estudo e projeto para o provimento seguro de uma infra ... · monograﬁa apresentada a...

Cesar Henrique Prescher

Estudo e projeto para o provimento seguro de umainfra-estrutura de rede sem fio 802.11

Sao Jose - SC

setembro / 2009

Cesar Henrique Prescher

Estudo e projeto para o provimento seguro de umainfra-estrutura de rede sem fio 802.11

Monografia apresentada a Coordenacao doCurso Superior de Tecnologia em Sistemasde Telecomunicacoes do Instituto Federal deSanta Catarina para a obtencao do diploma deTecnologo em Sistemas de Telecomunicacoes.

Orientador:

Prof. Emerson Ribeiro de Mello, Dr.

Coorientadores:

Prof. Ederson Torresini, M. SC.Prof. Jorge H. B. Casagrande, M. Eng.

CURSO SUPERIOR DE TECNOLOGIA EM SISTEMAS DE TELECOMUNICACOES

INSTITUTO FEDERAL DE SANTA CATARINA

Sao Jose - SC

setembro / 2009

Monografia sob o tıtulo “Estudo e projeto para o provimento seguro de uma infra-estrutura

de rede sem fio 802.11”, defendida por Cesar Henrique Prescher e aprovada em 17 de setembro

de 2009, em Sao Jose, Santa Catarina, pela banca examinadora assim constituıda:

Prof. Emerson Ribeiro de Mello, Dr.Orientador

Prof. Odilson Tadeu Valle, M. Eng.IFSC - Campus Sao Jose

Prof. Marcelo Maia Sobral, M. SC.IFSC - Campus Sao Jose

Comece fazendo o que e necessario, depois o que e possıvel,

e de repente voce estara fazendo o impossıvel.

Sao Francisco de Assis

Agradecimentos

Presto meus sinceros agradecimentos a todos aqueles que, de qualquer forma, me ajudaram

a concluir este trabalho. Nao so com relacao a auxılio de estudos, indicacoes de livros ou

fontes para consulta dos conteudos envolvidos, mas tambem com relacao ao apoio moral e ate

financeiro que recebi.

Dedico este projeto primeiramente a Priscila, minha companheira e mulher que amo, por

ter me apoiado, pelas dicas de escrita, por ajudar a focar-me no projeto e por estar ao meu lado

sempre. Aos meus pais, Edson e Silena, avos, tios, primos e primas, pela forca nos momentos

ruins que atravessei neste ano final de faculdade.

Aos meus amigos mais que especiais, Deise e Renata, que considero como irmas, Cleiber,

Humberto, Neto, Neri, Ramiro e todos os “Danados”, pelos momentos de descontracao, chur-

rascos, jogos de sinuca e futebol, e que tambem me ajudaram nao so neste perıodo de projeto

mas por todo o decorrer do curso.

Aos professores Emerson, pela valorosa orientacao deste projeto, Ederson, pelo indis-

pensavel auxılio neste projeto e pela coorientacao do mesmo, e ao Casagrande, pela coorientacao

e indicacoes.

Por ultimo, agradeco a Deus por me manter no caminho certo e com confianca de que tudo

acabaria bem e que este projeto se concluiria com sucesso.

Resumo

Este trabalho apresenta uma forma de implementacao segura de redes sem fio 802.11 usu-fruindo de mecanismos para garantir a confidencialidade dos dados trocados e para a autenticacaoindividual de usuarios. Foram realizados estudos para determinar os mecanismos de segurancamais adequados para instituicoes cuja base de usuarios esteja em constante modificacao e quepermitam ao administrador identificar possıveis abusos da rede. Alem disso, tambem foram es-tudados metodos para predicao de cobertura que, comparados com testes de campo, forneceramum esboco para instalacao dos pontos de acesso.

Abstract

This work presents a way to implement a safe 802.11 wireless network infrastructure thatuses security mechanisms to allow data transfer confidentiality and individual user authenti-cation. A study was conducted to find out suitable security mechanisms to institutions thathave a dynamic user database and that gives to system administrator a way to identify abuseattempts by users. In addiction to, this work presents a study about coverage prediction thatwas combined to real experiments to determine the correct place to install the access point.

Sumario

Lista de Figuras

1 Introducao p. 13

1.1 Organizacao do texto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 14

2 Redes sem fio 802.11 p. 16

2.1 Associacao a rede por sistema aberto . . . . . . . . . . . . . . . . . . . . . . p. 18

2.2 Mecanismos de seguranca para transmissao de dados em redes sem fio . . . . p. 19

2.2.1 Wired Equivalent Protocol (WEP) . . . . . . . . . . . . . . . . . . . p. 19

2.2.2 Wi-Fi Protected Access (WPA) . . . . . . . . . . . . . . . . . . . . . p. 21

2.2.3 Wi-Fi Protected Access - versao 2 (WPA2) . . . . . . . . . . . . . . p. 24

2.3 Formas de autenticacao de usuario nas redes sem fio . . . . . . . . . . . . . . p. 24

2.3.1 Autenticacao por chave compartilhada . . . . . . . . . . . . . . . . . p. 25

2.3.2 Autenticacao individual . . . . . . . . . . . . . . . . . . . . . . . . p. 26

3 Propagacao de sinal nas redes sem fio 802.11 p. 31

3.1 Propagacao em ambientes abertos . . . . . . . . . . . . . . . . . . . . . . . p. 31

3.1.1 Perda no espaco livre . . . . . . . . . . . . . . . . . . . . . . . . . . p. 32

3.1.2 Reflexao e Refracao do sinal . . . . . . . . . . . . . . . . . . . . . . p. 32

3.1.3 Difracao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 33

3.1.4 Desvanecimento . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 33

3.2 Propagacao em ambientes fechados . . . . . . . . . . . . . . . . . . . . . . p. 34

3.2.1 Multiplos caminhos . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 34

3.2.2 Dispersao temporal . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 35

3.2.3 Desvanecimento (Fading) . . . . . . . . . . . . . . . . . . . . . . . p. 36

3.2.4 Atenuacao da transmissao ao atravessar obstaculos . . . . . . . . . . p. 36

3.2.5 Ambiente dinamico . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 36

3.3 Antenas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 37

4 Modelos de Predicao de cobertura em ambientes fechados p. 40

4.1 Modelos Empıricos (SANCHES, 2005) . . . . . . . . . . . . . . . . . . . . p. 40

4.1.1 Modelo One Slope . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 42

4.1.2 Modelo Multi-Wall . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 43

4.1.3 ITU-R Recomendacao P.1238 . . . . . . . . . . . . . . . . . . . . . p. 44

4.2 Modelos Determinısticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 45

5 Implementacao do servico WIFI-IFSC p. 48

5.1 Configuracoes do servidor de autenticacao . . . . . . . . . . . . . . . . . . . p. 50

5.1.1 Registro de acessos . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 52

5.2 Implementacao da predicao de cobertura . . . . . . . . . . . . . . . . . . . . p. 52

5.3 Conclusoes do Capıtulo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 55

6 Conclusoes p. 58

6.1 Trabalhos futuros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 59

Apendice A -- Extensible Authentication Protocol (EAP) p. 61

A.1 EAP MD5-Challenge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 61

A.2 EAP-Transport Layer Security (EAP-TLS) . . . . . . . . . . . . . . . . . . . p. 62

A.3 EAP-RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 62

Apendice B -- Servidor FreeRADIUS p. 64

Apendice C -- Lightweight Directory Access Protocol (LDAP) p. 67

Anexo A -- Cenarios de teste para implantacao da rede WIFI-IFSC p. 69

A.0.1 Cenario 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 69

A.0.2 Cenario 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 73

A.0.3 Cenario 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 73

A.0.4 Cenario 4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 75

Anexo B -- Configuracao dos servidores para funcionamento da rede WIFI-IFSC p. 83

B.1 Configuracao do Servidor LDAP . . . . . . . . . . . . . . . . . . . . . . . . p. 83

B.1.1 Arquivo /etc/ldap/slapd.conf . . . . . . . . . . . . . . . . . . . p. 84

B.1.2 Arquivo ldap.conf . . . . . . . . . . . . . . . . . . . . . . . . . . p. 84

B.1.3 Arquivo /etc/phpldapadmin/config.php . . . . . . . . . . . . . p. 85

B.2 Servidor SAMBA e WINBIND . . . . . . . . . . . . . . . . . . . . . . . . . p. 85

B.2.1 Arquivo /etc/samba/smb.conf . . . . . . . . . . . . . . . . . . . p. 85

B.2.2 Configuracao do phpldapadmin . . . . . . . . . . . . . . . . . . . . p. 87

B.3 Configuracao do FreeRADIUS . . . . . . . . . . . . . . . . . . . . . . . . . p. 87

Anexo C -- Configuracao do cliente para acessar a Rede WIFI-IFSC p. 89

C.1 Configuracao de cliente Ubuntu . . . . . . . . . . . . . . . . . . . . . . . . p. 89

C.2 Configuracao de cliente Windows XP . . . . . . . . . . . . . . . . . . . . . . p. 91

Lista de Abreviaturas p. 97

Referencias Bibliograficas p. 99

Lista de Figuras

2.1 Acesso a rede sem fio sem autenticacao de usuario. . . . . . . . . . . . . . . p. 19

2.2 Funcionamento da cifragem do protocolo WEP. . . . . . . . . . . . . . . . . p. 20

2.3 Exemplo de troca de mensagens no inıcio de um acesso utilizando WPA. . . . p. 23

2.4 Acesso a rede sem fio com autenticacao por meio de chave compartilhada. . . p. 26

2.5 Estrutura do EAPOL para redes do padrao ethernet(CONGDON et al., 2003). p. 27

2.6 Acesso atraves do padrao 802.1x . . . . . . . . . . . . . . . . . . . . . . . . p. 29

3.1 Exemplo de reflexao de sinal. . . . . . . . . . . . . . . . . . . . . . . . . . . p. 32

3.2 Uso da difracao em prol da transmissao de sinais, (BERGAMO, 2007). . . . p. 33

3.3 Efeitos da propagacao de multi percurso. . . . . . . . . . . . . . . . . . . . . p. 35

3.4 Tabela de atenuacao de 5 e 2,4 GHz em diversos materiais, (SANCHES, 2005). p. 37

3.5 Antena omnidirecional e sua propagacao de sinal (VIVASEMFIO, 2008). . . p. 38

3.6 Antena setorial e sua propagacao de sinal (VIVASEMFIO, 2008). . . . . . . p. 38

4.1 Alguns valores convencionados de n, (NAJNUDEL, 2004). . . . . . . . . . . p. 41

4.2 Exemplo de predicao de cobertura usando modelo One Slope, (SANCHES,

2005). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 42

4.3 Exemplo de predicao de cobertura usando modelo Multi-Wall, (SANCHES,

2005). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 44

4.4 Exemplo de predicao de cobertura a partir do conceito de optica geometrica. . p. 46

5.1 Cenario final de funcionamento do sistema WIFI-IFSC quanto a integracao

dos servicos para autenticacao de usuarios. . . . . . . . . . . . . . . . . . . . p. 49

5.2 Planilha com modelos empıricos de predicao de cobertura. . . . . . . . . . . p. 53

5.3 Exemplo de uso do comando iwconfig no laptop para verificacao de recebi-

mento de sinal do ponto de acesso. . . . . . . . . . . . . . . . . . . . . . . . p. 53

5.4 Planilha de comparacao entre os modelos empıricos e resultados reais obtidos

em testes de campo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 55

5.5 Indicacao de instalacao dos Pontos de Acesso na instituicao. . . . . . . . . . p. 56

A.1 Troca de mensagens EAP entre cliente e ponto de acesso (autenticador) . . . p. 63

B.1 Formato do pacote RADIUS (RIGNEY et al., 2000). . . . . . . . . . . . . . p. 64

B.2 Troca de mensagens RADIUS entre autenticador de clientes e servidor RA-

DIUS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 65

C.1 Exemplo de hierarquia da base de dados LDAP para um usuario. . . . . . . . p. 68

A.1 Primeiro Cenario de testes utilizado. . . . . . . . . . . . . . . . . . . . . . . p. 69

A.2 Configuracao de um usuario de testes no FreeRADIUS no arquivo users. . . p. 70

A.3 Uso do comando radtest para teste de autenticacao de usuario no FreeRA-

DIUS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 70

A.4 Resposta do servidor FreeRADIUS a um teste bem sucedido de autenticacao

vindo do comando radtest. . . . . . . . . . . . . . . . . . . . . . . . . . . p. 71

A.5 Resposta do servidor FreeRADIUS a um teste bem sucedido de autenticacao

vindo de um cliente na rede sem fio. . . . . . . . . . . . . . . . . . . . . . . p. 72

A.6 Segundo Cenario de testes utilizado. . . . . . . . . . . . . . . . . . . . . . . p. 73

A.7 Alteracoes no arquivo radiusd.conf para que consulte a base LDAP. . . . . p. 74

A.8 Alteracoes no arquivo users para que consulte a base LDAP. . . . . . . . . . p. 74

A.9 Alteracoes no arquivo attrmap. . . . . . . . . . . . . . . . . . . . . . . . . p. 74

A.10 Terceiro Cenario de testes utilizado. . . . . . . . . . . . . . . . . . . . . . . p. 74

A.11 Resposta de falha de autenticacao do FreeRADIUS no terceiro cenario. . . . p. 76

A.12 Configuracao do arquivo eap.conf. . . . . . . . . . . . . . . . . . . . . . . p. 77

A.13 Configuracao dos principais parametros do arquivo radiusd.conf para fun-

cionamento da rede sem fio. . . . . . . . . . . . . . . . . . . . . . . . . . . p. 78

A.14 Exemplo de parametros de um certificado do RADIUS. . . . . . . . . . . . . p. 78

A.15 Exemplo de configuracao do arquivo clients.conf. . . . . . . . . . . . . . p. 79

A.16 Configuracao do arquivo users. . . . . . . . . . . . . . . . . . . . . . . . . p. 79

A.17 Cliente se autenticando com sucesso no FreeRADIUS. . . . . . . . . . . . . p. 80

A.18 Alteracoes no arquivo radiusd.conf para que os logs de acesso possam ser

armazenados e consultados. . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 81

A.19 Exemplo de log de autenticacao de usuario. . . . . . . . . . . . . . . . . . . p. 82

A.20 Exemplo de log de atribuicao de IP a usuario pelo servidor DHCP. . . . . . . p. 82

B.1 Configuracao do arquivo slapd.conf. . . . . . . . . . . . . . . . . . . . . . p. 84

B.2 Configuracao do arquivo ldap.conf. . . . . . . . . . . . . . . . . . . . . . p. 85

B.3 Configuracao do arquivo /etc/phpldapadmin/config.php. . . . . . . . . p. 85

B.4 Configuracao do arquivo smb.conf. . . . . . . . . . . . . . . . . . . . . . . p. 86

C.1 Escolha da rede sem fio a qual se deseja conectar. . . . . . . . . . . . . . . . p. 90

C.2 Configuracao dos parametros de acesso da rede sem fio escolhida. . . . . . . p. 90

C.3 Abrindo conexoes de rede sem fio para editar. . . . . . . . . . . . . . . . . . p. 92

C.4 Escolha da rede a qual se deseja configurar. . . . . . . . . . . . . . . . . . . p. 92

C.5 Inıcio da edicao da rede sem fio. . . . . . . . . . . . . . . . . . . . . . . . . p. 93

C.6 Configuracao dos padroes de acesso da rede. . . . . . . . . . . . . . . . . . . p. 94

C.7 Configuracao para uso da autenticacao 802.1x. . . . . . . . . . . . . . . . . . p. 95

C.8 Configuracoes acerca de uso de certificados. . . . . . . . . . . . . . . . . . . p. 95

C.9 Informacao para nao usar o mesmo Login e Senha do seu computador para

acessar a rede sem fio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 96

C.10 Tentativa de conexao com a rede sem fio. . . . . . . . . . . . . . . . . . . . p. 96

13

1 Introducao

Hoje o Instituto Federal de Santa Catarina (IFSC) campus Sao Jose nao possui um servico

de redes sem fio disponıvel para alunos, professores, servidores e visitantes. Os pontos de

acesso ja existentes utilizam configuracao de senha compartilhada e nao integrada a rede da

instituicao. Alem disso, e crescente o numero de pessoas que adquirem equipamentos que

possibilitam o acesso sem fio a redes Wireless Fidelity (WiFi) na instituicao.

Sabe-se que a propagacao do sinal gerado pelos equipamentos da tecnologia 802.11 sofre

influencias do ambiente no qual estao inseridos. Tais ambientes sao classificados como exter-

nos e internos e para atender cada tipo de ambiente deve-se utilizar equipamentos especıficos.

por exemplo, antenas unidirecionais com alto ganho sao ideais para cobrir grandes areas em

ambientes abertos. Porem, tais antenas talvez nao sejam adequadas em ambientes como de um

escritorio.

Ja em ambientes internos, caso do IFSC, nao so existe um grande numero de obstaculos que

dificultam a propagacao do sinal emitido pelas antenas dos pontos de acesso, obrigando calculos

eficientes de predicao de cobertura e testes de campo para que se determine a disposicao dos

equipamentos e se atinja uma instalacao que atenda as necessidades de uso da instituicao.

Para a disponibilizacao do servico de rede sem fio tambem devem ser levados em con-

sideracao requisitos de seguranca. E desejado que somente usuarios autenticados e autoriza-

dos possam fazer uso do servico. E desejavel tambem, que os usuarios possam utilizar dos

mesmos nomes de usuario e senha ja utilizados para outros servicos da instituicao, facilitando

administracao da rede, memorizacao por parte dos usuarios e tornando o repasse de senha para

pessoas alheias mais improvavel.

Outro ponto e garantir a confidencialidade na rede, aplicando protocolos de seguranca para

que as informacoes dos usuarios estejam protegidas contra intercepcao de terceiros ao trafegar

pelo meio sem fio. Isso porque diferente das redes cabeadas, que contem mecanismos como

switches para direcionamento de pacotes somente ao usuario devido, no meio sem fio qualquer

pessoa pode passar a captar dados dados alheios que trafegam no ar caso nao haja mecanismos

1.1 Organizacao do texto 14

de seguranca aplicada.

E necessario tambem, prover o maximo de registros possıveis acerca do uso da rede para

possibilitar que o administrador execute auditorias na rede. Com o objetivo de evitar abusos por

parte de usuarios maliciosos, como por exemplo, acesso a sıtios indevidos, consumo excessivo

da largura de banda e praticas inadequadas, que possam prejudicar outros usuarios da rede.

Este trabalho tem o objetivo de implementar um servico de rede sem fio que proporcione

cobertura total atraves de seus pontos de acesso e com alto nıvel de seguranca aos usuarios,

utilizando os melhores mecanismos para isso. Da mesma forma, pretende-se que os usuarios

nao precisem memorizar mais um nome de usuario e senha para usar o servico, pois deseja-se

que a rede sem fio seja integrada com a atual infra-estrutura de rede, permitindo aos usuarios

da rede sem fio o acesso a servicos como impressoras, servidor de e-mail, de arquivos e etc,

deixando a conexao mais transparente e segura para o usuario e mais facil de administrar para

a instituicao.

1.1 Organizacao do texto

O texto esta organizado da seguinte forma:

• Capıtulo 2 - Redes sem fio 802.11: descreve o funcionamento das redes sem fio 802.11

e seus diferentes padroes e protocolos de seguranca;

• Capıtulo 3 - Propagacao de sinal nas redes sem fio 802.11: neste capıtulo e descrita

como se comporta a propagacao de sinais transmitidos no meio sem fio e as diferentes

caracterısticas que influenciam a propagacao de sinal, podendo ser destrutiva ou constru-

tiva;

• Capıtulo 4 - Modelos de Predicao de cobertura em ambientes fechados: mostra os

diferentes modelos de calculos para se obter uma predicao de cobertura em ambientes

fechados, correspondente ao ambiente existente no IFSC, e os parametros que levam em

consideracao;

• Capıtulo 5 - Implementacao do servico WIFI-IFSC: descreve como foi implementado

o servico de rede sem fio na instituicao de acordo com os estudos dos capıtulos anteriores;

• Capıtulo 6 - Conclusoes: apresenta as conclusoes do documento;

• Apendice A - Extensible Authentication Protocol (EAP): descreve este protocolo que e

necessario para a implementacao da seguranca na autenticacao da rede sem fio;

1.1 Organizacao do texto 15

• Apendice B - Servidor FreeRADIUS: descreve o servico que possibilitou a autenticacao

individual de usuarios e a integracao com o LDAP da instituicao;

• Apendice C - Lightweight Directory Access Protocol (LDAP): descreve o funciona-

mento da base de dados utilizada para armazenamento de usuarios no IFSC;

• Anexo A - Cenarios de teste para implantacao da rede WIFI-IFSC: apresenta os

demais cenarios de teste implementados ate que se chegasse no cenario final desejado

para implementacao do servico;

• Anexo B - Configuracao dos servidores para funcionamento da rede WIFI-IFSC: de-

monstra como configurar os servicos utilizados no projeto para realizar a implementacao

de uma rede sem fio semelhante em outra instituicao de ensino;

• Anexo C - Configuracao do cliente para acessar a Rede WIFI-IFSC: descreve as

configuracoes necessarias por parte dos clientes para acessarem rede sem fio implemen-

tada.

