Subir Archivo

instalaÇÃo do radius: integração com sistema de gestão

  • Home
  • Documents
  • INSTALAÇÃO DO RADIUS: Integração com sistema de gestão
49
 CENTRO UNIVERSITÁRIO DO SUL DE MINAS – UNIS  MG BACHARELADO EM SISTEMAS DE INFORMAÇÃO ROGÉRIO RESENDE SOARES INSTALAÇÃO DO RADIUS: Integração com sistema de gestão Varginha-MG 2011

Upload: seraosbr

Post on 22-Jul-2015

327 views

Category:

Documents


1 download

Report

TRANSCRIPT

CENTRO UNIVERSITRIO DO SUL DE MINAS UNIS MG BACHARELADO EM SISTEMAS DE INFORMAO ROGRIO RESENDE SOARES

INSTALAO DO RADIUS: Integrao com sistema de gesto

Varginha-MG 2011

ROGRIO RESENDE SOARES

INSTALAO DO RADIUS: Integrao com sistema de gesto

Monografia apresentado ao curso de graduao em Bacharelado em Sistemas de Informao do Centro universitrio do Sul de Minas UNIS MG, como pr-requisito concluso do curso, sob orientao do Prof. Ricardo Bernardes Mello.

Varginha-MG 2011

ROGRIO RESENDE SOARES

INSTALAO DO RADIUS: Integrao com sistema de gesto

Monografia apresentado ao curso de graduao em Bacharelado em Sistemas de Informao do Centro universitrio do Sul de Minas UNIS MG, como pr-requisito concluso do curso, sob orientao do Prof. Ricardo Bernardes Mello.

Aprovado em _____/_____/_____

________________________________________________ Prof. Esp. Ricardo Bernardes de Mello

________________________________________________ Prof. Ms. Simone de Paula Teodoro Moreira

________________________________________________ Prof Ms. Letcia Rodrigues da Fonseca OBS.:

1

RESUMO Esse projeto tem como objectivo desenvolver uma forma mais eficiente de autenticao dos usurios da rede sem fio do Grupo UNIS. Isso se fez necessrio porque o sistema de autenticao da rede sem fio tm vrias limitaes. Por exemplo, a senha no pode ser alterada pelo usurio, no possvel obter informaes estatsticas, os usuarios no podem usar a mesma senha do sistema de gesto, entre outras limitaes. A principal hiptese fazer uso dos usurios e senhas cadastrados no sistema de gesto acadmica. Foi feita uma analise no atual sistema de gesto do Grupo UNIS para identificar os recursos disponveis. Foi feita uma pesquisa bibliogrfica sobre os principais recursos de rede e autenticao atualmente disponveis, priorizando-se os recursos de cdigo aberto por ser de menor custo. Decidiu-se usar o servidor RADIUS, com um mtodo de autenticao externo, escrito em linguagem PHP. Com a flexibilidade disponvel nesses recursos, foi possvel fazer uso das senhas do sistema de gesto para autenticao dos usurios da rede sem fio. Conseguiu-se um sistema seguro, flexvel e integrado de baixo custo de instalao, devido ao uso de sistemas de cdigo aberto. O modelo abordado pode ser usado em outras instituies e empresas, bem como pode ser integrado com outros sistemas de gesto. Palavras-chave: Autenticao , RADIUS, WIRELESS.

2

ABSTRACT This project aims to develop a more efficient way of authenticating users of wireless UNIS Group. This was necessary because the authentication system of wireless network have several limitations. For example, the password can not be changed by the user, it is not possible to obtain statistical information, users can not use the same password management system, among other restrictions. The main hypothesis is to make use of user names and passwords registered in the system of academic management. An analysis was made in the current management system UNIS Group to identify the resources available. A search of the literature on the key features and network authentication currently available, focusing on the capabilities of open source because of its lower cost. He decided to use the RADIUS server with an external authentication method, written in PHP. With the flexible features installed, it was possible to make use of the password management system for user authentication of the wireless network. We managed to a secure, flexible and integrated, low cost of installation, due to the use of open source systems. The model discussed can be used in other institutions and companies, and can be integrated with other management systems. Key-Words: Authentication, Wireless, RADIUS.

3

ndice de FigurasFigura 1: Protocolo. Fonte: Korose e Ross (2010).............................................................................11 Figura 2: Arquitetura da LAN Wireless IEEE 802.11. Fonte: Korose e Ross (2010)........................13 Figura 3: Arquitetura bsica de um roteador. Fonte: Korose e Ross (2010)......................................14 Figura 4: Requisies entre o servidor DHCP e servidor RADIUS...................................................17 Figura 5: Dicionrio de dados sistema Vetorh Senior.....................................................................26 Figura 6: Esquema estrutural da rede sem fio....................................................................................29 Figura 7: Teste de requisio de endereo IP.....................................................................................32 Figura 8: Resposta recebida aps o teste............................................................................................33

4

ndice de tabelasTabela 1: Tipos de redes.....................................................................................................................11 Tabela 2: Pilha de protocolo da internet.............................................................................................12 Tabela 3: Atributos do RADIUS.........................................................................................................17 Tabela 4: Exemplo de uso da linguagem SQL...................................................................................20 Tabela 5: Campos da tabela PESSOA................................................................................................24 Tabela 6: Campos da tabela DADOSFUNC.......................................................................................24 Tabela 7: Campos da tabela PROFDISC............................................................................................24 Tabela 8: Campos da tabela 'Cadastro de Funcionrios' (R034FUN)................................................27 Tabela 9: Variveis geradas pelo 'radtest' e enviadas ao servidor RADIUS.......................................31 Tabela 10: Teste de autenticao........................................................................................................33

