dados irão circular

criptografados entre as camadas cinco e um e serão descriptografadas apenas na

camada seis no computador de destino. (TORRES, 2009)

Uma rede sem fio, Wireless ou também conhecido como Wireless Fidelity

(WI-FI) é a conexão entre equipamentos fixos ou moveis sem a necessidade de

cabos, que utiliza como meio de comunicação radiofrequência (RF) baseada no

padrão IEEE 802.11.

Figura 1.3 – Redes Wireless Fonte: Alecrim, 2013. Apenas os produtos certificados (um processo relativamente caro e

demorado) podem ostentar o logo “Wi-Fi Certified”, de forma que muitos produtos,

sobretudo os produtos mais baratos não passam pela certificação e não são

vendidos como produtos Wi-Fi, embora isso não signifique necessariamente que

eles sejam incompatíveis ou de qualidade inferior. (MORIMOTO, 2010)

802.11a - Esse padrão trabalha com uma faixa de velocidade máxima de 54

Mbps (108 em modo turbo), mas também pode operar em velocidades mais baixas

1.3 REDES SEM FIO (WIRELESS)

22

chegando a uma frequência de 5 GHz. Utiliza a modulação Orthogonal Frequency

Division Multiplexing (OFDM) que é melhor que a Frequency-hopping spread

spectrum (FHSS) e Direct Sequence Spread Spectrum (DSSS). Possui 12 canais

disponíveis ao invés dos 3 livres nos padrões 802.11b e 802.11g. O tamanho da sua

chave Wired Equivalent Privacy (WEP), pode chegar a 256 bits, mas ainda é

compatível com os tamanhos menores de 64 e 128 bits. (MORIMOTO, 2010)

802.11b - Foi primeiro padrão a ser definido, trabalha numa velocidade de

11Mbps de transmissão máxima, mas compatível com velocidades menores. Opera

na frequência de 2,4GHz e usa somente DSSS. O número máximo de clientes

conectados é 32, ainda é o padrão mais popular existente em redes sem fio, utiliza o

protocolo WEP. Esse padrão está deixando o mercado devido a melhorias de

velocidade e segurança em outros padrões como o 802.11g e o 802.11a.

(MORIMOTO, 2010)

802.11g - Sua principal diferença em relação a 802.11b é a sua velocidade de

transmissão que é 54Mbps, mas também trabalha na frequência de 2,4GHz e pode

trabalhar em conjunto com 802.11b, usa os protocolos WEP e Wi-Fi Protected

Access (WPA), utiliza também a modulação OFDM. (MORIMOTO, 2010)

802.11e - Foi desenvolvido para melhor a qualidade do serviço Quality of

Service (QoS) em ligações telefônicas, vídeo de alta resolução e outras aplicações.

Projetado para permitir que certos tipos de tráfego wireless sejam prioritários em

relação a outros para assegurar que ligações em telefones IP e conteúdo multimídia

serão acessados tão bem em redes wireless como em redes com fio. (MORIMOTO,

2010)

802.11i - Esse padrão foi desenvolvido para se ter melhor mecanismos de

segurança e privacidade em redes sem fio. Utiliza o protocolo WPA e o WPA2, que

usa como principal característica o algoritmo criptográfico Advanced Encryption

Standard (AES). (MORIMOTO, 2010)

802.11n - Também é conhecido como World Wide Spectrum Effiency

(WWSE), seu principal foco é no aumento de velocidade com o intuito de aumentar a

taxa de transmissão acima de 200Mbps. Sua principal mudança em relação aos

padrões atuais diz respeito à modificação de OFDM, conhecida como Multiple Input,

Multiple Out-OFDM (MIMO-OFDM), ou seja, entrada e saídas múltiplas. Além disso,

foi incluída também a codificação de Forward Error Correction (FEC), intercalação e

mapeamento de Quadrature Amplitude Modulation (QAM), para manter os custos

23

reduzidos e facilitar a compatibilidade com versões anteriores. (MORIMOTO, 2010)

Sinas de radiofrequência são utilizados pelos mais variados tipo de serviços,

que vão desde as infra-estruturas comercias, até as de uso militar, passando por

serviços comunitários e de rádio amador. Sempre que se fala de frequência de rádio,

tem em mente que um sinal será propagado no espaço por alguns centímetros ou

por vários quilômetros. A distância percorrida está diretamente ligada às frequências

do sinal. (RUFINO, 2005)

1.4.1 Canais

Assim a radiofrequência é dividida em faixas, que são intervalos reservados,

normalmente para um determinado tipo de serviço, definido por convenções

internacionais ou por agências reguladoras. Uma faixa é subdividida em frequências

menores, para permitir a transmissão em paralelos de sinais diferentes em cada uma

delas. Essas frequências menores ou sub-frequências são chamadas de canais,

como por exemplo, canais de rádios e de televisão. (RUFINO, 2005)

1.4.2 Banda de Radiofrequência Publica

Há pelo menos três diferentes segmentos de radiofrequência que podem ser

usados sem a necessidade de obter licença da agência reguladora governamental,

que no caso do Brasil esse órgão é a Anatel. Esses segmentos foram reservados

para uso publico como industrial científico e médico Industrial, Scientific e Medical

(ISM) por tanto podem ser utilizados de maneira irrestrita por qualquer aplicação que

se adapte a uma dessas categorias. (RUFINO, 2005)

As frequências disponíveis em cada uma das três faixas são:

Frequência 2,4 GHz – utilizada por uma grande quantidade de equipamentos

e serviços, como é utilizada por aparelhos de telefone sem fio, Bluetooth, forno

micro-ondas e pelos padrões 802.11b e 802.11g em virtude disso se diz que é

poluída ou suja. (RUFINO, 2005)

Frequência 5 Ghz – Por exemplo no Brasil, existem outras faixas reservadas

1.4 FREQUÊNCIAS

24

para ISM (tais como 24-24,25 GHz e 61 – 61,5 GHz). Entretanto a faixa de 5,725-5,

825 GHz está alocada para uso militar, o que deixa restrito a comercialização de

produtos que se utilizam dela. O que diferencia essa faixa de frequência das outras

é seu alcance do sinal, o que tanto pode ser um problema em ambientes amplos

como uma vantagem adicional quando não se deseja que o sinal atinja áreas muito

maiores que as necessárias para o funcionamento dos equipamentos da rede.

(RUFINO, 2005)

Frequências licenciadas – Acima de tudo algumas soluções de redes sem fio

(Wireless) optam por utilizar faixas de radiofrequência e, antes de mais nada que

tenham maior alcance. Quer dizer que para utilizar essas aplicações, o fornecedor

da solução deve requerer da agencia reguladora autorização. O padrão 802.16a

(Wimax), utiliza a faixa de 2 a 11 GHz e pode atingir 50 km a uma velocidade de 10

a 70 Mb. Os fornecedores de telefonia móvel (celulares) no padrão GSM utilizam, no

Brasil, a faixa de 1,8 GHz. (RUFINO, 2005)

Portanto a faixa de frequência licenciada requer regulamentação assim ela

terá prioridade de usar esta faixa numa região específica, já que é fiscalizada de

tempos em tempos, diminui a probabilidade que alguma outra entidade possa usar.

Isto é, a operadora tem um controle maior sobre a qualidade do serviço prestado.

(RUFINO, 2005)

Neste capitulo foram abordados aspectos gerais de rede de computadores e

de redes wireless.

No próximo capitulo serão abordados assuntos referentes à segurança de

redes, seus problemas e suas medidas se segurança.

25

2 SEGURANÇA DE REDES DE COMPUTADORES

A segurança em redes de computadores é um assunto muito amplo e inclui

inúmeros tipos de problemas. Em sua forma mais simples a segurança se preocupa

em garantir que outras pessoas mal intencionadas não leiam, modifiquem ou envie

dados importantes a outros destinatários. (TANENBAUM, 2003)

Segurança certamente é um dos assuntos mais importantes quando falamos sobre redes de computadores – afinal não queremos nenhum bisbilhoteiro acessando nossos dados ou um vândalo destruindo o nosso trabalho. (TORRES, 2009, p. 492)

A segurança de redes não é muito diferente da segurança do mundo “real”,

pois não depende só da tecnologia usada para evitar acessos não autorizados e

ataques, assim como também de nada adianta colocar uma tranca de ultima

geração na porta da frente se a do fundo estiver desprotegida ou mesmo colocar um

dispositivo de segurança na rede se ele não for configurado corretamente.

(TORRES, 2009)

Segundo Tanenbaum (2003) a maior parte dos problemas de segurança é

causada por pessoas que tentam obter benefícios para chamar a atenção ou

prejudicar alguém. Alguns tipos de invasores mais comuns estão na tabela 2.1.

Tabela 2.1 – Tipos de invasores

Fonte: Tanenbaum, 2003, p. 543

De acordo com Tanenbaum (2003) os problemas das seguranças das redes

podem ser divididos em quatro áreas interligadas:

Sigilo: Está relacionado ao fato de manter as informações fora do alcance de

26

usuários não autorizados.

