controle de acesso a rede com packetfenc

7/25/2019 Controle de Acesso a Rede Com PacketFenc

1/105

FACULDADE DE TECNOLOGIA SENAI DE DESENVOLVIMENTOGERENCIAL - FATESG

CURSO SUPERIOR DE TECNOLOGIA EM REDES DECOMPUTADORES

Andr Luiz Ramos de SouzaDiego de Souza Lopes

Controle de Acesso Redecom

PacketFence

GOINIA

2011


2/105


Controle de Acesso Rede

com

PacketFence

Trabalho de concluso de curso apresen-tado Faculdade de Tecnologia SENAIde Desenvolvimento Gerencial - FATESG,para obteno do ttulo de Graduado emTecnologia em Redes de Computadores.

Orientador:

Prof. MSc. Maurcio Severich

GOINIA2011


3/105

i


Controle de Acesso Rede

com

PacketFence

Trabalho de concluso de curso apresentado Faculdade de Tecnologia SENAI de

Desenvolvimento Gerencial - FATESG, para obteno do ttulo de Graduado em

Tecnologia em Redes de Computadores.

Aprovada em de de 2011.

Banca Examinadora

Prof. MSc. Maurcio SeverichOrientador

Prof. MSc. Rafael Leal MartinsFaculdade de Tecnologia SENAI - FATESG

Prof. MSc. Diogo Nunes de Oliveira

Faculdade de Tecnologia SENAI - FATESG


4/105

ii

DEDICATRIA

Aos nossos pais, esposas, filhos e

todos aqueles que nos deram apoio

sempre que necessrio.


5/105

iii

AGRADECIMENTOS

Agradecemos a Deus em primeiro lugar, que nos deu a oportunidade de ini-

ciar este curso e foras para conclu-lo. Aos nossos pais, sem os quais no podera-

mos estar onde estamos hoje.

Aos professores Maurcio Severich e Maurcio Lopes pela confiana dada a

ns, orientao e pacincia. Tambm ao Wagner Kuramoto e Fernando Tsukahara

por nos ajudar com recursos necessrios para a realizao desse trabalho.

A todos aqueles que contriburam de forma direta e indireta na concluso

deste trabalho.


6/105

iv

Epgrafe

"As pessoas que so loucas o

suficiente para achar que podem

mudar o mundo so aquelas que o

mudam."

Comercial Pense Diferente da Apple,

1997


7/105

v

Resumo

Este trabalho tem como escopo demonstrar atravs de implementao a utilizaodo softwarePacketFence para controlar o acesso de novos dispositivos (Notebook,Desktop) infraestrutura de rede de computadores utilizando conexesEthernetca-beadas. Para fazer esse controle o PacketFence faz uso de tecnologias open source,entre elas, o Nessus, ferramenta utilizada para fazer varreduras de computadores aprocura de vulnerabilidade desoftwaresque comprometa a segurana dos dados queesto armazenados no dispositivo, o FreeRadius aplicativo que faz autenticao e au-torizao de usurio e dispositivo para acesso a rede de computadores, banco dedados MySQL, utilizado para armazenar dados, o Snort, aplicativo que detecta ten-tativas de intruso a rede, ServidorwebApache HTTPD para fornecer pginas webe Captive portal. Tambm sero abordados os protocolos 802.1x, 802.1q, SimpleNetwork Manager Protocol (SNMP) e Dynamic Host Configuration Protocol (DHCP).Nesse documento o leitor ir encontrar breve descrio das aplicaes e protocoloscitados e tambm o detalhamento da instalao, configurao e funcionalidades doPacketFence em redes cabeadas.


8/105

vi

Abstract

This work aims to demonstrate by means of the use of the software implementa-tion PacketFence. It is used to control the access of new devices (notebooks, desk-tops) to the network infrastructure of computers using wired Ethernet connections. Tomake this control PacketFence uses open source technologies, including the Nessusscanning tool. It is used to make searches about computer software vulnerability thatcompromise the security of data that is stored on the device. It include FreeRadiusapplication that makes authentication and authorization and user access device to thecomputer network, MySQL database used to store data, Snort application that detectsintrusion attempts to the network, Apache HTTPD web server to provide web pagesand Captive portal. It also will be discussed 802.1x protocol, 802.1q,Simple NetworkManager Protocol (SNMP) andDynamic Host Configuration Protocol (DHCP). In thisdocument the reader will find brief description of applications and protocols mentionedearly as well the details of the installation, configuration and functionality of Packet-Fence in wired networks.


9/105

vii

Sumrio

Lista de Figuras xi

Lista de Siglas xiv

1 INTRODUO 11.1 OBJETIVOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

1.2 METODOLOGIA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

2 FERRAMENTAS, PADRES, PROTOCOLOS E TECNOLOGIAS 5

2.1 O QUE NETWORK ACCESS CONTROL ? . . . . . . . . . . . . . . . . . 5

2.1.1 Tipos de NAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62.1.2 NAC: Primeira Gerao . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

2.1.3 NAC: Segunda Gerao . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

2.1.4 O que Network Access Protection ? . . . . . . . . . . . . . . . . . . . 8

2.1.5 O que Network Admission Control ? . . . . . . . . . . . . . . . . . . 8

2.2 DYNAMIC HOST CONFIGURATION PROTOCOL . . . . . . . . . . . . . . 9

2.2.1 DHCP Fingerprint . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

2.2.1.1 Como Funciona . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

2.3 CAPTIVE PORTAL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

2.4 RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

2.5 IEEE 802.1X . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

2.5.1 Extensible Authentication Protocol . . . . . . . . . . . . . . . . . . . . 17

2.6 SIMPLE NETWORK MANAGEMENT PROTOCOL . . . . . . . . . . . . . . 19


10/105

Sumrio viii

2.6.1 Arquitetura. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

2.6.2 Gerente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

2.6.3 Agente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

2.6.4 MIB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

2.6.5 Verses. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

2.7 NETFLOW / IPFIX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

2.8 IEEE 802.1Q . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

2.9 INTRUSION DETECTION SYSTEM . . . . . . . . . . . . . . . . . . . . . . 24

2.9.1 Snort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

2.10 NESSUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

3 INTRODUO AO PACKETFENCE 28

3.1 O QUE PACKETFENCE ?. . . . . . . . . . . . . . . . . . . . . . . . . . . 28

3.1.1 Viso Geral . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

3.1.2 Modos PacketFence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

3.1.3 Integrao Wireless . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

3.1.4 Registro de Dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . 30

3.1.5 Deteco de Atividade Anormal . . . . . . . . . . . . . . . . . . . . . . 31

3.1.6 Remediao de Dispositivos . . . . . . . . . . . . . . . . . . . . . . . . 31

3.1.7 Gerenciamento Baseado em Linha de Comando e Web . . . . . . . . 313.1.8 Gerenciamento Flexvel de VLAN . . . . . . . . . . . . . . . . . . . . . 32

3.1.9 Tipos de Violao. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

3.1.10 Registro Automtico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

3.1.11 Expirao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

3.1.12 Acesso a Visitantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

4 IMPLEMENTAO E CONFIGURAO 35


11/105

Sumrio ix

4.1 CONFIGURAO DE HARDWARE . . . . . . . . . . . . . . . . . . . . . . 35

4.2 MODELO DE TOPOLOGIA . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

4.3 CONFIGURAES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

4.3.1 Interface de Rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

4.3.2 SELinux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

4.3.3 MySQL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

4.3.4 PacketFence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

4.3.4.1 pf.conf. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

4.3.4.2 networks.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52

4.3.4.3 switches.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

4.3.5 Configurao do Switch . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

4.3.5.1 Modo Access. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

4.3.5.2 Modo 802.1x . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

4.3.6 Autenticao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

4.3.6.1 Local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

4.3.6.2 RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

4.3.7 Acesso Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

4.3.8 Habilitando o Snort. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

4.3.9 Habilitando o Nessus . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

5 RESULTADOS OBTIDOS 62

5.1 Traduo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

6 CONSIDERAES FINAIS 72

Referncias 74

Apndice A -- Instalando o PacketFence 77


12/105

Sumrio x

A.1 Procedimentos para Instalao . . . . . . . . . . . . . . . . . . . . . . . . . 77