16

2 Redes sem fio 802.11

A ideia de transmitir dados por redes sem fio ja tem mais de 100 anos. Em 1894 Nicolas

Tesla efetuou a primeira transmissao sem fio e, segundo (TANEMBAUM, 2001), em 1901,

Gugliermo Marconi criou um telegrafo sem fio que enviava informacoes de codigo morse de

um navio para uma estacao em terra. As informacoes eram binarias, mesma ideia das redes

usadas hoje, mas funcionando de uma maneira muito mais simples naquela epoca.

Quando surgiram os primeiros computadores portateis, desejava-se acessar a rede sem a

necessidade de fios, ja que seu computador portatil tinha a finalidade de mobilidade. A par-

tir disso, diversas empresas iniciaram pesquisas com o objetivo de proporcionar esse tipo de

servico. Inicialmente pensava-se em criar mecanismos para que os computadores, atraves de

emissoes de ondas de radio, pudessem formar uma rede entre si, o que se conhece por rede sem

infra-estrutura, porem, na epoca o principal problema era formar uma padronizacao entre as

diferentes propostas criadas por fabricantes distintos.

Segundo (TANEMBAUM, 2001), a industria se viu diante da necessidade de um padrao

unico para redes sem fio e a Institute of Electrical and Electronic Engineers (IEEE), orgao res-

ponsavel por conceber o padrao 802.11 (GAST, 2002), tambem pelo nome de Wireless Local

Area Network (WLAN) e apelidado mais tarde pelo nome de WiFi, uma referencia ao High Fi-

delity (HiFi). Foram definidas para este padrao, duas formas de operacao para as redes sem fio:

estruturada, composta por elementos centralizadores, conhecidos como pontos de acesso e por

estacoes; e ad-hoc, na qual nao existem elementos centralizadores e os clientes se comunicam

diretamente uns com os outros.

As primeiras implementacoes do 802.11 apresentaram alguns problemas iniciais que de-

viam ser analisados antes de ser homologados. Diferentemente das redes com fios, como

por exemplo redes ethernet (PLUMMER, 1982), ficava aguardando ate que a rede estivesse

sem transmissoes ocupando o canal para entao enviar os dados. Havia problemas quanto aos

obstaculos que pudessem refletir o sinal de radio enviado de um ponto de acesso a um cliente

ou vice-versa. Havia problemas quando um cliente saia da cobertura de um ponto de acesso e

2 Redes sem fio 802.11 17

entrava sob a cobertura de outro, sendo necessario fazer o procedimento de handoff 1 como nos

celulares.

O padrao original tambem define o protocolo de acesso multiplo com deteccao de portadora

(Carrier Sense Multiple Access With Collision Avoidance (CSMA/CA)2) para acesso. Isso faz

com que parte da velocidade do sistema seja reduzida para dar mais qualidade em momentos

de transmissao por ambientes adversos. Resumidamente, CSMA/CA e um protocolo nao deter-

minıstico de controle de acesso ao meio no qual um no, antes de transmitir um dado, verifica

se o meio de transmissao, neste caso a faixa de radio frequencia, esta livre para que a trans-

missao ocorra sem choques e a consequente perda de informacao. A partir de 1997, o comite do

IEEE divulga os padroes 802.11, que tem sua maior diferenciacao no PHY (MAC inalterado),

frequencias de operacao e distancias de alcance, e que serao descritos a seguir:

• Padrao IEEE 802.11a (O’HARA; CALHOUN; KEMPF, 2005)

Este padrao usa 52 subportadoras (Orthogonal Frequency Division Multiplexing (OFDM)3)

e pode atingir taxas de transmissao de 54Mbps no alcance de 30 metros de cobertura e

tendo menor taxa de transmissao apos essa distancia. Trabalha com 12 canais nao sobre-

postos, oito para redes sem fio em ambientes fechados e quatro para enlaces de redes sem

fio em espacos abertos. Em comparacao aos outros padroes ela e mais cara porem, pode

ser considerada mais confiavel por receber menos interferencia de outras redes sem fio

proximas por trabalhar com a frequencia de 5GHz.

• Padrao IEEE 802.11b (O’HARA; CALHOUN; KEMPF, 2005)

Padrao que usa a frequencia de 2.4GHz dividida em 13 canais. Sua taxa de transmissao

varia com a distancia, a maior podendo chegar a 11Mbps diminuindo, a partir de 70

metros, chegando em media a 1Mbps. O alcance varia, de 180 metros em espacos abertos

e 110 metros em espacos fechados.

Tem como desvantagem a possibilidade de interferencia oriunda de equipamentos que

funcionam na mesma frequencia, como microondas, telefones sem fio, equipamentos blu-

etooth e outras redes sem fio. Porem, sua grande vantagem esta no custo com relacao a

tecnologia 802.11a, ja que utiliza a faixa de frequencias nao licenciada em todo mundo.

• Padrao IEEE 802.11g (GAST, 2002)

1Momento em que o aparelho do cliente deixa de usar o sinal de uma torre de transmissao porque esta ficandofraco para usar de outra que esta com sinal mais forte.

2Protocolo em que o cliente escuta o meio de transmissao antes de enviar seus pacotes afim de evitar colisoes eperdas de dados.

3Multiplexacao por divisao de frequencia que usa frequencias ortogonais umas as outras.

2.1 Associacao a rede por sistema aberto 18

Este padrao e uma mescla entre os padroes 802.11a e 802.11b, e transmitido na frequencia

de 2,4GHz, dividida em 13 canais de 22MHz cada, e pode chegar a taxas de transmissao

de 54Mbps e usa OFDM. E totalmente compatıvel com a rede 802.11b, permitindo que

usuarios das duas redes acessem o mesmo transmissor ao mesmo tempo.

• Padrao 802.11n (GAST, 2002)

Segundo (ARRUDA, 2008), este padrao tem por objetivo aperfeicoar as transmissoes

em redes sem fio para transmissoes multimıdia, opera nas faixas de 2.4GHz e 5GHz, e

trabalha com sistema Multiple Input, Multiple Output (MIMO)4, proporcionando taxas

de ate 300Mbps e alcance de ate 400 metros em ambientes fechados.

• Padrao 802.11i (EDNEY; ARBAUGH, 2002)

Padrao voltado para a seguranca, visa o estudo e avaliacao do padrao de autenticacao de

usuarios IEEE 802.1x(CONGDON et al., 2003), ver secao 2.3.2, e dos seguintes proto-

colos de seguranca:

1. Wired Equivalent Protocol (WEP), secao 2.2.1;

2. Wi-Fi Protected Access (WPA), secao 2.2.2;

3. Wi-Fi Protected Access - versao 2 (WPA2), secao 2.2.3.

Um grande avanco neste padrao e sua flexibilidade para extensoes, isso quer dizer que

quando uma tecnica de seguranca e dada como obsoleta ou tem alguma falha descoberta,

o padrao permite a agregacao de uma nova tecnica de seguranca sem a necessidade de

substituicao de hardware.

Nas secoes a seguir, serao descritas as diferentes maneiras de se associar a rede, tambem

serao apresentados os protocolos de seguranca de acesso ao meio sem fio, que foram citados no

padrao 802.11i anteriormente.

2.1 Associacao a rede por sistema aberto

Na autenticacao por sistema aberto qualquer cliente pode solicitar associacao ao Ponto

de Acesso desejado e, sem nenhum tipo de autenticacao, e liberada a conexao a rede para o

solicitante. A figura 2.1 demonstra a troca de mensagens em uma associacao de um cliente a

uma rede sem fio sem autenticacao:

4Significa entradas e saıdas multiplas para otimizar ganho de emissao e recepcao de dados.

2.2 Mecanismos de seguranca para transmissao de dados em redes sem fio 19

• Mensagem 1: Cliente detecta a transmissao por parte do ponto de acesso e solicita

associacao a rede;

• Mensagem 2: O ponto de acesso responde dando ou nao a permissao para acesso a rede.

Figura 2.1: Acesso a rede sem fio sem autenticacao de usuario.

Neste caso, a rede fica exposta e vulneravel a qualquer escuta ou invasao maliciosa. Para

que as redes sem fio ficassem melhor protegidas, iniciaram-se estudos para provimento de

autenticacao de usuario, fazendo com que somente pessoas autorizadas usufruıssem do servico

fornecido. Assim como estudos quanto a confidencialidade das informacoes que trafegam nessa

rede.

Na proxima secao, serao apresentadas as propostas de mecanismos de seguranca pra redes

sem fio 802.11.

2.2 Mecanismos de seguranca para transmissao de dados emredes sem fio

O padrao 802.11i, criado pelo IEEE, teve como principal motivacao, a criacao de mecanis-

mos que deixassem as redes sem fio tao seguras como as redes cabeadas. A Primeira proposta

foi o WEP em 1999, seguido dos modelos WPA e WPA2 que serao descritos nas secoes a seguir.

2.2.1 WEP

O Wired Equivalent Protocol (WEP)(THALER; ABOBA, 2008) foi o primeiro protocolo

criado para prover a confidencialidade dos dados que trafegam no meio, que sao trocados entre


clientes e/ou equipamentos, evitando que fossem acessados por qualquer outro usuario se nao os

que a eles fossem enderecadas as mensagens. Alem disso, ele surge com a capacidade tambem

de prover a autenticacao de usuarios na rede, por meio de uma senha compartilhada entre o

ponto de acesso e seus clientes, ou entre clientes e sua rede ad-hoc.

Figura 2.2: Funcionamento da cifragem do protocolo WEP.

Cada quadro, antes de ser transmitido, e cifrado com uma chave estatica que pode ter 40 ou

104 bits de tamanho. Essa chave se concatena com uma outra chave, que desta vez e dinamica,

tem 24 bits e que leva o nome de Initialization Vector (IV). Apos a concatenacao, entra o

segundo passo, que e a passagem desse quadro por um algoritmo de cifragem chamado de

Rivest Cipher 4 (RC4)(MOUSA; HAMAD, 2006) e assim e formada uma sequencia de bits

(Keystream). Esta sequencia e passada por uma funcao XOR, tornando-se um quadro dividido

em duas partes, a primeira e o dado que sera cifrado e a segunda sao bits que serao comparados

no receptor para verificar a integridade dos dados, conhecido tambem pelo nome de checksum.

Por fim e gerado um quadro, sendo que uma primeira parte contem os dados cifrados e a outra

o IV, que sera usado na recepcao para identificar a autenticidade do quadro, veja a figura 2.2.

O WEP se apresentou, na epoca de sua criacao, como a alternativa que deixaria o acesso a

redes sem fio tao seguro quando ao acesso com fios, porem o tempo mostrou as fragilidades por

tras do WEP. Um de seus problemas consiste na colisao de IVs, porque o algoritmo RC4, usado

na cifragem, gera uma mensagem cifrada de mesmo tamanho da mensagem original, facilitando

a descoberta do tamanho da mensagem original. Esse mesmo problema ocorre na utilizacao da

chave compartilhada para a geracao da sequencia de bits, o protocolo usa o IV, que e um numero


iniciado com zero e incrementado a cada quadro enviado pelo Ponto de Acesso. Para garantir

que cada pacote seja cifrado com uma sequencia de bits diferente, o IV e concatenado com a

chave.

Mesmo assim, como o tamanho dos IVs sao de 24bits, sabe-se , segundo (BRAGA, 2006),

que o mesmo IV se repete a cada 224 pacotes, mais ou menos 17 milhoes de pacotes trans-

mitidos, o que pode significar um tempo de 5 horas em uma rede de 54Mbps. Alem disso,

fabricantes fazem configuracoes que geram IVs aleatoriamente, podendo causar colisoes com

mais frequencia. A maioria das ferramentas de quebra de privacidade do WEP se da pelo co-

nhecimento da sequencia de passos do RC4 para cifrar os quadros, deixando possıvel descobrir

suas chaves atraves de analises matematicas com base nos primeiros bytes da transmissao.

2.2.2 WPA

O Wi-Fi Protected Access (WPA)(WI-FI ALLIANCE, 2003) surgiu como uma alternativa

do WEP, mostrando-se menos vulneravel aos problemas de seguranca apresentados pelo WEP

em seus cabecalhos, que usavam o Initialization Vector (IV). Uma de suas principais mudancas

e a utilizacao de um protocolo de cifragem, chamado de Temporal Key Integrity Protocol (TKIP)

e sua hierarquia de chaves. Outra mudanca e que agora o protocolo, alem de poder ter uma

senha compartilhada para acesso a rede como o WEP, o que e conhecido como Wi-Fi Protected

Access - Pre-shared key (WPA-PSK), ver secao 2.3.1, tambem pode operar sobre o padrao

IEEE 802.1x (CONGDON et al., 2003), permitindo a autenticacao com senhas privadas a cada

usuario do servico, o que e conhecido tambem como WPA-EAP.

O WPA-PSK que, segundo (BOWMAN, 2003), e um modelo WPA que nao utiliza um

servidor de autenticacao. Este modelo funciona no uso de chaves cifradas que sao mudadas

automaticamente e autenticadas entre os dispositivos periodicamente ou depois de um certo

numero de pacotes trasferidos entre eles, o que e chamado de intervalo de chaveamento.

Por nao usar um servidor de autenticacao para usuarios diferenciados, o WPA-PSK faz uso

de uma senha compartilhada, ver secao 2.3.1, que deve ter entre 8 e 63 caracteres, podendo

incluir caracteres especiais ou espacos e diferenciacoes de maiusculas e minusculas, reforcando

a seguranca quanto a quebra de senha.

O nome Wi-Fi Protected Access - Extensible Authentication Protocol (WPA-EAP) e dado

porque as informacoes passam a usar o protocolo Extensible Authentication Protocol (EAP), ver

apendice A, para troca de mensagens entre o cliente (suplicante) e um servidor de autenticacao

para permitir ou nao a associacao atraves do autenticador (ponto de acesso). Para isso, como


comentado na secao 2.3.2, o ponto de acesso e apenas uma ponte entre a troca de informacoes

entre cliente e servidor de autenticacao que contera dentro de si todos os dados de clientes.

Protocolo TKIP

O Temporal Key Integrity Protocol (TKIP) usa uma chave de 128 bits e substitui a chave

estatica do WEP por uma chave dinamica que e gerada e distribuıda por um servidor de au-

tenticacao no caso de WAP-EAP ou pelo autenticador no caso de WPA-PSK. O protocolo usa

tambem um hierarquia de chaves, para remover a previsibilidade que intrusos exploravam para

quebrar as chaves do WEP.

O Message Integrity Check (MIC), que tambem e conhecido como Michel, e o algoritmo

de cifragem utilizado pelo TKIP e e responsavel por prevenir o ataque e captura de pacotes,

alterando e revisando cada um deles. O MIC prove uma funcao matematica no transmissor

e receptor, em que cada um deles processa e compara os dados. Se os dados nao conferem,

o dado e assumido como adulterado e o pacote e descartado. Ele e uma chave de checagem

que e inclusa em todos os quadros transmitidos que previne ataques sobre o CRC32, que era o

mecanismo de checagem do WEP.

Tambem houve mudancas quanto ao Initialization Vector (IV). Agora tem 52 bits, e nao

mais 24 como no WEP. Outra diferenca e que o IV nao e mais gerado de forma aleatoria,

agora ele e gerado pelo Time Sequence Counter (TSC) que faz com que os quadros cheguem

ao destino em ordem de envio, evitando ataques de repeticao de quadros, que eram comuns no

WEP.

O WEP, como afirmado na secao 2.2.1, faz uso de uma unica chave compartilhada para

cifrar dados e autenticar estacoes. Ja o WPA usa de duas hierarquias de chaves. A Pairwise

Key, usada para comunicacao entre pontos de acessos e clientes, usando modo ponto a ponto,

fazendo com que a chave deva ser apenas conhecida pelas duas partes da comunicacao. E a

Group Key, que usada para difusao (broadcast) ou difusao seletiva (multicast).

A hierarquia de chaves serve para que a chave principal (Pairwise Master Key (PMK)), a

senha que e criada no servidor de autenticacao ou no ponto de acesso nunca trafegue pelo meio,

evitando a possibilidade de interceptacao da mesma. A partir dessa chave principal sao criadas

outras chaves, que irao trafegar na rede para que se efetue a autenticacao.

Quando se inicia a troca de mensagens para autenticacao na rede, e criada uma chave cifrada

baseada na PMK, com o nome de NONCE. Essas mensagens NONCE serao trocadas entre

cliente e autenticador. Somente se ambos os lados tiverem a PMK correta, a chave e aberta e a


comunicacao pode iniciar.

A partir disto, sao geradas as Pairwise Transient Key ou Pairwise Temporal Keys (PTKs),

para garantir a seguranca no processo de handshake5. E as chaves que servirao para a cifragem

e verificacao de integridade dos dados (checksum) durante a transmissao de dados pelo meio,

tendo os nomes de Data Encryption Key e Data Integrity Key.

Figura 2.3: Exemplo de troca de mensagens no inıcio de um acesso utilizando WPA.

A figura 2.3 demonstra um exemplo de tentativa de autenticacao de um cliente com o Ponto

de acesso por meio do WPA, e suas mensagens serao descritas a seguir:

• Mensagem 1: Contem o ANONCE, mensagem NONCE criada pelo ponto de acesso e

que e enviada para permitir que o cliente crie suas chaves de cifragem e checksum, ela e

criada com base na senha de acesso configurada no autenticador;

• Mensagem 2: Envio do SNONCE, mensagem NONCE criada pelo cliente, ja com check-

sum, e com MIC criada. Com essa verificacao fica comprovado que o cliente conhece a

chave principal correta e esta enviando uma chave tambem baseada na senha para que o

autenticador a decifre e constate que e a mesma configurada em sua base de dados.

• Mensagem 3: Aviso do ponto de acesso de que esta pronto para iniciar a cifragem dos

dados, isso e importante para que iniciem a cifragem somente depois de ambos terem

criado suas respectivas chaves.5Momento em que os elementos que iniciarao a transmissao de dados acordam os parametros da transmissao,

como canal, velocidade e outras caracterısticas necessarias.

2.3 Formas de autenticacao de usuario nas redes sem fio 24

• Mensagem 4: Cliente responde com uma mensagem de conhecimento e confirmacao de

recebimento (Acknowledge (ACK)) e finaliza o checksum. A partir deste momento todas

as mensagens que forem trocadas entre os elementos serao cifradas e a troca de pacotes

pode iniciar.

2.2.3 WPA2

O Wi-Fi Protected Access - versao 2 (WPA2)(WI-FI ALLIANCE, 2003) e a versao que

implementa todos os elementos de seguranca desejados pelo padrao do IEEE 802.11i, isso por-

que o WPA foi lancado antes que o padrao de seguranca estivesse totalmente definido e, por

isso, foi necessario o lancamento da versao 2 para se chegar a um esquema de autenticacao e

confidencialidade considerado completo.

Apesar de se poder usar opcionalmente o TKIP, o WPA2 tem disponıvel um novo protocolo

de comunicacao, chamado Counter Mode with Cipher Block Chaining Message Authentication

Code Protocol (CCMP), que faz uso do algoritmo Advanced Encryption Standard (AES) para

cifragem dos dados.

Quanto as chaves de seguranca, o WPA2 usa das mesmas hierarquias de chaves que o WPA,

porem usa a mesma chave para cifragem e verificacao de integridade dos dados, o que muda um

pouco a hierarquia. Na hierarquia Pairwise Key o PMK se subdivide em Data Encryption/Inte-

grity Key de 128 bits, EAPOL-Key Encryption Key de 128 bits e Message Integrity Check (MIC)

de 128 bits. Ja na hierarquia Group Key, se subdivide em Group Encryption/Integrity Key de

128 bits.

O AES combina uma chave Data Encryption/Integrity Key e um bloco de dados de 128 bits,

gerando um outro bloco de 128 bits totalmente distinto do original. O CCMP e responsavel pela

divisao dos quadros em blocos de tamanhos iguais, 128 bits, para que o AES possa efetuar a

cifragem dos blocos. Outra funcao do CCMP e a insercao de um MIC no dado que sera enviado

e seja facilitada a verificacao de erros durante a transmissao.