Autenticação: Cuida do processo de identificar com quem você esta se

comunicando antes de passar informações importantes ou entrar em uma transação

comercial.

Não repúdio: Trata de assinaturas, como provar que seu cliente fez realmente

o pedido eletrônico e confirmar seu preço correto.

Controle de integridade: Certifica que uma mensagem recebida é realmente

verdadeira e não algo como informações modificadas ou vírus. (TANENBAUM,

2003)

Os tipos de ameaças são qualquer ação que compromete a segurança da

informação.

2.1.1 Exploits

Este é um termo usado para descrever pequenos utilitários ou exemplos de

código que podem ser usados para explorar vulnerabilidades especificas. Eles

podem ser usados diretamente, quanto serem incorporados em vírus, cavalos de

tróia, ferramenta de detecção de vulnerabilidades e outros tipos de programas. O

Nessus, por exemplo, é um utilitário de detecção de vulnerabilidade, durante o teste

ele verifica se o programa está ativo e, caso esteja, simula um ataque contra ele,

com isso, é possível verificar se a versão utilizada é vulnerável. (MORIMOTO, 2010)

2.1.2 Trojan

O Trojan é conhecido como cavalo de tróia, é uma forma de invadir um

computador e fazer com que o próprio usuário execute um programa, ou acesse

uma página web que se aproveite da vulnerabilidades do navegador. Os Trojans

podem instalar um Backdoor também conhecido como porta dos fundos, é uma falha

na segurança que permite fazer acesso remoto no micro, ou instalar um Keytrap que

é um programa que monitora toda a atividade do teclado para capturar senhas e

outras informações digitadas. (MORIMOTO, 2010)

2.1 TIPOS DE AMEAÇAS

27

Embora os trojans sejam mais comuns no Windows, existem também Trojans

para Linux, o tipo mais perigoso são os Rootkits, ele tenta obter privilégios de root na

maquina afetada podendo assumir o controle da maquina mesmo se executado

usando uma conta normal de usuário. (MORIMOTO, 2010)

2.1.3 Eavesdropping

Em conexões que utiliza algoritmos fracos, pode ser que um atacante consiga

capturar os dados transmitidos dentro da área de alcance através da rede caso

tenha acesso à mídia, com isso, é possível obter senhas e outras informações

confidenciais.

Redes wireless sem encriptação ou que ainda utilizam o WEP são alvos

fáceis, pois bastaria conectar um notebook dentro da área de alcance do ponto de

acesso para capturar as transmissões. (MORIMOTO, 2010)

2.1.4 Phishing

Ataques de Phishing utilizam engenharia social para tentar levar o usuário a

revelar informações confidenciais, e usa de truques antigos como enviar e-mails que

simula um contato de banco ou de alguma loja que o usuário seja cliente e um tipo

de recadastramento solicitando assim senha atual com o cadastro de uma nova

senha. (MORIMOTO, 2010)

De acordo com Morimoto (2010) é possível coletar informações em redes

sociais que altera links em sites de forma a encaminhar os visitantes a sites forjados

e solicitar login e senha e depois exibir uma mensagem que informa que o site esta

em manutenção.

2.1.5 Denial of Service (DoS)

Os Denial of Service (DoS), ou ataque de negação de serviço são feitos com

o objetivo de tornar o sistema indisponível, já que eles podem ser lançados contra

qualquer host conectado a Internet. Não é necessário que os serviços com

vulnerabilidades de segurança estejam ativos, pois é possível tornar um servidor

web indisponível enviando um grande volume de requisições, para acesso às

28

páginas hospedadas. Se o servidor não possuir nenhum tipo de filtro ou regra de

firewall ele simplesmente passara a tentar responder todas as requisições fazendo

com que ele deixe de responder a requisições de usuários validos. (MORIMOTO,

2010)

O tipo mais conhecido de ataque Dos é o Distributed Denial of Service

(DDoS), onde o ataque é lançado e usa centenas ou milhares de hosts (situados em

locais diferentes) simultaneamente. (MORIMOTO, 2010 p. 395)

O ataque de DDoS é difícil de conter, pois é necessário bloquear as

requisições de cada um dos endereços usados antes que cheguem ao servidor.

Para lançar esse tipo de ataque é necessário um número grande de máquinas, que

precisam ser invadidas previamente e usa vulnerabilidades diversas, onde os hosts

controlados são chamados de “zumbis” (zombie computers) e continua a

desempenhar suas tarefas de forma aparentemente normal, até que sejam usadas

em ataques. (MORIMOTO, 2010)

Figura 2.1 - Hierarquia de botnets em ataques DDoS Fonte: Alecrim ,2012

Uma forma de ataque bastante comum faz uso de botnets, um tipo de rede

formada por computadores infectados que pode ser controlada remotamente pelo

atacante. Nesta forma de ataque, é comum o uso de computadores domésticos,

Quando o computador passa a fazer parte de uma botnet, esta máquina pode ser

chamada de “zumbis”. Após a contaminação, os "zumbis" podem entrar em contato

29

com máquinas "mestres", que por sua vez recebem orientações de um computador

"atacante" Um computador "mestre" pode ter sob sua responsabilidade até milhares

de computadores. A hierarquia de botnets está na figura 2.1. (ALECRIM, 2012)

No momento em que de obter o controle de um numero suficiente de

maquinas, basta alguns comandos para fazer com que o ataque seja lançado, assim

é possível derrubar qualquer servidor conectado a uma grande rede. (MORIMOTO,

2010)

Os tipos de defesas são qualquer mecanismo projetado para detectar,

prevenir ou recuperar de ataques de segurança.

2.2.1 Criptografia

O termo criptografia surgiu da fusão das palavras gregas "kryptós" e

"gráphein", que significa "oculto" e "escrever", respectivamente. Trata-se de um

conjunto de conceitos e técnicas que visa codificar uma informação de forma que

somente o emissor e o receptor possam acessá-la, evitando que um intruso consiga

interpretá-la. Para isso, uma série de técnicas é usada e muitas outras surgem com

o passar do tempo. (ALECRIM, 2009)

Figura 2.2 - Criptografia Fonte: Alecrim, 2009

O código mais sucedido já inventado foi usado pelas forças armadas dos

Estados Unidos durante a Segunda Guerra Mundial no Pacifico. Historicamente,

quatro grupos de pessoas desfrutaram e contribuíram para a arte de criptografia: os

militares, os diplomatas, as pessoas que gostam de guardar memórias e os

amantes.

2.2 TIPOS DE DEFESAS

30

Entre esse grupo teve em destaque os militares por definir bases para a

tecnologia. (TANENBAUM, 2003)

Segundo Tanenbaum (2003) até o surgimento dos computadores, umas das

restrições impostas à criptografia era a habilidade do auxilio de criptografia gerar as

transformações necessárias já que os equipamentos eram poucos.

As mensagens a serem criptografadas, conhecidas como texto simples (plain text),

são transformadas por uma função que é parametrizada por uma chave. Em

seguida, a saída do processo de criptografia, conhecido como texto cifrado (cipher

text), é transmitida, normalmente através de um mensageiro ou por radio.

Presumimos que o inimigo, ou intruso, ouça e copia cuidadosamente o texto

cifrado completo. No entanto, ao contrario do destinatário pretendido, ele não

conhece a chave para descriptografar o texto e, portanto, não pode fazê-lo com

muita facilidade. (TANENBAUM, 2003)

Às vezes, o intruso pode não só escutar o que se passa no canal de

comunicação (intruso passivo), como também pode gravar mensagens e reproduzi-

las mais tarde, injetar suas próprias mensagens ou modificar mensagens legitimas

antes que elas cheguem ao receptor (intruso ativo). A arte de solucionar mensagens

cifradas e chamadas criptoanalise. A arte de criar mensagens cifradas (criptografia)

e solucioná-las (criptoanalise) e chamada coletivamente criptologia. Uma regra

fundamental da criptografia e que se deve supor que o criptoanalista conheça os

métodos genéricos de criptografia e descriptografia que são utilizados.

(TANENBAUM, 2003)

Atualmente as técnicas mais conhecidas envolvem o conceito de chaves, as

chamadas chaves criptográficas. Trata-se de um conjunto de bits baseado em um

determinado algoritmo capaz de codificar e de decodificar informações. Se o

receptor da mensagem usar uma chave incompatível com a chave do emissor, não

conseguirá extrair a informação. (ALECRIM, 2009)

Há dois tipos de chaves criptográficas: chaves simétricas e chaves assimétricas.

Chave simétrica

Esse é um tipo de chave mais simples, onde o emissor e o receptor fazem

uso da mesma chave, isto é, uma única chave é usada na codificação e na

decodificação da informação.

O uso de chaves simétricas tem algumas desvantagens, fazendo com que

sua utilização não seja adequada em situações onde a informação é muito valiosa.