Anexo A -- Traduo da Documentao do PacketFence 86


13/105

xi

Lista de Figuras

FIGURA 1 Etapas envolvidas em uma comunicao entre o cliente e o

servidor DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

FIGURA 2 Pacote do tipo DHCP Discover . . . . . . . . . . . . . . . . . . 12

FIGURA 3 Lista de parmetros de um DHCP Discover. . . . . . . . . . . 12

FIGURA 4 EAPOL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

FIGURA 5 EAPOL Relay . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

FIGURA 6 EAPOL Termination . . . . . . . . . . . . . . . . . . . . . . . . 16

FIGURA 7 EAP Supplicant . . . . . . . . . . . . . . . . . . . . . . . . . . 18

FIGURA 8 VLAN Tag. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

FIGURA 9 Diagrama PacketFence . . . . . . . . . . . . . . . . . . . . . . 29

FIGURA 10 Topologia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

FIGURA 11 Tela dos termos de uso do PacketFence . . . . . . . . . . . . 40

FIGURA 12 Tela de configurao dos parmetros do banco de dados . . . 41

FIGURA 13 Tela de confirmao das configuraes do banco de dados. . 41

FIGURA 14 Tela compilao dos idiomas do PacketFence . . . . . . . . . 42

FIGURA 15 Tela gerao do certificado auto-assinado do PacketFence . . 42

FIGURA 16 Tela criao de usurio para acessar a administrao do Pac-

ketFence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

FIGURA 17 Tela pergunta para baixar as regras do snort . . . . . . . . . . 43

FIGURA 18 Tela pergunta para baixar as assinaturas fingerprint . . . . . . 43

FIGURA 19 Tela pergunta para baixar o arquivo OUI . . . . . . . . . . . . 44

FIGURA 20 Tela de execuo do script configurator.pl . . . . . . . . . . . . 45

FIGURA 21 Tela de escolha dos modos de configurao do PacketFence . 45


14/105

Lista de Figuras xii

FIGURA 22 Tela o nome do host do PacketFence . . . . . . . . . . . . . . 46

FIGURA 23 Tela o nome de domnio do PacketFence . . . . . . . . . . . . 46

FIGURA 24 Tela servidores DHCP a serem utilizados . . . . . . . . . . . . 46

FIGURA 25 Tela configurao da porta WebGUI do PacketFence . . . . . 46

FIGURA 26 Tela configurao de envio de notificao do PacketFence . . 47

FIGURA 27 Tela ativao de envio de notificao do PacketFence . . . . . 47

FIGURA 28 Tela monitoramento de servios do PacketFence. . . . . . . . 47

FIGURA 29 Tela registro do dispositivo no log do PacketFence . . . . . . . 47

FIGURA 30 Tela configurao de alta disponibilidade do PacketFence . . . 48

FIGURA 31 Tela configurao da interface do Snort do PacketFence . . . 48

FIGURA 32 Tela configurao do Nessus . . . . . . . . . . . . . . . . . . . 48

FIGURA 33 Tela configurao para ativar SSL do Nessus. . . . . . . . . . 49

FIGURA 34 Tela para ativar o escaneamento do Nessus . . . . . . . . . . 49

FIGURA 35 Tela configurao banco de dados do PacketFence . . . . . . 49

FIGURA 36 Tela finalizando a configurao do PacketFence . . . . . . . . 50

FIGURA 37 Log com trap indicando novo MAC que colocado na VLAN

de registro. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

FIGURA 38 Log demonstrando o DHCP Fingerprint . . . . . . . . . . . . . 63

FIGURA 39 Log demonstrando o redirecionamento para o Captive Portal . 63

FIGURA 40 Log demonstrando o registro do dispositivo . . . . . . . . . . . 64

FIGURA 41 Log demonstrando a alterao da VLAN de registro para a

VLAN normal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

FIGURA 42 Log demonstrando recebimento de trap . . . . . . . . . . . . . 65

FIGURA 43 Log demonstrando a comunicao do DHCP . . . . . . . . . . 65

FIGURA 44 Log demonstrando uma violao sendo adicionada . . . . . . 66

FIGURA 45 Log demonstrando o redirecinamento para o Captive Portal. . 66


15/105

Lista de Figuras xiii

FIGURA 46 Log demonstrando o envio do escaneamento para segundo

plano. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

FIGURA 47 Log demonstrando o escaneamento . . . . . . . . . . . . . . . 67FIGURA 48 Log demonstrando o fechamento da violao. . . . . . . . . . 68

FIGURA 49 Log demonstrando a alterao de VLAN aps o escaneamento

no registro. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

FIGURA 50 Autenticao Captive Portal. . . . . . . . . . . . . . . . . . . . 69

FIGURA 51 Scan do Nessus . . . . . . . . . . . . . . . . . . . . . . . . . . 69

FIGURA 52 Quarentena Estabelecida . . . . . . . . . . . . . . . . . . . . . 70

FIGURA 53 Tela do e-mail enviado ao membro do projeto. . . . . . . . . . 70

FIGURA 54 Tela do e-mail de resposta do membro do projeto . . . . . . . 71

FIGURA 55 Tela retorno ao e-mail de resposta do membro do projeto . . . 71


16/105

xiv

Lista de Siglas

AAA Authentication Authorization Accounting

AP Access Points

ATM Asynchronous Transfer Mode

BOOTP BOOTstrap Protocol

CentOS Community ENTerprise Operating System

CHAP Challenge Handshake Authentication Protocol

Cisco ACS Secure Access Control Server

Cisco NAC Cisco Network Admission Control

DHCP Dynamic Host Configuration Protocol

DNS Domain Name System

EAP Extensible Authentication Protocol

EAPOL Extensible Authentication Protocol over LAN

EAPOR Extensible Authentication Protocol over RADIUS

FQDN Fully Qualified Domain Name

GB Gigabyte

GPLv2 General Public License verso 2

GTC Generic Token Card

HD Hard Disk

HTTPD Hyper Text Transfer Protocol DaemonsIDS Intrusion Detection System


17/105

Lista de Siglas xv

IEEE Institute of Electrical and Electronics Engineers

IETF Internet Engineering Task Force

INC Incorporation

IP Internet Protocol

IPFIX Internet Protocol Flow Information Export

LAN Local Area Network

LDAP Lightweight Directory Access Protocol

MAC Media Access Control

MD5 Message-Digest Algorithm 5

MIB Management Information Base

MTU Maximum Transmission Unit

NAC Network Access Control

NAK Negative Acknowledgement

NAP Network Access Protection

NAS Network Authentication Server

NASL Nessus Attack Scripting Language

NIDS Network Intrusion Detection System

NMS Network Management Stations

OSI Open Systems Interconnection

OTP One-Time Password

P2P Peer-to-Peer

PAP Password Authentication Protocol

PDA Personal Digital Assistants

PEAP Protected Extensible Authentication Protocol


18/105

Lista de Siglas xvi

PPP Point-to-Point Protocol

QoS Quality of Service

RADIUS Remote Authentication Dial In User Service

RAM Random Access Memory

RFC Requests For Comments

RHEL Red Hat Enterprise Linux

SCTP Stream Control Transmission Protocol

SELinux Security-Enhanced Linux

SGBD Sistema de Gerenciamento de Banco de Dados

SLIP Serial Line Internet Protocol

SMI Structure of Management Information

SMS Short Message Service

SNMP Simple Network Manager Protocol

SQL Structured Query Language

SSL Secure Sockets Layer

TCG Trusted Computing Group

TCP/IP Transmission Control Protocol/Internet Protocol

TI Tecnologia da Informao

TLS Transport Layer Security

TTLS Tunneled Transport Layer Security

UDP User Datagram Protocol

UTP Unshielded Twisted Pair

VLAN Virtual LAN

VoIP Voz over Internet Protocol


19/105

Lista de Siglas xvii

VPN Virtual Private Network

WAN Wide Area Network


20/105

1

1 INTRODUO

O aumento do uso de tecnologias no ambiente corporativo contribui para a expan-

so das redes de computadores, isso gera a necessidade de disponibilizar comuni-

cao com todas as partes da empresa. Geralmente essas expanses so feitas deduas formas, atravs de cabos ou sem fio. Este ltimo utiliza-se de ponto de acesso

(Access Point), porm, se a organizao no possui polticas e ferramentas de segu-

rana para auxiliar no controle, extremamente difcil lidar com quem pode ou no

usar a rede.

Um aspecto pouco observado pelo departamento de tecnologia da informao (T.I)

dessas organizaes tanto pblicas quanto privadas, a falta de controle de uso dos

pontos de rede, principalmente quando aqueles que no so utilizados e so mantidos

ativos, assim permitindo o acesso infraestrutura. Desta forma, permitem o acesso

de pessoas com intenes consideradas inapropriadas ou prejudiciais - do ponto de

vista da poltica de segurana e de uso da rede corporativa - cujo objetivo poderia ser

explorar esses acessos para obter, por exemplo, dados sigilosos ou realizar ataques

aos servidores das organizaes.

Para exemplificar, imagine um aluno com interesse em ter acesso ao banco de

dados para alterar suas notas ou zerar os dbitos com a instituio na qual estuda,

e ao passear pelos corredores da administrao ele percebe que h um ponto de

rede (tomadas do tipo RJ-45 fmea) livre para uso na parede. Imediatamente o aluno

conecta um notebook para ver o que acontece, e se o ponto estiver ativado, ou seja,

ligado a equipamentos de acesso rede, somado a isso um servidor que fornece as

configuraes de acesso automaticamente ao notebook, isso dar a esse aluno total

liberdade para executar aplicativos maliciosos que, consequentemente, podero obter

informaes como usurio e senha do banco de dados. Com esses dados em mos,

o indivduo poder fazer as alteraes que pretender na base de dados.

A fim de reduzir tais falhas, que esto em contnuo crescimento e que demanda a


21/105

1 INTRODUO 2

cada dia maior controle de acesso infraestrutura de rede sujeita a novas ameaas e

vulnerabilidades, surgiu uma ferramenta desoftwarelivre, o PacketFence.

O PacketFence classificado como Network Access Control (NAC). Essa cate-goria de ferramentas tem como objetivo principal bloquear a conexo de dispositivos

e usurios desconhecidos ou sem permisso para acessar a rede de computadores

tanto cabeada quanto sem cabo (wireless), e pode ser utilizada em qualquer organi-

zao que queira implantar esses controles.

Para fazer esses bloqueios, o PacketFence utiliza um conjunto de tecnologias, tais

como: verificao de vulnerabilidade e deteco de atividade anormal na rede, ou

seja, verifica se no dispositivo h algum tipo de aplicao que comprometa a rede, por

exemplo: vrus,worms, entre outros tipos de pragas virtuais. Tambm so utilizadas

ferramentas e protocolos que fazem a autenticao de usurios. Esse conjunto de

tecnologias configurado de acordo com as polticas de segurana estabelecidas pela

organizao e definidas de acordo com as necessidades da organizao.

O bloqueio leva em considerao a anlise dos programas instalados - o hard-

waree o usurio. Se algum desses pontos analisados estiver fora da poltica de segu-

rana, o acesso rede principal da organizao ser bloqueado e desviado para outra

rede, na qual ser possvel corrigir os devidos problemas, por exemplo, atualizao de

software. Somente aps a correo do problema, o dispositivo ter permisso para

acessar a rede principal, ou seja, os recursos de uma forma geral.

verificado se o dispositivo j est cadastrado, caso no esteja o mesmo ser

redirecionado para uma rea diferente, para que seja possvel realizar o cadastro,

bem como sendo possvel de se realizar uma verificao deste dispositivo, antes de

liberar o registro do mesmo.

O usurio tambm ser verificado nesse inicio de comunicao, se ele no for

cadastrado, ser necessrio realizar esse cadastro para ingressar na rede e utilizar

os recursos como acesso Internet e programas corporativos, consulta em banco de

dados, entre outros de acordo com as polticas estabelecidas.