2.3 Formas de autenticacao de usuario nas redes sem fio

Na secao anterior foram mostradas formas para garantir a confidencialidade dos dados

que trafegam pelo meio sem fio a fim de evitar quebras de sigilo de informacoes vindas de

usuarios maliciosos. Porem, como tambem ja foi explicitado na secao 2.1, essa nao era a unica

preocupacao dos administradores das redes sem fio.


A outra preocupacao era com relacao a permitir que somente usuarios autorizados fossem

permitidos a associar-se a rede. Foram propostas duas formas para autenticar usuarios em uma

rede sem fio:

• Autenticacao por meio de chave compartilhada;

• Autenticacao por chave individual, conhecida por IEEE 802.1x, que necessita do auxılio

de um servidor de autenticacao e que sera descrito na secao 2.3.2.

2.3.1 Autenticacao por chave compartilhada

No esquema de autenticacao por chave compartilhada, uma senha e configurada no proprio

ponto de acesso, cabendo a ele autorizar ou nao a associacao do cliente a rede, apos troca de

mensagens para confirmacao dos dados do usuario, fazendo uso dos protocolos WEP, WPA ou

WPA2. Para ser autenticado na rede, o cliente devera saber a senha de acesso, caso contrario,

sua autenticacao sera negada e nao podera acessar a rede.

A figura 2.4, demonstra os passos para adesao de um cliente a um ponto de acesso e suas

mensagens serao descritas a seguir:

• Mensagem 1: Solicita autenticacao do cliente ao ponto de acesso;

• Mensagem 2: Resposta do ponto de acesso, enviando um desafio,

juntamente com ANONCE;

• Mensagem 3: Cliente, se souber a senha, decifra o ANONCE e responde com SNONCE

ao ponto de acesso, o que afirma que o cliente conhece a senha, lembrando que esta

mensagem tambem e cifrada;

• Mensagem 4: Ponto de acesso confirma ou nao a autenticacao do usuario se as mensa-

gens anteriores foram trocadas corretamente.

O uso de senha compartilhada com uso de protocolos de seguranca, como WEP, WPA-

PSK ou WPA2-PSK, visam prover a confidencialidade dos dados que trafegam no meio sem

fio, porem, a senha compartilhada e vista como uma fraqueza na implementacao de redes. O

motivo e o proprio compartilhamento da senha, inicialmente somente as pessoas que devem

acessar a senha possuem mas, pode ser divulgada ou repassada a pessoas que nao deveriam ter

acesso, comprometendo o uso da rede. Mesmo que a senha seja trocada, o problema logo se

repete, tornando o uso de senha compartilhada um problema para os administradores de rede.


Figura 2.4: Acesso a rede sem fio com autenticacao por meio de chave compartilhada.

2.3.2 Autenticacao individual

O acesso a rede sem fio sem qualquer tipo de autenticacao nao proporciona nenhum tipo de

seguranca para a rede e se torna inviavel quando se deseja ter algum controle sobre acesso dos

usuarios a rede. O uso de senha compartilhada prove um uso mais seguro da rede, permitindo

autenticacao de usuarios e, com o WPA2, chegou-se a um esquema que visa assegurar a con-

fidencialidade das informacoes cifrando os dados que trafegavam pela rede reforcando pontos

onde os protocolos anteriores demonstraram fraquezas.

A fim de tornar o acesso a rede mais restrito, controlado e de facil administracao, o IEEE

criou o padrao para autenticacao e seguranca 802.1X(CONGDON et al., 2003), que pode ser

aplicado tando em redes sem fio como redes cabeadas. Este padrao pode tornar a autenticacao

de usuarios individual, criando para cada usuario uma senha que sera usada para autentica-lo na

rede. Desta maneira, o administrador tem mais controle sobre a rede e seus usuarios, podendo

efetuar auditorias e verificacoes de abuso, isso tambem faz com que os usuarios nao repassem

seus dados pessoais a terceiros para que acessem a rede, diminuindo o acesso de pessoas nao

autorizadas.

O padrao IEEE 802.1x oferece uma plataforma (framework) efetiva de autenticacao e con-

trole de trafego de usuarios para uma rede protegida. O 802.1x utiliza o protocolo EAP, ver

anexo A, em ambas os tipos de redes, com fio e sem fio, e suporta diversos tipos de metodos de

autenticacao como certificados, senhas compartilhadas e outros.

Em sua arquitetura, o 802.1x possui tres componentes chave:

1. Suplicante (Supplicant): Usuario ou cliente que deseja efetuar a autenticacao;


2. Servidor de Autenticacao: Tipicamente o Remote Authentication Dial in User Service

(RADIUS) mas podendo ser qualquer outro;

3. Autenticador: Dispositivo entre suplicante e servidor de autenticacao, podendo ser um

ponto de acesso por exemplo.

A chave de protocolo no 802.1x e chamado de EAP over LANs (EAPOL) e e atualmente

definido para uso em redes como redes sem fio, com fios ou Token Ring6. O protocolo EAPOL

do padrao 802.1x prove uma autenticacao de usuario eficaz, independentemente do uso de cifra-

gem em redes sem fio. Se configurado para implementar troca de chaves dinamicas, o servidor

de autenticacao pode retornar as chaves de sessao para o autenticador juntamente com a men-

sagem de permissao de acesso. O autenticador usa a sessao de chaves para construir, assinar e

cifrar uma ”chave-EAP” (EAP-Key) que e enviada para o cliente imediatamente apos o envio da

mensagem de sucesso. O cliente pode usar o conteudo da chave para definir a chave de cifragem

a ser utilizada.

O 802.1x EAPOL e um mecanismo de entrega e, segundo (CONGDON et al., 2003), nao

fornece os mecanismos de autenticacao real. Por isso e necessaria a escolha de um tipo EAP, ver

sessao A, como EAP Transport Layer Security (EAP-TLS) ou EAP Tunneled Transport Layer

Security (EAP-TTLS), que definira como a autenticacao ocorrera. O tipo EAP fica no servidor

de autenticacao, dentro do sistema operacional ou aplicativo de software nos dispositivos do

cliente. O ponto de acesso age como uma ponte ou passagem para as mensagens 802.1x, sendo

assim, o ponto de acesso nao precisa ter suporte ao tipo EAP.

A figura 2.5 representa a estrutura do protocolo EAPOL do padrao 802.1x para autenticacoes

em Local Area Networks (LANs) ou WLANs no formato de quadro EAPOL para redes 802.37:

Figura 2.5: Estrutura do EAPOL para redes do padrao ethernet(CONGDON et al., 2003).

• Port Access Entity (PAE) Ethernet type: Contem o valor atribuıdo do tipo de rede;

• Protocol Version: Informa a versao do protocolo EAPOL;

• Packet type: Determina o tipo de pacote, ver secao A, podendo ser EAP-packet, EAPOL-

Start, EAPOL-Key, EAPOL-Logoff ou EAPOL-Encapsulated-ASF-Alert;6Redes em anel utilizadas para redes dedicadas de comunicacao de dados7Padrao Ethernet


• Packet body length: Define o numero de octetos que formam o pacote;

• Packet Body: Este campo esta presente quando o pacote e do tipo EAP-packet, EAPOL-

Start, EAPOL-Key ou EAPOL-Logoff.

Para que o 802.1x disponibilize a plataforma de autenticacao de usuarios de redes sem fio,

uma pequena mudanca e feita para definir uma ”porta de rede” dentro do 802.11. O IEEE de-

cidiu que uma associacao entre um cliente e um ponto de acesso seria considerado como uma

porta logica, para interpretar a ligacao com o 802.1x. A associacao no 802.11 deve ser concluıda

antes do inıcio de negociacao no 802.1x, isso porque a ligacao entre o cliente e o servidor de

autenticacao deve estar ativa para que troquem mensagens. Antes de uma autenticacao bem su-

cedida, o ponto de acesso descarta todo o trafego que nao pertence a uma tentativa de associacao

por meio do padrao 802.1x, apos a autenticacao ter sucesso, o ponto de acesso remove o filtro e

permite que o trafego possa fluir normalmente.

Os protocolos de acesso para garantir confidencialidade podem ser WPA ou WPA2, porem,

o ponto de acesso nao tera mais a senha configurada dentro de si, ele passa a consultar um

servidor de autenticacao que fara a comparacao dos dados de usuario e repassara a autorizacao

ou nao para o ponto de acesso liberar o acesso a rede.

O servidor de autenticacao mais conhecido para esse tipo de servico e o Remote Authenti-

cation Dial in User Service (RADIUS)(RIGNEY et al., 2000), ver apendice B, a maioria dos

pontos de acesso existentes no mercado provem suporte ao padrao 802.1x e consulta. Esse

servidor pode conter a base de usuarios configurada dentro de seus arquivos ou pode consultar

um arquivo externo, como um simples .txt, um banco de dados mais elaborado ou um outro

servidor, como um SAMBA8, ou Lightweight Directory Access Protocol (LDAP), ver apendice

C, por exemplo.

A integracao do servidor de autenticacao com uma base de dados externa ou um outro

servidor cria a vantagem de poder aproveitar os mesmos dados de usuarios utilizam em um

domınio da rede cabeada, ou um servico de autenticacao qualquer, para fazer uso da rede sem

fio, facilitando a manutencao de usuarios, memorizacao de senha e controle de acessos por parte

do administrador.

Para efetuar a comunicacao entre cliente, ponto de acesso e servidor de autenticacao, o

padrao 802.1x, segundo (GAST, 2002), faz uso do Extensible Authentication Protocol (EAP),

ver apendice A, para suporte a comunicacao entre cliente e ponto de acesso. Do ponto de acesso

ate o servidor de autenticacao, as mensagens EAP sao encapsuladas em mensagens RADIUS8http://www.samba.org


Figura 2.6: Acesso atraves do padrao 802.1x


para que sejam verificadas e processadas. A figura 2.6 exemplifica uma conexao por parte de

um cliente nesta arquitetura e suas mensagens serao descritas a seguir:

• Mensagem 1: Apos as primeiras mensagens trocadas de tentativa de conexao entre cli-

ente e ponto de acesso, ver secao 2.2.2, o cliente envia a mensagem EAPOL-Start, infor-

mando que todas as mensagens a partir de agora serao cifradas e que aguarda o desafio

por parte do ponto de acesso;

• Mensagem 2: Solicitacao dos dados do cliente por parte do ponto de acesso;

• Mensagem 3: Cliente encaminha seu nome de usuario para ponto de acesso, que encap-

sula o pacote em uma mensagem RADIUS e encaminha para o servidor de autenticacao;

• Mensagem 4: Servidor de autenticacao informa que recebeu a solicitacao do usuario e

pede que seja informada a senha, note que ao chegar no ponto de acesso, a mensagem e

desencapsulada do pacote RADIUS e e enviada em formato EAP para o cliente;

• Mensagem 5: Cliente encaminha a senha para autenticacao, novamente a mensagem e

encapsulada em formato RADIUS pelo ponto de acesso e encaminhada ao servidor. Ao

chegar no servidor, caso o RADIUS consulte uma base de dados externa, ele repassa a

solicitacao de autenticacao e aguarda a resposta;

• Mensagem 6: Resposta do servidor de autenticacao informando se a autenticacao foi

feita com sucesso ou se foi negada;

• Mensagem 7: Fim da autenticacao cifrada e inicia-se o uso da rede pelo cliente em caso

de sucesso;

• Mensagem 8: Encerramento da conexao por parte do usuario.

Obs.: Para informacoes mais especıficas das mensagens EAP ou RADIUS, ver apendices

A e B respectivamente.

31

3 Propagacao de sinal nas redes sem fio802.11

A propagacao de sinais eletromagneticos que, segundo (SANCHES, 2005), e mais conhe-

cida como transmissao de ondas de radio, e o modo de transmissao das tecnologias de redes

sem fio 802.11. Transmitir ondas de radio requer diversos estudos acerca dos efeitos causa-

dos pelo meio de transmissao como: difracao, quando um sinal muda de direcao ao tocar uma

extremidade de um obstaculo; reflexao, quando um sinal muda de direcao ao ser refletido pela

superfıcie de um obstaculo; e refracao, quando o sinal muda de direcao ao penetrar um obstaculo

ou efetuar uma mudanca de meio de propagacao.

Esses problemas podem ocorrer tanto em ambientes externos, caracterizados por enlaces de

grande distancia e areas abertas de grande escala. Como um grande campus de uma universi-

dade que utilizaria varios pontos de acesso com enlaces diretos entre os predios da instituicao

ou ate mesmo predios separados por grandes distancias que desejam obter um enlace sem fio.

Ou em ambientes fechados, que sao caracterizados por areas menores e fechadas. Ambientes

internos como empresas, shoppings, aeroportos, residencias e instituicoes de ensino menores.

Neste capıtulo serao descritos os ambientes nos quais sao implementadas as redes sem fio e

tambem as principais caracterısticas que influenciam na propagacao de sinal e que podem gerar

perdas ou ate mesmo ganho de sinal nesses diferentes ambientes.

3.1 Propagacao em ambientes abertos

Segundo (SANCHES, 2005), ambientes abertos sao caracterizados pela propagacao de si-

nais em enlaces de longa distancia, como redes de celular, transmissoes de emissoras de radio

ou televisao assim como na transmissao de dados. Para esse tipo de ambiente, levam-se em

consideracao algumas caracterısticas que podem influenciar no sinal e que serao descritas nas

secoes a seguir.

3.1 Propagacao em ambientes abertos 32

3.1.1 Perda no espaco livre

Considera-se por espaco livre, quando nao existe qualquer obstaculo entre o transmissor

e o receptor da transmissao, deixando a perda de sinal acontecer somente por causa do espa-

lhamento do sinal no meio. A medida que a onda se afasta da antena transmissora, ela perde

energia com o aumento da distancia ate sua chegada ao receptor. Isso ocorre porque quando

a onda se espalha no meio, a energia tambem se espalha uniformemente como bolha, cuja su-

perfıcie cresce em funcao do quadrado da distancia entre o centro e a borda. Isto gera perda

de energia na recepcao, e influenciada por fatores como potencia de transmissao, frequencia do

sinal e distancia entre transmissor e receptor.

3.1.2 Reflexao e Refracao do sinal

Fenomeno que ocorrem quando a onda eletromagnetica que carrega os dados transmitidos

encontra um obstaculo com dimensoes mais espessas do que seu proprio comprimento de onda.

A onda pode mudar de meio, fazendo com que parte da energia se perca para tentar atravessar

o meio e outra parte retorna ao meio anterior, num angulo diferente do angulo de incidencia,

como representado na figura 3.1.

Figura 3.1: Exemplo de reflexao de sinal.

Os casos mais comuns sao quando o sinal passa por obstrucoes como paredes, pisos, mor-

ros e ate mesmo no solo, o que e muito comum segundo (BERGAMO, 2007). Algumas ca-

racterısticas da reflexao devem ser sempre consideradas, como a nao variacao da velocidade,

comprimento e frequencia da onda, porem, a fase pode ou nao variar.

A refracao de sinal ocorre quando o sinal transmitido encontra um obstaculo e, como repre-

3.1 Propagacao em ambientes abertos 33

sentado na figura 3.1, parte do sinal e refletido para o mesmo meio mas parte tenta atravessar

o obstaculo, mudado sua direcao. E um tipo de perda que acontece comumente quando o sinal

transmitido atravessa paredes, vidros, arvores, anteparos de metal entre outros obstaculos que

possam vir a estar no caminho do sinal.

3.1.3 Difracao

A difracao permite que transmissor e receptor troquem ondas eletromagneticas mesmo que

nao haja espaco livre direto entre eles, podendo estar separados por um ou mais obstaculos.

Quando a frente de onda toca um obstaculo as ondas eletromagneticas podem contornar obsta-

culos atraves de suas extremidades. Uma zona de sombra e criada na base do obstaculo, porem,

o sinal difratado, mesmo atenuado, pode ainda ter informacao para passar ao receptor.

A difracao tambem e uma caracterıstica presente em transmissoes de sinais por meios com

muitos obstaculos, a figura 3.2 ilustra o uso de uma transmissao por radio difusao que usa as

montanhas, ponto B, que estao no caminho do sinal para auxiliar a chegada do sinal transmitido,

ponto A, ate o receptor, ponto C, tudo isso atraves da difracao do sinal.

Figura 3.2: Uso da difracao em prol da transmissao de sinais, (BERGAMO, 2007).

3.1.4 Desvanecimento

Tambem conhecido como Fading, o desvanecimento e atenuacao de sinal que soma a

variacao do sinal na recepcao e a alteracao de amplitude no percurso. Isso pode causar efei-

tos destrutivos ou ate mesmo beneficos no espectro do sinal. Em virtude destas caracterısticas

que podem ocorrer em conjunto, divide-se a definicao de desvanecimento em dois tipos para

melhor estuda-lo, desvanecimento plano e seletivo.

O desvanecimento plano e causado por duas causas ambientais gerais, a primeira delas e

a absorcao, causada pela atenuacao e dissipacao do sinal por motivo de chuva, neve ou outros

3.2 Propagacao em ambientes fechados 34

gases. Porem, a atenuacao causada pela absorcao e mınima para as frequencias usadas em redes

sem fio.

A segunda causa ambiental e a atenuacao por obstaculos que possam comprometer a frente

de onda, causando perdas de sinal, muito parecido com a refracao, uma onda pode tomar dife-

rentes caminhos ao encontrar algum tipo de obstaculo.

Ja o desvanecimento seletivo pode ser causado pelo desvanecimento devido a dutos, um

fenomeno de inversao termica na atmosfera que, ocorrendo em paralelo ao solo a dezenas de

quilometros de altura, pode canalizar o sinal neste duto “prendendo” parte dele la, causando

perdas na recepcao ou ate mesmo causando ganho na recepcao em alguns casos. Em ambientes

fechados pode acontecer em corredores, que acabam simulando tuneis em que o sinal pode

percorrer todo o percurso obtendo menos perda do que um sinal propagado no espaco livre ja

que as constantes reflexoes durante o percurso evitam espalhamento do sinal.

3.2 Propagacao em ambientes fechados

Um ambiente fechado, como em empresas, escolas, hospitais, aeroportos, shoppings e re-

sidencias, possui inumeros tipos de obstaculos, com diferentes caracterısticas que podem influ-

enciar a propagacao de ondas eletromagneticas. Alem de levar em consideracao as perdas por

reflexao, refracao e dispersao, para se estudar a propagacao de sinais em ambientes fechados

deve-se estudar a grande flutuacao de sinal dentro dos ambientes.

A seguir serao descritas as principais caracterısticas que influenciam as transmissoes de

radio nos ambientes fechados, que causam perdas ou ganhos de sinal na recepcao.

3.2.1 Multiplos caminhos

Este fenomeno ocorre, segundo (SANCHES, 2005) e (BERGAMO, 2007) quando existem

diferentes caminhos disponıveis para que um sinal saia do transmissor e chegue ao receptor.

Esses caminhos sao criados porque o sinal tenta atravessar diferentes obstaculos distribuıdos

pelo meio, como ilustrado na figura 3.3, que fazem com que o sinal seja refletido e difratado

pelos obstaculos, tomando diferentes direcoes.

Contudo, a soma vetorial de todos os sinais incidentes no receptor, vindos dos multiplos

caminhos podem gerar ganho ou perdas no sinal original dependendo da fase em que cheguem

com relacao ao sinal direto. Esse tipo de efeito e a principal caracterıstica em um canal de trans-

missao terrestre, o que inclui uma transmissao usada numa rede sem fio 802.11 em ambientes


Figura 3.3: Efeitos da propagacao de multi percurso.

fechados.

3.2.2 Dispersao temporal

A dispersao temporal, tambem conhecida por delay spread, surge em virtude dos multiplos

caminhos. O sinal transmitido pode chegar varias vezes no receptor em tempos diferentes, isso

porque percorreram caminhos diferentes. Em virtude disso as “versoes” do sinal ou replicas

criadas causam um espalhamento temporal desse sinal.

A dispersao temporal serve para quantificar o efeito dos multiplos caminhos, dizendo o

intervalo de tempo em que reflexoes com energia significativa chegaram ao receptor. Esse

fenomeno possibilita tambem que exista desvanecimento seletivo e algum tipo de interferencia

no sinal.

Por perceberem que sistemas de comunicacoes com taxas elevadas de transmissao sao

muito sensıveis a propagacao por multiplos percursos, em virtude dos atrasos dos sinais in-

diretos, algumas medidas foram tomadas por fabricantes para resolver este problema.

• Pontos de acesso fazendo uso da diversidade de espaco, usando duas ou mais antenas

espacadas fisicamente entre si, que recebem o mesmo sinal mas que enviam ao receptor

apenas o sinal de maior intensidade;

• Uso de um circuito de bloco chamado Receptor RAKE, que transformam sinais vindos de

multi percursos apenas em somas construtivas;

• Aplicacao de equalizadores de decisao e avaliacao, que corrige o canal de radio dinami-

camente, de acordo com a caracterıstica de impulso e resposta de um canal de radio ideal,

para os efeitos de propagacao por multiplos caminhos.