31

Para começar, é necessário usar uma grande quantidade de chaves caso muitas

pessoas ou entidades estejam envolvidas.

Ainda, há o fato de que tanto o emissor quanto o receptor precisam conhecer

a mesma chave. A transmissão dessa chave de um para o outro pode não ser tão

segura e cair em "mãos erradas". (ALECRIM, 2009)

Chave assimétrica

Também conhecida como "chave pública", a chave assimétrica trabalha com

duas chaves: uma denominada privada e outra denominada pública. Neste método,

um emissor deve criar uma chave de codificação e enviá-la ao receptor. Essa é a

chave pública. Uma outra chave deve ser criada para a decodificação. Esta, a chave

privada, é secreta. (ALECRIM, 2009)

2.2.2 Certificado Digital

A internet permite que indivíduos, empresas, governos e outras entidades

realizem uma série de procedimentos e transações de maneira rápida e precisa.

Com isso é possível fechar negócios, emitir ou receber documentos, acessar ou

disponibilizar informações sigilosas, diminuir processos burocráticos, entre outros.

No entanto, da mesma forma que os computadores oferecem meios para tudo isso,

podem também ser usados para fraudes, o que significa que tais operações, quando

realizadas por vias eletrônicas, precisam ser confiáveis e seguras. A certificação

digital é capaz de atender a essa necessidade.

Por tanto certificação digital é um tipo de tecnologia de identificação que

permite que transações eletrônicas dos mais diversos tipos sejam realizadas

considerando sua integridade, sua autenticidade e sua confidencialidade, de forma a

evitar que adulterações, captura de informações privadas ou outros tipos de ações

indevidas ocorram. Ele funciona com base em um documento eletrônico chamado

certificado digital e em um recurso denominado assinatura digital.

A assinatura digital é um mecanismo eletrônico que faz uso de criptografia,

mais precisamente, de chaves criptográficas. (ALECRIM, 2011)

Este método considera dois importantes aspectos: confidencialidade e autenticidade.

Resumidamente, o primeiro consiste em fazer com que a informação esteja

acessível somente a pessoas ou organizações autorizadas. O segundo, em fornecer

a certeza de que a informação provém da origem e forma esperadas, de forma que o

32

receptor reconheça isso.

Um exemplo de uso de certificados digitais vem dos bancos. Quando uma

pessoa acessa sua conta corrente pela internet, certificados digitais são usados para

garantir ao cliente que ele está realizando operações financeiras com o seu banco.

Se o usuário clicar no ícone correspondente no navegador de internet, poderá obter

mais detalhes do certificado. Se algum problema ocorrer com o certificado - prazo de

validade vencido, por exemplo -, o navegador alertará o usuário.

É importante frisar que a transmissão de certificados digitais deve ser feita por

meio de conexões seguras, como as que usam o protocolo Secure Socket Layer

(SSL), que é próprio para o envio de informações criptografadas.

Para que possa ser aceito e utilizado por pessoas, empresas e governos, os

certificados digitais precisam ser emitidos por entidades apropriadas. Sendo assim,

o primeiro passo é procurar uma Autoridade Certificadora (AC) ou uma Autoridade

de Registro (AR) para obter um certificado digital. Uma AC tem a função de associar

uma identidade a uma chave e inserir esses dados em um certificado digital. Para

tanto, o solicitante deve fornecer documentos que comprovem sua identificação. Já

uma AR tem uma função intermediária, já ela pode solicitar certificados digitais a

uma AC, mas não pode emitir esse documento diretamente. (ALECRIM, 2011)

2.2.3 Firewalls

Firewalls é uma coleção de regras que são aplicados ao trafego de rede, ele

bloqueia a passagem de pacotes não confiáveis, deixando passar somente os

pacotes confiáveis. Ele também limita o acesso a determinadas portas e a

determinados endereços da rede. (MORIMOTO, 2010)

De acordo com Morimoto (2010) o firewall trabalha verificando os endereços

de origem e de destino dos pacotes a portas que são destinadas e o status das

conexões. Ele não é destinado a verificar vírus, Trojans, Phishing e outros ataques

similares, para esses temos os antivírus, que trabalham verificando o conteúdo dos

arquivos acessados.

A sua tradução Parede de fogo deixa claro que o firewall se enquadra em

uma espécie de barreira de defesa. (ALECRIM, 2013)

33

Figura 2.3 - Representação básica de um Firewall Fonte: Alecrim, 2013. O trabalho de um firewall pode ser realizado de várias formas. O que define

uma metodologia ou fatores como critérios do desenvolvedor, necessidades

específicas do que será protegido, características do sistema operacional, estrutura

da rede e assim por diante. Por isso que podemos encontrar mais de um tipo de

firewall. A seguir, os mais conhecidos. (ALECRIM, 2013)

Filtragem de pacotes (packet filtering)

As primeiras soluções de firewall surgiram na década de 1980 baseando-se

em filtragem de pacotes de dados, uma metodologia mais simples e, por isso, mais

limitada, embora ofereça um nível de segurança significativa. Para compreender, é

importante saber que cada pacote possui um cabeçalho com diversas informações

ha seu respeito, como endereço IP de origem, endereço IP do destino, tipo de

serviço, tamanho, entre outros.

O Firewall então analisa estas informações de acordo com as regras

estabelecidas para liberar ou não o pacote, podendo também executar alguma tarefa

relacionada, como registrar o acesso ou tentativa de em um arquivo de log que é um

arquivo que guarda informações sobre um programa, como mensagens de erros por

exemplo. (ALECRIM, 2013)

Figura 2.4 - Filtragem de Pacotes com o Firewall Fonte: Alecrim, 2013.

34

� Filtragem estática e dinâmica

É possível encontrar dois tipos de firewall de filtragem de pacotes. O primeiro

utiliza o que é conhecido como filtros estáticos, enquanto que o segundo é um pouco

mais evoluído, utilizando filtros dinâmicos.

Na filtragem estática, os dados são bloqueados ou liberados meramente com

base nas regras, não importando a ligação que cada pacote tem com outro. A

princípio, esta abordagem não é um problema, mas determinados serviços ou

aplicativos podem depender de respostas ou requisições específicas para iniciar e

manter a transmissão. É possível então que os filtros contenham regras que

permitem o tráfego destes serviços, mas ao mesmo tempo bloqueiem as respostas

ou requisições necessárias, impedindo a execução da tarefa.

Na filtragem os filtros consideram o contexto em que os pacotes estão

inseridos para criar regras que se adaptam ao cenário, permitindo que determinados

pacotes trafeguem, mas somente quando necessário e durante o período

correspondente. Desta forma, as chances de respostas de serviços serem barradas,

por exemplo, cai consideravelmente. (ALEGRIM, 2013)

� Firewall de aplicação ou proxy de serviços (proxy services).

O firewall de aplicação, também conhecido como proxy de serviços ou apenas

proxy é uma solução de segurança que atua como intermediário entre um

computador ou uma rede interna e outra rede externa, normalmente a internet,

instalados em servidores potentes por precisarem lidar com um grande número de

solicitações, firewalls deste tipo são opções de segurança porque não permitem a

comunicação direta entre origem e destino.

Figura 2.5 – Firewall de aplicação – Proxy services Fonte: Alecrim, 2013. Na imagem 2.5 há um equipamento entre ambos que cria duas conexões:

35

entre a rede e o proxy e entre o proxy e a internet, ao invés da rede interna se

comunicar diretamente com a internet. (ALECRIM, 2013)

Perceba que todo o fluxo de dados necessita passar pelo proxy. Desta forma,

é possível, por exemplo, estabelecer regras que impeçam o acesso de determinados

endereços externos, assim como que proíbam a comunicação entre computadores

internos e determinados serviços remotos.

A implementação de um proxy não é tarefa fácil, haja visto a enorme

quantidade de serviços e protocolos existentes na internet, fazendo com que,

dependendo das circunstâncias, este tipo de firewall não consiga ou exija muito

trabalho de configuração para bloquear ou autorizar determinados acessos.

Os firewalls são soluções importantes de segurança, surgiram na década de

1980 e são amplamente utilizados até os dias de hoje. Porém, um firewall não é

capaz de proteger totalmente uma rede ou um computador, razão pela qual deve

ser utilizado em conjunto com outros recursos, como antivírus, sistemas de detecção

de intrusos, entre outros. (ALECRIM, 2013)

Neste capitulo foi explicado à importância da segurança e alguns dos tipos de

ataques e defesas da rede de computadores.

No próximo capitulo serão abordados alguns mecanismo de segurança de

redes sem fio, com enfoque nos controles de acesso físico e lógico e os protocolos

de segurança de redes sem fio.

36

3 MECANISMO DE SEGURANÇA EM REDES WIRELESS

Sobretudo um dos grandes problemas em uma rede wireless é que os sinais

são transmitidos pelo ar, não existe como impedir que o sinal se propague

livremente, de forma que a única forma eficaz de proteção é encriptar toda a

transmissão, fazendo com que a as informações capturadas não tenham serventia.