Para reforar; para se obter o acesso rede principal necessrio que usurio

e dispositivos estejam de acordo com as polticas de segurana, se uma das partes

falhar o acesso ser negado.


22/105

1.1 OBJETIVOS 3

1.1 OBJETIVOS

Este trabalho demonstrar como preencher a falha de segurana que os pontos

de redes sem utilizao apresentam. Devido ao uso de um servio de configurao

automtica dos dispositivos na corporao, o atacante pode facilmente obter as con-

figuraes referentes infraestrutura da corporao, tais como: endereo Internet

Protocol (IP); mscara de rede;gatewayeDomain Name System (DNS), deixando

facilmente acessvel infraestrutura de rede com a obteno destas informaes, o

que possibilita ataques originado de dispositivos no autorizados na rede.

Ser realizado uma demonstrao por meio de uma implementao do Packet-

Fence em ambiente isolado de interferncias externas, pois se a implementao for

realizada em rede com vrias mquinas, essas outras podem ser prejudicas com o

andamento da implementao.

tambm parte do escopo deste trabalho apresentar uma traduo, dentro dos

limites permissivos, para a lngua portuguesa da documentao dos manuais dosoft-

warePacketFence.

1.2 METODOLOGIA

A fim de atingir os objetivos propostos, foi realizada uma pesquisa exploratria em

material escrito, como, por exemplo, artigo publicado pelos prprios desenvolvedores

do sistema para coleta e seleo de contedo pertinente ao escopo deste trabalho.

Para a realizao e desenvolvimento da parte prtica, pode-se apontar a seguintes

aes:

- Configurao do servidor que faz as autenticaes dos computadores e outros

ativos de redes para utilizar a rede, sendo que esse servidor o ponto central

da rede, todas as conexes passam por esse equipamento. Foram habilitadas

as funcionalidades dosoftwarePacketFence de deteco de atividade anormal e

verificao de vulnerabilidade (IDS Snort, Nessus) e RADIUS para autenticao;

- O servidor trabalha juntamente com o switch para realizar o controle dos novos

dispositivos que sero conectados rede;


23/105

1.2 METODOLOGIA 4

- Tais configuraes foram realizadas com base na documentao original da fer-

ramenta PacketFence, que um dos principais documentos de pesquisa.


24/105

5

2 FERRAMENTAS, PADRES, PROTOCOLOS ETECNOLOGIAS

2.1 O QUE NETWORK ACCESS CONTROL ?

Network Access Control (NAC) uma abordagem unificada de tecnologias a fim

de prover aes de segurana em uma rede de computadores, tais como: antivrus,

deteco de intruso e avaliao de vulnerabilidades, entre outras.

O conceito NAC antigo, ou seja, surgiu desde os primrdios da telecomunicao.

O conceito foi idealizado atravs da patente de [Harris, Jackson e Petty 1987].

Inicialmente, o padro definido pelo Institute of Electrical and Electronics Engineers

(IEEE) 802.1X tambm foi pensado como um NAC.

Existia uma disputa que gerava a falta de padronizao quanto s solues NAC,

pois cada fornecedor/empresa implementava recursos e desenvolvia suas prprias

solues agregadas as suas prprias ferramentas, no estendendo para outros fa-

bricantes, pois no existia um padro a ser seguido como modelo, a fim de garantir

compatibilidade entre solues distintas.

Com o pensamento de acabar com a disputa das solues NAC, o Internet En-

gineering Task Force (IETF) aprovou 2 padres propostos pelo Trusted ComputingGroup (TCG), a partir de ento considerados como dois padres NAC a serem im-

plementados pela indstria. Tais padres esto definidos nas Requests For Com-

ments (RFC) de nmeros 5792 [Sangster e Narayan 2010]e5793[Sahita et al. 2010].

NAC pode ser definido como um conjunto de tecnologias de redes de computado-

res cujo objetivo fornecer segurana e controle de acesso rede, permitindo ou no

o acesso de dispositivos. Esses dispositivos devero estar em conformidade com as

polticas de segurana e de controle definidas pela organizao, como, por exemplo,para antivrus com um nvel de proteo, para configurao e para a atualizao do

sistema.


25/105

2.1 O QUE NETWORK ACCESS CONTROL ? 6

De acordo com [INTEROP LABS 2006] NAC definida como sendo um controle

genrico de acesso rede que autentica e autoriza o trfego. Tal controle de acesso

simplesmente poderia ser implementado com o uso de polticas de acesso ou defi-

nindo regras no firewall1.

Como o NAC um sistema de controle diferente, ele possui ferramentas dispon-

veis para fornecer o controle de acesso focado no usurio, ao contrrio do firewall, cujo

controle definido por regras aplicadas sobre o cabealho e/ou dados de um pacote.

Atravs do NAC possvel verificar a sade dos dispositivos, ou seja, verificar se

possuem vrus ou outras pragas virtuais, tais como spyware e malware. Um benefcio

importante ao se utilizar um NAC a reduo e a preveno de ataqueszero-daye

outros similares [Edwards 2008].

Ataqueszero-dayso ataques que tentam explorar as vulnerabilidades de aplica-

tivos que so desconhecidos pelos prprios desenvolvedores, ou seja, pelo prprio

criador do aplicativo.

Ataques zero-daypodem destruir ou devastar uma rede, pois este um ataque

que explora uma falha desconhecida ao qual no existe um patch para a correo do

problema. Ao explorar uma falha desta magnitude, os atacantes podem entrar em uma

rede para execuo de cdigo ou obter o controle total do computador da vtima.

2.1.1 Tipos de NAC

Segundo [Edwards 2008], pode-se apontar os seguintes tipos de NAC:

Agent-based:Este tipo de NAC conta com um softwareque requer ser instalado

nos dispositivos dos usurios. Esta uma abordagem simples, porm inflexvelrequerendosoftwareespecial a ser instalado;

Agentless: Este tipo de NAC no requer a instalao de agentes nos dispositi-

vos dos usurios.

Inline:Neste tipo de NAC, todo o trfego do cliente passa pela ferramenta NAC.

Esta abordagem pode gerar gargalos de throughputem redes maiores, alm

1

Firewall um dispositivo de rede que tem por objetivo aplicar polticas de segurana, verificandoinformaes da camada de enlace (camada 2 do modelo Open Systems Interconnection (OSI) e dacamada de rede (camada 3 do modelo OSI). Aplicando polticas de filtragem de pacotes TransmissionControl Protocol/Internet Protocol (TCP/IP) e portas.


26/105


de aumentar os custos j que mais dispositivos podem ser agregados, tambm

se agrega a funo de firewall na qual se aplica as polticas de segurana na

camada de rede.

Out-of-Band: Neste tipo de NAC possvel controlar uma infraestrutura em

escala geogrfica, ou seja, em espaos fsicos diferentes, desde que utilize a

tecnologia certa, como a porta de segurana e que haja comunicao entre as

redes.

2.1.2 NAC: Primeira Gerao

As organizaes esto a cada dia querendo controlar o acesso rede com o uso

de tecnologias que melhor atenda e proteja as redes e dados delas.

A primeira verso NAC trouxe um modelo defeituoso, pois no atendeu aos di-

ferentes grupos que compem as infraestruturas tecnolgicas em uma organizao,

pois crescia a demanda por proteger os dispositivos mveis2, por grandes quantidades

de dispositivos, levando falta de agilidade em termos de segurana.

As ameaas e vulnerabilidades cresciam constantemente e o modelo NAC 1.0

(primeira gerao) no conseguiu se adaptar as regras de negcio, pois, com o sur-

gimento de novas ferramentas antivrus e anti-malwares, no geral, no foi possvel

agregar melhores gerenciamentos do NAC com estas. Desta forma, tornou-se uma

ameaa e riscos aos dispositivos gerenciados. Devido aos riscos, poderia ocasionar

em perdas de dados devastadores nos dispositivos gerenciados.

De acordo com [Manlio 2009], a gerao NAC 1.0 falhou devido ao foco em blo-

queio de clientes e a falta de agilidade, pois as ocorrncias de ameaas novas e

constantes, alm das vulnerabilidades que surgiam se somavam a um problema muito

maior em termos de segurana de uma organizao.

Desta forma, os fornecedores (fabricantes) de softwareslanavam constantemente

atualizaes para detectar e limpar as ameaas. Como resultado desta situao, te-

mos um problema de segurana, cujo modelo NAC de primeira gerao no conseguiu

acompanhar.

2So computadores de bolso. Os dispositivos mveis mais comuns so: Smartphone, Personal

Digital Assistants (PDA), Celular, Palmtop, Laptop (Notebook).


27/105


2.1.3 NAC: Segunda Gerao

A segunda gerao NAC ou NAC 2.0 surgiu devido necessidade de uma abor-

dagem para o ambiente de novas ameaas e vulnerabilidades, j que este mudava

constantemente - surgimento de novas pragas virtuais. Desta forma, tornava-se ne-

cessrio criar solues com a capacidade de abranger as necessidades de segurana.

2.1.4 O que Network Access Protection ?

Network Access Protection (NAP) uma tecnologia da Microsoft R de controle de

acesso rede introduzida pela primeira vez no Windows Server 2008. Atravs destatecnologia possvel reforar a segurana na rede do usurio, criando diretivas per-

sonalizadas para verificar o computador antes de permitir o acesso, a fim de garantir

melhor conformidade, associando aqueles dispositivos que no esto em conformi-

dade a uma rede restrita.

A infraestrutura composta por um NAP inclui computadores com NAPclient, pon-

tos de aplicao NAP, servidores de polticas NAP. Componentes opcionais podem

ser utilizados, por exemplo, servidores para remediao e servidores para verificar o

estado de sade dos computadores, ou seja, se os computadores esto em perfeito

estado de sade, longe de vrus, falhas de segurana e vulnerabilidades.