5

Sumrio1 INTRODUO................................................................................................................................8 1.1 Justificativa..............................................................................................................................8 1.2 Objetivos..................................................................................................................................8 1.2.1 Objetivo Geral...................................................................................................................8 1.2.2 Objetivo Especfico...........................................................................................................9 2 REFERENCIAL TERICO...........................................................................................................10 2.1 Redes de computadores.........................................................................................................10 2.1.1 Redes e Internet...............................................................................................................10 2.1.2 Redes de acesso...............................................................................................................10 2.1.3 Protocolo.........................................................................................................................11 2.1.4 Camadas de protocolo.....................................................................................................12 2.1.5 Redes sem fio..................................................................................................................13 2.1.6 Roteador..........................................................................................................................14 2.1.7 Endereos MAC .............................................................................................................15 2.1.8 ARP Protocolo de resoluo de endereos...................................................................15 2.1.9 Protocolo DHCP.............................................................................................................16 2.1.10 Protocolo RADIUS.......................................................................................................16 2.2 Consideraes Gerais sobre Segurana em Redes ................................................................18 2.2.1 Identificao e Autenticao de Usurios ......................................................................18 2.3 Banco de Dados.....................................................................................................................19 2.3.1 Conceitos de definies de Banco de Dados...................................................................19 2.3.2 Linguagens de manipulao de dados.............................................................................19 2.3.3 Estrutura bsica do SQL.................................................................................................20 2.4 Sistema operacional ..............................................................................................................20 2.4.1 FreeBSD..........................................................................................................................21 2.5 Linguagens de programao..................................................................................................21 2.5.1 Linguagem PHP..............................................................................................................21 2.6 Gesto integrada de organizaes..........................................................................................22 2.6.1 Sistemas Integrados de Gesto Empresarial...................................................................22 2.6.2 Sistema Universus...........................................................................................................23 2.6.3 Empresa CadSoft15.........................................................................................................23 2.6.4 Banco de dados do sistema de gesto acadmica............................................................23 2.6.5 Funes do banco de dados definidas pela Cadsoft........................................................25 2.6.6 Filtros para liberao do acesso a rede sem fio no sistema acadmico...........................25 2.6.7 Sistema Gesto de Pessoas Senior..................................................................................25 2.6.8 Empresa SENIOR...........................................................................................................26 2.6.9 Banco de dados do sistema Gesto de Pessoas...............................................................26 2.6.10 Filtros para liberao do acesso a rede sem fio no departamento de pessoal...............27 2.6.11 WGU - Wireless Grupo Unis.........................................................................................27 3 METODOLOGIA...........................................................................................................................28 3.1 Rede sem fio Grupo UNIS.....................................................................................................28 3.2 Instalao do sistema operacional..........................................................................................29 3.3 Configurao bsica do servidor............................................................................................29 3.4 Servidor RADIUS..................................................................................................................30 3.5 Configurao do servio Radius............................................................................................30 3.6 Testes de requisio de endereo IP.......................................................................................31 3.7 Testes de autenticao no servidor radius..............................................................................32 4 CONCLUSO................................................................................................................................34 6

5 REFERENCIAS BIBLIOGRFICAS...........................................................................................36 6 APNDICES E ANEXOS..............................................................................................................38 6.1 Arquivos de configurao do FreeRADIUS..........................................................................38 6.1.1 Nets.php Programao externa para autenticao no sistema de gesto......................38 6.1.2 radius.conf Configurao do modulo sql no radius.....................................................40 6.1.3 sql.conf Configurao UnixODBC no radius..............................................................40 6.1.4 sites-enabled/default Configurao da autenticao externa.......................................41 6.1.5 clients.conf Configurao de permisses de acesso para clientes do RADIUS...........41 6.2 UnixODBC e FreeTDS Configurao UnixODBC no FreeBSD.......................................41 6.2.1 odbcinst.ini......................................................................................................................41 6.2.2 odbc.ini............................................................................................................................41 6.2.3 freetds.conf......................................................................................................................41 6.3 Procedimentos armazenados do banco de dados do sistema WGU.......................................42 6.3.1 status_DP Verifica sistema de gesto de pessoas Senior..............................................42 6.3.2 status_OU Verifica usurios do sistema WGU............................................................42 6.3.3 status_PF Verifica professores.....................................................................................42 6.3.4 status_RA Verifica alunos............................................................................................43 6.3.5 GetIP Calcula prximo endereo de rede.....................................................................44 6.3.6 WGU Atualiza e verifica dados dos usurios da rede sim fio......................................44

7

1

INTRODUO O uso de dispositivos mveis tem aumentado em grande escala. Diante disso as

organizaes esto se aprimorando para disponibilizar meios para que seus usurios possam se conectar a sua rede por meio destes dispositivos mveis. As instituies de ensino, em especial, promovem o desenvolvimento da tecnologia e devem ser referncia em oferecer meios de acesso aos seus alunos, professores e colaboradores. No entanto um desafio restringir o acesso a apenas as pessoas que esto de vinculadas a essas instituies, visto que a maioria destas instituies no dispe de recursos suficientes para fornecer acesso ilimitado a toda comunidade. Portanto importante um sistema de controle de acesso que atualize de modo automtico a situao atual de cada usurio do acesso a rede sem fio em relao a instituio que fornece o acesso. 1.1 Justificativa Existe uma grande rotatividade de pessoas a cada novo semestre em uma instituio de ensino. Novos alunos se matriculam enquanto outros solicitam trancamentos. Alm disso, ocorrem tambm desistncias. Novos professores so contratados e outros saem da instituio. Com frequncia, necessrio que outras pessoas que no tm vnculo direto com essas instituies, tenham acesso a rede de dados, como por exemplo, palestrantes, consultores e outros. Atualmente, necessria uma interveno manual para essa liberao de acesso, causando assim falta de segurana e de controle na rede, como tambm retrabalho manual. 1.2 Objetivos O objetivo desse projeto foi realizar melhorias no sistema de autenticao dos usurios da rede sem fio. 1.2.1 Objetivo Geral

Esse projeto identificou os recursos disponveis nos sistemas de gesto para autenticao dos

8

usurios da rede sem fio, e instalou e configurou outras aplicaes e servios necessrios para isso. 1.2.2 Objetivo Especfico Verificou-se nos atuais sistemas de gesto as informaes e procedimento que poderiam ser usados na autenticao de usurios da rede sem fio. Instalou-se e configurou-se um servidor de autenticao que permite o uso das senhas j cadastradas no sistema de gesto acadmica e em com outros bancos de dados de usurios. O sistema foi planejado para ter flexibilidade e ser adaptvel as mudanas que podero ocorrer nos sistemas de gesto.