A maioria das redes já utilizam algum tipo de proteção, seja através do uso do WEP

ou da Wireless WPA, seja através de uma lista de acesso dos endereços MAC

autorizados a se conectar a rede.

As maiorias dos pontos de acesso utilizam antenas de 2 ou 2.2 dBi e as

placas wireless utilizam em geral antenas ainda menos sensíveis. O alcance

divulgado pelos fabricantes é calculado com base no uso das antenas padrão. Ao

utilizar uma antena apropriada, o sinal de um ponto de acesso colocado perto de

uma janela pode ser captado de 1,2 ou até mesmo três quilômetros de distancia em

lugares onde não existam obstáculos pelo caminho. Qualquer pessoa com um

computador próximo a uma antena de alto ganho pode conseguir captar o sinal da

rede e se conectar, tendo acesso à conexão com web, além de arquivos e outros

recursos que tenha compartilhamento pela rede. (MORIMOTO, 2010)

A proteção aos recursos de computacionais inclui desde aplicativos e

arquivos de dados até equipamentos, utilitários e o próprio sistema operacional.

Os controles de acesso, físicos e lógicos, têm como objetivo proteger esses recursos

computacionais contra perda, modificação ou divulgação não autorizada.

(PINHEIRO, 2004).

3.1.1 Segurança Física

A segurança física está diretamente relacionada aos aspectos associados ao

acesso físico a recursos de informações, tais como disponibilidade física, sejam

esses recursos ás próprias informações, seus meios de suporte e armazenamento

ou mecanismo de controle de acesso ás informações (PINHEIRO, 2004).

O controle do acesso físico às instalações é um aspecto particularmente

3.1 CONTROLES DE ACESSO

37

importante da segurança física. Os acessos de visitantes, clientes e outras pessoas

não envolvidas com a operação do sistema devem ser feitos com restrições.

Podemos definir três ambientes no que se refere à segurança física, conforme

mostra a Figura abaixo:

Figura 3.1 – Ambiente de segurança Física. Fonte: Pinheiro, 2013.

� Ambiente Global de Segurança: área sobre a qual a organização mantém

alguma forma de controle ou influência, tal como áreas vizinhas ao local da

rede de computadores;

� Ambiente Local de Segurança: salas adjacentes ao local da rede de

computadores. O controle de entrada e saída deste ambiente deve ser feito

de acordo com as medidas necessárias previamente estabelecidas na política

de segurança da organização. Dentro deste ambiente podem existir diferentes

regiões com controles de acesso distintos;

� Ambiente Eletrônico de Segurança: sala onde se localiza efetivamente a

instalação computacional e seus equipamentos periféricos. Os recursos a

serem protegidos e que se encontram no ambiente eletrônico de segurança

são servidores, impressoras, terminais, roteadores, scanners, etc. O acesso

aos ambientes pode ser feito por intermédio de controles explícitos e de

controles de regulamentação de acesso. Os controles explícitos são

38

representados por fechaduras mecânicas e eletrônicas, câmeras de vídeo,

alarmes e guardas de segurança. Os controles de regulamentação ao acesso

são constituídos por senhas, cartões magnéticos ou sistemas biométricos.

(PINHEIRO, 2004).

Uma boa infraestrutura não garante por si só a segurança física,

componentes de má qualidade certamente poderá proporcionar danos elevados. Por

esse motivo deve sempre ser observado qualquer tipo de ameaças presentes e que

às vezes passam despercebidas, tais como: riscos de incêndios, desabamentos,

inundações e alagamentos, falhas na rede elétrica, sistemas de fornecimento de

energia ininterrupto, sistemas de alarmes, circuitos internos de televisão,

monitoramento e controle de acesso dentre outras, devem ser adotadas utilizando-

se componentes adequados. (PINHEIRO, 2004)

3.1.2 Segurança Lógica

Considerando que o controle de acesso físico não é suficiente para garantir a

segurança das informações, é necessário o controle de acesso lógico,

representados por medidas de segurança com a finalidade de impedir acessos não

autorizados ao sistema.

Os controles de acesso lógicos envolvem o fornecimento da identificação do

usuário e de senha que serve de autenticação, provando ao sistema que o indivíduo

é realmente quem diz ser.

O principal objetivo desse controle é que apenas usuários autorizados tenham

acesso aos recursos da rede, e para cumprir esse objetivo os controles de acesso

lógicos devem atender a procedimentos formais que contemplem todo o ciclo de

vida do acesso do usuário, desde seu registro inicial, o gerenciamento dos

privilégios e senhas, a exclusão. Estes procedimentos devem estar em

conformidade com a política de disseminação da informação. (PINHEIRO, 2004).

A autenticação é o modo de provar a própria identidade a alguém. Com os

seres humanos a varias formas de provar essa autenticação como, comparar uma

foto, pela voz ao telefone e outros meios e assim acontece quando uma rede de

3.2 AUTENTICAÇÃO

39

computador se comunica co outra rede, é preciso que uma autenticação aconteça

para que a transferência de dados acorra de forma segura e que não foi alvo de

mutações ao longo de um processo. (KUROSE, 2006)

O modo mais simples de se compreender como funciona uma autenticação

na rede é imaginar um usuário A enviando uma mensagem para o usuário B, o

protocolo de autenticação vai se encarregar de que um terceiro usuário não penetre

na rede e faça a alterações dessa mensagem como mudar a identificação de seu

remetente ou modificar o conteúdo da mensagem. (KUROSE, 2006)

3.2.1 Métodos de autenticação

O padrão IEEE 802.11 especifica dois métodos de autenticação são eles o de

sistema aberto e autenticação de chave compartilhada. Entre esses três métodos o

mais seguro e simples é a autenticação de sistema aberto. Durante o processo de

autenticação o usuário deve passar por varias etapas para autenticar suas

informações, com variações de um método para o outro. (FARIAS, 2006)

3.2.2 Autenticação de sistema aberto

Autenticação de sistema aberto é o método usado nos equipamentos

Wireless. Dessa forma usando esse método uma estação pode se associar com

qualquer Access Point (AP) que também usem o método. Este método de

autenticação é baseado no Service Set IDentifier (SSID), para que isso ocorra basta

que a estação e o AP tenham o mesmo Service Set IDentifier (SID) para que a

autenticação ocorra. O processo de autenticação de sistema aberto é usado de

forma muito eficaz tanto em ambientes seguros quanto não seguros. (FARIAS,

2006)

Como o processo ocorre:

O cliente faz um pedido para se associar ao AP, e o AP toma conhecimento

desse pedido, envia uma resposta positiva e autentica o cliente. Conforme ilustração

da figura 3.2.

É possível também usar a opção WEP para criptografar o processo de

autenticação. Porém a criptografia não é feita durante o processo de autenticação

em si, ou seja, a chave WEP não é verificada por ambos os lados durante a

40

autenticação, mas para criptografar os dados depois que o cliente já estiver

autenticado e associado.

Este método de autenticação é usado em diversos cenários, mas há duas razões

principais para isso:

� É considerado o mais seguro dos dois métodos disponíveis.

� Já é usado por padrão nos dispositivo wireless, o que não requer

configuração adicional. (FARIAS, 2006)

Figura 3.2 - Processo de autenticação de sistema aberto Fonte: Farias, 2006.

3.2.3 Autenticação de chave compartilhada

Nesse método o uso do WEP é obrigatório já que se usam chaves tanto no

cliente quanto no AP e ambos devem utilizar as mesmas para que o WEP possa

operar. Lembrando que essas chaves são configuradas manualmente.

Como o processo ocorre: O usuário faz uma solicitação de associação ao AP,

esse processo ocorre da mesma forma da autenticação de sistema aberto.

O AP encaminha uma pergunta ao usuário. Então essa pergunta gera um texto

aleatório e envia ao cliente de forma de texto puro.

O cliente responde a essa pergunta. A chave WEP do cliente é usada para

criptografar a pergunta e por fim a mesma é enviada já codificada de volta ao AP.

41

Por fim AP retorna a resposta do cliente, após isso a resposta codificada

encaminhada pelo cliente é decodificada usando a chave WEP do AP, caso o cliente

tenha a mesma chave o AP responderá positivamente e autenticará o cliente, caso a

chave não for correta o respondera negativamente e não será feita a autenticação

do usuário. (FARIAS, 2006)

Segurança da autenticação: esse processo não é considerado seguro, pois o

AP transmite a pergunta em texto puro e recebe a mesma pergunta codificada com a

chave WEP. Isso permite a um hacker usar um sniffer para ver ambos a pergunta

em texto puro e a pergunta codificada. De posse desses dois valores, um programa

cracker poderia ser usado para gerar a chave WEP. Uma vez obtida à chave WEP, o

hacker em questão poderia descriptografar o tráfego codificado. Por essa razão a

autenticação de sistema aberto é mais seguro que a de chave compartilhada.