3.2.3 Desvanecimento (Fading)

Em sistemas fechados desvanecimento e caracterizado como uma variacao instantanea na

intensidade do sinal que chega ao receptor. Isso se da em virtude do espalhamento temporal, que

traz a alteracao de amplitude de acordo com as varias componentes do espectro e que chegam

em tempos diferentes no receptor.

O desvanecimento em sistemas fechados pode ser separado em dois tipos: plano, quando as

interferencias ocorrem em todo o espectro de frequencia; e seletivo, se a interferencia ocorrer

em apenas uma faixa de frequencia do espectro. E um problema presente em todos os casos de

propagacao de sinal em ambientes fechados e deve-se levar em consideracao sempre que iniciar

os estudos para implantacao de uma rede sem fio.

3.2.4 Atenuacao da transmissao ao atravessar obstaculos

Em um sistema de rede sem fio situado num ambiente fechado, podem existir diversas estru-

turas internas e externas que contem uma variedade de obstaculos dos mais diversos materiais

e que causam, aos sinais transmitidos, diferentes nıveis de atenuacao.

Quando um sinal propagado entra em contato com um obstaculo, alem de sofrer difracao,

refracao, multiplos caminhos e outros fenomenos citados neste estudo, tambem sofre com uma

perda de amplitude (atenuacao) do sinal ao atravessar o obstaculo, mesmo porque o sinal, alem

de se espalhar em varias direcoes, tambem perde energia tentando atravessar os obstaculos.

A partir desta constatacao, fica extremamente difıcil ter uma nocao exata de como o sinal

se comportara nesse meio, ja que cada obstaculo formado por um diferente material tera um

coeficiente de atenuacao diferente. A figura 3.4 representa algumas convencoes de coeficientes

de atenuacao dos obstaculos mais comuns em ambientes fechados.

3.2.5 Ambiente dinamico

Da-se o nome de ambiente dinamico a uma caracterıstica presente na maioria dos ambientes

fechados. Essa caracterıstica e a possibilidade de existirem obstaculos moveis no meio, indo

para diferentes direcoes e causando diferentes nıveis de atenuacao de sinal. Essa caracterıstica

se da, principalmente, em virtude das pessoas que possam estar se movimentando dentro das

salas, corredores ou portas e janelas que podem estar abertas ou fechadas.

E por isso que, segundo (SANCHES, 2005), deve-se tomar cuidado ao fazer calculos para

3.3 Antenas 37

Figura 3.4: Tabela de atenuacao de 5 e 2,4 GHz em diversos materiais, (SANCHES, 2005).

ambientes fechados pois tem-se um grande numero de obstaculos que podem ser movidos e

modificar todas as caracterısticas do local em estudo.

3.3 Antenas

Sao diversos os tipos de antenas disponıveis no mercado para se implementar em instalacoes

de redes sem fio, porem, as mais conhecidas e utilizadas pelos pontos de acesso para redes

do padrao 802.11 podem der definidas como duas principais, Omnidirecionais ou Direcionais

(setoriais).

As antenas omnidirecionais, segundo (ESTEVES, 1987), sao indicadas quando os aparelhos

de transmissao estao no centro da regiao que se pretende cobrir, pois elas emanam o sinal

irradiado de maneira igual em todas as direcoes como um cırculo no plano horizontal, como

ilustrado na figura 3.5.

As antenas direcionais sao indicadas para cobrir apenas uma regiao especıfica, uma certa

area ou corredor, pois emanam seu sinal de maneira focada numa unica direcao, ilustrada na

figura 3.6, tendo a vantagem de chegar a uma distancia maior de cobertura do que o raio de

cobertura da omnidirecional por ter sua potencia centralizada a atender uma area especıfica.

Existem tambem antenas com funcoes de emissao diferenciadas, como a Isotropica, que

gera uma emissao de ondas eletromagneticas em todas as direcoes possıveis, como um globo.

Antenas Yagi, helicoidal e parabolica sao outros tipos de antenas que podem ser usadas em

redes sem fio, mas com mais usabilidade em redes de ambientes abertos.

Escolher a antena adequada para ter uma cobertura melhor da rede e fundamental quando

se pretende aproveitar da melhor forma possıvel a area que deseja-se atender e os equipamentos

3.3 Antenas 38

Figura 3.5: Antena omnidirecional e sua propagacao de sinal (VIVASEMFIO, 2008).

Figura 3.6: Antena setorial e sua propagacao de sinal (VIVASEMFIO, 2008).

que serao utilizados.

A frequencia e largura de banda para qual a antena foi fabricada para trabalhar em um

nıvel satisfatorio e uma preocupacao que deve ser tomada antes da instalacao. Tratando de

antenas que atenderao os padroes 802.11, devem receber frequencias de 2,4GHz e 5GHz. A

potencia e o ganho que essa antena gera ao iniciar as transmissoes e recepcoes tambem devem

ser analisados, porque indicam a distancia teorica a qual o sinal podera cobrir, alem de dar uma

ideia de quantos obstaculos podera atravessar no caminho ate um receptor.

Quando se deseja obter melhor cobertura em uma area especıfica, alem de usar a antena

setorial, pode-se aproveitar de outro procedimento que auxilia na cobertura da regiao que se

deseja obter melhor cobertura. Esse procedimento, segundo (BERGAMO, 2007), chama-se

“Tilt mecanico”, possui essa denominacao porque a antena e movimentada fisicamente para

que sua propagacao de sinal se direcione com mais precisao para a area que se deseja ter uma

melhor cobertura. Alem disso, esse procedimento pode ser usado para evitar interferencias

entre antenas que usam o mesmo canal de transmissao ou quando nao se deseja desperdicar

propagacao de sinal para fora dos limites da area que se deseja cobrir.

Escolher a antena adequada depende diretamente de fatores interligados com o ambiente

3.3 Antenas 39

que se deseja cobrir, sua topologia e os tipos de obstaculos que existem dentro desse ambiente

sao dados importantes para a escolha. Antes de instalar os equipamentos de transmissao que

possuem as antenas, deve-se fazer uma serie de calculos e testes, levando em consideracao,

alem dos modelos de antena utilizados, os fenomenos de interferencia no sinal transmitido que

foram descritos neste capıtulo. Para isso, existem os calculos de predicao de cobertura eque

serao descritos no capıtulo a seguir.

40

4 Modelos de Predicao de cobertura emambientes fechados

Os modelos de predicao de cobertura existem para que se obtenha uma instalacao de rede

sem fio que permita um uso eficaz e com a melhor area de cobertura possıvel, afim de atender a

todos os possıveis usuarios dessa rede.

Detalhes como reutilizacao de frequencias, evitar interferencias de aparelhos que utilizem

as mesmas frequencias, como telefones sem fio, aparelhos de microondas, alem de verificar a

melhor localizacao para os pontos de acesso, levando em consideracao tambem a propagacao

do sinal, estudada no capıtulo 3, sao importantes para se considerar nesse estudo. Na literatura

os modelos para predicao de cobertura sao separados em dois tipos, os empıricos (estatısticos)

e os determinısticos, e que serao explicados a seguir.

4.1 Modelos Empıricos (SANCHES, 2005)

As redes sem fio 802.11 utilizam frequencias altas, que possuem comprimento de onda

baixa, por exemplo 12,5cm para 2,4GHz ou 6cm para 5GHz, e que sofrem muitas variacoes em

um ambiente fechado, em virtude do grande numero de obstaculos dos mais diferentes materiais

e tamanhos, alem da possibilidade de movimentacao desses obstaculos dentro dos limites da

cobertura, como por exemplo pessoas caminhando.

Os modelos empıricos, segundo (SANCHES, 2005), determinam que para um planejamento

inicial de uma rede sem fio, deve-se apenas preocupar-se com o numero de clientes que se deseja

atender, a area que se deseja cobrir e verificar possıveis interferencias que possam ocorrer por

equipamentos que utilizem a mesma faixa de frequencia ou ate mesmo outras redes sem fio na

mesma regiao. Ou seja, nao se deve ter um grande volume de informacoes para se efetuar os

calculos, sendo apenas necessarias as caracterısticas gerais do ambiente que se deseja instalar a

rede.

4.1 Modelos Empıricos (SANCHES, 2005) 41

Essas caracterısticas gerais sao:

1. Comprimento de raio direto, referente a distancia entre transmissor e emissor;

2. Numero de paredes que serao atravessadas;

3. Materiais que compoem as paredes;

4. E a compensacao da atenuacao, usada para calibracao.

Por usar somente essas quatro caracterısticas principais, a predicao por cobertura empırica

se torna muito mais rapida. O que faz desnecessaria a necessidade de reservar tempo e recursos

analisando plantas do edifıcio e possıveis mudancas de obstaculos. Porem, vale lembrar que

isso pode trazer uma certa imprecisao na cobertura, o que e normal neste caso.

Para se ter uma melhor predicao diante de diferentes materiais, foi criado o parametro n,

distancia-potencia, isso porque percebeu-se que em muitos ambientes, a forca do sinal decresce

a uma potencia n com relacao a distancia. Este ındice n pode ser visto como a soma das di-

ferentes caracterısticas que podem afetar a propagacao, como reflexao, difracao ou atenuacao,

dentro de um ambiente fechado. A partir disso, foram propostos varios modelos para predicao

de sinais que usam uma tabela de fatores, ilustrada na figura 4.1, que afetam o ındice de perda

por trajeto, sempre tomando por base um valor inicial que corresponde ao do espaco livre, que

possui n = 2.

Figura 4.1: Alguns valores convencionados de n, (NAJNUDEL, 2004).

Os valores de n mostram diferentes variacoes de acordo com o ambiente em que se deseja

aplicar a propagacao de radio, isso porque existem diferentes obstaculos e materiais que os

formam, dependendo do ambiente estudado. Geralmente as variacoes em ambientes abertos sao

menores que nos fechados e ambientes fechados com corredores, que apresentam canalizacao,

possuem valores muito menores que para edifıcios metalicos.


4.1.1 Modelo One Slope

Este modelo, segundo (SANCHES, 2005), apresenta uma dependencia linear entre a perda

de trajeto (dB) e a distancia logarıtmica, expressa pela equacao 4.1. Como pode-se verificar,

esse modelo depende somente da distancia do emissor ate o receptor e o gradiente n, deixando

esse modelo muito simples de se usar e aplicar.

L = L(d0)+10nlog(d) (4.1)

em que:

• L - Perda por propagacao em funcao da distancia (em dB);

• d - distancia entre a base e terminal em metros;

• L(d0) - perda de propagacao de referencia a um metro de distancia em dB e varia de

acordo com a frequencia utilizada para a rede implantada, por exemplo 40,2dB para

2,4GHZ (frequencia usada nos padroes 802.11b e 802.11g);

• n - gradiente potencia-distancia.

Na figura 4.2, esta ilustrado um exemplo de como a propagacao teoricamente seria de

acordo com os calculos em uma planta baixa de um ambiente qualquer. A esquerda da fi-

gura, parte mais escura, e o centro de propagacao e, conforme o sinal se propaga para a direita,

perde potencia por igual, desconsiderando os obstaculos existentes no meio, somente tomando

em consideracao a distancia do ponto de origem do sinal e o ponto onde o cliente esta.

Figura 4.2: Exemplo de predicao de cobertura usando modelo One Slope, (SANCHES, 2005).

Seu uso, segundo (SANCHES, 2005), esta mais voltado a ambientes onde o numero de

obstaculos e muito pequeno ou ate nulo, para que nao se tenha influencia de outras carac-

terısticas que nao sejam a potencia do sinal e a distancia entre emissor e receptor do sinal.


4.1.2 Modelo Multi-Wall

Modelo tambem chamado de COST-231, segundo (OLIVEIRA; CAMPOS, 2003), utili-

zado para ambientes com multiplas paredes e mostra a perda durante o trajeto no espaco livre

somada com as atenuacoes de cada parede ou piso que se apresenta no caminho entre emissor

e receptor. Este modelo tambem leva em consideracao as paredes e pisos do local, conforme

segue a formula 4.2.

L = Ld0 +10nlog(d)+KF1 +M

∑i=1

Ai (4.2)

em que:

• L - perda por propagacao em funcao da distancia (dB);

• d - distancia entre emissor e receptor (metros);

• Ld0 - perda de propagacao de referencia a um metro de distancia (dB);

• n - gradiente de potencia-distancia;

• K - numero de pisos penetrados;

• F1 - fator de atenuacao entre pisos adjacentes (dB);

• M - numero de paredes entre emissor e receptor;

• Ai - fator de atenuacao nas paredes do “tipo i” 1 (dB).

Como pode-se perceber na equacao 4.2, ainda se usa neste modelo o gradiente n, como no

modelo One Slope, porem, ele se torna desnecessario na teoria e, para se fazer uma aproximacao

de resultado, pode-se usar a equacao 4.3 como substituicao, que considera a perda entre emis-

sor e receptor igual ao espaco livre e, por isso, nao se usa mais o gradiente n. Alem disso,

acrescenta-se as perdas por atravessar pisos. A partir dessas mudancas aplicadas, pode-se che-

gar a um modelo mais realista.

L = L f s(d)+N

∑i=1

KwiLwi +K f L f (4.3)

em que:

1Normalmente usa-se dois tipos de paredes nas formulas (pesadas e leves), porem, pode-se usar quantos tiposde paredes quiser.


• L - perda por propagacao em funcao da distancia (dB);

• L f s(d) - perda por espaco livre entre emissor e receptor a distancia d (dB);

• Kwi - numero de paredes entre emissor e receptor do “tipo i”;

• Lwi - fator de atenuacao das paredes do “tipo i”;

• N - numero de tipos de paredes;

• K f - numero de pisos entre emissor e receptor;

• L f - fator de atenuacao entre pisos adjacentes (dB), que depende da frequencia usada na

rede implementada, por exemplo, 21dB na frequencia de 2,4GHz (frequencia usada nos

padroes 802.11b e 802.11g);

Como ilustrado na figura 4.3, considerando que o ponto de origem do sinal e o mesmo da

figura 4.2, o sinal considera agora as variaveis referentes as paredes presentes no ambiente e,

conforme os fenomenos de reflexao, difracao e dispersao, as salas possuem diferentes nıveis de

sinal, considerando que quanto mais clara e a cor na figura, menor a potencia de sinal recebida

na sala. Apesar de, como ja explicado anteriormente, os dados nao serem tao precisos como

uma predicao empırica, exigindo que medidas de campo sejam feitas em caso de se desejar alta

precisao da predicao.

Figura 4.3: Exemplo de predicao de cobertura usando modelo Multi-Wall, (SANCHES, 2005).

4.1.3 ITU-R Recomendacao P.1238

O modelo de recomendacao ITU-R P.1238(CONGDON et al., 1999) e bem generalizado

quanto ao local da predicao por requerer pouca informacao quanto ao trajeto ou local da instala-

cao. Ele considera, como explicitado na equacao 4.4, os pisos, afim de caracterizar a reutilizacao

de frequencia entre pisos distintos , os coeficientes de perda de potencia, ja que as distancias

4.2 Modelos Determinısticos 45

levam em conta a transmissao atraves de paredes e obstaculos, assim como outros fatores de

perda que podem ser encontrados em edifıcios.

Ltotal = 20log10 f +Nlog10d +L f (n)−28 (4.4)

em que:

• N - coeficiente de perda de potencia devido a distancia (dB) e varia de cordo com a

frequencia utilizada na rede ou do tipo de edifıcio. Por exemplo, em frequencias de 1,8

a 2GHz, o valor de (N) pode ser de 28 em edifıcios residenciais e de 30 em edifıcios

comerciais;

• f - frequencia (MHz);

• d - distancia de separacao (metros) entre emissor e receptor sendo d maior do que 1 metro;

• L f - fator de perda por penetracao no piso (dB) e que varia de acordo com a frequencia

utilizada. Por exemplo, em frequencias de 1,8 a 2GHz, o valor de L f pode ser de 4n para

edifıcios residenciais e de 15+4(n−1) para edifıcios comerciais;

• n - numero de pisos entre emissor e receptor, sendo (n≥ 1).

Um dado importante e que pode haver um limite de separacao previsto para varios pisos,

isso porque o sinal pode passar por outros trajetos externos para completar o enlace com perda

total menor que a esperada atraves dos calculos. Por isso, novamente e importante salientar que

quando deseja-se obter alta precisao da predicao de cobertura, o ideal e que se tome tambem

medidas reais e compara-las as teoricas.

4.2 Modelos Determinısticos

Os modelos determinısticos combinam elementos empıricos com o metodo eletromagnetico

da teoria uniforme da difracao. Esse modelo considera os raios diretos com uma so reflexao e

uma so difracao, podendo ser estendido a varias difracoes e reflexoes se desejado, o que pode

aumentar a precisao da cobertura significavelmente.

Como as redes sem fio utilizam frequencias altas, a propagacao e considerada semelhante

a da luz. Por tanto, assume-se que o raio vai diretamente do emissor ao receptor ou so pode ser

influenciado por reflexao, refratacao, difracao ou espalhamento, como consta na figura 4.4, o

que se conhece por conceito de optica geometrica.


Figura 4.4: Exemplo de predicao de cobertura a partir do conceito de optica geometrica.

Nesta tecnica de optica geometrica devem-se ter duas caracterısticas muito bem defini-

das, a primeira e o de imagem, em que se usam as imagens de receptor com relacao a todas

as possıveis superfıcies onde haja reflexao de sinal e assim pode-se tracar os raios ate essas

possıveis imagens. Esse e um modelo interessante para predicao para redes ponto a ponto.

Outra acao e a de lancamento de raios, em que sao tracados raios uniformes em todas as

direcoes e que sao seguidos ate que cheguem ao receptor ou sua amplitude fique abaixo do limite

aceito para uma recepcao adequada. Essa medida e mais flexıvel que a de imagens porque os

raios difratados e dispersados podem ser examinados junto com as reflexoes, porem, necessita

de muito mais tempo para implementacao de testes, exigindo varias horas ate que se tenha uma

predicao adequada. Esse modelo e interessante para predicao de uma area em que se deseja

verificar a resposta de um canal aos impulsos.

O algoritmo de tracado de raios calcula todos os possıveis caminhos do emissor ao trans-

missor, baseando-se nas reflexoes das paredes, difracao, espalhamento e transmissao atraves

de varios materiais. Ao final de todo processo, somam-se todas as componentes de todos os

caminhos para se obter o nıvel de sinal que chega ao receptor.

Os modelos de predicao de cobertura determinısticos sao os modelos mais precisos para

quem deseja ter uma predicao detalhada antes de implementar sua rede sem fio, podendo ser

aplicados tanto em areas abertas como fechadas. Porem, e necessario que se tenha uma gama de

informacoes detalhadas do ambiente ao qual se deseja fazer a predicao, desde a planta baixa da

edificacao, caracterısticas das paredes, pisos, janelas, anteparos, corredores, escadas e qualquer

objeto que sirva de obstaculo para o sinal.


Em virtude disso, esses modelos, apesar de serem mais precisos, sao muito mais complexos

e demorados de se executar e, se o usuario nao tiver detalhes suficientes ou nao dispor de tempo

para efetuar tais modelos de predicao indica que se usem modelos empıricos ou semi-empıricos

para suprir a necessidade.

48

5 Implementacao do servico WIFI-IFSC

Este capıtulo tem o objetivo de apresentar a implementacao do servico de rede sem fio

no Instituto Federal de Santa Catarina (IFSC), campus Sao Jose, de acordo com os estudos

obtidos nos capıtulos anteriores e apendices. Serao mostradas as escolhas dos mecanismos de

seguranca para autenticacao do usuario, confidencialidade dos dados que trafegam no meio sem

fio e da troca de informacoes entre usuario e ponto de acesso durante a transmissao de dados.

Os calculos de predicao de cobertura e instalacao dos servicos utilizados para o funcionamento

da rede tambem serao apresentados nas secoes a seguir.

A fim de garantir a confidencialidade dos dados que trafegam no meio sem fio, foi esco-

lhido como protocolo de seguranca o Wi-Fi Protected Access - versao 2 (WPA2) pois, segundo

(EDNEY; ARBAUGH, 2002), alem de ser a versao mais recente e moderna dos protocolos de

seguranca para redes sem fio, foi criado justamente contornar as fraquezas que existiam nos pro-

tocolos antecessores (WEP e WPA-TKIP), inibindo ataques de usuarios maliciosos que antes

exploravam as fraquezas dos protocolos para invadir a rede ou capturar mensagens alheias.