9

2

REFERENCIAL TERICO Apresenta-se aqui uma breve descrio dos conceitos bsicos encontrados na literatura que

se relacionam com as tecnologias utilizadas no desenvolvimento desse projeto, como tambm alguns conceitos bsicos de banco de dados e linguagem de programao. 2.1 Redes de computadores

As redes de computadores so muito comuns atualmente. A histria delas bastante recente quando comparada a outras tecnologias como rdio e televiso por exemplo. 2.1.1 Redes e Internet

Segundo Korose e Ross (2010), na dcada de 60, as redes telefnicas eram o principal meio de comunicao no mudo inteiro. Devido ao crescimento no uso dos computadores e da multiprogramao, foi necessrio interlig-los, tendo em vista que os usurios esto distribudos em vrias localizaes geogrficas. Nesse momento surge a internet para realizar esse processo de interligao. A internet uma rede de computadores que conecta vrios dispositivos, basicamente computadores, segundo Korose e Ross (2010). Entretanto um nmero cada vez maior de outros dispositivos tem sido elaborado com a funcionalidade de conectar-se internet. Alm disso, existe atualmente uma grande variedade de redes de acesso. 2.1.2 Redes de acesso As redes de acesso, segundo Korose e Ross (2010), so enlaces fsicos que fazem conexo entre um sistema final e o primeiro roteador, que por sua vez faz a conexo com outro sistema e assim por diante. Existem vrios tipos de redes acesso, que usam vrios meios de acesso diferentes. Alguns exemplos de redes de acesso esto listados na Tabela 1.

10

Discadas - Usam as linhas telefnicas analgicas; DSL - Usam linhas telefnicas digitais; Cabo - Usam as redes de televiso por meio de um cabo coaxial; FTTH Fazem uso de cabos de fibra tica; Ethernet Usam pares de fios de cobre tranados; Wifi Usam canais de rdio sem uso de cabos fsicos; Tabela 1: Tipos de redes

Os componentes que tornam possveis as trocas de informaes atravs de uma rede so chamados de protocolos. Existe uma grande variedade de protocolos. Entender o que so e como funcionam essencial para compreender o funcionamento de qualquer tipo de rede. 2.1.3 Protocolo Protocolo um termo importante em redes de computadores. Sem ele as redes simplesmente no funcionariam. Em seu livro, Korose e Ross (2010) faz uma analogia a comunicao entre pessoas para exemplificar o que um protocolo dentro de redes de computadores, conforme apresentado na Figura 1.

Figura 1: Protocolo. Fonte: Korose e Ross (2010)

11

Quando se encontra com algum com quem queremos falar, primeiramente cumprimenta-se e espera-se uma resposta, depois fala-se ou pergunta-se algo e novamente aguarda-se a resposta, e assim sucessivamente. O mesmo processo acontece em um protocolo de rede. Em qualquer tipo de acesso na internet esto envolvidos duas ou mais unidades de rede que sejam capazes de entender um mesmo protocolo. Portanto, Korose e Ross (2010) define protocolo de rede como sendo o agente que determina o formato, a ordem das trocas de informaes e as aes em uma rede. Os protocolos de rede esto organizados em camadas. 2.1.4 Camadas de protocolo Segundo Korose e Ross (2010), cada camada prov seu servio executando algumas aes e utilizando os servios da camada que est diretamente abaixo dela. As camadas podem ser programas em hardware ou software. A pilha de protocolo da internet est organizada em cinco camadas, conforme mostrado na Tabela 2. Aplicao Transporte Rede Enlace Fsico Tabela 2: Pilha de protocolo da internet

A camada de aplicao onde esto os servios de aplicaes de redes e seus protocolos como, por exemplo, servios Http, Radius, Smtp etc. Na camada de transportes temos na internet dois tipos de protocolos TCP1 e UDP2, que fazem o transporte das mensagens entre servidores e clientes. A camada de rede na internet possui dois componentes responsveis pela movimentao de pacotes. Um deles o protocolo IP que define o datagrama da camada de rede. O outro o1 TCP o acrnimo para o ingls Transmission Control Protocol 2 UDP o acrnimo para o ingls User Datagram Protocol

12

protocolo de roteamento, que determina as rotas de entrega dos pacotes. A camada de enlace atua entre cada roteador durante o transporte dos pacotes na internet, que geralmente passam por vrios roteadores at chegar ao seus destinos. nessa camada est o endereamento de LAN3 ou endereo MAC4. A camada fsica responsvel pelo transporte de bits individuais entre os ns de uma rede. Os protocolos e suas camadas podem ser usados em diversos tipos de redes. Atualmente um meio que tem se tornado cada vez mais comum so as redes sem fio. 2.1.5 Redes sem fio Muitas tecnologias de redes sem fio foram desenvolvidas. A tecnologia 'LAN wireless IEEE 802.11', mais conhecida como Wi-Fi, tem sido a mais usada. Atualmente as redes sem fio esto presentes em quase todo tipo de ambiente. Segundo Korose e Ross (2010), o bloco bsico de uma rede Wi-Fi o BSS5, conjunto bsico de servio, que contm uma ou mais estaes sem fio e uma estao base central, conhecida como um ponto de acesso. Os pontos de acesso so conhecidos pelas letras AP6.