É importante ressaltar que nenhum dos dois métodos é realmente seguro, e,

portanto uma solução de segurança mais completa seria importante e necessária.

(FARIAS, 2006)

Figura 3.3 - Processo de autenticação de chave compartilhada. Fonte: Farias, 2006

42

3.2.4 Certificados e Shared Secrets

São strings de números ou texto que são referidos como chave WEP.

Certificados são outro método de identificação do usuário, usados em redes

wireless. Do mesmo modo que chaves WEP, são colocadas na máquina cliente.

Essa colocação é feita de uma forma que quando o usuário deseja autenticar

com a rede wireless, o mecanismo de autenticação já se encontra na máquina

cliente. (FARIAS, 2006)

3.2.5 Protocolos de autenticação emergentes

Existem novas soluções de segurança de autenticação e protocolos no

mercado de hoje em dia, incluindo VPN, 802.1x usando EAP (Protocolo de

autenticação extensível).

Muita dessas soluções de segurança envolve a passagem da autenticação

por servidores de autenticação que por sua vez repassam a autorização ao AP,

enquanto o cliente fica aguardando por essa autorização durante a fase de

autenticação. (FARIAS, 2006)

3.2.6 802.1x e EAP

O padrão 802.1x é um modo mais recente, e os dispositivos que o suportam

tem a habilidade de permitir a conexão para a rede na camada 2, somente se a

autenticação do usuário for bem sucedida. A autenticação do usuário é realizada

usando um servidor Remote Authentication Dial In User Service (RADIUS) e algum

tipo de base de dados de usuários (RADIUS, NDS, Active Directory, LDAP) para

validação dos mesmos. O novo padrão 802.1i, também conhecido como WPA,

inclue suporte a 802.1x, EAP, AAA, autenticação mútua e geração de chave.

No modelo 802.1x padrão a autenticação da rede consiste de três partes: o

requerente (cliente), o autenticador (ponto de acesso) e o servidor de autenticação

RADIUS. (FARIAS, 2006)

Como a segurança de uma rede Wireless Local Area Network (WLAN) é

indispensável, a autenticação EAP fornece meios para assegurar uma conexão

WLAN. Conhecer esse tipo de autenticação EAP é importante no entendimento das

43

características do método de autenticação que está sendo utilizado, que são eles:

senhas, geração de chave, autenticação mutua e protocolos. Porém é importante

lembrar que somente o uso do EAP não é suficiente para estar bem protegido, são

necessários escolher o tipo de EAP que será usado. Alguns dos tipos de

autenticação EAP mais comuns são:

� EAP-MD-5 Challenge – Um dos mais antigos tipos de autenticação, seu papel

é duplicar a proteção de senha CHAP em uma WLAN.

� EAP-Cisco Wireless – Esse tipo também pode ser chamado de LEAP, ele é

usado somente em Automatic Protection Switching (APS) Cisco. LEAP

proporciona segurança durante a troca de credenciais, por fim criptografa os

dados transmitidos usando chaves WEP dinâmicas e suporta autenticação

mutua.

� EAP-TLS – Esse processo é baseado no uso de certificados, ele oferece a

autenticação mutua do cliente e da rede. EAP-TLS confia nos certificados do

lado cliente e do servidor para realizar a autenticação usando chaves WEP

geradas dinamicamente baseadas na sessão e no usuário para proteger a

conexão.

� EAP-TTLS – É uma extensão do EAP-TLS, é necessário apenas certificados

no lado do servidor, alem de suportar vários tipos de senhas de modo que

pode usar com sistemas de autenticação existentes tais como: Active

Directory e NDS. Encapsula dentro de túneis a autenticação do cliente dentro

do EAP-TLS garantindo que o usuário permaneça anônimo no link wireless.

Chaves WEP são geradas e distribuídas dinamicamente para proteger a

conexão do usuário.

� EAP-SRP – Esse protocolo é baseado em troca de chaves seguras e senha.

Também é capaz de solucionar problemas de autenticar o cliente com o

servidor de um modo seguro em situações que o usuário deve memorizar

uma pequena senha e não carregar nenhum tipo de informação secreta. Ou

seja, o servidor carrega um verificador para cada usuário que permite a ele

autenticar o cliente. Caso o verificador encontre um hacker em seu caminho

não será possível a ele se passar pelo cliente já que o Secure Remote

Password Protocol (SRP) e baseado em criptografia forte o que permite

ambas as partes fazer a comunicação de forma segura. (FARIAS, 2006)

44

Figura 3.4 - Processo de autenticação usando EAP Fonte: Farias, 2006

O RADIUS é um protocolo que utiliza o conceito AAA para gerir o acesso à

rede, este conceito refere-se aos processos de autenticação e autorização e

contabilização (accounting). É normalmente usado para gerir e tornar mais seguro o

acesso à Internet ou a redes internas. (ANTUNES, 2009)

O protocolo RADIUS baseia-se no modelo cliente/servidor, tendo de um lado

o Network Access Server (NAS) como cliente e do outro o servidor RADIUS. O

usuário, o NAS e o servidor trocam mensagens entre si quando o cliente ou

utilizador pretende autenticar para utilizar um determinado servidor de rede. O NAS

é responsável por adquirir todos os dados do cliente, que normalmente são nome e

senha e enviá-los para o servidor RADIUS através de um pedido de acesso que se

designa de Access-Request. Este é também responsável por processar respostas

vindas do servidor RADIUS. (ANTUNES, 2009)

O servidor ao receber um pedido de acesso tenta a autenticação do cliente,

enviando de seguida a resposta para o NAS contendo um Access-Reject caso o

acesso lhe seja negado ou, caso o acesso seja aceite contendo Access-Accept, ou

caso seja pedida uma nova confirmação contendo Access-Challenge. Após

autenticação, são comparados e verificados alguns dados do pedido de modo a que

3.3 RADIUS

45

o servidor determine qual o grau de acesso que pode ser dado a este utilizador que

foi autenticado. A figura 3.5 ilustra o funcionamento do Radius.

Figura 3.5 - Processo de autenticação do RADIUS Fonte: Antunes, 2009

Existem no mercado muitas soluções para servidores RADIUS. O

freeRADIUS é o servidor RADIUS mais utilizado para sistemas Linux. Este é

responsável pela autenticação de pelo menos um terço dos utilizadores na Internet.

Os restantes utilizadores encontram-se divididos entre os restantes servidores,

destacando-se entre eles o Cisco Access Control Server (ACS) e o Microsoft Internet

Authentication Service (IAS). (ANTUNES, 2009)

3.3.1 FreeRADIUS

O freeRADIUS é uma implementação de RADIUS modular, de alta

performance e rica em opções e funcionalidades. Esta inclui servidor, cliente,

bibliotecas de desenvolvimento e muitas outras utilidades. Pode ser instalada em

sistemas Linux e Machintosh. (ANTUNES, 2009)

Para o bom funcionamento de uma rede padrão Ethernet ou Wireless, cada

3.4 ENDEREÇAMENTO MAC

46

dispositivo dela deve ter um número único, definido pelo fabricante e controlado pelo

Intitute of Electrical and Electronics Engineers (IEEE). Esse número permite

identificar de forma inequívoca um equipamento em relação a qualquer outro

fabricado no mundo, da mesma ou de outra fabricante.

Esse tipo de informação é facilmente identificado na maior parte dos

equipamentos com interface de rede sem fio. Em sistemas Windows essa

informação pode ser dada pelo comando ipconfig, onde a linha Endereço Físico

indica o endereço MAC dessa interface:

Figura 3.6 – Endereço MAC pelo comando ipconfig Fonte: Elaborada pelas autoras, 2013

Em sistemas Unix, essa informação pode ser dada pelo comando ifconfig,

onde ehert indica o endereço MAC em sistemas, ou em outros casos o nome a ser

mostrado seria simplesmente address.

Uma das formas encontradas para restringir o acesso a uma determinada

rede sem fio é mediante o cadastro prévio dos dispositivos participantes, como o

endereçamento MAC identifica de forma única cada interface de rede, apenas os

dispositivos cadastrados terão acesso permitido.

Esse tipo de mecanismo exigirá sempre alguma manutenção, de acordo com

o fluxo de usuários e interfaces, porem esse tipo de autenticação pode identificar o

equipamento e não o usuário, isso é importante em computadores compartilhados

ou vulneráveis a acessos não autorizados, quer sejam físicos ou remotos.

Por outro lado, essa mesma técnica pode ser utilizada por clientes para

conectar com o concentrador correto, a configuração nesse caso é invertida, em vez

47

de o concentrador selecionar de quais equipamentos aceita conexão, o cliente é

quem configura o endereço MAC do concentrador, dessa maneira, poderá ter

certeza de que está conectando com o concentrador desejado. (RUFINO, 2005)

3.5.1 Wired Equivalent Privacy (WEP)

De acordo com Tanembaum (2003) nas redes IEEE 802.11 o tráfego é

criptografado através da utilização do protocolo WEP, que utiliza uma cifra de fluxo

baseado no algoritmo RC4, uma das vantagens desse algoritmo é a facilidade de

implementação e o baixo consumo de recurso, e foi projetado por Ronald Rivest que

se manteve secreto até vazar e ser publico na Internet em 1994.