2.1.5 O que Network Admission Control ?

Network Admission Controlou simplesmente NAC a verso da Cisco referente

a Network Access Control. Cisco Network Admission Control trabalha restringindo

o acesso rede e no estado de segurana, ou seja, verificado a autenticao dousurio ou do dispositivo antes do mesmo obter acesso rede.

Cisco Network Admission Control(Cisco NAC) permite aos roteadores Cisco impor

privilgios de acesso quando determinado dispositivo tenta se conectar a uma rede,

ou seja, verificado se o dispositivo est em conformidade, antivrus, definies de

vrus e mecanismos de verificao atualizados. Os dispositivos que estiverem fora de

conformidade so negados de acessarem os recursos da rede, sendo colocados em

uma rea de quarentena, ou seja, ter acesso restrito aos recursos da rede, mantendoos outros ns (dispositivos da rede) livres de infeco.


28/105

2.2 DYNAMIC HOST CONFIGURATION PROTOCOL 9

O principal componente do Cisco NAC o Cisco Trusted Agent. Este reside nos

dispositivos, coletando informaes referentes ao estado de segurana e enviando as

informaes para os roteadores Cisco. Posteriormente, as informaes so enviadas

para o CiscoSecure Access Control Server (Cisco ACS). Neste decide-se o que deve

ser feito em relao a determinado dispositivo, orientando o roteador Cisco a restringir

o acesso deste dispositivo.

2.2 DYNAMIC HOST CONFIGURATION PROTOCOL

Dynamic Host Configuration Protocol (DHCP) um protocolo Dinmico de Con-

figurao de Host [Droms 1997], ou seja, um protocolo baseado no modelo cli-

ente/servidor que possibilita aos computadores em uma rede obterem configuraes

Transmission Control Protocol/Internet Protocol (TCP/IP), tais como: endereo IP,

DNS,gateway, mscara de rede, entre outros de forma automtica.

O protocolo DHCP uma evoluo do antigo protocolo BOOTstrap Protocol (BO-

OTP), este bastante utilizado em sistemas Unix. O BOOTP permitia a configurao

automtica de dispositivos em uma rede, como impressoras e mquinas clientes.

No incio da dcada de 90, a Internet Engineering Task Force (IETF) trabalhou

para desenvolver um protocolo que superasse as limitaes do BOOTP com adies

de novos recursos, surgindo assim o DHCP. O protocolo DHCP est definido na RFC

2131 [Droms 1997].

O DHCP permite o envio de vrios parmetros por meio de um campo existente

no cabealho do protocolo, de nome"option". Entretanto, possvel alm de enviar as

configuraes, receber determinadas informaes referente ao cliente, por exemplo,

sistema operacional e outros.

Para se obter as informaes do cliente como, por exemplo: o sistema operacional,

necessrio que se ative o uso da"option code 61", as opes so definidas na RFC

2132 [Alexander e Droms 1997]. Atrves do uso deste parmetro, possvel receber

a informao do cliente referente a qual sistema operacional o mesmo est utilizando,

essa tcnica conhecida comoDHCP Fingerprint, sendo explanado a seguir.


29/105


2.2.1 DHCP Fingerprint

DHCP Fingerprint um identificador quase nico para um determinado sistema

operacional especfico ou dispositivo[FingerBank 2011]. Atravs desse identificador

possvel saber o sistema operacional do cliente.

Esse identificador a ordem em que o cliente solicita as opes referente s con-

figuraes, comogateway, mscara de rede, DNS, entre outras. Atrves dessa ordem

de opes, possvel reconhecer o sistema operacional do cliente, pois cada sistema

operacional possui um identificador nico.

Devido difuso do protocolo DHCP, essa a maneira mais simples de se obter

informao referente ao cliente. Como definido na RFC 2132, obter a identificao do

cliente possvel com o uso da opo"Option Code 61 - Client Identification".

Atualmente, existe um projeto[FingerBank 2011]que disponibiliza esses identifi-

cadores capturados pelo projeto. Estes identificadores esto disponveis atrves de

um arquivo contendo vrios identificadores, chamados de assinaturas fingerbank.

A maioria das ferrramentas de anlise de rede, comosniffersde rede, analisadores

de protocolo, e solues NAC fazem uso destas assinaturas.

2.2.1.1 Como Funciona

O protocolo DHCP possui alguns tipos de mensagem utilizadas para a realiza-

o dos procedimentos de comunicao entre o cliente e o servidor para obteno

das informaes. Estas mensagens possuem um tipo especfico na comunicao

entre o cliente e o servidor DHCP, os tipos de mensagem so: DHCPDISCOVER,

DHCPOFFER, DHCPREQUEST, DHCPACK, DHCPNAK, DHCPDECLINE, DHCPRE-LEASE e DHCPINFORM. Alguns dos tipos de mensagem no sero abordados no

teor de nosso trabalho.

O cliente envia uma mensagem em difuso, ou seja, em broadcastna rede, con-

tendo uma mensagem do tipo DHCPDISCOVER. O servidor ao receber essa men-

sagem, retorna com uma mensagem do tipo DHCPOFFER , ou seja, ofertando as

informaes necessrias para a configurao do cliente, estas embutidas na mensa-

gem. Posteriormente, o cliente envia uma mensagem do tipo DHCPREQUEST, a fim

de iniciar a negociao, a partir de ento, o cliente aguarda pela confirmao. Esta

confirmao enviada pelo servidor contendo a mensagem do tipo DHCPACK, esta
http://www.fingerbank.org/http://www.fingerbank.org/


30/105


para confirmar o recebimento, a partir deste momento, o cliente passa a ter endereo

IP e todas as configuraes referentes solicitao. Desta forma, finalizam-se as

etapas para a obteno dos parmetros de configurao, inicialmente solicitados pelo

cliente.

Conforme demonstrado na Figura1:

FIGURA1 Etapas envolvidas em uma comunicao entre o cliente e o servidor DHCP

Fonte: Autoria prpria

A partir do momento que o cliente envia uma mensagem do tipo DHCPDISCOVER,

possvel obter algumas informaes do cliente, tais como: Host Name;Vendor Class

(classe referente ao sistema operacional);Fully Qualified Domain Name (FQDN);Cli-

ent Identification; e outros. Atravs deste tipo de mensagem, o cliente solicita uma lista

de parmetros de configuraes, na qual existe uma ordem do pedido dos parmetros,

a partir dessa ordem de parmetros possvel saber qual o sistema operacional do

cliente. Essa tcnica conhecida como DHCP Fingerprint.Na Figura2, apresentado uma mensagem do tipo DHCPDISCOVER na qual o

cliente envia e solicita informaes, sendo que, atravs da opo "Option 12 - Host

Name", possvel saber o nome dohost. Existe uma opo "Option 55 - Parameter

Request List"que utilizada para solicitar os parmetros de configurao, ou seja, a

lista dos parmetros.

Com a lista dos parmetros identificada a assinatura do sistema operacional.

Essa identificao realizada atravs da ordem dos parmetros na lista, e atravsdesta possvel reconhecer qual sistema operacional o cliente est utilizando, por

exemplo: Microsoft Windows 7, Linux Ubuntu, entre outros, como mostra a Figura3.


31/105

2.3 CAPTIVE PORTAL 12

FIGURA2 Pacote do tipo DHCP DiscoverFonte: Autoria prpria

FIGURA3 Lista de parmetros de um DHCP DiscoverFonte: Autoria prpria

A Figura3, representa os parmetros capturados de um pedido de DHCPDIS-

COVER; a lista de parmetros representa a identificao da assinatura do sistema

operacional Linux Ubuntu 10.10.

2.3 CAPTIVE PORTAL

Captive portal o nome de um software responsvel por gerenciar o acesso

Internet em redes pblicas, por exemplo, em locais como restaurantes, aeroportos,

provedores de Internet sem-fio, entre outros. Captive portalconsiste de um aplicativo

de firewall que captura os pacotes do cliente e redireciona o trfego para uma pgina

Web que solicita uma autenticao. Atrves do uso do Captive portal permitido

limitar ou restringir o acesso rede.

Quando um usurio tenta acessar qualquer pgina da Webcom o uso de um na-


32/105

2.4 RADIUS 13

vegador, ele automaticamente redirecionado para o Captive portal, pedindo uma

autenticao. Aps fornecer as crednciais como usurio, senha ou certificado digital,

o Captive portalcomunica com o servidor de autenticao enviando as credenciais

digitadas pelo usurio. Caso as crednciais sejam validadas pelo servidor de auten-

ticao, o mesmo retorna para o Captive portala mensagem como sendo vlidas as

crednciais, autorizando o acesso rede peloCaptive portal.

Um Captive portal consiste de um roteador, ou seja, sendo o gateway padro

da rede ou subrede que est a proteger. Captive portal comumente utilizado para

proteger redes sem-fio, sendo tambm possvel ser utilizado para prover a segurana

da rede cabeada.

A patente de [Zampiello et al. 2007], implementa um sistema e mtodo escalvel

deCaptive Portal.

2.4 RADIUS

Remote Authentication Dial In User Service (RADIUS) um protocoloAuthentica-

tion Authorization Accounting (AAA), ou seja, um protocolo que trata os procedimen-

tos de autenticao, autorizao e auditoria (registro, contabilizao, gerenciamento e

etc.) [UFRJ 2011]. A autenticao verifica a identidade de um usurio, enquanto que

a autorizao garante que um usurio autenticado somente ter acesso aos recursos

autorizados, e a auditoria coleta as informaes referentes ao uso dos recursos de

rede pelo usurio, por exemplo, gerenciamento, planejamento e cobrana.

RADIUS baseado no modelo cliente/servidor, definido na RFC 2865 [Rigney et

al. 2000] . Alm de ser um sistema utilizado para prover autenticao centralizada, ele

utilizado em redesdial-up,Virtual Private Network (VPN) e redes sem-fio. Existem

solues RADIUS proprietrias, ou seja, solues pagas, a exemplo do DIAMETER.

Tambm existem solues gratuitas, como o FreeRADIUS.