Figura 2: Arquitetura da LAN Wireless IEEE 802.11. Fonte: Korose e Ross (2010) Os dispositivos mveis devem estar dentro da rea de cobertura do ponto de acesso para que3 4 5 6 LAN o acrnimo para o ingls local area network MAC o acrnimo para o ingls media access control BSS o acrnimo para o ingls basic service set AP o acrnimo para o ingls acess point

13

possam se conectar a rede. Quando est dentro da rea de cobertura, o dispositivo mvel pode solicitar uma conexo ao ponto de acesso, conforme mostra a Figura 2. Existem no mercado atualmente diverso tipos e modelos de ponto de acesso. Os modelos mais simples de configurar que podem ser usados em pequenas redes domsticas ou escritrios. Os mais complexos e robustos podem possuir elaborados sistemas de controle de acesso. Depois de atender a uma requisio de um dispositivo mvel, o ponto de acesso pode passar a atuar como roteador ou ponte de acesso at o prximo roteador. 2.1.6 Roteador

Roteador o sistema que faz as conexes entre as redes de computadores. Segundo Korose e Ross (2010), seria necessrio um curso completo para tratar do projeto de roteadores em profundidade. Em uma viso de alto nvel sobre roteadores consideraremos basicamente um roteador como um conjunto de processos que encaminham os pacotes de informaes aos seus destinatrios, composto de uma entrada, um elemento de comutao, um processador de roteamento e uma sada, conforme mostra a Figura 3.

Figura 3: Arquitetura bsica de um roteador. Fonte: Korose e Ross (2010) A rede mundial de computadores foi elaborao, desde sua criao na dcada de 60, com o conceito de rotas, roteadores e roteamento. Desta forma, a rede se torna bastante tolerante a falhas, pois se um caminho for interrompido, outro caminho pode ser usado. O roteador identifica e encaminha as diversas requisies usando o endereo de rede MAC de cada dispositivo . 14

2.1.7 Endereos MAC O endereamento MAC7 foi projetado para ser nico em cada adaptador, como por exemplo, um nmero de documento CPF8 para ser nico para cada cidado brasileiro. Mas possvel mudar esse endereo por meio de um software, conforme descrito por Korose e Ross (2010), p. 339. O IEEE9, Instituto de Engenheiros Eletricistas e Eletrnicos, uma organizao profissional sem fins lucrativos, fundada nos Estados Unidos, e tem como meta promover conhecimento no campo da engenharia eltrica, eletrnica e computao. Um de seus papis mais importantes o estabelecimento de padres para formatos de computadores e dispositivos. Um desses padres organiza os endereamentos entre os diversos fabricantes de adaptadores de redes no mundo todo. Alocando parcelas de 224 endereos, e fixando os primeiros 24 bits, permite assim que o fabricante do dispositivo crie combinaes exclusivas com os ltimos 24 bits para cada unidade. Cada endereo MAC composto por 6 bytes expressos em notao hexadecimal. As informaes de todos os endereos MAC dentro de uma mesma rede so armazenadas na memria do roteador e nos dispositivos mveis em uma tabela camada ARP. 2.1.8 ARP Protocolo de resoluo de endereos

O protocolo ARP10, segundo Plummer (1982), o protocolo que faz a traduo entre a camada de rede e a camada de enlace, identificando que endereamento MAC pertence a qual endereo IP. Os protocolos ARP atuam apenas em uma mesma sub-rede. Para que os endereos ARP sejam encaminhados a outra rede, preciso que o roteador faa essa cpia entre elas. O manual de Socolofsky (1991) faz uma abordagem abrangente do TCP/IP e ARP. Os pontos de acesso usados nesse projeto, fabricados pela empresa MikroTic 11, possuem um sistema embarcado com a funcionalidade de transportar a tabela ARP entre as sub-redes gerenciadas por ele. O endereo MAC usado apenas uma mesma sub-rede, portanto outro tipo de endereamento chamado IP usado para identificar o local de uma conexo em uma rede local ou pblica.

7 8 9 10 11

MAC a sigla para Media Access Control CPF o acrnimo para Cadastro de Pessoas Fsicas, o registro de um cidado na Receita Federal brasileira. A pgina no brasil do IEEE http://www.ieee.org.br ARP o acrnimo para o ingls Address Resolution Protocol A pgina official da empresa MikroTic http:///www.mikrotic.com

15

2.1.9 Protocolo DHCP

Os endereamentos de rede IP podem ser configurados manualmente, mas esse processo pode ser automatizado com o uso dos servidores DHCP 12, conforme Korose e Ross (2010), p. 257. O servidor DHCP pode ser configurado para que um mesmo cliente, identificado pelo seu endereamento MAC, receba sempre o mesmo nmero IP. Com o uso do protocolo DHCP, alm de receber o endereamento IP, o cliente pode tambm receber mais informaes como a mascara de sub-rede, endereo do roteador e endereo servidor de DNS. Aps receber o endereamento IP, o cliente pode acessar outros servios disponveis na rede. Podendo assim autenticar-se e receber autorizao para ter acesso a outros recursos. Nesse projeto foi utilizado o servidor RADIUS para autenticar, autorizar e gerar estatsticas dos acessos. 2.1.10 Protocolo RADIUS

Conforme Korose e Ross (2010), p. 389, 5, existem vrias alternativas para autenticar uma associao entre um cliente e um determinado ponto de acesso. muito comum entre as empresas usarem o endereamento MAC para fazer essa autenticao. Outra forma bastante comum usar usurio e senha. De qualquer forma, nos dois casos, o ponto de acesso geralmente se comunica com um servidor de autenticao para validar o usurio e senha, determinar quais servios estaro disponveis e tambm manter um registro dos acessos feitos. Ter um servidor de autenticao separado do ponto de acesso permite que vrios outros usem a mesma estrutura de autenticao, facilitando assim a manuteno dos usurios, senhas, permisses e relatrios de acessos. Para isso foi escolhido o servidor RADIUS nesse projeto. RADIUS um protocolo da camada de aplicao tipo AAA para acesso rede de computadores e mobilidade atravs de rede IP. Os protocolos do tipo AAA so usados em sistemas de autenticao, autorizao e accouting. Referindo-se respectivamente ao processo de verificar a identidade do usurio, garantir que o usurio tenha acesso apenas aos recursos autorizados, e a coleta de informaes sobre o uso dos recursos de um sistema. O pontos de acesso MikroTik (2011) possuem embarcado em seu sistema operacional um12 DHCP o acrnimo para o ingls Dynamic Host Configuration Protocol

16

servidor DHCP que pode ser configurado para obter o endereo IP de um servidor RADIUS, conforme mostra a Figura 4.