Ao padrão 802.11 prescreve um protocolo de segurança do nível de enlace de dados, chamado WEP (Wired Equivalent Privacy), projetado para tornar a segurança de uma LAN sem fio tão boa quanto à de uma LAN fisicamente conectada. (TANEMBAUM, 2003 p. 587)

O algoritmo de criptografia RC4 possui duas funcionalidades básicas: uma

para gerar um "código" que será usado para encriptar e decriptar o Key Scheduler

Algorithm (KSA) e outra para realizar a criptografia propriamente dita da mensagem

com o uso deste código o Pseudo Random Generation Algorithm (PRGA).

A função KSA é responsável por gerar uma permutação pseudo-aleatória do

conteúdo de uma chave secreta. O fato de ela ser pseudo-aleatória se deve à

invariância do valor retornado com relação ao tempo, dependendo apenas do valor

de entrada. Portanto, é necessária a execução desta função apenas uma vez para a

obtenção da permutação que será usada.

A função PRGA, é responsável pela encriptação da mensagem a partir do

valor retornado pelo KSA. Ela consiste basicamente de operações de Ou-Exclusivo

entre a permutação da chave secreta e a mensagem de entrada, retornando uma

mensagem cifrada. A aplicação do PRGA na mensagem cifrada gera a mensagem

original caso a permutação utilizada seja a mesma do processo de encriptação.

A compreensão do funcionamento do mecanismo de encriptação/decriptação

baseia-se no entendimento do algoritmo RC4. Para garantir maior segurança ao

processo, a permutação oriunda do KSA deve ser diferente a cada mensagem

enviada. Para isto, existe um vetor de inicialização pseudo-aleatório que é

recalculado a cada iteração do algoritmo e é acrescido à chave secreta. Como quem

3.5 PROTOCOLOS DE SEGURANÇA DE REDES WIRELESS

48

recebe a mensagem não possui este valor, o mesmo deve ser incluído no texto

cifrado que será enviado. Por fim, existe ainda um mecanismo que provê integridade

ao conteúdo do texto cifrado que é recebido, tendo em vista que o meio de

propagação da mensagem é muito suscetível a erros. (PAIM, 2011)

Figura 3.7 – Diagrama de Blocos do Protoloco WEP Fonte: Paim, 2011

A grande vantagem é a sua simplicidade de implementação, requerendo

poucas operações. Contudo, ele peca no quesito segurança, pelo fato de cada bit de

saída ser uma função apenas do bit de entrada, enquanto no outro é uma função de

todos os bits do bloco original. (PAIM, 2011)

3.5.1.1 Vulnerabilidades do WEP

Existem diversas falhas conhecidas há mais de uma década no protocolo

WEP. Elas são muitas vezes exploradas por pessoas maliciosas que desejam

prejudicar o uso da rede sem fio ou simplesmente obter acesso à Internet. Entre as

falhas mais graves, encontram-se presente no mecanismo de confirmação de

recebimento de quadros WEP, a possibilidade de inundação da rede com quadros

repetidos e a fragilidade do algoritmo RC4.

Dentre os diversos ataques existentes para a obtenção da chave secreta

utilizada no WEP, alguns se destacam pela simplicidade e tempo de execução muito

49

baixos, da ordem de minutos:

� Força Bruta: A chave secreta do WEP possui 40 bits, valor relativamente alto,

mas que, com o uso de ataques de dicionário, isto é, através da utilização de

nomes que são comumente utilizados, torna-se plausível sua execução.

� Conexão: Durante a conexão de um suplicante ao ponto de acesso, o desafio

passa em claro e logo depois encriptado. Assim, é possível ter acesso ao

mesmo conteúdo das duas formas, facilitando o processo de obtenção da

chave secreta.

� Escuta: Existem outros tipos de ataque que conseguem recuperar a chave

secreta a partir da escuta do tráfego por alguns minutos, até que o valor do

vetor de inicialização se repita.

O maior agravante do processo de encriptação do WEP é a utilização da chave

secreta (que não é provisória), em todas as etapas. Assim, a descoberta deste valor

significa a utilização da rede até que o mesmo seja trocado pelo administrador da

mesma.

Outro tipo de ataque bastante conhecido no protocolo WEP é a captura de

quadros transmitidos e a alteração do conteúdo de alguns deles. A função resumo

utilizada como provedora de integridade (CRC-32) possui um comportamento

conhecido para determinados padrões de alteração de bits, o que possibilita alguém

mal-intencionado forjar o conteúdo de mensagens. (PAIM, 2011)

O grande problema é que o WEP é baseado no uso de vetores de

inicialização que, combinados com todas essas outras vulnerabilidades, tornam as

chaves fáceis de quebrar. Ele pode dar certa segurança, mais na verdade seria

como fechar a porta de casa com um arame, pois só daria o trabalho do invasor

desenrolá-lo para entrar. (MORIMOTO, 2010)

Porém, após terem sido expostas há várias fragilidades, o Wep ainda provê

segurança adequada a vários tipos de cenários. (RUFINO, 2005)

3.5.2 Wi-fi Protected Acess (WPA)

Tendo em vista os problemas de segurança e as vulnerabilidades divulgados

no WEP, o WI-FI Alliance adiantou a parte de autenticação e cifração do trabalho

que estava sendo feito para o fechamento do padrão 802.11i, e liberou o protocolo

WAP, que é um padrão de segurança, destinado a ser implantados nos demais

50

padrões. (RUFINO, 2005)

Dentre as novidades do WAP há o Temporal Key Integrity Protocol (TKIP),

protocolo responsável pela gerência de chaves temporárias usadas pelos

equipamentos em comunicação, possibilitando a preservação do segredo mediante

a troca constante da chave. Outra vulnerabilidade corrigida e usada no TKIP é o

aumento significativo do tamanho do vetor de iniciação, que passou dos originais 24

para 48 bits, permitindo uma substancial elevação na quantidade de combinações

possíveis. (RUFINO, 2005)

O TKIP é o protocolo usado pelo WPA para encriptação da mensagem

transmitida. Ele faz uso do algoritmo RC4, da mesma forma que o WEP, mas toma

algumas precauções para evitar ataques, como não enviar a chave secreta "em

claro" e trabalhar com uma política de vetores de inicialização mais inteligente.

(PAIM, 2011)

Além do padrão WAP original, temos também o WAP 2, que corresponder à

versão finalizada do 802.11i. Mesmo com melhorias no padrão WAP foi descoberto

existência de falhas, então o WAP 2 foi lançado para efetuar correções de falhas de

segurança. A principal diferença entre os dois é que o WPA utiliza algoritmo RC4, o

mesmo usado no WEP, enquanto o WAP 2 utiliza o Advanced Encryption Standard

(AES).

O AES é um padrão de criptografia muito seguro, usado pelo governo do

EUA, o problema é que exige mais processamento, tornado mais pesado. Tanto ao

usar o TKIP quanto o AES, é importante definir uma boa passphrase, que é uma

espécie de senha que garante o acesso a rede, com pelo menos vinte caracteres

aleatórios, onde a senha não fica tão fácil de ser adivinhada. (MORIMOTO, 2010)

3.5.3 Extensible Authentication Protocol (EAP)

Um modelo para autenticação também foi definido no WPA, conhecido como

EAP, que permite integrar soluções de autenticação já conhecidas e testadas. O

EAP utiliza o padrão 802.11x e permite vários métodos de autenticação, incluindo a

possibilidade de certificação digital.

Portanto o protocolo EAP permite que um usuário se autentique em um

servidor específico a fim de receber mensagens provenientes do ponto de acesso.

Este servidor trabalha com o uso do protocolo Remote Authentication Dial In

51

User Service (RADIUS) e tanto pode ser representado pelo ponto de acesso quanto

por uma outra máquina dedicada a este fim.

O EAP foi desenvolvido originalmente para trabalhar com o protocolo PPP

(Protocolo Ponto-a-Ponto). Assim, seu funcionamento pode ser entendido como uma

evolução deste tipo de modelo. Ele possui quatro tipos de mensagem básica que

são usadas durante a conexão: Requisição, Resposta, Sucesso e Falha.

Figura 3.8 – Diagrama de Autenticação com Servidor Radius Fonte: Paim, 2011.

Para a conexão em uma rede sem fio trabalhar com o EAP é enviado uma

mensagem de Requisição para o ponto de acesso. Este, por sua vez, retorna um

pedido da identidade que o suplicante possui. Ao receber a resposta do suplicante, o

ponto de acesso a envia diretamente para o servidor RADIUS. Ele, então, cria um

desafio pelo qual o suplicante deve passar com o uso da senha que ele possui.