O FreeRADIUS umsoftwaredesenvolvido sob a licenaGeneral Public License

verso 2 (GPLv2). Ele est em constante desenvolvimento e atualizao, ao qual so

acrescentadas melhorias medida que surge a necessidade.

Em uma rede de computadores, que utiliza RADIUS, existem funes especifica-

mente distintas de equipamentos, por exemplo, Cliente, Network Authentication Ser-

ver (NAS) e Servidor RADIUS, sendo que:


33/105

2.5 IEEE 802.1X 14

Cliente- umhostque tenta utilizar um recurso da rede;

NAS- umhostque recebe uma solicitao de autenticao de um cliente e

autentica esse pedido no Servidor RADIUS.

Servidor RADIUS- ohostque validar o pedido NAS. A resposta referente ao

pedido poder ser positiva ou negativa.

Os dados que so transmitidos entre o cliente (usurio) e o servidor RADIUS so

autenticados atravs do uso da shared secret (segredo compartilhado). Este nunca

enviado pela rede, desta forma se faz necessrio o conhecimento prvio do shared

secrettanto entre o NAS quanto no servidor RADIUS, para que seja possvel haver a

autenticao entre eles.

As senhas do usurio so criptografadas, garantindo que nenhum usurio malici-

oso que esteja a escutar a rede, ou seja"sniffer", possa descobrir a senha do usurio.

RADIUS um protocolo flexvel, pois suporta vrios mtodos de autenticao do

usurio, tais como: Password Authentication Protocol (PAP); Challenge Handshake

Authentication Protocol (CHAP);loginUnix; e outros mecanismos de autenticao.

RADIUS extensvel, pois permite adicionar novos atributos de tamanho variveissem que haja a possibilidade de dificultar a implementao do protocolo, estendendo

aos novos mecanismos de autenticao.

2.5 IEEE 802.1X

O protocoloInstitute of Electrical and Electronics Engineers (IEEE) 802.1X foi pro-

posto pelo IEEE 802 LAN/WAN, e utilizado em redes Ethernet como um mecanismode controle de porta de acesso [H3C Technologies 2011].

Quando conectado um dispositivo a um ativo de rede por exemplo, um switch,

e se esse switch estiver com 802.1x habilitado em sua porta fsica, o acesso dos

recursos da rede s poder ser feito aps a autenticao. Deste modo possvel

controlar quem pode acessar a rede cabeada.

De acordo com[H3C Technologies 2011], o funcionamento do protocolo a arqui-

tetura cliente/servidor tpica, nesse caso so definidas trs entidades: Cliente, Dispo-

sitivo e o Servidor, como demonstrado na Figura4,a seguir:


34/105


35/105

2.5 IEEE 802.1X 16

FIGURA5 EAPOL RelayFonte: http://www.h3c.com

FIGURA6 EAPOL TerminationFonte: http://www.h3c.com


36/105

2.5 IEEE 802.1X 17

Os conceitos bsicos envolvidos no 802.1X so: porta controlada/porta no con-

trolada; estado autorizada/no autorizada; e direo de controle.

Porta controlada e no controlada quando um dispositivo fornece porta para osclientes acessarem a rede, cada porta fsica pode ser considerada como duas portas

lgicas, que seria uma porta controlada e uma porta no controlada. Todos os dados

que chegam porta fsica so visveis para ambas as portas lgicas.

Uma porta no modo no controlada est aberta em ambas as direes de entrada

e sada, isso permite a passagem de pacotes do protocolo EAPOL. Desse modo, o

cliente pode enviar e receber pacotes de autenticao.

Quando a porta est no modo aberta controlada, ela permite o trfego de dadossomente quando ela est no estado autorizado, ou seja, aps autenticao.

Estado autorizado e no autorizado a porta controlada que pode estar em qual-

quer estado, autorizado ou no autorizado. O estado depende do resultado da auten-

ticao, com sucesso a porta fica no estado autorizado, seno, ela ficar no estado

no autorizado.

De acordo com[H3C Technologies 2011], o estado de autorizao da porta pode

ser controlado de trs formas: forar autorizao - permite o acesso de clientes noautenticados -; Forar a no autorizada - a porta fica no estado no autorizada e ne-

gando todos os pedidos de acesso dos clientes -; e, por ltimo, o modo auto - nesse

modo a porta fica inicialmente no estado autorizada para permitir apenas pacotes EA-

POL para permitir a autenticao de clientes, aps a autenticao, o estado da porta

passa o estado autorizada. Est escolha mais comum, pois permite que qualquer

cliente utilize a porta para autenticao.

Controle de direo indica o estado da porta controlada e no autorizada que podeser configurada para negar o trfego de e para o cliente ou apenas o trfego do cliente.

2.5.1 Extensible Authentication Protocol

OExtensible Authentication Protocol (EAP) um conjunto de padres definidos

pelo IETF e descrito na RFC3478[Leelanivas, Rekhter e Aggarwal 2003] e revisado

na RFC5247 [Aboba, Simon e Eronen 2008].

Esse protocolo comumente utilizado em redes sem fio (WiFi) mas tambm pode

ser utilizado para autenticar clientes em redes cabeada. Ele padroniza a troca de men-


37/105

2.5 IEEE 802.1X 18

sagens para que o servidor autentique o cliente utilizando mtodos de autenticao

suportado por ambas as partes.

No EAP so definidos quatro tipos de pacotes: request,response,successe fai-lure[JANET 2011]. Ao conectar um dispositivo em uma porta com o 802.1x habilitado,

acontece o procedimento descrito na Figura7.

FIGURA7 EAP SupplicantFonte: http://www.ja.net

So especificados trs tipos de autenticao: EAP (MD5-Challenge,Generic To-

ken Card (GTC) eOne-Time Password (OTP) ) e trs de no autenticao (Identity,

Negative Acknowledgement (NAK) eNotification). O tipoIdentity utilizado pelo au-tenticador para solicitar ao suplicante o nome de usurio. O NAK utilizado pelo par

(suplicante) para indicar que o protocolo proposto pelo autenticador no suportado,

o autenticador pode tentar outro protocolo que seja suportado pelo suplicante. O tipo

Notification usado para retornar mensagem que ser apresentada ao usurio.

De acordo com [JANET 2011], o EAP faz uso do pass-through, ou seja, permite

que o autenticador repasse as respostas, usando o protocolo RADIUS para o servidor

EAP. A partir desse momento, o servidor assume o papel de autenticador para o res-

tante da sesso EAP, e tenta fazer a autenticao do suplicante, no caso da Figura 7,

utilizando um banco de dados centralizado para autenticao.

Alm dos trs tipos de autenticao citados, tambm pode ser usado o Transport

Layer Security (TLS) ,Tunneled Transport Layer Security (TTLS) e oProtected Ex-

tensible Authentication Protocol (PEAP). O EAP-TLS baseado noTLSe usa um

certificado de usurio para autenticar o suplicante. O EAP-TTLS tambm utiliza o

TLS, mas diferente do primeiro o EAP-TLS no utiliza um certificado de usurio para

fazer a autenticao. O PEAP tambm utiliza TLS mas difere dos demais, pois spode proteger outros tipos de EAP.


38/105

2.6 SIMPLE NETWORK MANAGEMENT PROTOCOL 19

2.6 SIMPLE NETWORK MANAGEMENT PROTOCOL

Com o crescimento das redes de computadores, de pequenas redes domsticas

para grandes redes espalhadas geograficamente e somado a isso vrios equipamen-

tos de fabricantes diferentes, a gerncia dessas infraestruturas fica cada vez mais

complexa. O protocoloSimple Network Manager Protocol (SNMP) traz para os admi-

nistradores de redes a minimizao dessas complexidades.

O SNMP comeou a ser desenvolvido no incio da dcada de 80 pelo IETF com

o objetivo de simplificar a gerncia de redes. Com esse protrocolo possvel ge-

renciar switches, roteadores,softwaresou qualquer dispositivo que permita recuperar

informaes de SNMP [Douglas e Kevin 2001].

2.6.1 Arquitetura

Softwarede gerncia de redes no segue o modelo de cliente/servidor, modelo em

que somente o cliente faz requisio ao servidor, e sim o conceito de gerente e agente

[Douglas e Kevin 2001]. Nesse modelo, as requisies podem ser feitas pelo gerente

ao agente (operaes GET e SET) ou pelo agente ao gerente (operao TRAP).Por padro, a comunicao entre as duas entidades feita atravs do protocolo

User Datagram Protocol (UDP). So utilizadas as portas 161 para enviar e receber

solicitaes e 162 para que os agentes envie traps ao gerente.

2.6.2 Gerente

A aplicao gerente responsvel pelo monitoramento e gerenciamento dos dis-positivos gerenciados e tambm por fornecer a interface para o gerente humano. O

gerente tambm conhecido comoNetwork Management Stations (NMS), respon-

svel pelas operaes depull(oupulling) e recebertraps[Douglas e Kevin 2001].

Pull ao realizada pela NMS para ler dados na base de dados dos agentes

etrap a ao realizada pelos agentes para enviar dados (eventos) dos dispositivos

gerenciados para o gerente ou NMS. No necessrio que a NMS envie algum tipo de

solicitao para que o agente envie uma trap. Esse processo assncrono, ou seja,

o agente informa ao gerente automaticamente quando algo acontece no dispositivo

gerenciado.


39/105

2.6 SIMPLE NETWORK MANAGEMENT PROTOCOL 20

2.6.3 Agente

A aplicao que armazenada nos dispositivos gerenciados responsvel em

coletar eventos e informar ao gerente o que acontece no dispositivo. Para coletar es-

sas informaes, o agente faz a varredura do disposito monitorado, por exemplo, se

colocar um agente para monitorar um servidor de banco de dados, e se o uso do pro-

cessador desse servidor aumentar alm do que foi configurado como quantidade limite

de operao, o agente imediatamente envia umatrappara o gerente NMS, sendo que

ela seria tratada, informando-o do evento que est acontecendo, e a NMS pode, se

estiver configurado, enviar um email avisando o responsvel pelo servidor sobre o que

est acontecendo com aquele servidor.