Outro importante item na seguranca da rede WIFI-IFSC e seu modelo de autenticacao de

usuario. A partir dos estudos da secao 2.3, ficou claro que para uma instituicao de ensino,

onde o fluxo de pessoas e muito grande e existe um numero consideravel de usuarios para a

rede sem fio, o uso de senha compartilhada nao e adequado para autenticar usuarios. A senha

compartilhada traz problemas de seguranca por permitir que seja passada facilmente a pessoas

nao autorizadas e tambem por dificultar o trabalho do administrador da rede no gerenciamento

de permissoes de usuarios ou na aplicacao de possıveis auditorias na rede em caso de abusos.

Por isso, a escolha mais adequada para autenticacao de usuarios e a do padrao 802.1x, ver

secao 2.3.2, que utiliza a autenticacao individual de usuarios, facilitando a administracao e ge-

renciamento da rede sem fio. Outra vantagem do uso deste padrao e o uso de um servidor de

autenticacao para efetuar a autenticacao de usuarios, pois centraliza todos os dados em um so

local, tirando a necessidade de configurar senhas nos pontos de acesso e tambem por permi-

tir que esse servidor busque as informacoes de usuarios em bancos de dados ja existentes na

5 Implementacao do servico WIFI-IFSC 49

instituicao. No caso especıfico deste projeto, o servidor de autenticacao instalado foi o Remote

Authentication Dial in User Service (RADIUS), ver apendice B.

A partir das escolhas efetuadas para configuracao da rede sem fio, uso do protocolo WPA2-

AES com autenticacao individual de usuarios pelo padrao 802.1x com servidor de autenticacao

no RADIUS, a etapa seguinte e a instalacao da mesma. Para o provimento da autenticacao indi-

vidual, utilizando a mesma base de dados ja existente na instituicao, foi necessaria a integracao

do RADIUS com a base de dados Lightweight Directory Access Protocol (LDAP), ver anexo C.

Para isso, o servico FreeRADIUS foi instalado e configurado para que consultasse a base LDAP

a cada tentativa de conexao de usuarios para autenticar-se a rede. Alguns cenarios de teste foram

efetuados com o objetivo de fazer com que o FreeRADIUS consultasse diretamente o LDAP,

ver anexo A, porem, em virtude de problemas referentes a troca de mensagens entre ambos, des-

critos pelo proprio FreeRADIUS, a solucao final para a instalacao dos servicos e a utilizacao do

servidor RADIUS consultando o SAMBA1, que por sua vez, repassa as solicitacoes ao LDAP,

ver figura 5.1.

Figura 5.1: Cenario final de funcionamento do sistema WIFI-IFSC quanto a integracao dosservicos para autenticacao de usuarios.

O LDAP nao pode receber os dados cifrados do FreeRADIUS para compara-los com os de

sua base. Isso porque ao receber a mensagem, o LDAP cifra novamente a mesma e compara

com sua base que esta cifrada, para garantir seguranca das informacoes de dados de sua base e,

por isso, exigindo que os dados recebidos estejam em texto puro. Implementando o SAMBA

com o servico WINBIND, o FreeRADIUS enviara sua solicitacao cifrada para o SAMBA que,

descifrara os dados e repassara ao LDAP em texto puro, de forma que seja compreendido e a

autenticacao possa prosseguir corretamente.

Segundo (VALLE, 2009), o SAMBA e um software criado para integrar as funcionalidades

entre o UNIX e Windows, como compartilhamento de pastas e impressoras. O que permite essa

integracao e o conjunto de protocolos Service Message Blocks (SMB) / CIFS, com plataformas

Windows, UNIX, Linux, IBM Systems e outros.

1http://www.samba.org

5.1 Configuracoes do servidor de autenticacao 50

O WINBIND e um componente da plataforma SAMBA com a funcao de emular a auten-

ticacao de domınio Windows em estacoes de trabalho UNIX, para que os usuarios do Windows

sejam vistos como usuarios UNIX automaticamente, assim como autenticacao em grupos de

trabalho ou servidores de autenticacao. As maquinas Windows possuem seu proprio formato de

mensagens de autenticacao, o que o WINBIND faz e emular essas mensagens no mundo UNIX

para que usuarios UNIX possam autenticar-se em um domınio ou se validar como um usuario

da rede Windows.

O principal motivo da obrigatoriedade do uso do WINBIND para integrar SAMBA e RA-

DIUS e que o comando de consulta do RADIUS ao SAMBA e o ntlm auth, ver linha 14 da

figura A.13, que e o comando de autenticacao particular do WINBIND.

Desta forma, a seguir serao apresentadas as configuracoes necessarias no servico FreeRA-

DIUS para o funcionamento da rede WIFI-IFSC.

5.1 Configuracoes do servidor de autenticacao

Para que a rede sem fio WIFI-IFSC funcione dentro dos parametros desejados, autenticando

usuarios individualmente como previsto no modelo 802.1x, ver secao 2.3.2, e comparando seus

dados na base LDAP da instituicao, o FreeRADIUS deve ser devidamente configurado para

receber as solicitacoes de autenticacao dos pontos de acesso, repassa-las ao SAMBA e enfim

envia-las ao LDAP.

Na figura A.13, sao apresentadas as principais mudancas do arquivo radiusd.conf, para

que o servidor de autenticacao funcione de acordo com os parametros desejados. Os principais

deles sao habilitar o uso de cifragem nas informacoes trocadas com os clientes, a habilitacao

do uso do protocolo EAP na autorizacao e autenticacao de usuarios, assim como o redireciona-

mento dos pedidos de autenticacao para o SAMBA e a habilitacao de registros de autenticacao

de usuarios para permitir auditorias na rede.

O padrao 802.1x, utiliza o protocolo EAP, ver apendice A, para as comunicacoes do meio

sem fio. Para isso, o arquivo eap.conf do RADIUS tambem deve ser configurado, como

ilustrado na figura A.12. E utilizado para conexoes com clientes sem fio o metodo Protec-

ted Extensible Authentication Protocol (PEAP)(STANLEY; WALKER; ABOBA, 2005), que

permite autenticacoes digitais incluindo certificados publicos. O PEAP faz uso de tuneis Trans-

port Layer Security (TLS) entre o cliente e o servidor para troca segura de mensagens de

autenticacao.

5.1 Configuracoes do servidor de autenticacao 51

Neste caso de uso, o PEAP usado e o de versao zero (PEAPv0), que faz uso do protocolo Mi-

crosoft Challenge Handshake Authentication Protocol - versao 2 (MSCHAPv2)(ZORN, 2000),

que serve para garantir a seguranca das mensagens iniciais trocadas entre usuario e servidor de

autenticacao, o handshake, para inıcio da autenticacao de usuario. Ou seja, no momento em

que o usuario solicita autenticacao ao servidor para que possa usar a rede, o protocolo PEAP

cria um tunel entre eles e o MSCHAPv2 garante a seguranca das informacoes de handshake,

ate que os parametros de seguranca de troca de informacoes entre usuario e autenticador sejam

definidas e a troca de credenciais possa ser iniciada.

Esses protocolos acima citados foram utilizados porque estavam padronizados nos arquivos

de configuracao do FreeRADIUS, ao escolher o uso do metodo de acesso PEAP, devem ser

habilitados os modulos TLS e TTLS, assim como o uso do MSCHAPv2, tudo isso no arquivo

eap.conf.

A criacao de certificados e necessaria para que se confirme a autenticidade da conexao

quando se inicia a conversacao entre cliente e servidor de autenticacao. O FreeRADIUS, ao ser

instalado, ja possui certificados em funcionamento, porem, sao certificados padrao que facilitam

a quebra de seguranca se nao forem alterados.

Para configurar os novos certificados, devem ser alterados os arquivos ca.cnf, campo

[certi f icate authority], ver figura A.14, server.cnf e client.cnf, nos campos [server] e

[client] respectivamente, esses campos sao alterados de acordo com as configuracoes de identi-

dade do certificado desejadas pelo administrador da rede, muito parecidos com os mostrados na

figura A.14. E importante lembrar que um certificado criado tambem tem as caracterısticas do

arquivo xpextensions, que contem os elementos requeridos para compatibilidade com clientes

Windows.

Para permitir que os pontos de acesso utilizem o FreeRADIUS como servidor de autenticacao,

e necessario configurar o arquivo clients.conf, ver figura A.15, este arquivo possui uma

lista de todos os clientes confiaveis do servidor e o RADIUS descartara qualquer tentativa de

autenticacao vinda de um ponto de acesso nao cadastrado neste arquivo. Cada modulo no ar-

quivo corresponde a um cliente do servidor e podem ser criados quantos forem necessarios.

O arquivo users, ver figura A.16, deve ter apenas a modificacao que permita o uso do

modelo de autenticacao EAP para usuarios, porem, esse arquivo tambem pode servir como base

de dados de usuarios, caso o administrador da rede prefira que o FreeRADIUS nao consulte

bases de dados externa mas sim uma base propria.

Com a configuracao destes arquivos, o servidor esta configurado para efetuar o recebi-

5.2 Implementacao da predicao de cobertura 52

mento de solicitacoes de autenticacao vindas dos pontos de acesso cadastrados e repassa-las ao

SAMBA, garantindo que somente usuarios autenticados utilizem a rede sem fio WIFI-IFSC. A

figura A.17 ilustra uma tentativa efetuada com sucesso de um cliente no servidor FreeRADIUS.

5.1.1 Registro de acessos

A fim de prover ao administrador da rede a possibilidade de efetuar auditorias da rede sem

fio, caso seja necessario encontrar usuarios que cometam abusos, conforme a polıtica de uso

existente na instituicao, pode-se configurar o FreeRADIUS para que armazene em arquivos

de log, mensagens como tentativas de conexao por usuario, conexoes efetuadas com sucesso,

conexoes com falha e outras mensagens trocadas entre servidor e cliente durante uma conexao.

As configuracoes necessarias, como ilustrado na figura A.18, sao efetuadas no arquivo

radiusd.conf, com isso, os logs ficarao disponıveis para consulta do administrador de acordo

com sua previa configuracao. Os registros contem os IPs dos pontos de acesso que autenticam

os usuarios no campo Client-IP-Address, o nome de usuario que se autenticou no campo User-

Name, e o endereco MAC do usuario no campo Calling-Station-Id, como exemplo da figura

A.19.

Porem, somente o registro do FreeRADIUS pode nao auxiliar o administrador, pois nao

repassa dados como quanto tempo o cliente acessou a rede ou qual o IP foi adquirido. Contudo,

acessando os registros de acesso do servidor Dynamic Host Configuration Protocol (DHCP), ver

figura A.20, pode ser localizado qual IP foi atribuıdo ao endereco MAC do usuario no campo

hardware ethernet e por quanto tempo esse IP ficou atribuıdo ao mesmo. Por fim, cruzando os

dados de usuario, endereco MAC, IP e tempo de uso, pode-se localizar o causador do abuso e

penaliza-lo de acordo com a polıtica de uso da instituicao.

5.2 Implementacao da predicao de cobertura

Conforme os estudos apresentados no capıtulo 4 e levando em consideracao as carac-

terısticas de ambientes fechados, apresentados no capıtulo 3, foram desenvolvidos estudos para

instalacao dos pontos de acesso na instituicao, visando a maior cobertura da estrutura com o

maior aproveitamento da propagacao do sinal emitido das antenas dos pontos de acesso.

Os modelos escolhidos para efetuar a predicao de cobertura foram os modelo empıricos,

por sua facilidade de compreensao e o fato de nao precisar um estudo aprofundado da planta

e possıveis obstaculos existentes na instituicao, o que dinamizou o tempo de pesquisa e imple-


mentacao. Para testes dos modelos empıricos, foi utilizada uma planilha disponibilizada por

(SANCHES, 2005), ver figura 5.2. Nesta tabela as formulas apresentadas na secao 4.1 estao

todas inclusas e inserindo as caracterısticas basicas para teste, como numero de paredes, tipo de

parede, distancia entre ponto de acesso e cliente, tem-se um resultado de predicao de cobertura

para o ponto de teste.

Figura 5.2: Planilha com modelos empıricos de predicao de cobertura.

1 root@cesar-eeepc:~# iwconfig ath02 ath0 IEEE 802.11g ESSID:"WIFI-IFSC" Nickname:""3 Mode:Managed Frequency:2.437 GHz Access Point: 00-1E-58-A5-CD-FE4 Bit Rate:18 Mb/s Tx-Power:17 dBm Sensitivity=1/15 Retry:off RTS thr:off Fragment thr:off6 Encryption key:8ADC-A071-816F-8C41-DCB1-143B-76F4-759D Security mode:

restricted7 Power Management:off8 Link Quality=44/70 Signal level=-38 dBm Noise level=-82 dBm9 Rx invalid nwid:10590 Rx invalid crypt:0 Rx invalid frag:0

10 Tx excessive retries:0 Invalid misc:0 Missed beacon:0

Figura 5.3: Exemplo de uso do comando iwconfig no laptop para verificacao de recebimentode sinal do ponto de acesso.

Para comprovar os calculos de predicao da planilha, foi utilizado um laptop para testes e,

com o uso do comando iwconfig, ver figura 5.3, pode-se verificar no local de teste os seguintes

itens relevantes ao teste:


• Mode:Managed Frequency: Frequencia usada pelo ponto de acesso naquele canal de

comunicacao, linha 3 da figura;

• Tx-Power: Potencia de transmissao do ponto de acesso, linha 4 da figura;

• Link Quality: Qualidade do sinal naquele ponto, linha 8 da figura;

• Signal level: Potencia do sinal recebido pelo usuario, linha 8 da figura;

• Noise level: Nıvel de ruıdo, linha 8 da figura.

Para comparar os dados dos testes de campo com os resultados obtidos na planilha de

predicao dos modelos empıricas e verificar se estao corretas, deve-se obter qual a perda de sinal

naquele ponto do teste de campo. Para isso e necessario seguir o exemplo da equacao 5.1.

Perda(dB) = (T xPower)− (SignalLevel) (5.1)

Para os testes, considerou-se a frequencia localizada nos testes de campo, correspondente

a 2462 MHz para transmissao de dados, um ındice de coeficiente n, ver secao 4.1, igual a 3,

que corresponde a um ambiente fechado com media obstrucao em virtude do grande numero de

vigas e pilastras de concreto espalhados pelo campus, paredes de tijolos com atenuacao de 6dB,

divisorias de madeira com atenuacao de 4dB e 21dB de atenuacao para piso adjacente, quando

o teste e referente a um ponto em piso diferente do ponto de acesso.

A figura 5.4 apresenta a indicacao de onze cenarios feitos para comparar os resultados

obtidos nos calculos de predicao de cobertura empıricos, modelos One Slope, ver secao 4.1.1, e

Multi-Wall, ver secao 4.1.2, e os testes de campo realizados com um laptop. Os dados inseridos

das comparacoes contem diferentes valores de distancia entre usuario e ponto de acesso, andares

atravessados pelo sinal, numero de paredes entre usuario ponto de acesso e tipo da parede.

O cenario 1, por exemplo, apresenta uma distancia de 10 metros entre ponto de acesso e

usuario, uma parede de concreto e uma divisoria de madeira como obstaculos. O resultado

obtido no modelo One Slope, que nao leva em consideracao os obstaculos, foi de 70,2dB. Ja o

modelo Multi-Wall, que leva em consideracao os obstaculos em sua formula, teve um resultado

de 80,2dB de perda. E, por ultimo, nos testes de campo, obteve-se um resultado de 80dB de

perda entre ponto de acesso e usuario.

Nos outros cenarios, a mudanca de distancia e numero de obstaculos foi alterada conforme

o local de testes real era feito para que as comparacoes fossem feitas. Um dado interessante e

que como o modelo One Slope nao leva em consideracao nenhum tipo de obstaculo, tomando

5.3 Conclusoes do Capıtulo 55

como dados para os calculos somente a distancia entre ponto de acesso e usuario, nao se pode

ter um valor consideravel quando se tem um cenario em que se consideram pisos penetrados

pelo sinal, caso dos cenarios 9, 10 e 11.

Figura 5.4: Planilha de comparacao entre os modelos empıricos e resultados reais obtidos emtestes de campo.

A partir dos resultados comparativos de calculos e comprovacoes em testes de campo,

constatou-se que o modelo Multi-Wall forneceu melhores resultados para testes de predicoes

de cobertura neste tipo de caso por chegar a valores muito proximos dos reais. Ja o modelo

One-Slope por nao levar em consideracao paredes ou pisos penetrados, e indicado somente

quando se tem espaco livre entre ponto de acesso e usuario.

Com os resultados comprovados, foi possıvel realizar um esboco com a sugestao de insta-

lacao da infra-estrutura da rede sem fio na instituicao, contendo numero de pontos de acesso

e localizacao de cada um, para prover a maior cobertura possıvel e aproveitando ao maximo o

sinal transmitido dos pontos de acesso sem zonas de sombra. O esboco esta ilustrado na figura

5.5 e foi encaminhado para a Coordenadoria de Informatica da instituicao para analise e, no

caso de aprovacao da sugestao, a instalacao se efetuaria.

Esse esboco com a indicacao dos possıveis locais para instalacao dos pontos de acesso

foram baseados com o uso real de um usuario autenticado na rede e utilizando a internet, a

medida que o acesso nao era mais possıvel, desconsiderava-se o local de teste e se testava um

ponto de acesso em outro local que cobrisse aquela area. De acordo com isso, teoricamente, ja

que nao se teve disponıvel a instalacao real para testes finais, nao existe areas de sombra para

atendimento dos usuarios do servico.

5.3 Conclusoes do Capıtulo

Neste capıtulo foi descrito uma proposta de implementacao do servico de redes sem fio

no Instituto Federal de Santa Catarina (IFSC) campus Sao Jose. De acordo com os estudos

efetuados nos capıtulos anteriores, pode-se escolher as melhores alternativas e configuracoes


Figura 5.5: Indicacao de instalacao dos Pontos de Acesso na instituicao.


para a instalacao dos pontos de acesso, servidor de autenticacao e protocolos de seguranca.

A instalacao de um servidor de autenticacao Remote Authentication Dial in User Ser-

vice (RADIUS), para a utilizar a autenticacao individual e integra-lo ao banco de dados do

Lightweight Directory Access Protocol (LDAP), proporcionou facilidade de administracao da

rede e de usuarios, aumentou a seguranca de acesso, facilitou a memorizacao de dados por parte

dos usuarios e, a partir de configuracoes mais especıficas, deixou disponıvel a possibilidade do

administrador efetuar auditorias sobre os logs de acesso dos usuarios, caso seja necessario lo-

calizar um usuario que tenha cometido abuso na rede.

Quanto a instalacao da infra-estrutura, optou-se pelo uso de calculos de predicao de co-

bertura empıricos, que tornou mais facil a compreensao dos mesmos. Com testes de campo,

pode-se comprovar a eficacia dos calculos e efetuar um esboco que contem uma indicacao dos

locais e quantidade de pontos de acesso necessarios para atender a toda a instituicao com a

melhor cobertura possıvel, sem desperdicar sinal ou deixar areas sem alcance.

58

6 Conclusoes

Este trabalho teve como objetivo apresentar uma forma de se implantar um servico de rede

sem fio em uma instituicao qualquer, com seguranca na autenticacao de usuarios e confidencia-

lidade do trafego de dados no meio sem fio. Tambem desejou-se, no caso especıfico do Instituto

Federal de Santa Catarina (IFSC) Campus Sao Jose, que a base de usuarios utilizada no servico

fosse a mesma ja utilizada para acesso a rede e demais servicos da instituicao.

Foram estudados os diferentes padroes de redes sem fio 802.11, assim como os protoco-

los de seguranca que fornecem confiabilidade no meio sem fio e metodos de autenticacao de

usuario na rede, metodos estes que podem ser com uso de senha compartilhada ou individual.

A partir dos estudos, comprovou-se que o uso mais adequado para uma rede segura e o proto-

colo Wi-Fi Protected Access - versao 2 (WPA2) usando cifragem Advanced Encryption Stan-

dard (AES) com autenticacao individual, segundo padrao IEEE 802.1x e utilizando o servidor

de autenticacao Remote Authentication Dial in User Service (RADIUS) que tem a possibili-

dade de consultar a base de dados Lightweight Directory Access Protocol (LDAP) ja existente

na instituicao e que deixa o servico de rede sem fio transparente para o usuario, pois ele usara o

mesmo nome de usuario e senha que ja esta habituado a utilizar.

Um fato interessante e que por se tratar se uma rede sem fio, e os dados serem todos cifrados

na autenticacao, a ligacao direta entre RADIUS e LDAP nao funcionou, percebeu-se isso porque

nos logs de tentativa de autenticacao o LDAP retornava senha invalida, mostrando a palavra

cifrada como senha enviada a ele, fazendo com que novos testes fossem feitos ate que se optasse

pelo uso do SAMBA com o servico de resolucao de nomes WINBIND, que possibilitou ao

RADIUS enviar as solicitacoes ao SAMBA que, por sua vez, as repassava para o LDAP. O uso

do WINBIND se fez necessario por que o comando de repasse de solicitacao de autenticacao

do RADIUS para o SAMBA e um comando de autenticacao do WINBIND, o ntlm auth.