Assim, caso este responda de maneira correta, terá acesso à rede sem fio;

caso contrário, receberá uma mensagem de falha de conexão. Por fim, se o

protocolo usado para encriptação for o WPA ou WPA2, então ocorre o acordo entre

o suplicante e o ponto de acesso a fim de decidir os valores de chaves temporais

que serão usadas durante a comunicação. (PAIM, 2011)

Este modelo apresenta uma característica muito interessante que é o

isolamento do servidor RADIUS: em nenhum momento o suplicante envia uma

52

mensagem diretamente para ele; sempre deve haver o intermédio do ponto de

acesso. Isto garante uma maior segurança ao servidor, o que é vital, pois ele contém

informações referentes a todos os usuários que são passíveis de acessar a rede.

Além disto, o isolamento é importante ao permitir uma maior flexibilidade na hora da

manutenção da rede, pois caso o esquema de segurança seja alterado, deve-se

apenas mexer na conexão entre o servidor e o ponto de acesso. (PAIM, 2011)

Neste capitulo foram abordados os aspectos da segurança física e lógica com

enfoque na autenticação e nos protocolos de segurança.

No próximo capitulo contém um estudo de caso do acesso físico e lógico, com

aplicação dos métodos de segurança, e ferramenta que é utilizada para a segurança

do acesso lógico utilizando a autenticação.

53

4 ANÁLISE DE SEGURANÇA

Para avaliar as condições da rede sem fio em estudo, foi analisada a

importância do controle dos acessos físicos e lógicos, e foi realizada uma avaliação

dos métodos de segurança adotados na mesma, usando o método de segurança do

acesso físico com padronizações e limites físicos, e o da segurança lógica usando o

método de autenticação procurando obter mais confiabilidade na segurança da rede

Wireless, tendo em vista que estas redes são comprovadamente menos segura do

que as redes conectadas por cabos.

As ferramentas utilizadas foram empregadas com o intuito de aumentar a

segurança com o controle de acesso.

A segurança física de uma rede sem fio, muitas vezes não é lembrada e nem

levada em consideração em muitos casos na hora da implementação. (RUFINO,

2005)

Os pontos de acesso que serão instalados para implementação da rede

wireless, seja ele em cenário doméstico ou corporativo, deve ser estudado de forma

minuciosa para que o sinal fique apenas ao alcance das delimitações do

estabelecimento e os aparelhos fiquem em ambientes seguros. Por exemplo, se

instalarmos um ponto de acesso em um lugar bem alto terá um bom desempenho,

porém seu alcance será maior, abrindo mais possibilidades de seu sinal ser

interceptado.

Uma forma de resolvermos este problema é diminuindo a potência do sinal,

ou posicionando os pontos de acesso em lugares onde o sinal será mais bem

aproveitado dentro de determinada área, de tal forma que este fique a um alcance

seguro dentro do estabelecimento onde é utilizada a rede wireless.(TANENBAUM,

2003)

Ou seja, para acessar uma rede wireless, basta estar próximo de dispositivos

de acesso e se posicionar de forma a obter um sinal cuja potência do sinal permita

uma conexão.

4.1 CONTROLE DE ACESSO FÍSICO

54

Figura 4.1 – Localização Acess Point. Fonte: Telasocia, 2013

Para ajudar a minimizar o problema de acesso não autorizado, algo a se levar

em conta quando se for construir uma rede sem fio é a posição do Access Point,

para que as ondas eletromagnéticas fiquem centralizadas, minimizando a área

coberta pela rede fora do perímetro desejado. (RUFINO, 2005)

Mas ainda sim as ameaças de segurança física da rede sem fio podem ter

diferentes fontes.

As ameaças podem ser classificadas em:

� Naturais: são ameaças às quais todos os equipamentos ou instalações físicas

de uma organização podem estar sujeitas: fogo, inundações, quedas de

energia.

� Não intencionais: são perigos trazidos pela ignorância dos seus usuários ou

administradores e não por ações maliciosas

� Intencionais: são as ameaças, sobre as quais os produtos de segurança

melhor podem atuar. As ameaças intencionais podem surgir a partir de dois

tipos de vilões: internos ou externos.

Os ataques de segurança são ações que comprometem a segurança da

informação mantida por uma organização Existem quatro tipos básicos de

ataques. (RUFINO, 2005)

55

Figura 4.2 – Acesso ao Roteador não autorização. Fonte: imguol, 2013

As vulnerabilidades são pontos nos quais o sistema é suscetível a ataques e

ameaças de segurança. Existem os seguintes tipos básicos de vulnerabilidades de

segurança:

� Físicas: Os prédios e salas que mantém sistemas computacionais são

vulneráveis podendo ser invadidos, por exemplo, através de arrombamento.

� Naturais: incluem desastres de ordem natural e às ameaças ambientais.

Como exemplos de desastres, podem-se citar: incêndios, inundação,

terremotos e perda de energia. As ameaças ambientais, por sua vez, podem

advir de poeira, umidade ou condições de temperatura inadequadas para

instalações computacionais.

� Hardware e Software: Falhas de hardware e software podem comprometer

toda a segurança de um sistema. Por exemplo, de falha de hardware, pode-

se citar a queda de um enlace ou mesmo do sistema de contingência. Já no

caso de software, a configuração errada de um roteador de uma rede, por

exemplo, pode impedir o tráfego de informação correto entre os sistemas.

� Humanas: As pessoas que administram e usam o sistema representam sua

maior vulnerabilidade. Os usuários, operadores ou administradores do

sistema podem cometer erros que comprometam o sistema.

56

Figura 4.3 – Localização inadequada do Rack. Fonte: Unioeste, 2013.

Utilizou-se na implementação desse servidor de autenticação o RADIUS por

ser gratuito e apresenta uma série de funcionalidades que o qualifica como um

eficiente sistema de autenticação adaptável as mais diversas condições de rede, ele

é utilizado tanto para autenticar os usuários ou dispositivos antes de conceder-lhes

acesso a uma rede, quanto para autorizar os usuários ou dispositivos para

determinados serviços de rede.

4.2.1 Instalação, configuração e teste com Servidor FreeRadius.

Utilizou-se como servidor uma maquina virtual do VirtualBox com a

distribuição Linux Ubuntu Server 12.04.2.

Primeiramente instala-se o freeradius:

# apt-get installl freeradius freeradius-mysql mysql-server

Esse comando instala o FreeRADIUS para autenticação em base de dados

MySQL, baixando uma coleção de arquivos pré-configurados para o acesso a base

de dados.

4.2 CONTROLE DE ACESSO LÓGICO – TESTE COM SERVIDOR RADIUS

57

Após a instalação do FreeRadius é necessário alterações nos arquivos de

configuração.

Para o cliente obter permissão é necessário configurar os dados do roteador

utilizado adicionando as seguintes linhas no arquivo clients.conf.

Client 192.168.1.1{

Secret = testing123

O cliente é o IP do roteador e secret é a senha colocado no roteador

Para que seja possível importar as informações para o MySQL é preciso

primeiramente acessar o MySQL e criar o banco de dados.

O comando abaixo acessa o Mysql e em seguida cria o banco de dados:

# mysql –u root -p

Mysql> CREATE DATABASE radius;

Em seguida executa-se o script e cria as tabelas necessárias para o uso do

freeradius:

# mysql –u root –p radius < /etc/freeradius/sql/mysql/

shema.sql

O arquivo sql.conf já vem configurado por padrão, para acesso ao banco de

dados, basta alterar alguns campos para realizar testes como o user endereço do

banco de dados, o login com o nome do usuário, o password com a senha que será

utilizada pelo Freeradius para acessar o banco de dados e o radius_db que indica o

bando de dados que será acessado.

Figura 4.4 – Configuração arquivo sql.conf Fonte: Elababorada pelas autoras, 2013

58

Em Linux diversas distribuições utilizam o caractere # como marcador de

comentário. Por tanto é necessário retirar esse caracter para descomentar a linha

mencionada.

No arquivo /etc/freeradius/radiusd.com é necessário descomentar a seguinte

linha:

$INCLUDE SQL.conf

Isso faz com que esse arquivo de configuração carregue as informações de

como o freeradius deve acessar o servidor de banco de dados.

É preciso também configurar o arquivo /etc/init.d/freeradius/sites-

enabled/default descomentando os ‘sql’ as seguintes seções:

authorize{ ... SQL ... } Accounting{ ... SQL ... } Session{ ... SQL ... } Post-auth{ ... SQL ... }

Após essas configurações acessa o banco de dados, para os testes de

autenticação precisa criar entradas na tabela radcheck com usuário e senha para

teste, utilizando o comando abaixo:

mysql> INSERT INTO radcheck(‘id’,’username’,’attribute’,

’op’,’value’)VALUES(NULL,’test’,’Password’,’:=’,’1234’);

59

Para visualizar utilize-se o comando:

Figura 4.5 – Tabela radcheck Fonte: Elababorada pelas autoras, 2013

Após sair do banco de dados, inicia-se o freeradius e executa um teste com o

modo de debug, com uma senha teste cadastrada no banco de dados:

#radtest test 1234 localhost 1812 testing123

Resultado do teste:

Figura 4.6 – resultado teste radtest Fonte: Elababorada pelas autoras, 2013

4.2.2 Configuração do roteador

O IP roteador é 192.168.1.1, a mesma rede em que foi configurado o servidor

Freeradius. Para configuração do roteador sem fio é necessario ativar a segurança

Wireless, e o tipo de segurança WAP/WPA2 para liberar a opção de segurança por

Radius conforme ilistração da imagem 4.8.