Figura 4: Requisies entre o servidor DHCP e servidor RADIUS A norma RFC 2865, conforme descrito por Rigney (2000), descreve os padres para o protocolo RADIUS. O protocolo RADIUS resumidamente, um servio baseado em UDP de pergunta e resposta. As requisies e respostas seguem um padro de tabelas (varivel=valor). Atributo User-Name Password id 1 2 tipo string string

Tabela 3: Atributos do RADIUS

No RADIUS, as variveis so identificadas por um nmero. A relao entre este nmero e seu nome obtida atravs de dicionrios. Podemos ver um exemplo de dicionrio padro na Tabela 3. O valor tem um tipo definido no dicionrio, e os tipos comuns so: string, inteiro (numero), octeto ou ipaddr (endereo IP: 4 bytes) e tipo estendido (usado para transportar parmetros personalizados de fabricantes de equipamentos). O RADIUS tem uma porta para autenticao (UDP 1645 ou UDP 1812) e outra para contabilidade (UDP 1646 ou UDP 1813). Segundo Rigney (2000), o RADIUS opera em uma arquitetura cliente/servidor. O cliente do servidor RADIUS responsvel por enviar informaes do usurio ao RADIUS e depois agir sobre a resposta que retornada. O servidor RADIUS responsvel por receber as informaes e retornar ao cliente as informaes necessrias para entregar o servio ao usurio. A segurana feita por uma senha informada no cliente e no servidor. A senha pode ser vinculada ao endereo IP do cliente, 17

aumentando assim a segurana. Essa senha nunca enviada pela rede. Isso garante que apenas clientes autorizados podero enviar informaes ao servidor. Os servidores RADIUS suporta uma variedade de mtodos de autenticao de usurios e pedidos de informaes. Portanto foi utilizado nesse projeto um mtodo integrado um banco de dados SQL, que facilita a manuteno dos usurios. 2.2 Consideraes Gerais sobre Segurana em Redes

Considera-se aqui algumas medidas de segurana das redes cabeadas que podem e devem se aplicadas s redes Wi-Fi. 2.2.1 Identificao e Autenticao de Usurios

Como o objetivo de disponibilizar os dados e recursos de uma rede apenas s pessoas autorizadas, devemos identifica-las meio de se estabelecer uma identidade do usurio. Depois de identificado, o usurio precisa ser autenticado, por meio de uma verificao da veracidade da identidade do usurio. Essa identificao se relaciona com o nome do usurio na rede, e a autenticao geralmente feita com o uso da senha, tokens e outros mtodos. Existem vrias formas de se fazer autenticao de usurio, sendo que alguns mtodos so mais eficientes que outros. Alguns dos mtodos de autenticao de usurios mais usados so as senhas e tokens. Considera-se aqui o mdodo de autenticao por senha e validao do endereo de rede MAC. Neste mtodo, o usurio se identifica com um nome de usurio e se autentica atravs de uma senha. Em seguida o sistema verifica se o endereo de rede MAC do dispositivo usado pelo usurio est registrado em seu cadastrado. Entretanto, ainda assim importante ter cuidado ao utilizar senhas. Segundo Tittel (2001), p. 214, de acordo com alguns peritos em segurana, a maior causa de furto de dados e vandalismo eletronico so os prprios usurios. Isso no quer dizer que tenham a inteno de causar dando, mas devido a falta de cuidados bsicos, facilitam a entrada de invasores. Portanto, ao cadastrar senhas deve-se evitar o uso de palavras bvias. Senhas criadas a partir de dados pessoais como data de nascimento, por exemplo, so facilmente descobertas. A definio e divulgao de uma poltica de senhas aos usurios pode orientar e regulamentar o uso das senhas e outros procedimentos que podem aumentar a segurana da rede.

18

Outro fator importante na segurana de redes a manuteno do cadastro dos usurios demitidos e afastados das instituies. Esses cadastros devem ser prontamente suspensos e seu acesso bloqueado imediatamente. Nesse projeto, um procedimento armazenado no servidor de banco de dados verifica periodicamente a situao cadastral dos funcionarios. Esse procedimento pode ser visto no anexo 6.3.1 . 2.3 Banco de Dados

Devido ao grande volume de informaes e a necessidade de acess-las com agilidade foram criados sistemas de armazenamento e mecanismos de acesso chamados bancos de dados. 2.3.1 Conceitos de definies de Banco de Dados

Um Sistema Gerenciador de Banco de Dados (SGBD) um conjunto de dados interrelacionados e uma coleo de ferramentas para acess-los, segundo Silberschatz (2006). Os SGDB so projetados para armazenar, manipular e garantir a segurana das informaes contidas nele. Os SGBDs so organizados por modelos de dados que descrevem a forma como os dados so armazenados, suas relaes, sua semntica e restries. Os modelos de dados so classificados em quatro categorias: Modelo relacional, Modelo entidade/relacionamento, Modelo de dados baseado em objeto e Modelo de dados semi-estruturado, segundo Date (2003). Historicamente, os primeiros modelos de Banco de Dados surgiram na dcada de 60, desde ento, a pesquisa cientfica na rea procura evoluir no sentido de definir e encontrar modelos que representem da melhor maneira possvel os dados de uma realidade, ou seja, que organizem os dados de uma forma mais prxima maneira como estes so vistos e manipulados pelas pessoas no mundo real. O modelo relacional que usaremos nesse projeto o mais usado atualmente. Segundo Silberschatz (2006), consiste em um conjunto de tabelas para representar os dados e as relaes entre eles. Cada tabela pode possuir uma ou mais colunas, e cada uma possui um nome nico. 2.3.2 Linguagens de manipulao de dados