Tambem foram estudadas as teorias relativas a propagacao de sinal no meio sem fio, sinal

transmitido das antenas e como elas se comportam em ambientes abertos e fechados. Metodos

para calculos de predicao de cobertura empıricos e determinısticos tambem foram abordados,

6.1 Trabalhos futuros 59

detalhando os parametros levados em consideracao em suas formulas, suas vantagens e desvan-

tagens de uso, afim de encontrar o mais adequado para se aplicar no trabalho.

Foi escolhido o modelo de calculo empırico Multi-Wall para se ter uma primeira nocao de

como deveriam ficar dispostos os equipamentos nas instalacoes da instituicao por apresentar

os melhores resultados e porcentagem de erros aceitavel. Juntamente com os testes reais de

propagacao dos sinais emitidos dos pontos de acesso em varios locais da instituicao, confirmou-

se ou alterou-se a ideia inicial de onde ficariam instalados os pontos de acesso.

Com isso, foi elaborada uma indicacao, repassada a coordenadoria de informatica da insti-

tuicao, contendo a quantidade de equipamentos necessarios e os locais indicados para instalacao

desses equipamentos para que a rede tenha uma cobertura completa da instituicao com a me-

nor perda de sinal ou zonas de sombra ou sobreposicao, tendo como prioridade locais como

biblioteca, auditorio e salas de estudos.

Um outro objetivo que desejava-se alcancar era o de disponibilizar um programa que efe-

tuasse a auditoria da rede sem fio, a fim de localizar possıveis abusos e que permitisse o admi-

nistrador da rede penalizar os usuarios maliciosos de acordo com a polıtica de uso existente na

instituicao. Porem, nao se conseguiu implementar esta etapa, contudo, foram disponibilizados

no FreeRADIUS os registros de usuarios que autenticam-se na rede sem fio, possibilitando ao

administrador, cruzando dados com o servidor DHCP da rede, localizar usuarios maliciosos que

venham a cometer abusos.

Tambem nao foi atingida a meta de desenvolver um esquema de hotspot, onde usuarios de

fora e que visitam a instituicao, possam utilizar da rede autenticando-se no browser, mas usando

um usuario comum e com o uso da rede limitados, mais restrita e com menos benefıcios.

Contudo, os pontos de acesso instalados permitem que se criem chamados Multi-SSID, que

possibilitam criar uma outra conexao de rede sem fio no mesmo ponto de acesso sem desconfi-

gurar a rede WIFI-IFSC, o que permite configura-los em eventos para que os visitantes acessem

a rede atraves de acesso com senha compartilhada ou ate mesmo sem senha com largura de

banda limitada e ate mesmo em uma Virtual Local Area Network (VLAN) diferente.

6.1 Trabalhos futuros

Ficam como indicacoes para trabalhos futuros os seguintes temas:

• A implementacao de servicos de auditoria na rede sem fio WIFI-IFSC;

6.1 Trabalhos futuros 60

• Configuracao de VLANs na rede para melhor administracao do servico e aumentar a

seguranca da mesma;

• Implementacao dos hotspots para o uso dos usuarios visitantes que se autenticariam em

uma pagina web;

• Projeto voltado ao estudo e reestruturacao da cobertura do servico, estudando a possibili-

dade de troca de antenas ou equipamentos;

• Pesquisa de uma nova configuracao do servico de autenticacao, permitindo a consulta

direta do FreeRADIUS com LDAP.

61

APENDICE A -- Extensible AuthenticationProtocol (EAP)

O Extensible Authentication Protocol (EAP)(ABOBA et al., 2004)(STANLEY; WALKER;

ABOBA, 2005), possibilita autenticacao remota de usuarios em um dado mecanismo de auten-

ticacao que deve ser negociado entre cliente e autenticador em cada caso. Esse autenticador

pode ser o servidor de autenticacao Remote Authentication Dial in User Service (RADIUS),

ver apendice B. Outro fato muito importante e que tanto cliente quanto autenticador devem ter

suporte ao protocolo para que os dois possam usar a estrutura de mensagens do esquema EAP,

conhecido como “tipo EAP”.

Este protocolo permite que o cliente remoto e autenticador troquem mensagens ilimitadas,

essas mensagens sao trocas de pedidos e respostas enviadas de um para o outro. Esses pedidos

e respostas de autenticacao podem ter varios nıveis e a medida que o cliente vai respondendo

questionamentos do autenticador, o nıvel vai subindo ate que a autenticacao se de por completa

e o usuario seja autenticado com sucesso.

O EAP oferece suporte a qualquer arquitetura que utilize seu protocolo, porem, segundo

(MICROSOFT, 2009b), tanto cliente quanto autenticadores devem ter o mesmo modulo EAP

instalado para que o suporte funcione adequadamente.

A.1 EAP MD5-Challenge

Este e um tipo EAP a qual toda implementacao com uso de EAP deve ter suporte, segundo

(ABOBA et al., 2004), e responsavel por fazer o handshake de forma protegida, usando men-

sagens EAP. Por possuir tais caracterısticas, esse tipo EAP e muito usado em autenticacao de

clientes que possuem usuario e senha para sistemas seguros ou ate mesmo para testar interope-

rabilidade de esquemas EAP.

A.2 EAP-Transport Layer Security (EAP-TLS) 62

A.2 EAP-Transport Layer Security (EAP-TLS)

Esse tipo e usado para seguranca na camada de transporte e aplicado em ambientes baseados

em seguranca por certificados. A troca de mensagens usando EAP-TLS (ABOBA; SIMON,

1999) gera uma autenticacao para os dois lados, onde metodo de cifragem e chaves de cifragem

sao acordadas entre autenticador e cliente, provendo um metodo seguro para a autenticacao.

Segundo (MICROSOFT, 2009b), somente servidores que executam roteamento de acesso

remoto, que sejam configurados para usar RADIUS e que sejam membros de um domınio terao

suporte do EAP-TLS. Ja servidores de acesso remoto que sao executados de forma autonoma

ou que sejam membros de um grupo de trabalho nao oferecem suporte ao EAP-TLS.

A.3 EAP-RADIUS

Na verdade, EAP-RADIUS (ABOBA; CALHOUN, 2003) nao e um tipo de EAP mas e ca-

racterizado dessa forma por permitir a passagem de mensagens EAP por um servidor RADIUS,

a fim de proporcionar a conversacao e troca de pacotes entre cliente e servidor com mais

seguranca, ja que estarao encapsuladas dentro de mensagens RADIUS. O que passa a acon-

tecer, por tanto, e que o cliente final envia sua solicitacao de acesso ao ponto de acesso, sem a

necessidade de ter suporte a RADIUS e deixa as conversacoes RADIUS entre ponto de acesso

e servidor, como consta na figura B.2.

O EAP-RADIUS e visto somente quando se tem um ambiente que usa o RADIUS como

servidor de autenticacao, sua principal vantagem e que os diferentes tipos EAP nao precisam

estar instalados em cada servidor de acesso remoto, ja que cabe ao RADIUS o suporte aos tipos

EAP.

E comum encontrar uma topologia de configuracao EAP-RADIUS onde um ponto de acesso

ou servidor de acesso executa o roteamento de acesso remoto usando EAP e acessa um servidor

RADIUS para autenticacao. Por tanto, quando um cliente tenta acesso, ele troca mensagens

com o ponto de acesso ou servidor de acesso que, por sua vez, empacotam as mensagens EAP

em mensagens RADIUS e as encaminham para o servidor RADIUS, sendo o processo inverso

tambem realizado desta forma. Ou seja, o servidor de acesso ou ponto de acesso sao simples-

mente um dispositivo de passagem das mensagens entre RADIUS e cliente.

A seguir serao descritas as principais mensagens EAP trocadas entre cliente e ponto de

acesso durante a autenticacao de usuario, ver figura A.1.

A.3 EAP-RADIUS 63

Figura A.1: Troca de mensagens EAP entre cliente e ponto de acesso (autenticador)

• Mensagem 1: EAPOL-Start, aviso do cliente para o ponto de acesso informando que a

autenticacao sera iniciada em EAP, com cifragem atraves do protocolo de seguranca pre

definido, ver secao 2.2;

• Mensagem 2: EAP-Request/Identity, solicitacao por parte do ponto de acesso ao cliente,

pedindo a identidade do usuario, o chamado Login;

• Mensagem 3: EAP-Response/Identity, resposta a solicitacao de Login, em que o cliente

envia o seu nome de usuario ao ponto de acesso. A partir deste momento, ate a mensagem

6, as mensagens enviadas e recebidas serao encapsuladas em mensagens do tipo RADIUS,

ver apendice B, para serem enviadas e recebidas do servidor RADIUS;

• Mensagem 4: EAP-Request, solicitacao da senha do usuario;

• Mensagem 5: EAP-Response, envio da senha do cliente;

• Mensagem 6: EAP-Success/Deny, autorizacao ou nao do cliente;

• Mensagem 7: EAPOL-Key, ponto de acesso informa que a autenticacao cifrada terminou.

• Mensagem 8: EAP-Logoff, informa o encerramento da conexao por parte do cliente.

64

APENDICE B -- Servidor FreeRADIUS

O FreeRADIUS e uma implementacao de codigo aberto do Remote Authentication Dial

in User Service (RADIUS)(RIGNEY et al., 2000), foi inicialmente desenvolvido pela empresa

Livingston, considerado de simples implementacao era usado para acesso de clientes de co-

nexoes discadas para Autorizacao, Autenticacao e Contabilizacao (Authentication, Authoriza-

tion and Accounting (AAA))(RIGNEY, 2000)) e que hoje ja e encontrado em Virtual Private

Networks (VPN)1 e redes sem fio 802.11x, ver capıtulo 2, para autenticacao dos clientes junto

a rede.

A autenticacao baseia-se na comparacao das informacoes originadas pelo cliente, contendo

nome de usuario e senha, com sua base de dados. Apos o processo de autenticacao o servidor

encaminha uma mensagem ao cliente informando o resultado, “autenticado” ou “recusado” ao

cliente. Essa comparacao pode ser feita numa base de dados propria, inserida em seus proprios

arquivos, ou em consultas externas de arquivos de texto ou bases de dados de outros servicos,

como Lightweight Directory Access Protocol (LDAP), ver apendice C, e MySQL2.

O RADIUS transporta seu protocolo em um pacote que tem como base 5 campos que serao

descritos abaixo e na figura B.1

Figura B.1: Formato do pacote RADIUS (RIGNEY et al., 2000).

1Redes privativas de dados2http://www.mysql.com

Apendice B -- Servidor FreeRADIUS 65

• Code: Identificador de tipo de pacote do RADIUS, seu tamanho e de 8 bits e se ele chega

vazio no servidor e descartado sem aviso;

• Identifier: Auxiliador de emparelhamento de pedidos e respostas, tamanho de 8 bits;

• Length: Informa o tamanho total do pacote, tamanho de 16 bits;

• Authenticator: Com 128 bits, esse campo autentica a resposta do servidor RADIUS e e

usado no algoritmo que decodifica a senha;

• Attributes: Campo que contem as informacoes e mensagens em si, seu tamanho e flexıvel.

Figura B.2: Troca de mensagens RADIUS entre autenticador de clientes e servidor RADIUS.

As mensagens enviadas pelos pacotes RADIUS sao determinadas como (RIGNEY et al.,

2000) e (RIGNEY, 2000), podem ser vistas na figura B.2 e serao descritas a seguir:

• Mensagens 1 e 3: Access-Request, requisicao de acesso enviado pelo cliente ao servidor;

• Mensagem 2: Access-Challenge, resposta automatica, enviada do servidor ao cliente

dizendo que a requisicao de acesso foi recebida e sera analisada;

Apendice B -- Servidor FreeRADIUS 66

• Mensagem 4: Access-Accept ou textitAccess-Reject, aceitacao ou rejeicao de acesso por

parte do servidor RADIUS para o cliente;

• Mensagem 5: Accounting-Request, mensagem que repassa as especificacoes de estatıstica

de conexao por parte do cliente para o servidor apos a aceitacao de conexao;

• Mensagem 6: Accounting-Response, resposta de confirmacao de recebimento correto da

mensagem de Accounting-Request.

Normalmente, segundo (HASSEL, 2002), quando se faz uma autenticacao no FreeRA-

DIUS, o cliente envia seu nome de usuario e senha, o RADIUS compara nos bancos de da-

dos configurados e repassa a resposta, autorizando ou nao o acesso a rede, porem, quando a

integracao com redes 802.11x acontece, as mensagens passam a ter, juntamente ao protocolo

do RADIUS, mensagens de (Extensible Authentication Protocol (EAP)), ver apendice A, ou

seja, EAP-RADIUS. Isso porque agora passa a existir o cliente final, que faz a solicitacao ao

ponto de acesso e que repassa a solicitacao ao servidor RADIUS, sendo assim, o ponto de acesso

e o cliente RADIUS e o cliente final nao dependera de suporte RADIUS.

Os principais arquivos de configuracao do FreeRADIUS sao:

• radiusd.conf : Arquivo de configuracoes gerais em que se escolhe o tipo de autenticacao,

base de dados usada pra tal e outros atributos necessarios para funcionamento basico do

servidor;

• users.conf : Arquivo para configuracao de usuarios, se for desejado que exista uma base de

dados interna, e neste arquivo que nome de usuario e senha sao inseridos para comparacao,

caso seja usada outra base de dados, nesse arquivo sao inseridas linhas de comando infor-

mando tal acao;

• clients.conf : Arquivo para insercao dos clientes RADIUS, os pontos de acesso que usam

o servidor RADIUS para consulta devem estar todos neste arquivo, com seu apelido e

senha (secret) para acesso ao servidor;

• eap.conf : Arquivo para suporte ao protocolo EAP;

• ldap.attrmap: Arquivo que auxilia a conversacao entre RADIUS e LDAP, ele tem as

“traducoes” de atributos equivalentes entre os dois sistemas como, por exemplo user-

Password no RADIUS e User-Password no LDAP.

67

APENDICE C -- Lightweight Directory AccessProtocol (LDAP)

O Lightweight Directory Access Protocol (LDAP)(WAHL; HOWES; KILLE, 2007) e uma

implementacao do servico de diretorios X.500(WAHL, 1997) e, segundo (VALLE, 2009), e um

protocolo que roda sobre TCP/IP e que e desenvolvido pelo Internet Engineering Task Force

(IETF) desde 1998 e que serve para acessar servicos de diretorio. Esses diretorios armazenam

informacoes como um banco de dados, porem, de forma hierarquica, afim de facilitar a leitura

dos dados.

Trata-se de uma base de dados simples, organizada em modelo arvore, com nıveis e sub-

nıveis como galhos e suas ramificacoes. E chamado por servico de diretorios, por possuir uma

estrutura parecida com a organizacao de diretorios de um dispositivo de armazenamento. Sua

base de dados tem uma estrutura simples, mas que permite alta performance, disponibilidade

em grandes volumes de consultas simples e especialmente otimizada para leituras, consultas e

buscas.

Por obter esse tipo de estrutura, o LDAP pode centralizar a pesquisa de autenticacao de

usuarios de varios servidores diferentes, como servidores de e-mail, acesso a arquivos e/ou

diretorios, Remote Authentication Dial in User Service (RADIUS), ver apendice B, e outros.

Com essa facilidade um usuario pode ter apenas um nome de usuario (login) e senha para

diversos servicos disponibilizados na rede.

As informacoes armazenadas no LDAP sao baseados em “entradas”, que e um conjunto de

atributos e que possui um identificador unico, Distinguished Name (DN). Cada um dos atributos

que compoem o DN podem ter um ou mais valores, como por exemplo:

• common name (cn), que armazena o nome do usuario;

• mail, para endereco de e-mail;

• domain component (dc), componentes de domınio ao qual pertence o usuario.

Apendice C -- Lightweight Directory Access Protocol (LDAP) 68

Figura C.1: Exemplo de hierarquia da base de dados LDAP para um usuario.

O DN e uma sequencia hierarquica completa dos atributos de um determinado objeto arma-

zenado na base de dados do LDAP, seguindo no nıvel mais baixos para o mais alto. O exemplo

da figura C.1 demonstra um exemplo de uma hierarquia de base LDAP onde:

• c, correspondente ao paıs (country);

• o, correspondente a organizacao (organization);

• ou, correspondente ao grupo;

• uid, correspondente ao usuario.

E, este usuario, que esta presente nesta hierarquia tem, por exemplo, os valores cn como

Cesar Henrique Prescher, mail como [email protected] e que segue os para-

metros do domınio sj.ifsc.edu.br que e representado no LDAP como dc=sj, dc=ifsc,

dc=edu, dc=br.

69

ANEXO A -- Cenarios de teste para implantacao darede WIFI-IFSC

Este anexo tem por objetivo mostrar os cenarios de teste criados para a tentativa de funci-

onamento do servico de rede sem fio WIFI-IFSC. Estes cenarios foram como etapas no desen-

volvimento do cenario final, descrito no capıtulo 5 e que esta em funcionamento na instituicao.

A.0.1 Cenario 1

O primeiro cenario montado, ilustrado na figura A.1, tem o objetivo de verificar o funcio-

namento da autenticacao no Remote Authentication Dial in User Service (RADIUS). Para isso,

o ponto de acesso foi configurado com protocolo de seguranca Wi-Fi Protected Access - versao

2 (WPA2), protocolo de cifragem Advanced Encryption Standard (AES) e com o IP do servidor

RADIUS como servidor de autenticacao de usuarios.

Figura A.1: Primeiro Cenario de testes utilizado.

Para a realizacao deste primeiro cenario, sao necessarias alteracoes nos arquivos de confi-

guracao do servidor de autenticacao RADIUS:

• radiusd.conf, ver figura A.13, desconsiderando apenas a linha 14, que habilita o RA-

DIUS a repassar a solicitacao ao SAMBA/WINBIND, pois o objetivo e somente verificar

o funcionamento entre ponto de acesso e FreeRADIUS.

Anexo A -- Cenarios de teste para implantacao da rede WIFI-IFSC 70

• eap.conf, ver figura A.12, para habilitar o Extensible Authentication Protocol (EAP),

com tipo Protected Extensible Authentication Protocol (PEAP), linha 3, e Microsoft Chal-

lenge Handshake Authentication Protocol - versao 2 (MSCHAPv2), linhas 32 a 34, assim

como os modulos Transport Layer Security (TLS) e Tunneled Transport Layer Secu-

rity (TTLS);

• clients.conf, ver figura A.15, para inserir os IPs e nomes dos pontos de acesso que

terao permissao de acessar servidor e efetuar as autenticacoes de usuario;

• users, ver figura A.2, para habilitar o uso do protocolo EAP na autenticacao de usuarios

e, diferente do cenario final, foi inserido neste arquivo um usuario e senha de teste para

que o proprio FreeRADIUS efetue o processo completo de autenticacao e comparacao de

credenciais do usuario.

1 ...2 ## inserc~ao do usuario de teste ##3 user_teste Auth-Type := Local, User-Password == "senha_user"4

5 ## habilitac~ao do uso do protocolo EAP na autenticac~ao de usuarios #6 DEFAULT Auth-Type = EAP7 ...

Figura A.2: Configuracao de um usuario de testes no FreeRADIUS no arquivo users.

Para testar a autenticacao simples de usuario, o FreeRADIUS permite que sejam feitos

testes com o comando radtest, como exemplificado na figura A.3, ele permite que seja testado

somente a autenticacao do RADIUS atraves de linha de comando antes de testar diretamente

um pedido de autenticacao enviado por um ponto de acesso. Como resposta, se bem sucedida

do teste, o FreeRADIUS apresenta uma resposta equivalente a da figura A.4, note na linha 22

que a senha esta sem qualquer tipo de cifragem.

1 radtest user_teste senha_user localhost 0 senha123

Figura A.3: Uso do comando radtest para teste de autenticacao de usuario no FreeRADIUS.

Com o sucesso do teste em linha de comando, foi testada a autenticacao de um cliente de

laptop, passando a solicitacao ao ponto de acesso, que repassa os dados para o FreeRADIUS,

obtendo a resposta ilustrada na figura A.5, note na linha 12, que desta vez, a senha esta cifrada

e o FreeRADIUS utiliza dos protocolos de seguranca PEAP na comunicacao.