Alguns roteadores não tem a opção do tipo de segurança WAP/WPA2, sendo

assim impossivel de habilitar o Radius, nesse caso foi utilizado o roteador Multilaser

RERO054BIVML.

60

Figura 4.7 - Configuração do roteador Fonte: Elababorada pelas autoras, 2013

4.2.3 Configuração do computador do usuário para acesso a rede

Para a configuração da maquina do usuário utilizou-se notebook com

Windows 8. Adicionou-se uma nova rede sem fio, e a nomeou com o mesmo nome

da configuração do roteador.

Figura 4.8 – Gerenciador de Redes sem fio do Windows 8 Fonte: Elababorada pelas autoras, 2013

61

Figura 4.9 - Configuração do modo de segurança do Windows 8 Fonte: Elababorada pelas autoras, 2013

Figura 4.10 – Alteração da configuração de conexão Fonte: Elababorada pelas autoras, 2013 Abaixo as caixas de seleção foram desmarcadas para que o sistema não

conecte automaticamente na rede sem fio.

62

Figura 4.11 - Configuração das Propriedades de conexão de Rede Sem Fio Fonte: Elababorada pelas autoras, 2013

Figura 4.12 - Configuração das propriedades de segurança de Rede Sem Fio Fonte: Elababorada pelas autoras, 2013

63

Figura 4.13 - Configuração do Modo de Autenticação Fonte: Elababorada pelas autoras, 2013

Figura 4.14 - Configuração Propriedade Avançada do EAP

Fonte: Elababorada pelas autoras, 2013

64

Feito todas essas configurações é necessário realizar o acesso e inserir o

usuário e a senha quando solicitado conforme figura 4.16.

Figura 4.15 – Autenticação de Rede Fonte: Elababorada pelas autoras, 2013

Ao fazer a autenticação, o servidor recebe a mensagem contendo o login e

senha, ao receber esta mensagem o Radius gera uma requisição contendo todos os

dados do usuário.Após validar as informações o servidor encaminha uma resposta

para o usuário permitindo o acesso, ou negando o acesso caso as informações não

sejam válidas. A figura 4.17 mostra o acesso efetuado com sucesso.

Figura 4.16 – Rede Autenticada Fonte: Elababorada pelas autoras, 2013

65

Realizado toda a implementação descrita nesse capitulo, pode-se realizar a

autenticação de usuários de forma segura, a utilização do Radius funciona como um

mecanismo de segurança, agregado ao bom dimensionamento do ponto de acesso

existente com seus limites físicos definido é possível fornecer com maior segurança

o acesso de redes sem fio.

66

CONCLUSÃO

A segurança dos dados é sempre uma situação preocupante para qualquer

sistema, o fato é que uma única ferramenta não consegue garantir um nível

desejável de segurança.

Diante desse fato e após pesquisa bibliográfica sobre as redes de

computadores e redes sem fio, e buscando identificar os tipos de ataques e seus

mecanismos de defesas, é importante mencionar a dificuldade em sem manter uma

rede Wireless sempre segura.

Seguindo esta linha, foram apresentados os termos, conceitos com os

diversos tipos de protocolos de autenticação, tipos de transmissão, como também a

importância de manter os equipamentos de uma rede em ambientes seguros onde

somente pessoas que tenham a capacidade de manter seu funcionamento de forma

correta sem correr o risco de desconfigurar ou danificar essa rede.

Entretanto, os acessos à rede sem fio não são devidamente controlados,

sendo completamente alheia ao domínio, tendo dificuldade para o acesso a rede,

necessitando de senhas específicas para liberar o acesso, dificultando desta forma,

o dia a dia destes usuários. Desta forma, a utilização de um Servidor Radius,

implementado através do Serviço de autenticação, vem de encontro com as

necessidades de administradores que possuem o gerenciamento de máquinas e

usuários.

Sendo assim Com os conceitos devidamente definidos, esclarecidos foram

analisadas, e testadas às ferramentas que permitem a autenticação de usuários,

utilizando Radius através do Serviço de Autenticação.

Com base nas configurações realizadas e nas dificuldades encontradas para

configurar o servidor Radius foi possível concluir que de inicio leva-se algum tempo

para realizar as instalações e configurações, mas com a prática é possível

facilmente configurar um servidor para uma pequena rede. Embora a configuração

dos terminais dos usuários seja um pouco complicada exigindo o uso de um manual

de instruções para que os próprios usuários configurem seus equipamentos para

acesso a rede. Sendo assim a utilização do RADIUS garantirá um maior controle do

acesso à rede sem fio e fortificará a de segurança.

Existe ainda, a possibilidade de implementar a autenticação Radius seja

67

autenticando por Mac ou outras formas apresentadas nesse trabalho,

independentemente do tipo de acesso, Wi-Fi dentre outros.

Enfim um gerenciamento centralizado e sob controle de diversas aplicações,

inclusive em clientes de acesso sem fio, permitindo uma total integração dos

mesmos através do protocolo Radius.

Estender a utilização do domínio a usuários de redes sem fio, com segurança,

controle e praticidade, é o foco principal deste trabalho. Por certo que pode ser

aplicado em qualquer ambiente que se utilize de uma rede sem fio.

68

REFERÊNCIAS BIBLIOGRÁFICAS

ALECRIM, Emerson. Ataques DoS (Denial of Service) e DDoS (Distributed DoS),

2012. Disponível em: <http://www.infowester.com/ddos.php> Acesso: 20 Nov. 2012.

ALECRIM, Emerson. Criptografia, 2009. Disponível em: <

http://www.infowester.com/criptografia.php> Acesso: Fev. 2013.

ALECRIM, Emerson. Entendendo a Certificação Digital, 2011. Disponível em: <

http://www.infowester.com/assincertdigital.php> Acesso: 23 Fev. 2013

ALECRIM, Emerson. O que é firewall? – Conceito, tipos e arquiteturas, 2013.

Disponível em: < http://www.infowester.com/firewall.php > Acesso: 23 Fev. 2013.

ANTUNES, Vítor H. L. Frontend Web.2.0 para Gestão de Radius, 2009. Disponível

em:< http://paginas.fe.up.pt/~ee04199/index.html> Acesso: 15 Dez. 2013.

FÁRIAS, Paulo C. B. Redes Wireless, 2006. Disponível em: <

http://www.juliobattisti.com.br/tutoriais/paulocfarias/redeswireless021.asp > Acesso:

13 Abr. 2013.

IMGUOL. Roteador sem fio - Diponível em: <http://imguol.com/2012/08/17/usuario-

insere-cabo-em-roteador-sem-fio-1345245217 637_300x300.jpg> Acesso: 20 Set.

2013.

KUROSE, James F., ROSS, Keith W. Redes de Computadores e a internet.

Tradução da 3° ed. Person Education do Brasil – São Paulo 2006.

MACÊDO, Diego. Arquitetura e protocolo TCP/IP, 2012 – Disponível em: <

http://www.diegomacedo.com.br/arquitetura-e-protocolos-tcp-ip/ > Acesso: 20 Fev.

2013.

MORIMOTO, Carlos E. – Redes Guia Prático – Porto Alegre – Sul Editores, 2° 2010

69

PAIM, Rodrigo R, Wep, Wap e Eap, 2011. Disponível em:

<http://www.gta.ufrj.br/ensino/eel879/trabalhos_vf_2011_2/rodrigo_paim/index.html >

Acesso: 22 Abr. 2013.

PINHEIRO, José M. S. Redes de computadores, 2004 - Disponível em: <

http://www.projetoderedes.com.br/tutoriais/tutorial_equipamentos _de_redes_01.php

> Acesso: Fev. 2013.

RUFINO, Nelson Murilo de O. Segurança em Redes sem fio, Ed. Novatec, 2005.

TANENBAUM, Andrew S. Redes de Computadores. Tradução da 4° ed. Americana

Vandenberg D. de Souza, Rio de Janeiro: Campus Elsevier, 2003.

TELASOCIAL, Wifi – Disponível em: <http://www.telasocial.com/conceitos-e-

preocupacoes-sinalizac%CC%A7a%CC%83o-digital/sinalizacao-digital-proximo-

wifi.jpg> Acesso: Set. 2012.

TORRES, Gabriel – Redes de Computadores. 2° Ed. – Nova terra, 2009.

�����������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������