Uma linguagem de manipulao de dados, segundo Silberschatz (2006), permite aos

19

usurios acessar ou manipular dos dados para recuperar as informaes armazenadas, inserir novas informaes, excluir informaes do bando de dados, modificarem os dados dessas informaes. Existem vrias linguagens de banco de dados. Neste projeto foi usando a linguagem SQL (Structured Query Language). 2.3.3 Estrutura bsica do SQL

Visto que um banco de dados relacional consiste em uma coleo de relaes, cada uma com um nome nico, o SQL usa esses nomes em uma estrutura que formada bsica por trs expresses: select, from e where. Conforme descrito por Silberschatz (2006), o SQL forma o produto cartesiano das relaes nomeadas na clausula from, realiza uma seleo com os parmetros da clusula where, e, depois, projeta o resultado nos atributos da clusula select. Como pode-se ver na Figura 4, o SQL encontrar os nomes de todos os produtos da tabela produtos, que possuem quantidade maior que 10. Select produto.nome_produto from produtos where quantidade_produto > 10 Tabela 4: Exemplo de uso da linguagem SQL

A linguagem SQL bastante flexvel e se adqua a uma infinidade de tipos de dados e relacionamentos. Existem pequenas diferenas de sintaxe entre os diversos fornecedores de sistemas SGDBs, entretanto a lgica e os conceitos fundamentais da linguagem SQL permanece o mesmo entre eles. Tanto os sistemas SGDBs como os sistemas de rede so instalados em sistemas operacionais. 2.4 Sistema operacional Os sistemas operacionais fazem a comunicao entre o hardware e a aplicao em uso. Sem o sistema operacional seria muito complicada a criao e distribuio de software para usurios finais, pois cada software teria que ser capaz de identificar os diversos tipos de hardware existente no mercado. Os sistemas operacionais mantm uma coleo de configuraes chamadas drivers, em geral 20

fornecidos pelos fabricantes, para identificar e utilizar os diversos perifricos que compe um computador. Atualmente existe uma grande variedade de sistemas operacionais gratuitos e proprietrios disponveis para uso. Nesse projeto foi escolhido o FreeBSD. 2.4.1 FreeBSD

O sistema operacional FreeBSD derivado do BSD Unix desenvolvido pela Universidade da Califrnia, Berkeley. O FreeBSD oferece um conjunto de avanados recursos tecnolgicos de rede, segurana, desempenho e compatibilidade ainda no encontrada em outros sistemas operacionais, at mesmo entre os melhores sistemas comerciais, segundo FreeBSD (2011). Segundo as estatsticas do Netcraft (2011), que monitora vrios servidores e servios da internet, os servidores FreeBSD so os mais confiveis quanto a estabilidade e segurana, entre outros fatores bastante relevantes para segurana e estabilidade dos servidores. No ano de 2011, o FreeBSD liderou as estatsticas dos servidores mais estveis por sete vezes. Para desenvolvimento de aplicaes, os sistemas operacionais permitem o uso de diversas linguagens de programao. 2.5 Linguagens de programao

Os computadores so capazes de executar aes atravs de instrues uma linguagem especfica chamada linguagem de mquina. A linguagem de mquina um conjunto de nmeros que so entendidos pelo computador, mas muito difcil de ser entendido pelo homem. J as linguagens de programao so conjuntos de instrues que podem ser entendidos tanto por homens e mquinas. Segundo Medina e Fertig (2006), p. 15, as linguagens de programao so classificadas conforme sua semelhana com a linguagem de mquina. Quanto mais prximas da linguagem de mquina, mais baixo o nvel da linguagem. As linguagens mais semelhantes a linguagem humana so as de alto nvel. Existe uma grande variedade de linguagens de programao. Foi escolhido para esse projeto a linguagem PHP. 2.5.1 Linguagem PHP

21

A linguagem PHP teve seu inicio em 1994 e, segundo Muto (2006), foi criada por Rasmus Lerdorf. Em 1997 houve uma mudana em seu desenvolvimento, pois nessa poca o PHP foi reescrito por Zeev Suraski e Andi Gutmans. A partir da verso 4.3.0, a linguagem PHP possui uma outra SAPI13 alm da CGI, chamada de PHP-CLI. A nova PHP-CLI permite acesso a toda gama de funes da linguagem PHP atravs da linha de comando ou de pequenos cdigos conhecidos como scripts. Mais informaes sobre esta SAPI podem ser encontradas na pgina oficial da internet PHP-CLI14. Neste projeto, foi usado a linguagem PHP em SAPI CLI porque sua documentao ampla e acessvel. Alm disso, sua SAPI CLI pode ser executada pelo servio do RADIUS. Como o uso das diversas linguagens de programao foi criado vrias aplicaes para diversas reas de atividade. Com o crescimento do uso das aplicaes de sistemas de informaes e grande importncia que passaram a ter, foram elaborados grandes sistemas integrados. 2.6 Gesto integrada de organizaes

Na atual era do conhecimento as organizaes conseguem ser competitivas fazendo bom uso das informaes, dominando bem suas operaes, entendendo seus processos e se aproximando de seus clientes, segundo Chamon (2008). As organizaes fazem uso de diversos mecanismos de medio direcionados aos controles operacionais para tomada de decises estratgicas. Os sistemas informatizados de gesto so hoje essenciais para armazenagem, processamento e recuperao das informaes para esses mecanismos de medio. 2.6.1 Sistemas Integrados de Gesto Empresarial