1 rad_recv: Access-Request packet from host 127.0.0.1:37163, id=179, length=622 User-Name = "user_teste"3 User-Password = "senha_user"4 NAS-IP-Address = 255.255.255.2555 NAS-Port = 06 Processing the authorize section of radiusd.conf7 modcall: entering group authorize for request 08 rlm_realm: No ’@’ in User-Name = "user_teste", looking up realm NULL9 rlm_realm: No such realm "NULL"

10 modcall[authorize]: module "suffix" returns noop for request 011 rlm_eap: No EAP-Message, not doing EAP12 modcall[authorize]: module "eap" returns noop for request 013 users: Matched entry user_teste at line 7814 modcall[authorize]: module "files" returns ok for request 015 modcall[authorize]: module "pap" returns updated for request 016 modcall: leaving group authorize (returns updated) for request 017 rad_check_password: Found Auth-Type pap18 auth: type "PAP"19 Processing the authenticate section of radiusd.conf20 modcall: entering group PAP for request 021 rlm_pap: login attempt with password senha22 rlm_pap: Using clear text password "senha_user".23 rlm_pap: User authenticated successfully24 modcall[authenticate]: module "pap" returns ok for request 025 modcall: leaving group PAP (returns ok) for request 026 Sending Access-Accept of id 179 to 127.0.0.1 port 3716327 Finished request 028 Going to the next request29 --- Walking the entire request list ---30 Waking up in 6 seconds...31 --- Walking the entire request list ---32 Cleaning up request 0 ID 179 with timestamp 4a32a27f33 Nothing to do. Sleeping until we see a request.

Figura A.4: Resposta do servidor FreeRADIUS a um teste bem sucedido de autenticacaovindo do comando radtest.


1 rad_recv: Access-Request packet from host 172.18.20.172:1026, id=9, length=2862 Message-Authenticator = 0x2aa34ede65a1d060ac7199930304f16d3 Service-Type = Framed-User4 User-Name = "user_teste"5 Framed-MTU = 14886 State = 0x8e3e702d7335b18eb6c09996568fb9fb7 Called-Station-Id = "00-1B-11-B4-DA-7D:WIFI-IFSC"8 Calling-Station-Id = "00-15-AF-78-0A-C3"9 NAS-Identifier = "D-Link Access Point"

10 NAS-Port-Type = Wireless-802.1111 Connect-Info = "CONNECT 54Mbps 802.11g"12 EAP-Message = 0x020900501900170301002031fb24c07965f46038681eb13 22ff4ddd3a35f7e432b98f7ac14d9c335f21474db1703010020c794627b8614 7af8638a9525ea7a442d48e22ff3fca8d3be8e469b4163314ca26615 NAS-IP-Address = 172.18.20.17216 NAS-Port = 117 NAS-Port-Id = "STA port # 1"18 Processing the authorize section of radiusd.conf19 ...20 rlm_eap_peap: EAPTLS_OK21 rlm_eap_peap: Session established. Decoding tunneled attributes.22 rlm_eap_peap: Received EAP-TLV response.23 rlm_eap_peap: Tunneled data is valid.24 rlm_eap_peap: Success25 rlm_eap: Freeing handler26 modcall[authenticate]: module "eap" returns ok for request 927 modcall: group authenticate returns ok for request 928 Login OK: [user_teste/<no User-Password attribute>] (from client WIFI-IFSC port

1 cli 00-15-AF-78-0A-C3)29 Sending Access-Accept of id 9 to 172.18.20.172:102630 MS-MPPE-Recv-Key =31 0x079094b1e78a1353ae8ff6c20e918e01331061a2eb2f3aa3d41110962853bccc32 MS-MPPE-Send-Key =33 0xd7a5796f29c9ec11fcdf15c4c7378a5dc7ffa2fb929c37f23ce7ffec9e8800d334 EAP-Message = 0x0309000435 Message-Authenticator = 0x0000000000000000000000000000000036 User-Name = "user_teste"37 Finished request 938 ...

Figura A.5: Resposta do servidor FreeRADIUS a um teste bem sucedido de autenticacaovindo de um cliente na rede sem fio.


A.0.2 Cenario 2

O segundo cenario, ver figura A.6, visa a integracao direta do FreeRADIUS e Lightweight

Directory Access Protocol (LDAP), ver apendice C, para que sua base de dados sirva de base

para as autenticacoes no servidor RADIUS.

Figura A.6: Segundo Cenario de testes utilizado.

Para que essa configuracao funcione, inicialmente deve-se alterar as configuracoes dos se-

guintes arquivos do FreeRADIUS:

• radiusd.conf, ver listing A.7, para que sejam habilitado o modulo de consulta ao LDAP

e inseridos IP da base, domınio e outros parametros necessarios;

• users, ver A.8, alterando a autenticacao usuarios, para que va ao LDAP procurar os

dados;

• ldap.attrmap, ver A.9, trata-se do arquivo que serve como um dicionario, que “traduz”,

por assim dizer o que os campos do FreeRADIUS querem dizer no LDAP

Como no cenario anterior, para que seja efetuado um teste, e necessario executar o comando

radtest, porem, usando agora um usuario e senha contido no LDAP, veja configuracao do

LDAP no anexo B.1. Em caso de sucesso, a resposta sera muito parecida com a do listing A.4,

mas com informacoes de consulta ao LDAP entre as mensagens.

A.0.3 Cenario 3

Este terceiro cenario era o que se imaginava ser o ultimo cenario pois, como consta na figura

A.10, integra todos os elementos desejados para uma autenticacao de um cliente de uma rede

sem fio em um servidor RADIUS que utiliza como base de dados o LDAP. As configuracoes

permanecem as mesmas que no cenario anterior em todos os arquivos do FreeRADIUS.


1 ...2 ## descomente/altere os dados para consulta a base LDAP ##3 ldap {4 server = "IP_do_SERVIDOR_que_contem_a_base_LDAP"5 basedn = "ou=users,dc=sj,dc=ifsc,dc=edu,dc=br"6 filter = "(uid=%{Stripped-User-Name:-%{User-Name}})"7 ...8 }9 ...

10 ## nos modulos abaixo, deixe apenas o LDAP disponıvel para verificac~oes ##11 authorize {12 ldap13 }14 authenticate {15 Auth-Type LDAP {16 ldap17 }18 }19 ...

Figura A.7: Alteracoes no arquivo radiusd.conf para que consulte a base LDAP.

1 ...2 ##retire/comente o usu~A¡rio de teste##3 #user_teste Auth-Type := Local, User-Password == "senha_user"4 ...5 ##altere a linha abaixo para utilizar o LDAP na autentica~A§~A£o de usu~A¡rios##6 DEFAULT Auth-Type = LDAP7 ...

Figura A.8: Alteracoes no arquivo users para que consulte a base LDAP.

1 ...2 ##insira as linhas3 checkItem User-Password userPassword4 replyItem Tunnel-Type radiusTunnelType5 replyItem Tunnel-Medium-Type radiusTunnelMediumType6 replyItem Tunnel-Private-Group-Id radiusTunnelPrivateGroupId7 ....

Figura A.9: Alteracoes no arquivo attrmap.

Figura A.10: Terceiro Cenario de testes utilizado.


Os testes mostraram que a autenticacao nao funcionava, como consta na figura A.11, a

autenticacao sempre retornava com rejeicao. Apos pesquisas em sites de desenvolvimento1 e

nos proprios arquivos de configuracao do FreeRADIUS, em especial eap.conf e radiusd.conf,

foi descoberto que, quando usado protocolo EAP na tentativa de autenticacao, fica inviavel o

envio de dados para a base LDAP afim de fazer comparacao de dados.

O LDAP precisa receber os dados em texto puro, sem nenhum tipo de cifragem, para que a

propria base cifre os dados e compare com sua base. Ja o FreeRADIUS recebe os dados cifrados

do ponto de acesso e, sem nenhum tipo de tratamento a mensagem, repassa a solicitacao ao

LDAP, impossibilitando a autenticacao neste cenario.

Por este motivo, um quarto cenario se mostrou necessario e duas opcoes analisadas:

• Alterar os codigos de programacao do Ponto de Acesso, fazendo com que o mesmo repas-

sasse as mensagens ao FreeRADIUS em texto puro, porem, comprometendo a seguranca

dos dados no meio de transmissao;

• Usar o servidor SAMBA2 e seu servico de autenticacao de nomes, WINBIND, que per-

mitiria o funcionamento da rede sem nenhuma alteracao de programacao dos pontos de

acesso.

A.0.4 Cenario 4

Esta foi a segunda opcao, que manteria a alta seguranca do meio sem fio e permitiria a

autenticacao no FreeRADIUS usando o LDAP como base de consulta foi a escolhida para teste

e posteriormente foi a solucao implantada, como consta descrita no capıtulo 5 e com as figuras

de configuracoes a seguir.

Arquivos de configuracao

Registro de acessos

1http://www.freeradius.org2http://www.samba.org


1 rad_recv: Access-Request packet from host 172.18.23.25:1047, id=1, length=1952 Message-Authenticator = 0x359fb927611da2664f5c9c32123818d73 Service-Type = Framed-User4 User-Name = "testecesar"5 Framed-MTU = 14886 Called-Station-Id = "00-1E-58-A5-CD-FE:WIFI-IFSC"7 Calling-Station-Id = "00-15-AF-78-0A-C3"8 NAS-Identifier = "D-Link Access Point"9 NAS-Port-Type = Wireless-802.11

10 Connect-Info = "CONNECT 54Mbps 802.11g"11 EAP-Message = 0x0201000d017072657363686572 ##senha em formato EAP

que o LDAP n~A£o reconhece##12 NAS-IP-Address = 172.18.23.2513 NAS-Port = 114 NAS-Port-Id = "STA port # 1"15 Processing the authorize section of radiusd.conf16 modcall: entering group authorize for request 117 modcall[authorize]: module "preprocess" returns ok for request 118 modcall[authorize]: module "mschap" returns noop for request 119 rlm_realm: No ’@’ in User-Name = "testecesar", looking up realm NULL20 rlm_realm: No such realm "NULL"21 modcall[authorize]: module "suffix" returns noop for request 122 users: Matched entry DEFAULT at line 15523 users: Matched entry DEFAULT at line 17724 modcall[authorize]: module "files" returns ok for request 125 rlm_ldap: - authorize26 rlm_ldap: performing user authorization for testecesar27 radius_xlat: ’(uid=testecesar)’28 radius_xlat: ’dc=sj,dc=ifsc,dc=edu,dc=br’29 rlm_ldap: ldap_get_conn: Checking Id: 030 rlm_ldap: ldap_get_conn: Got Id: 031 rlm_ldap: performing search in dc=sj,dc=ifsc,dc=edu,dc=br, with filter (uid=

testecesar)32 rlm_ldap: No default NMAS login sequence33 rlm_ldap: looking for check items in directory...34 rlm_ldap: looking for reply items in directory...35 rlm_ldap: user prescher authorized to use remote access36 rlm_ldap: ldap_release_conn: Release Id: 037 modcall[authorize]: module "ldap" returns ok for request 138 modcall: leaving group authorize (returns ok) for request 139 rad_check_password: Found Auth-Type System40 auth: type "System"41 Processing the authenticate section of radiusd.conf42 modcall: entering group authenticate for request 143 rlm_unix: Attribute "User-Password" is required for authentication.44 modcall[authenticate]: module "unix" returns invalid for request 145 modcall: leaving group authenticate (returns invalid) for request 146 auth: Failed to validate the user.

Figura A.11: Resposta de falha de autenticacao do FreeRADIUS no terceiro cenario.


1 ...2 ## Habilitac~ao do uso do protocolo EAP protegido ##3 default_eap_type = peap4

5 ## habita envio da mensagem de desafio para o pedido de senha do cliente ##6 challenge = ‘‘Password: ’’7 ...8 ## modulo referente ao uso de TLS que efetuara a configurac~ao dos certificados

##9 tls {

10 private_key_password = whatever11 private_key_file = ${raddbdir}/certs/IFSC.pem # arquivo da chave do

certificado #12

13 certificate_file = ${raddbdir}/certs/IFSC.pem # arquivo docertificado #

14

15 CA_file = ${raddbdir}/certs/demoCA/cacert.pem16

17 dh_file = ${raddbdir}/certs/dh18 random_file = ${raddbdir}/certs/random19

20 fragment_size = 102421 }22

23 # modulo TTLS que configura a cifragem interna do protocolo EAP #24 ttls {25 default_eap_type = md526 copy_request_to_tunnel = no27

28 use_tunneled_reply = no29 }30

31 # modulo do EAP Protegido, que utiliza o MSCHAPv2 para seguranca da transmiss~aode dados #

32 peap {33

34 default_eap_type = mschapv235

36 }

Figura A.12: Configuracao do arquivo eap.conf.


1 ...2 ##no modulo mschap :##3 # habilitando o uso do protocolo MS-CHAP, usado pelo EAP na seguranca das redes

sem fio #4

5 authtype = MS-CHAP6

7 use_mppe = yes8 ...9 require_encryption = yes

10 ...11 with_ntdomain_hack = yes12 ...13 # linha de comando que repassa a solicitac~ao de autenticac~ao ao WINBIND e SAMBA

#14 ntlm_auth = ‘‘/usr/bin/ntlm_auth --request-nt-key --username=%{Stripped -User-

Name:-%{User-Name:-None}} --challenge=%{mschap:Challenge:-00} -- nt-response=%{mschap:NT-Response:-00}

15 ...16 # modulo de autorizac~oes, permitindo funcionamento dos log e do uso do protocolo

EAP,para redes sem fio #17 authorize {18 ...19 auth_log20 eap21 ...22 }23 # modulo de autenticac~ao, permitindo o uso do protocolo EAP #24 authenticate {25 ...26 eap27 }28 ...29 # modulo pos-proxy, tambem habilitando o protocolo EAP para as redes sem fio #30 post-proxy {31 eap32 }

Figura A.13: Configuracao dos principais parametros do arquivo radiusd.conf parafuncionamento da rede sem fio.

1 ...2 [certificate_authority]3 countryName = BR4 stateOrProvinceName = Radius5 localityName = Sao_Jose6 organizationName = IFSC7 emailAddress = [email protected] commonName = "Certificado IFSC"9 ...

Figura A.14: Exemplo de parametros de um certificado do RADIUS.


1 client 127.0.0.1 {2 secret = senha3 shortname = localhost4 nastype = other5 }6 client IP_do_Ponto_de_Acesso{7 secret = senha_do_Ponto_de_Acesso8 shortname = SSID_do_Ponto_de_Acesso9 nastype = other

10 }

Figura A.15: Exemplo de configuracao do arquivo clients.conf.

1 ## habilitac~ao a autenticac~ao EAP para usuarios ##2 DEFAULT Auth-Type = EAP3 ...4 ## deve-se comentar as linhas##5 #DEFAULT Service-Type == Framed-User6 # Framed-IP-Address = 255.255.255.254,7 # Framed-MTU = 576,8 # Service-Type = Framed-User,9 # Fall-Through = Yes

Figura A.16: Configuracao do arquivo users.


1 rad_recv: Access-Request packet from host 172.18.20.172:1026, id=9, length=2862 Message-Authenticator = 0x2aa34ede65a1d060ac7166330304f16d3 Service-Type = Framed-User4 User-Name = "prescher"5 Framed-MTU = 14886 State = 0x8e3e702d7335b18eb6c02356568fb9fb7 Called-Station-Id = "00-1B-11-B4-DA-7D:WIFI-IFSC"8 Calling-Station-Id = "00-15-AF-78-0A-C3"9 NAS-Identifier = "D-Link Access Point"

10 NAS-Port-Type = Wireless-802.1111 Connect-Info = "CONNECT 54Mbps 802.11g"12 EAP-Message = 0x020900501900170301002031fb17c07965f46038681eb13 22ff4ddd3a35f7e432b98f7ac14d9c335f21474db1703010020c794627b8614 7af8638a9525ea7a442d48e22ff3fca8d3be8e469b4163314ca24415 NAS-IP-Address = 172.18.20.17216 NAS-Port = 117 NAS-Port-Id = "STA port # 1"18 Processing the authorize section of radiusd.conf19 ...20 rlm_eap_peap: EAPTLS_OK21 rlm_eap_peap: Session established. Decoding tunneled attributes.22 rlm_eap_peap: Received EAP-TLV response.23 rlm_eap_peap: Tunneled data is valid.24 rlm_eap_peap: Success25 rlm_eap: Freeing handler26 modcall[authenticate]: module "eap" returns ok for request 927 modcall: group authenticate returns ok for request 928 Login OK: [prescher/<no User-Password attribute>] (from client WIFI-IFSC port 1

cli 00-15-AF-78-0A-C3)29 Sending Access-Accept of id 9 to 172.18.20.172:102630 MS-MPPE-Recv-Key =31 0x079094b1e78a1353ae8ff6c20e918e01331061a2eb2f3aa3d41110962853beec32 MS-MPPE-Send-Key =33 0xd7a5796f29c9ec11fcdf15c4c7378a5dc7ffa2fb929c37f23ce7ffec9e5215d334 EAP-Message = 0x0309000435 Message-Authenticator = 0x0000000000000000000000000000000036 User-Name = "prescher"37 Finished request 938 ...

Figura A.17: Cliente se autenticando com sucesso no FreeRADIUS.


1 ...2 # habilitac~ao dos logs de autenticac~ao #3 log_auth = yes4 ...5 # habilitac~ao do registro de logs com os dados completos do User-Name do pacote

de autenticac~ao,6 log_stripped_names = yes7 # toda tentativa mal sucedida sera guardada em log #8 log_auth_badpass = yes9 # toda autenticac~ao bem sucedida sera guardada em log #

10 log_auth_goodpass = yes11 ...12 # modulo referente ao detalhamento e armazenamento dos logs de acesso#13 detail auth_log {14 detailfile = ${radacctdir}/%{Client-IP-Address}/auth-detail-%Y%m%d15 detailperm = 060016 }17 # modulo de autorizac~oes, permitindo funcionamento dos log e do uso do protocolo

EAP,para redes sem fio #18 authorize {19 ...20 auth_log21 eap22 }23 # modulo de contas, permitindo detalhamento dos usuarios que se autenticam #24 accounting {25 detail26 ...27 }28 # modulo de pos-autenticac~ao, permitindo logs de mensagens trocadas entre

servidor e cliente #29 post-auth{30 reply_log31 }32 ...

Figura A.18: Alteracoes no arquivo radiusd.conf para que os logs de acesso possam serarmazenados e consultados.


1 Packet-Type = Access-Request2 Wed Jun 17 17:09:43 20093 Message-Authenticator = 0x2aa34ede65a1d060ac7166330304f16d4 Service-Type = Framed-User5 User-Name = "prescher"6 Framed-MTU = 14887 State = 0x8e3e702d7335b18eb6c02356568fb9fb8 Called-Station-Id = "00-1B-11-B4-DA-7D:WIFI-IFSC"9 Calling-Station-Id = "00-15-AF-78-0A-C3"

10 NAS-Identifier = "D-Link Access Point"11 NAS-Port-Type = Wireless-802.1112 Connect-Info = "CONNECT 54Mbps 802.11g"13 EAP-Message = 0x020900501900170301002031fb17c07965f46038681eb14 22ff4ddd3a35f7e432b98f7ac14d9c335f21474db1703010020c794627b8615 7af8638a9525ea7a442d48e22ff3fca8d3be8e469b4163314ca24416 NAS-IP-Address = 172.18.20.17217 NAS-Port = 118 NAS-Port-Id = "STA port # 1"19 Client-IP-Address = 172.18.20.172

Figura A.19: Exemplo de log de autenticacao de usuario.

1 lease 172.18.22.27 {2 starts 4 2009/07/30 16:52:02;3 ends 5 2009/07/31 09:32:02;4 tstp 5 2009/07/31 09:32:02;5 binding state free;6 hardware ethernet 00:15:af:78:0a:c3;7 }

Figura A.20: Exemplo de log de atribuicao de IP a usuario pelo servidor DHCP.

83

ANEXO B -- Configuracao dos servidores parafuncionamento da rede WIFI-IFSC

Este anexo tem como objetivo demonstrar a configuracao de todos os servicos necessarios

para se obter a instalacao de uma rede sem fio, 802.11x com seguranca e que se autentica

por meio de autenticacao individual, padrao 802.1x, comparando seus dados com uma base

Lightweight Directory Access Protocol (LDAP).

O anexo trara a listagem de pacotes e arquivos adicionais que devem ser instalados no servi-

dor, assim como a configuracao destes arquivos, e importante salientar que toda a instalacao foi

feita em sistema operacional Linux - MANDRIVA 2008, que e o sistema operacional utilizado

pelo servidor do IFSC campus Sao Jose.

B.1 Configuracao do Servidor LDAP

Para o funcionamento do LDAP nesta implementacao, e necessario que todos os pacotes a

seguir estajam devidamente instalados:

• slapd, que e o proprio servico LDAP;

• phpldapadmin, gerenciador web do LDAP;

• ldap-utils, pacotes utilitarios para configuracao;

• samba-doc, necessario para interligacao com o samba.