2.6.4 MIB

AManagement Information Base(MIB) a base de informao do objeto gerenci-

ado. na MIB que esto as informaes coletadas pelos agentes [UFRJ 2011].

Quando uma NMS consulta informaes de um dispositivo gerenciado, na MIB

que so consultadas essas informaes.

So definidas trs tipos de MIBs padro: MIB II, MIB Experimental e MIB Privada.

MIB II:Evoluo da MIB I, descrita pela RFC 1213 [McCloghrie e Rose 1991];

MIB Experimental: utilizada para desenvolvimento e testes de novas funcio-

nalidades de gerenciamento;

MIB Privada:Fornece informaes especficas dos dispositivos gerenciados.

Todos os agentes contm a MIB II, pois essa MIB implementa os recursos neces-

srios para monitoramento do protocolo TCP/IP, porm o agente pode implementar os

vrios tipos de MIBs.

Alm dessas MIBs padro, existem outras especficas para determinados tipos de

servios, por exemplo, DNS Server MIB definida na RFC 1611 [Austein e Saperia 1994]

especfica para servidores que executam servios DNS.

A construo da estrutura das MIBs baseada em regras descritas atravs daStructure of Management Information (SMI) - Estrutura de Informaes de Gerencia-


40/105

2.7 NETFLOW / IPFIX 21

mento. Segundo [Douglas e Kevin 2001], SMI define os objetos gerenciados e a MIB

a juno desses objetos.

2.6.5 Verses

O protocolo SNMP contm trs verses: SNMPv1; SNMPv2; e SNMPv3.

A verso 1 definida pela RFC 1157[Case et al. 1990]. verso mais simples

do protocolo. Sua segurana baseada emstringde texto puro, ou seja, o nome da

comunidade implementada no agente. Esse mtodo permite que qualquersoftware

que interprete dados SNMP consiga ter acesso s informaos de gerenciamento do

dispositivo.

A verso 2 definida pela RFC 1905 [Case et al. 1996], 1906 [Case et al. 1996] e

1907 [Case et al. 1996]. Essa verso implementou melhorias de desempenho, gern-

cia distribuda e bulk, mas continuou com o problema da segurana que foi resolvido

na verso 3.

J a verso 3, a comunicao entre o gerente e agente (nessa verso so deno-

minados como entidades do SNMP) criptografada. Tambm necessrio configurar

usurio e senha no agente e os mesmos no gerente. Essa verso descrita pela RFC

1905, 1906, 1907, 2572, 2573, 2574 e 2575.

2.7 NETFLOW / IPFIX

Netflow um protocolo de rede desenvolvido pela Cisco Systems para executar

no Cisco IOS, ou seja, para funcionar com o sistema operacional Cisco IOS nos equi-

pamentos de rede fabricados por esta como, por exemplo: switches, roteadores e

outros.

Netflow um protocolo que captura o fluxo de rede nos equipamentos, este de-

finido na RFC 3954 [Claise 2004]. Atravs dessa coleta de informaes possvel

gerar grficos para demonstrar o nvel de uso de um determinado equipamento, por

exemplo, consumo de banda; distribuio dos protocolos (porta, protocolo e endereo

IP); mapeamento de aplicativos, ou seja, saber quais aplicativos esto em uso na

rede. Desta forma possvel ajustar as polticas de Quality of Service (QoS), pois,

atravs destes mapeamentos possvel saber qual trfego a ser priorizado de um


41/105

2.8 IEEE 802.1Q 22

determinado aplicativo na organizao.

Fluxo de rede uma sequncia unidirecional de pacotes passando por um ponto

de observao na rede durante um determinado intervalo de tempo. Todos os pacotesem um fluxo possuem propriedades comuns, tais como: endereo IP de origem e

destino; porta de origem e destino; e outros.

Os equipamentos da Cisco com o servio NetFlowpodero exportar os paco-

tes coletados por meio do protocolo UDP ou Stream Control Transmission Proto-

col (SCTP), este ltimo definido na RFC 4960 [Stewart 2007].

NetFlow um servio flexvel e extensvel, a verso 9 em especfico est sendo

utilizada como base para a criao de um novo padro. Este padro est sendopadronizado pelo IETF, sendo chamado deInternet Protocol Flow Information Export

(IPFIX) [Claise 2004].

O padro IPFIX, est definido nas seguintes RFCs: 3917, 5101, 5102, 5103, 5153,

5470, 5472, 5473, 5474, 5610, 5655, 5815, 5982, 6183, 6235, 6313.

O IPFIX um protocolo para exportar informao de fluxo do trfego observado

de um dispositivo, tais como, roteador, switch e outros. Com base na verso 9 do

protocolo Cisco NetFlow, o IPFIX est prestes a se tornar o padro da indstria[Leinen 2004]. Desta forma, todos os fabricantes podero utilizar o IPFIX como o

protocolo para a gravao e coleta de informaes de fluxo, para anlise posterior.

Atravs destas informaes, possvel utilizar para gerao de grficos.

2.8 IEEE 802.1Q

Em alguns ambientes corporativos pode haver a necessidade de criar segmentosdistintos em uma rede local, isso pode ser feito atravs de redes fsicas distintas ou

Virtual LAN (VLAN).

De acordo com [Prado 1998], para controle de pacotes em VLANs so utilizados

trs modelos bsicos: VLAN baseada em portas; em endereo MAC; e em protocolos,

sendo:

- VLAN baseada em porta: cada porta Ethernet do dispositivo pode ser associadoa uma VLAN, exemplo de dispositivo switch;


42/105

2.8 IEEE 802.1Q 23

- VLAN baseada em MAC: Nesse modelo a VLAN associada ao endereo MAC

do dispositivo cliente;

- VLAN baseada em protocolo: Nesse caso a VLAN definida por protocolos (IP,IPX, ...) e endereos da camada 3 do modelo OSI.

Como as abordagens iniciais eram baseadas em portas e endereos MAC, as

VLANs estavam restritas a um nico switchou um empilhamento comswitchcontro-

lador.

Para estabelecer VLANs que atravessam o limite fsico de um switchfoi criado o

padro IEEE 802.1Q.A especificao IEEE 802.1Q define os padres, operao, administrao da topo-

logia de VLAN dentro da infraestrutura LAN. A norma descreve como quebrar grandes

redes em partes menores para trfegobroadcastemulticast, tambm ajuda a fornecer

um maior nvel de segurana para a estrutura de VLAN.

As funes descritas anteriores so possveis graas stagsdo 802.1Q, conforme

a Figura8. Portas compatveis com 802.1Q so configuradas para transmitir quadros

identificados ou no. O campo tagcontm a identificao da VLAN, pois cada VLANtem uma identificao (ID). Ao conectar um equipamento (switch) em uma porta, am-

bos compatveis com 802.1Q, os quadros transmitidos entre os equipamentos con-

tm informaes da VLAN que os originou. Isso faz com que a VLAN abranja vrios

segmentos de redes. possvel configurar para que no sejam transmitidas essas

informaes, isso necessrio por que h alguns equipamentos, por exemplo impres-

soras, que no tm suporte ao 802.1Q, estes equipamentos devem estar conectados

a portas semtag, ou seja,untagged.

FIGURA8 VLAN Tag

Fonte: http://www.h3c.com


43/105

2.9 INTRUSION DETECTION SYSTEM 24

2.9 INTRUSION DETECTION SYSTEM

Intrusion Detection System (IDS) - Sistema de Deteco de Intruso abrange

ferramentas utilizadas para identificar ataques (tentativas de acesso sem autorizao)

aos sistemas. Esses ataques podem ser originados de usurios que no fazem parte

da organizao ou por usurios legtimos da organizao.

As ferramentas de IDS identificam essas tentativas de acesso e informam ao ad-

ministrador sobre o ocorrido. Essas identificaes podem ser feitas atravs de assina-

turas ou aprendendo o comportamento da rede ou sistemas e, atravs dessa aprendi-

zagem, identificar aes fora do padro.

Os sistemas de IDS so compostos de sensores que so responsveis por monito-

rar o comportamento da rede e de sistemas. Os sensores estticos so configurados

inicialmente de acordo com a poltica de segurana da empresa, essa contm as as-

sinaturas de ataques j conhecidas. Os sensores inteligentes so responsveis por

identificar mutao de ataques existentes de acordo com as assinaturas conhecidas.

Tambm conseguem aprender (analisar) como uma determinada rede ou sistema se

comporta em um determinado perodo de tempo. Essa anlise fica armazenada para

comparaes futuras, pois, se for identificada alguma ao fora do comportamentoanalisado, o IDS qualifica essa ao como sendo um ataque.

A console de monitoramento apresenta ao administrador de redes os eventos e

alertas do IDS. atravs dessa que o administrador controla todos os sensores, po-

dendo aplicar novas assinaturas, instalar novos sensores e configurar os j existentes.

Como ferramenta de IDS o PacketFence utiliza o Snort, esta ser descrita a se-

guir.

2.9.1 Snort

O Snort um Sistema de Deteco de Intruso de Rede (Network Intrusion De-

tection System (NIDS)), open sourcedesenvolvido inicialmente por Martin Roesch,

e mantida por colaboradores espalhados pelo mundo. A comunidade dosoftware

composta de vrios tipos de contribuintes, desde usurios comuns at desenvolvedo-

res que mantm osoftwaresempre atualizado [Roesch 1999].Entre outras caractersticas da ferramenta esto: vasta quantidade de assinaturas;


44/105

2.9 INTRUSION DETECTION SYSTEM 25

cdigo fonte pequeno e atualizaes freqentes tanto no cdigo fonte como as assina-

turas que, consequentemente, fazem o Snort aceito entre os administradores de redes

e utilizado em conjunto com outras aplicaes como, por exemplo, o PacketFence.