Os Sistemas Integrados de Gesto Empresarial (SIGE ou SIG) so amplamente conhecidos por sua sigla em ingls ERPs. Sistemas ERPs so sistemas que so projetados com o objetivo de integrar dados e processos dentro de uma organizao. No entanto existem processos dentro da diversidade de organizaes que os sistemas de gesto ERPs no so capazes de atender, visto que tais processos no fazem parte do escopo do projeto dos sistemas ERPs. Um exemplo disso a autenticao de usurios de uma rede sem fio. Visto que a permisso de acesso a rede sem fio e uso depende da situao cadastral dos usurios nos sistemas ERPs,13 SAPI o acrnimo para o ingls Server Application Programming Interface 14 A pgina oficial na internet do PHP-CLI http://www.php-cli.com

22

haveria um grande retrabalho e um enorme risco de erros se a incluso e manuteno dos dados forem feita manualmente. Diante desse cenrio, necessrio um terceiro sistema que faa a juno das informaes destes sistemas ERPs com o objetivo de atender uma necessidade especfica da organizao fora do escopo do projeto do sistema ERP em uso. Existe a possibilidade que uma melhoria futura em alguns desses sistemas ERPs venha a atender essa necessidade. Contudo as empresas desenvolvedoras dos sistemas em questo no manifestaram nenhuma possibilidade desse tipo de suporte para as prximas atualizaes. Portanto, foi necessrio desenvolver aplicaes que faam essa integrao entre esses sistemas conforme a necessidade da organizao. O sistema em uso atualmente no UNIS MG o sistema Universus da empresa CadSoft15. 2.6.2 Sistema Universus

O sistema Universus um aplicativo especializado em gesto acadmica, desenvolvido com foco em atender os requisitos do MEC16. O sistema Universus foi desenvolvido pela empresa CadSoft15. 2.6.3 Empresa CadSoft15

CadSoft15 uma empresa da rea de tecnologia da informao que tem como ideologia participar do aprimoramento educacional visando o progresso humano, em conjunto com instituies ticas e atentas ao bem-estar social, contribuindo para formao de uma comunidade prspera e humana que compartilha, ensina, aprende e se doa. A empresa CadSoft15 no fornece dicionrio de dados do seu sistema de gesto acadmica, mas coloca-se disposio para quaisquer informaes sobre o banco de dados aos seus clientes. Dessa forma foi possvel saber quais tabelas e funes so necessrias para integrar com o sistema de autenticao. 2.6.4 Banco de dados do sistema de gesto acadmica

Muitas tabelas foram usadas para consulta de informaes, e cada uma delas possui vrios15 Pgina oficial na internet: http://www.cadsoft.com.br 16 Ministrio da Educao: http://www.mec.gov.br/

23

campos. O objetivo desse projeto documentar apenas as tabelas e os campos que contm as informaes necessrias para autenticao na rede sem fio. A Tabela PESSOA contm dados pessoais de todos os alunos e outras pessoas diretamente vinculadas aos alunos, como familiares e responsveis financeiros. Os campos da tabela PESSOA que so usados no sistema de autenticao esto relacionados na Tabela 5. CODPESSOA - Chave primaria da tabela pessoa. CICCPF - Nmero do CPF. NOME - Nome da pessoa. SENHA Senha da pessoa. LOGIN Nome de login da pessoa. Tabela 5: Campos da tabela PESSOA

A tabela DADOSFUNC contm os dados dos professores. Os campos usados das tabelas DADOSFUNC esto relacionados na Tabela 6. DADOSFUNC.ATIVO - status do professores, cdigo 1 ativo. DADOSFUNC.CODFUNCIONARIO - cdigo do funcionrio. DADOSFUNC.CODPESSOA cdigo da pessoa. Tabela 6: Campos da tabela DADOSFUNC

A tabela PROFDISC contm a relao de disciplinas dos professores. Os campos usados das tabelas PROFDISC so: PROFDISC.CODFUNCIONARIO - cdigo do funcionrio. PROFDISC.PERIODO - perodo no qual o professores est vinculado a disciplina. PROFDISC.ANO - ano no qual o professores est vinculado a disciplina. Tabela 7: Campos da tabela PROFDISC

24

2.6.5 Funes do banco de dados definidas pela Cadsoft

A empresa CadSoft desenvolveu um algortimo prprio para criptografia das senhas armazenadas no campo SENHA da tabela PESSOA. A funo responsvel por esse algortimo a dbo.GETPASSWORDHASH('senha'), com um nico parmetro. Essa funo recebe uma cadeia de caracteres com a senha e retorna uma cadeia de caracteres criptografados de modo irreversvel. 2.6.6 Filtros para liberao do acesso a rede sem fio no sistema acadmico

Foi definido que apenas os alunos matriculados no perodo corrente devem ter acesso a rede sem fio. No entanto, o conceito de aluno matriculado depende da rea de negcio. Dentro dos cursos de graduao (CURSO.CURSOEQUIVALENTE=5) um aluno considerado matriculado quando seu status (ENTURMA.CODSTATUS) est 'cursando' (cdigo 2) em pelo menos uma disciplina no ano e perodo corrente. Nos cursos de ps-graduao considera-se que um aluno est matriculado quando seu status curricular (ALUCURRICULO.CodStatus) est cursando (cdigo 402) ou em transferncia interna (cdigo 403). Nos cursos do ensino fundamental e mdio, a regra a mesma dos cursos de ps-graduao, levando-se em conta apenas que o cdigo da escola diferente dos demais alunos (ALUNO.CODESCOLA=2). Quanto aos professores a regra para que eles tenham acesso a rede sem fio que estejam com status 'ativo' (DADOSFUNC.ATIVO) em pelo menos uma disciplina no perodo corrente. 2.6.7 Sistema Gesto de Pessoas Senior

Segundo Senior (2011), a Soluo de Gesto de Pessoas que aplica conceitos inovadores no gerenciamento estratgico do capital humano. O software ideal para a descentralizao da rea de Recursos Humanos (RH), pois torna as informaes disponveis e acessveis aos colaboradores em tempo real, pela internet, intranet, portais e dispositivos mveis. A soluo dividida em cinco reas para atender s rotinas legais e s prticas de gesto.