Apos a verificacao e instalacao dos pacotes, deve-se criar o schema do Samba no LDAP,

pois e atraves dos schemas que o LDAP adiciona a seus processos o suporte aos demais progra-

mas que consultarao sua base de dados.

Para isso, e necessario entrar na pasta /usr/share/doc/samba-doc/examples/LDAP/,

descompactar o arquivo samba.schema.gz e copia-lo para a pasta /etc/ldap/schema/. Para

B.1 Configuracao do Servidor LDAP 84

que o servidor LDAP acesse esse arquivo quando iniciado, deve-se alterar seu arquivo de

configuracao (slapd.conf), na pasta /etc/ldap/, adicionando a linha de comando “include

/etc/ldap/schema/samba.schema” logo abaixo das demais linhas que tem “include” em seu

inıcio.

Na primeira vez em que se utiliza o LDAP, deve ser criada uma senha para de acesso,

para isso, e necessario executar o comando slappasswd, que pedira que o administrador digite

a senha e depois a confirme. A partir dessa senha digitada, o LDAP criara uma senha num

estilo diferente, {SSHA}hLLfSLt73/YwNYEJU/T7PAcLd0A0B0je, que deve ser copiada para

o campo rootpw do arquivo slapd.conf.

A seguir, segue a configuracao detalhada, contendo as linhas que devem ser modificadas,

dos arquivos referentes ao LDAP.

B.1.1 Arquivo /etc/ldap/slapd.conf

1 ...2 include /etc/ldap/schema/samba.schema3 ...4 suffix ‘‘dc=sj,dc=ifsc,dc=edu,dc=br’’5 rootdn ‘‘cn=admin,dc=sj,dc=ifsc,dc=edu,dc=br’’6 rootpw (senha gerada pelo slappasswd - {SSHA}....)7 ...8 access to attrs=userPassword,sambaNTPassword,sambaLMPassword,shadowLastChange9 by dn=‘‘cn=admin,dc=sj,dc=ifsc,dc=edu,dc=br’’ write

10 by dn=‘‘cn=integrador,dc=sj,dc=ifsc,dc=edu,dc=br’’ read11 by anonymous auth12 by self write13 by * none14

15 access to *16 by dn=‘‘cn=admin,dc=sj,dc=ifsc,dc=edu,dc=br’’ write17 by * read18

19 access to dn.base=‘‘’’ by * read

Figura B.1: Configuracao do arquivo slapd.conf.

B.1.2 Arquivo ldap.conf

Foi necessario, para fins de compatibilidade, criar um link para outro arquivo, em /etc/ldap-

.conf e executar o comando ln -s /etc/ldap/ldap.conf /etc/ldap.conf.

B.2 Servidor SAMBA e WINBIND 85

1 ...2 BASE dc=sj,dc=ifsc,dc=edu,dc=br3 URI ldap://127.0.0.14 ...

Figura B.2: Configuracao do arquivo ldap.conf.

B.1.3 Arquivo /etc/phpldapadmin/config.php

1 ...2 $ldapservers->SetValue($i,’server’,’base’,array(’dc=sj,dc=ifsc,dc=edu,dc=br’));3 ...4 $ldapservers->SetValue($i,’login’,’dn’,’cn=admin,dc=sj,dc=ifsc,dc=edu,dc=br’);5 ...6 $queries[$q][’base’] = ’dc=sj,dc=ifsc,dc=edu,dc=br’;7 ..

Figura B.3: Configuracao do arquivo /etc/phpldapadmin/config.php.

B.2 Servidor SAMBA e WINBIND

Deve-se verificar se os seguintes pacotes estao instalados, lembrando que o Winbind ficara

instalado e devera ser configurado nos mesmos arquivos de configuracao do SAMBA:

• samba, proprio servidor SAMBA;

• winbind, servico Winbind para efetuar a resolucao de nomes;

• smbldap-tools, arquivos de suporte para integracao entre SAMBA e LDAP.

Para que funcionem em conjunto, os dois servicos devem possuir a mesma senha, o motivo e

para que o LDAP veja o SAMBA como confiavel e autorize as consultas. Para mudar a senha do

SAMBA executa-se o comando smbpasswd -w senha do LDAP. Apos isso, as configuracoes

dos arquivos devem ser feitas.

B.2.1 Arquivo /etc/samba/smb.conf

Apos configurar o arquivo principal do SAMBA e WINBIND, e necessario criar o SID1,

necessario para que o LDAP identifique o SAMBA como cliente e o autorize a efetuar as con-

1numero de identificacao do domınio na rede Windows

B.2 Servidor SAMBA e WINBIND 86

1 [global]2 workgroup = UNED3 netbios name = DK4 server string = %h5 dns proxy = no6

7 security = user8 os level = 2559 local master = yes

10 domain master = yes11 preferred master = yes12 domain logons = yes13 admin users = administrador14

15 ##parte referente a conex~ao com LDAP##16 passdb backend = ldapsam:ldap://127.0.0.117 ldap admin dn = cn=admin,dc=sj,dc=ifsc,dc=edu,dc=br18 ldap suffix = dc=sj,cd=ifsc,dc=edu,dc=br19 ldap user suffix = ou=Usuarios20 ldap group suffix = ou=Grupos21 ldap machine suffix = ou=Computadores22 ldap passwd sync = yes23 unix password sync = no24

25 ##parte referente ao winbind##26 winbind separator = +27 winbind enum users = yes28 winbind enum groups = yes29 winbind use default domain = yes30 winbind trusted domains only = yes31

32 syslog = 033 log file = /var/log/samba/log.%m34 max log size = 1000

Figura B.4: Configuracao do arquivo smb.conf.

B.3 Configuracao do FreeRADIUS 87

sultas em sua base. Para cria-lo, executa-se o comando net getlocalsid, o SID aparecera

parecido com este exemplo: S-1-5-21-1803520230-1543781662-649387223.

B.2.2 Configuracao do phpldapadmin

Acessando atraves do browser o link http://localhost/phpldapadmin, o administrador

da rede deve criar seus grupos, domınio samba e usuarios dentro do LDAP. Os usuarios, uma

vez criados e associados aos seus grupos, podem ser referenciados pelo SAMBA. Assim, pode

ser utilizado um usuario para administrar a rede Windows, diferente do super-usuario root. Bas-

tando adicionar a linha admin users = administrador na secao [global] do smb.conf

para que o usuario administrador tenha poderes de administrador da rede Windows apos reini-

ciar o servico.

Com isso, a segunda integracao de servicos pode ser feita, agora entre SAMBA e WIN-

BIND, este ultimo que servira como interface para autenticar usuarios RADIUS no SAMBA e,

consequentemente LDAP. As ligacoes todas ficam assim:

[PontodeAcesso]⇔ [RADIUS]⇔ [Winbind]⇔ [Samba]⇔ [LDAP]

Com o comando net join -U administrador, o usuario administrador e assumido como

administrador da rede Windows e integra os servico WINBIND e SAMBA. Um detalhe impor-

tante a ser citado e que quando o WINBIND e iniciado e gerada a pasta

/var/cache/samba/winbindd privileged/ mas a permissao dessa pasta deve ser mudada

para que o RADIUS possa efetuar a consulta nele.

B.3 Configuracao do FreeRADIUS

Para a instalacao do servico FreeRADIUS, afim de prover uma rede sem fio com autenticacao

que consulte a base de dados do LDAP, e necessario instalar os seguintes pacotes no caso de

uso do Sistema operacional Mandriva (caso do IFSC - campus Sao Jose):

• freeradius, servico propriamente dito;

• libfreeradius1, bibliotecas necessarias para configuracoes.

Obs.: Tambem foi testada a instalacao no sistema operacional Ubuntu(ROSA, 2008).

B.3 Configuracao do FreeRADIUS 88

Apos feita a instalacao, deve-se configurar os arquivos do servidor para que o mesmo possa

receber as solicitacoes dos Pontos de Acesso e repassa-las ao SAMBA/WINBIND, que ira, por

sua vez, verificar a base do LDAP.

Obs.2: Para as configuracoes dos arquivos do FreeRADIUS, ver capıtulo 5.

89

ANEXO C -- Configuracao do cliente para acessar aRede WIFI-IFSC

Este anexo tem como objetivo apresentar as configuracoes necessarias para que os usuarios

possam acessar a rede WIFI-IFSC, instalada no campus Sao Jose. Algumas modificacoes ma-

nuais devem ser feitas nas configuracoes de conexao de rede do cliente para que a autenticacao

ocorra com sucesso, principalmente clientes Windows. Para qualquer sistema operacional, celu-

lar ou Ipod com suporte a Wireless Fidelity (WiFi), e importante que a configuracao da conexao

tenha como base a seguinte configuracao:

• Sistema WPA2 empresas ou WPA2-EAP;

• Metodo PEAP ou PEAPv0 (versao zero);

• Tipo de chave AES;

• Tipo de Phase2 MSCHAPv2;

A partir destas configuracoes, o Sistema operacional solicitara que sejam inseridos login

e senha do usuario que sao usados no IFSC para acessar a rede. Alguns sistemas tambem

solicitam o Domınio, neste caso deve ser utilizado o nome de domınio UNED.

Nas proximas secoes serao apresentados os “passo a passo” apresentados e disponibilizados

aos clientes da rede na Wiki da instituicao. Inicialmente foram feitos os passos para clientes

Ubuntu e Windows XP por corresponderem a maioria dos clientes da instituicao.

C.1 Configuracao de cliente Ubuntu

Para configurar a conexao de um cliente Ubuntu na rede WIFI-IFSC e necessario seguir os

procedimentos a seguir:

C.1 Configuracao de cliente Ubuntu 90

Figura C.1: Escolha da rede sem fio a qual se deseja conectar.

Figura C.2: Configuracao dos parametros de acesso da rede sem fio escolhida.

C.2 Configuracao de cliente Windows XP 91

Na barra de menu do Ubuntu, clicar sobre as conexoes de rede, o que fara aparecer as redes

sem fio disponıveis, ver figura C.1.

Apos isso, clicar sobre a rede WIFI-IFSC e, como ilustrado na figura C.2, selecionar as

opcoes:

• Seguranca da Rede sem Fios: WPA2 Empresas;

• Metodo EAP: PEAP ou PEAPv0;

• Tipo de chave: AES;

• Tipo de Phase2: MSCHAPv2;

• Identidade: Login da rede do IFSC;

• Senha: respectiva senha do usuario;

• Clicar em Conectar para que a tentativa de conexao seja efetuada.

C.2 Configuracao de cliente Windows XP

E importante lembrar que o acesso a rede funciona somente para clientes Windows com

suporte ao Wi-Fi Protected Access - versao 2 (WPA2). Clientes de Windows Service Pack 2

ou de versoes superiores ja possuem suporte para a conexao. Porem, se o usuario nao possuir

o suporte, e necessario que seja feita a atualizacao de suporte ao WPA2, instalando os paco-

tes KB893357 e KB917021, disponıveis no centro de atualizacoes da Microsoft(MICROSOFT,

2009a).

Para configurar a conexao de acesso a rede sem fio WIFI-IFSC, o cliente de sistema opera-

cional Windows XP deve seguir os seguintes passos:

No menu Iniciar do Windows, entrar no Painel de Controle e, em seguida clicar nas Co-

nexoes de Rede. Clicar com o botao direito do mouse em Conexao de Redes sem Fio e depois

em ver Redes sem fio disponıveis, como consta na figura C.3.

Nesta tela, aparecem todas as redes disponıveis para conexao sem fio, ver figura C.4, e

necessario clicar sobre a rede desejada, neste caso WIFI-IFSC e depois em Alterar definicoes

avancadas.


Figura C.3: Abrindo conexoes de rede sem fio para editar.

Figura C.4: Escolha da rede a qual se deseja configurar.


Na janela de definicoes avancadas, figura C.5, no separador Redes sem fios e preciso

verificar se a opcao Utilizar o Windows para configurar as definicoes da rede sem fios esta

ativa e, em Redes Preferidas, clicar em Adicionar.

Figura C.5: Inıcio da edicao da rede sem fio.

Em seguida, como ilustrado na figura C.6, inserir o nome da rede (WIFI-IFSC), no campo

Nome da rede (Service Set Identifier (SSID)). Depois disso, em Chave de rede sem fios

selecionar:

• Autenticacao de rede: WPA2;

• Encriptacao de dados: AES;

• Ativar o item A chave e fornecida automaticamente.

Como na figura C.7, clicar no separador Autenticacao e escolher as opcoes:

• Ativar autenticacao IEEE 802.1X para esta rede;

• Tipo de EAP: EAP protegido (PEAP);


Figura C.6: Configuracao dos padroes de acesso da rede.

• Desativar Autenticar como computador quando a informacao de computador estiver

indisponıvel;

• E clicar em propriedades.

Nesta tela, figura C.8, desativar a opcao Validar certificado do servidor e, em Selecione

Protegido por palavra-passe:, escolher a opcao EAP-MSCHAP v2.

Apos isso, clicar em Configurar, onde deve ser desabilitada a opcao Utilizar automatica-

mente o nome de inicio de sessao e a palavra-chave do Windows (e domınio se existente),

como consta na figura C.9.

Clicar no Ok das duas janelas em aberto, ate que fique novamente janela de Propriedades de

Redes sem fio. Ao lado do Relogio da Area de trabalho, na barra de menu, aparecera a tentativa

de conexao a rede que pedira as credenciais, como ilustrado na figura C.10, sera necessario

clicar sobre o pedido para que abra a janela onde sao inseridos os dados do usuario, Login,

Senha e domınio (UNED), clicar em OK e efetuar a tentativa de conexao.


Figura C.7: Configuracao para uso da autenticacao 802.1x.

Figura C.8: Configuracoes acerca de uso de certificados.


Figura C.9: Informacao para nao usar o mesmo Login e Senha do seu computador para acessara rede sem fio.

Figura C.10: Tentativa de conexao com a rede sem fio.

97

Lista de Abreviaturas

AAA Authentication, Authorization and Accounting

ACK Acknowledge

AES Advanced Encryption Standard

CCMP Counter Mode with Cipher Block Chaining Message Authentication Code Protocol

CSMA/CA Carrier Sense Multiple Access With Collision Avoidance

DHCP Dynamic Host Configuration Protocol

EAP Extensible Authentication Protocol

EAPOL EAP over LANs

EAP-TLS EAP Transport Layer Security

EAP-TTLS EAP Tunneled Transport Layer Security

HiFi High Fidelity

IEEE Institute of Electrical and Electronic Engineers

IETF Internet Engineering Task Force

IFSC Instituto Federal de Santa Catarina

IV Initialization Vector

LAN Local Area Network

LDAP Lightweight Directory Access Protocol

MIC Message Integrity Check

MIMO Multiple Input, Multiple Output

MSCHAPv2 Microsoft Challenge Handshake Authentication Protocol - versao 2

98

OFDM Orthogonal Frequency Division Multiplexing

PAE Port Access Entity

PEAP Protected Extensible Authentication Protocol

PMK Pairwise Master Key

PTK Pairwise Transient Key ou Pairwise Temporal Key

RADIUS Remote Authentication Dial in User Service

RC4 Rivest Cipher 4

SMB Service Message Blocks

SSID Service Set Identifier

TLS Transport Layer Security

TTLS Tunneled Transport Layer Security

TKIP Temporal Key Integrity Protocol

TSC Time Sequence Counter

VLAN Virtual Local Area Network

VPN Virtual Private Networks

WEP Wired Equivalent Protocol

WiFi Wireless Fidelity

WPA Wi-Fi Protected Access

WPA-EAP Wi-Fi Protected Access - Extensible Authentication Protocol

WPA-PSK Wi-Fi Protected Access - Pre-shared key

WPA2 Wi-Fi Protected Access - versao 2

WLAN Wireless Local Area Network

99

Referencias Bibliograficas

ABOBA, B. et al. RFC 3748 - Extensible Authentication Protocol (EAP). Junho 2004.

ABOBA, B.; CALHOUN, P. RFC 3579 - RADIUS (Remote Authentication Dial In UserService) Support For Extensible Authentication Protocol (EAP). Setembro 2003.

ABOBA, B.; SIMON, D. RFC 2716 - PPP EAP TLS Authentication Protocol. Outubro 1999.

ARRUDA. Redes sem fio, padrao IEEE 802.11. Outubro 2008. Disponıvel em:<http://www.guiadohardware.com.br>.

BERGAMO, R. T. Introducao as Comunicacoes Moveis. 2007.

BOWMAN, B. Seguranca Sem Fio WPA para Redes Domesticas. Julho 2003.

BRAGA, R. D. Estudo e analise dos protocolos de seguranca em redes sem fio 802.11 e suasvulnerabilidades. Parque Tecnologico de Itaipu: Um estudo de caso. 2006.

CONGDON, P. et al. Rec. ITU-R P.1238-1 - Propagation data and prediction methods for theplanning of indoor radiocommunication systems and radio local area networks in frequencyrange 900MHz to 100GHz. 1999.

CONGDON, P. et al. RFC 3580 - IEEE 802.1X Remote Authentication Dial In User Service(RADIUS) Usage Guidelines. setembro 2003.

EDNEY, J.; ARBAUGH, W. A. Real 802.11 Security - Wi-Fi Protected Access and 802.11i . 2.ed. [S.l.]: Addison-Wesley, 2002.

ESTEVES, L. C. Antenas: teoria basica e aplicacoes. [S.l.]: McGraw-Hill, 1987.

GAST, M. S. 802.11 Wireless Networks - The Definitive Guide. 2. ed. [S.l.]: O’Reilly, 2002.

HASSEL, J. RADIUS - Securing Public Access to Private Resources. [S.l.]: O’Reilly, 2002.

MICROSOFT. Atualizacoes para Suporte WPA2. 2009. Disponıvel em:<http://www.microsoft.com/downloads/results.aspx>.

MICROSOFT. EAP. Fevereiro 2009. Disponıvel em: <http://technet.microsoft.com/pt-br/library/cc782851.aspx>.

MOUSA, A.; HAMAD, A. Evaluation of the RC4 Algorithm for Data Encryption. 2006.

NAJNUDEL, M. Estudo de propagacao em ambientes fechados para o planejamento deWLANs. 2004.

O’HARA, B.; CALHOUN, P.; KEMPF, J. RFC 3990 - Configuration and Provisioning forWireless Access Points (CAPWAP) Problem Statement. Fevereiro 2005.

Referencias Bibliograficas 100

OLIVEIRA, R. P. de; CAMPOS, R. L. Projeto de redes locais sem fio 802.11b - Analise delocalizacao. 2003.

PLUMMER, D. C. RFC 826 - Ethernet Address Resolution Protocol: Or Converting NetworkProtocol Addresses to 48.bit Ethernet Address for Transmission on Ethernet Hardware.Novembro 1982.

RIGNEY, C. RFC 2866 - RADIUS Accounting. Junho 2000.

RIGNEY, C. et al. RFC 2865 - Remote Authentication Dial In User Service (RADIUS). Junho2000.

ROSA, M. A. Instalacao do Freeradius com suporte a EAPTLS e PEAPTTLS MSCHAPv2 noUbuntu. setembro 2008. Disponıvel em: <http://www.vivaolinux.com.br/artigo/Instalacao-do-Freeradius-com-suporte-a-EAPTLS-e-PEAPTTLS-MSCHAPv2-no-Ubuntu?pagina=2>.

SANCHES, E. Criando Redes WLAN. [S.l.]: Erica, 2005.

STANLEY, D.; WALKER, J.; ABOBA, B. RFC 4017 - Extensible Authentication Protocol(EAP) Method Requirements for Wireless LANs. Marco 2005.

TANEMBAUM, A. S. Computer Networks. [S.l.]: Campus, 2001.

THALER, D.; ABOBA, B. RFC 5218 - What Makes for a Successful Protocol. Julho 2008.

VALLE, O. T. Linux, Basico, Gerencia, Seguranca e Monitoramento de Redes. 2009.

VIVASEMFIO. Antenas Inteligentes. Marco 2008. Disponıvel em:<http://www.vivasemfio.com/blog/category/antenas/>.

WAHL, M. RFC 2256 - A Summary of the X.500(96) User Schema for use with LDAPv3.Dezembro 1997.

WAHL, M.; HOWES, T.; KILLE, S. RFC 2251 - Lightweight Directory Access Protocol (v3).Dezembro 2007.

WI-FI ALLIANCE. Wi-Fi Protected Access: Strong, standards-based, interoperable securityfor today’s Wi-Fi networks. [S.l.], Abril 2003.

ZORN, G. RFC 2759 - Microsoft PPP CHAP Extensions, Version 2. January 2000.

estudo e projeto para o provimento seguro de uma infra ... · monograﬁa apresentada a...

Documents