O Snort utilizado para realizar varreduras em redes de computadores, coletando

e analisando pacotes TCP/IP. Ao ser executada, a ferramenta coloca a placa de rede

do computador em modo promiscuo, ou seja, captura todos os dados que por ela pas-

sar. H trs formas de executar a ferramenta: Sniffer: esse modo faz a captura de

pacotes TCP/IP e mostra o resultado na tela do computador, j no modo Packet Log-

gero resultado no aparece na tela e sim so gravados em forma de log no disco. O

terceiro modo,Network Intrusion Detection System, a juno dos dois ltimos modos

e mais, pois a ferramenta analisa os pacotes TCP/IP capturados a procura de carac-tersticas que sinalizam ataque. Os dados do cabealho do pacote so comparados

com as assinaturas, caso seja encontrado indcio de ataque, ou seja, a assinatura

igual aos dados do cabealho, o Snort capaz de executar aes configuradas pelo

administrador da rede nas regras da aplicao.

Para realizar essas tarefas, o Snort tem em sua arquitetura trs subsistemas: De-

codificador de pacote; Engenharia de Deteco; e Subsistema de login e alerta.

O decodificador de pacote trabalha nas camadas dois, trs e quatro da pilha do

protocolo TCP/IP, fazendo a classificao dos dados coletados, colocando marcao

nos pacotes que posteriormente sero utilizados pelo subsistema Engenharia de

Deteco. O decodificador trabalha com dados do tipo Ethernet, Serial Line Internet

Protocol (SLIP),Point-to-Point Protocol (PPP) eAsynchronous Transfer Mode (ATM).

O subsistema Engenharia de Deteco armazena as regras do Snort. Essas re-

gras so mantidas em duas listas: Chain Headers(Cadeia de Cabealhos) e Chain

Options(Cadeia de Opes). NaChain Headersesto armazenados os atributos co-muns de uma regra, por exemplo, endereo de IP de origem e destino, porta. OChain

Optionsarmazena padres de ataques, esses padres sero pesquisados nos paco-

tes capturados, e se o ataque for detectado essa Chaincontm as aes que sero

tomadas.

O Subsistema delogin/alerta grava o que est ocorrendo na rede e gera os alertas

para o administrador em tempo real.

A opo delogingrava os dados em arquivos de texto que pode ser utilizado pormulti-plataformas (Windows, Mac, etc.) ou envia essas informaes para o syslog


45/105

2.10 NESSUS 26

(programa responsvel por gerar e armazenarlogsnos sistemas Linux/Unix). A opo

de login tambm pode ser configurada para armazenar pacotes decodificados, em

formato legvel para ser humano.

De acordo com [Roesch 1999], a criao do arquivo texto de alerta pode ser feito

de trs maneiras. A primeira a criao desse arquivo com informaes completas

do alerta, essas informaes registradas so passadas pelo protocolo do nvel de

transporte. A segunda registra um subconjunto condensado de informaes, fazendo

com que o desempenho seja maior do que a primeira e a terceira utilizada para

desconsiderar alertas, essa utilizada quando a rede est passando por testes de

segurana.

2.10 NESSUS

O Nessus um scanner robusto de vulnerabilidade. O projeto da ferramenta Nes-

sus teve incio em 1998, com Renaud Deraison. No incio do projeto a ferramenta

eraopen source. Com o lanamento do Nessus 3, em Dezembro de 2005, a Tenable

Network Security Inc., empresa por trs do Nessus, passou a cobrar por atualizaes,

ou seja, o software em si permanece livre, mas as atualizaes sobre vulnerabilidades

tm um custo [Deraison 2004].

O Sistema modular, ideal para grandes redes de computadores, pois o administra-

dor de redes tem a liberdade de escolher qual modo quer usar. Esses mdulos esto

na forma depluginsque so adicionados ao Nessus.

As atualizaes da ferramenta so mantidas pela comunidade, isso traz ao Nessus

atualizaes frequentes de vulnerabilidades.

A arquitetura dosoftware composta pelo servidor (nessusd), cliente, os plugins

e a base de conhecimento. A base de conhecimento ajuda o Nessus a aprender

com os scanners j realizados, ou seja, ela guarda informaes de vulnerabilidades

j detectadas pelo Nessus. Ospluginssoscriptsescritos na linguagem prpria do

Nessus, aNessus Attack Scripting Language (NASL) e so programados para execu-

tar determinada tarefa, como por exemplo, varrer a rede a procura de computadores

que estejam com vrus.

A arquitetura Cliente/Servidor est presente no Nessus, isso traz ferramenta a

flexibilidade de ser executada em quase todos os Sistemas Operacionais, basta que


46/105

2.10 NESSUS 27

este tenha o cliente para conectar ao servidor.


47/105

28

3 INTRODUO AO PACKETFENCE

3.1 O QUE PACKETFENCE ?

PacketFence umsoftwaregratuito e uma soluoopen sourcepara Controle deAcesso Rede [INVERSE INC. 2011]. PacketFence desenvolvido sob tecnologias e

padres abertos, ou seja, nenhuma empresa fechar estes padres utilizados, garan-

tindo assim maior confiabilidade no desenvolvimento da ferramenta. PacketFence

desenvolvida e mantida pela INVERSE INC, cujos desenvolvedores esto localizados

na Amrica do Norte. Por ser umsoftwaregratuito, a comunidade poder, caso tenha

interesse, contribuir com o projeto da ferramenta.

PacketFence tem a responsabilidade de garantir que qualquer dispositivo ou usu-rio somente ter acesso rede aps ser registrado. Desta forma, garante-se uma

maior segurana rede e dados de uma organizao. Atravs do PacketFence pos-

svel centralizar o gerenciamento das redes tanto com fio quanto sem-fio, sendo este

utilizado para garantir a segurana desde uma rede pequena uma rede muito grande

e heterognea.

3.1.1 Viso Geral

O PacketFence conta com:

- Captive portal: este sendo bastante utilizado para o registro e remediao dos

dispositivos, ele possui: suporte ao padro IEEE 802.1X, suporte a Voz over In-

ternet Protocol (VoIP), isolamento de dispositivos problemticos na camada 2

do modeloOpen Systems Interconnection (OSI), ou seja, dispositivos que pos-

suem vrus em geral, falhas de segurana e vulnerabilidades, possui integrao

com o Snort;

- Snort: este utilizado para detectar diferentes tipos de ataques ou atividades


48/105

3.1 O QUE PACKETFENCE ? 29

anormais na rede;

- Nessus: este ltimo sendo utilizado para scanner de vulnerabilidades, ou seja,

verifica se o dispositivo possui falhas de segurana ou vulnerabilidades.

Conforme a Figura9a seguir, um fluxograma demonstrando a integrao das

tecnologias, equipamentos e softwares ao PacketFence.

FIGURA9 Diagrama PacketFenceFonte: PacketFence Administration Guide


49/105


3.1.2 Modos PacketFence

Out-of-Band: PacketFence uma soluo totalmente Out-of-Band (fora de li-

nha), ou seja, permite uma soluo de escala geogrfica e mais resistente sfalhas, quando usado de forma correta com a tecnologia porta de segurana

(port-security). Atravs deste modo, um nico servidor PacketFence pode ser

usado para gerenciar switches e muitos ns (dispositivos) conectados a ele.

Inline: O modo Inline (em linha) suportado pelo PacketFence para agregar

equipamentos de rede com fio e sem-fio que no so gerenciveis, ou seja, o

PacketFence no consegue gerenciar estes dispositivos, tal como: mudar de

VLAN; aplicar o recurso de porta de segurana (port-security); entre outros.Neste modo, todo o trfego direcionado ao PacketFence. O modoInlinepode

muito bem coexistir com o modoOut-of-Band.

3.1.3 Integrao Wireless

PacketFence integra perfeitamente com redes sem-fio atravs do modulo FreeRa-

dius. Este permite segurana em redes com fio e sem-fio, alm de fazer uso de uma

mesma base de dados para fornecer autenticao tanto em redes com fio quanto em

redes sem-fio atravs doCaptive portal, deixando, desta forma, a autenticao cen-

tralizada. A integrao suporta vriosAccess Points (AP) e controladores sem-fio de

diferentes fabricantes, tornando o ambiente heterogneo.

3.1.4 Registro de Dispositivos

PacketFence utiliza uma soluo similar ao Captive portalpara realizar o registrodos dispositivos. Diferentemente de solues comuns deCaptive portal, a soluo

do PacketFence recorda os usurios previamente registrados, pois este verifica se o

usurio est devidamente registrado juntamente com o dispositivo na base de dados

do PacketFence. Caso exista o registro do dispositivo, o mesmo no ser interceptado

peloCaptive portale consequentemente no ser pedido para se registrar novamente.

Desta forma, o usurio consegue acesso sem outra autenticao. Contudo, os usu-

rios no podero ter acesso rede sem primeiramente aceitar a Poltica de Uso.


50/105


3.1.5 Deteco de Atividade Anormal

O PacketFence capaz de identificar e bloquear atividades maliciosas na rede,

tais como: computador com vrus; worms; spyware e outras pragas virtuais. Isso

possvel devido a integrao com o Snort. Estas atividades maliciosas podem ser

detectadas com a execuo local do Snort, ou seja, no mesmo servidor do Packet-

Fence ou remotamente, este ltimo sendo executado em outro servidor diferente do

PacketFence.

A base de assinaturas do Snort, este possui vrios tipos de assinaturas de ata-

ques e outros, tais como: ataques ao Shell; ataques Web; ataques de vrus; entre

outros tipos de ataques. Tornando assim uma ferramenta de extrema necessidadepara manter a segurana da rede.

3.1.6 Remediao de Dispositivos

PacketFence realiza a remediao dos dispositivos atravs do Captive portal. Ini-

cialmente, todo o trfego do dispositivo interceptado e finalizado e, redirecionado

para oCaptive portal. A remediao realizada com base no status do dispositivo, ou

seja, no registrado, violao, etc.

Se o dispositivo est com o status de no registrado, o usurio ser redirecio-

nado para oCaptive portale, atravs deste, o usurio poder registrar o dispositivo.

Entretanto, se o dispositivo est com o status de violao, o mesmo tambm ser redi-

recionado para oCaptive portal, porm no sendo demonstrada a opo para registro

e sim, informaes para a correo da situao do dispositivo em particular e, atravs

destes, reduzindo os custos e intervenes da parte deHelp Desk.

3.1.7 Gerenciamento Baseado em Linha de Comando e Web

O PacketFence oferece dois modos de gerenciamento da ferramenta, gerencia-

mento baseado em linha de comando e baseado na Web.

Independentemente do modo de gerenciamento, todas as tarefas do PacketFence

podem ser realizadas em linha de comando quanto no ambiente Web. A administrao

Websuporta diferentes nveis de permisso para autenticao de usurios, sendopossvel usar autenticaoLightweight Directory Access Protocol (LDAP) ouMicrosoft


51/105


Active Directory.

3.1.8 Gerenciamento Flexvel de VLAN

O PacketFence faz uso da tcnica de VLAN definido no padro IEEE 802.1Q. Esta

tcnica bastante utilizada para segmentao de uma rede de maneira mais eficaz,

pois, com o uso desta tcnica, possvel segmentar uma rede em vrias VLANs,

podendo segmentar um switch em VLANs diferentes, ou seja, vrias redes distintas

em um mesmo equipamento.

PacketFence possui um gerenciamento flexvel de VLAN, pois sua topologia de

VLAN poder ser mantida da forma que est e apenas duas novas VLANs tero de

ser adicionadas em toda a sua rede. As VLANs que tero de serem adicionadas so:

VLAN de Registro e VLAN de Isolamento.

A VLAN de Registro ser utilizada para o registro de dispositivos e usurios. Essa

VLAN est separada das demais, no possuindo acesso rede principal e Internet.

A VLAN de Isolamento utilizada para isolar dispositivos que estejam com problemas,

sejam estes problemas de segurana, vrus ou at um software Peer-to-Peer (P2P)

que est em execuo no dispositivo. Desta forma, atribui-se a VLAN de Isolamentopara a correo dos problemas, alm de isolar estes dispositivos problemticos da

rede principal.

3.1.9 Tipos de Violao

O PacketFence poder usar o Snort e Nessus como fonte de informaes para

bloquear dispositivos em sua rede de computadores. Para realizar estes bloqueios,

o PacketFence poder usar uma combinao dos mecanismos de deteco, ou seja,

dos tipos de violao, tais como: DHCPFingerprint,User-Agente MACAddress.

Com o uso do DHCPFingerprint possvel saber qual o sistema operacional do

dispositivo. Essa assinatura nica, ou seja, cada dispositivo possui a sua identifi-

cao; este mecanismo ser explanado posteriormente. Ento, o PacketFence po-

der bloquear os dispositivos baseando-se em sua assinatura. Atravs do mecanismo

User-Agent, o PacketFence bloqueia o dispositivo com base no navegador de Internet,

por exemplo: Safari, Internet Explorer, Mozilla Firefox, entre outros. J o bloqueio pelo

mecanismo de MAC Address, o PacketFence bloqueia os dispositivos com base no


52/105


fabricante do dispositivo de rede.

3.1.10 Registro Automtico

O PacketFence tem vrias formas para registrar um cliente ou dispositivo de forma

automtica. Estas formas ou mecanismos para registrar um cliente ou dispositivo so:

DHCP Fingerprint, User-Agente MAC Address. O DHCPFingerprintbaseia-se na

assinatura do dispositivo,User-Agentbaseia-se no tipo de navegador de Internet e o

MACAddressbaseia-se no endereo dehardwaredo dispositivo.

3.1.11 Expirao

O tempo de acesso rede poder ser controlado com o PacketFence, com os

parmetros de configurao. A durao do tempo de acesso poder ser uma data

absoluta (por exemplo, Ter 15 Nov 2011), um perodo de tempo (por exemplo, 4 sema-

nas a contar a partir do primeiro acesso) ou assim que o dispositivo se tornar inativo

na rede. Aps a expirao os dispositivos que estiverem registrados estes passaram

para status de dispositivos no registrados.

Ser apresentado o seguinte exemplo:

Um Consultor est a visitar a sua empresa, ele precisar utilizar os recursos da sua

rede de computadores para acessar a Internet e este ficar em sua empresa somente

por um perodo mximo de 8 horas, ou seja, uma jornada de trabalho. Ao se passar o

perodo de 8 horas, o cadastro do Consultor expirar e da, prxima vez que este estiver

em sua empresa, no conseguir acessar os recursos da sua rede de computadores,

pois o status aps a expirao passa a ser de no registrado. Desta forma, sua rede

se torna mais segura, sendo que o Consultor precisar de autorizao, ou seja, de

registro para acessar os recursos da sua rede de computadores.

3.1.12 Acesso a Visitantes

Atualmente, as empresas precisam fornecer aos seus Consultores acesso Inter-

net, pois estes requerem o acesso para a realizao de seus trabalhos. Alm disso, di-

ficilmente necessria a eles terem acesso a infraestrutura corporativa interna. Destaforma, evita-se encargos administrativos como, por exemplo, auditoria, pois ao regis-


53/105


trar um usurio na infraestrutura corporativa interna, este passa por auditoria, uma vez

que cada recurso alocado gera despesas, tendo ento, que justificar este registro em

uma auditoria interna.

O PacketFence suporta acesso a visitante ou convidado, sendo este gerenciado

em uma VLAN especial para convidado, a qual somente ter acesso Internet. O

convidado ou visitante somente ir para Internet depois que este estiver registrado.

Para isso, o PacketFence utiliza uma VLAN de Registro e um Captive Portal, sendo

este ltimo utilizado para explicar aos clientes, ou seja, convidados ou vistantes, como

se registrar para o acesso Internet e como funciona o seu acesso.

Para registrar um convidado, existem vrias possibilidades, tais como: registro ma-

nual, auto-registro, acesso ao visitante com ativao por email e ativao por telefone

celular viaShort Message Service (SMS).


54/105

35

4 IMPLEMENTAO E CONFIGURAO

Este captulo descreve os passos necessrios para implementar a ferramenta Pac-

ketFence para o controle de acesso rede cabeada. O ambiente proposto dever

migrar dispositivos para diferentes VLANs de acordo com as polticas adotadas, quesero descritas no tpico4.2.

4.1 CONFIGURAO DE HARDWARE

A implementao e configurao da ferramenta foi realizada utilizando-se de tec-

nologia para virtualizao1, ou seja, fazendo uso de mquina virtual para a realizao

de todos os procedimentos, a fim de obter os resultados esperados pela proposta daferramenta. A seguir, a configurao utilizada pela mquina virtual:

- Processador: Intel;

- Memria: 1,5 GB de RAM;

- Hard Disk:20GB;

- Rede: 2 interfaces, sendo uma para gerenciamento e outra para monitoramento.

4.2 MODELO DE TOPOLOGIA

Na Tabela1, demonstrado as informaes propostas, referentes topologia a

ser implementada.

1 uma tcnica que separa a Aplicao e Sistema Operacional dos componentes fsicos, ou seja,do hardware. Em uma definio livre, virtualizao capacidade de executar diferentes sistemas ope-

racionais em um nico hardware.


55/105

4.2 MODELO DE TOPOLOGIA 36

VLAN Descrio PacketFence Rede Interface1 Gerenciamento 10.0.10.1 10.0.10.0/24 eth02 Registro 192.168.2.10 192.168.2.0/24 eth0.23 Isolao 192.168.3.10 192.168.3.0/24 eth0.3

10 Normal 192.168.1.10 192.168.1.0/24 eth0.10

TABELA1 Dados da Topologia

A Figura10 uma representao grfica da topologia apresentada na Tabela 1,

e a seguir, uma breve descrio dos tipos de VLAN adotadas para a implementao

desta topologia:

FIGURA

10TopologiaFonte: Autoria Prpria


56/105

4.3 CONFIGURAES 37

- VLAN 1 - Gerenciamento: a VLAN utilizada para o gerenciamento do Pac-

ketFence aos switches, ou seja, nesta que esto todos os dispositivos que o

PacketFence gerencia;

- VLAN 2 - Registro: a VLAN utilizada para o registro dos dispositivos que no

esto registrados na base de dados do PacketFence, atravs desta VLAN os

clientes somente tero acesso aoCaptive Portalpara a realizao do registro;

- VLAN 3 - Isolao: a VLAN utilizada para isolar dispositivos que estejam com

problemas, ou seja, vulnerabilidades, vrus, execuo desoftwareP2P. A fim de

re-mediar estes dispositivos, ou seja, corrigir estes problemas, sendo utilizado

oCaptive Portalpara apresentar informaes aos clientes de como resolver osproblemas, em particular para cada dispositivo;

- VLAN 10 - Normal: a VLAN na qual est toda a rede corporativa, ou seja, a

rede na qual esto os servidores e estaes dos funcionrios, sendo possvel

acessar todos os servios fornecidos pela empresa.

4.3 CONFIGURAES

O sistema operacional utilizado para a implementao e configurao da ferra-

menta PacketFence foi oCommunity ENTerprise Operating System (CentOS) 6. Este

foi escolhido por ser open source, ou seja, de uso gratuito, no sendo necessrio

realizar algum tipo de pagamento para utilizar o sistema operacional.

A ferramenta PacketFence suportada pelos seguintes sistemas operacionais:

Red Hat Enterprise Linux (RHEL) e CentOS nas verses 5.x/6.x, respectivamente,

nas arquiteturas i386 e x86_64, ou seja, 32bits e 64bits [Inverse 2011].

A instalao do PacketFence no ser abordada nesta parte do trabalho, porm

consulte a seo ApndiceApara saber como instalar a ferramenta.

4.3.1 Interface de Rede

Os arquivos de configurao das interfaces de rede, esto localizados dentro de

/etc/sysconfig/network-scripts/, este local poder mudar dependendo do sistema ope-racional a ser utilizado. A seguir, a descrio dos parmetros a serem utilizados nas

configuraes das interfaces de rede:


57/105

4.3 CONFIGURAES 38

- DEVICE: Identifica o dispositivo de rede, ou seja, a i

controle de acesso a rede com packetfenc

Documents