25

2.6.8 Empresa SENIOR Segundo Senior (2011), ela uma das maiores desenvolvedoras de software para gesto empresarial do Brasil. As solues de Gesto Empresarial (ERP), Gesto de Pessoas (RH), Gesto de Acesso e Segurana, Tecnologia da Informao, Gesto Estratgica e Servios so direcionadas a clientes de todos os portes e tm como objetivo garantir total domnio sobre informaes e processos empresariais. Com matriz em Blumenau (SC), a empresa possui filial em So Paulo e unidades localizadas nos principais centros do Pas, atuando tambm no mercado latino-americano. Atualmente conta com mais de 9.500 clientes e cerca de 3 mil pessoas envolvidas entre colaboradores, parceiros comerciais e canais de distribuio , alm de mais de 100 canais distribudos pelo Brasil. Focada na evoluo desde a sua fundao, em 1988, a Senior investe no conhecimento de cada profissional, criando oportunidades de aperfeioamento tcnico e comercial para os seus colaboradores. Os sistemas da empresa Senior possuem dicionrio de dados dentro da aplicao, conforme mostra Figura 5.

Figura 5: Dicionrio de dados sistema Vetorh Senior

Desta forma foi possvel identificar as tabelas e campos necessrios para obter a situao cadastral atual dos funcionrios. 2.6.9 Banco de dados do sistema Gesto de Pessoas O banco de dados do sistema Gesto de Pessoas possui uma tabela 'Cadastro de 26

Funcionarios' (R034FUN) que contm os dados dos funcionrios. Os campos usados na integrao com a autenticao da rede sem fio esto relacionados na Tabela 8. TipCol Tipo do funcionrio. Numcpf Nmero do documento CPF. SitAfa Situao cadastral atual. Tabela 8: Campos da tabela 'Cadastro de Funcionrios' (R034FUN)

2.6.10

Filtros para liberao do acesso a rede sem fio no departamento de pessoal

O Grupo UNIS definiu que apenas funcionrios com situao cadastral diferente de 'Afastado' (R034FUN.SitAfa7) podem ter acesso a rede sem fio. Alm dos sistemas de gesto ocasionalmente outras pessoas que no esto cadastradas nesses sistemas podem requerer acesso a rede sem fio. Por isso foi criado uma banco de dados para o cadastro desses usurios denominado WGU (Wireless Grupo Unis). 2.6.11 WGU - Wireless Grupo Unis

O sistema de cadastro WGU uma pgina na internet onde o usurio poder fazer o cadastro do seu endereamento MAC. Desta forma o seu MAC fica vinculado ao seu usurio e senha. Nesta mesma pgina possvel cadastrar outros usurios que no tem suas informaes registradas nos sistemas de gesto. O sistema possui um banco de dados simples. Uma tabela registra os dados e senhas dos usurios e seus respectivos endereamentos de rede MAC. Alguns procedimentos armazenados no servidor de banco de dados do sistema WGU verificam e atualizam o banco de dados do servidor RADIUS. Estes procedimentos esto descritos no anexo 6.3 .

27

3

METODOLOGIA Diante dos procedimentos tcnicos envolvidos no projeto e do tipo de problema, foi

realizado um pesquisa-ao, concebida e realizada direcionada melhorias no sistema de autenticao da rede sem fio. A pesquisa-ao envolveu pessoas do departamento de tecnologia da informao envolvidas de modo cooperativo. O levantamento das informaes foi feita de modo tradicional, por observao individual realizada por um pesquisador. O problema foi identificado diante da necessidade dos usurios e administradores terem melhores controles e estatsticas dos acessos rede sem fio. A pesquisa foi feita primeiramente com base em um levantamento para determinar quais recursos dos sistemas de gesto atualmente utilizados na instituio poderiam ser usados em um sistema de autenticao. Depois foi feita um anlise junto ao departamento de Tecnologia da informao do para identificar quais os recursos tcnicos estariam disponveis para o desenvolvimento do projeto. Com estas informaes, a prxima etapa foi eleger quais sistemas e softwares seriam instalados, e quais mdulos seriam desenvolvidos. Os sistemas escolhidos foram instalados e configurados. Foram feitos testes e simulaes com diversos dispositivos. Verificou-se ento que o projeto funcionou conforme esperado e poderia ser colocado em uso. Por meio deste projeto confirmamos que existem recursos de baixo custo, de alta tecnologia, disponveis para o desenvolvimento de pesquisas e integrao de tecnologias, que podem agregar mais qualidade aos servios prestados pelas instituies de ensino. 3.1 Rede sem fio Grupo UNIS A rede sem fio usa uma infraestrutura de pontos de acesso MikroTik (2011) que fornecessem acesso a internet.

28

Figura 6: Esquema estrutural da rede sem fio

O servio RADIUS foi instalado no Servidor Virtual - 2 -, visto na Figura 6. Este servidor uma maquina virtual com o sistema operacional FreeBSD. 3.2 Instalao do sistema operacional A instalao foi feita por meio de uma imagem de CD disponibilizada por FreeBSD (2011). Foi selecionado o tipo de instalao 'Standard', e depois foi includa a opo de compilao do kernel. Aps a instalao importante informar corretamente a senha do usurio root. Alm disso, recomendvel criar um usurio para cada pessoa vai administrar o servidor. Aps a criao do usurio administrador podemos fazer as configuraes bsicas. 3.3 Configurao bsica do servidor

Aps a instalao bsica, foi executados procedimentos de atualizao da coleo de pacotes de aplicativos preparados para instalao no sistema FreeBSD, chamada de Ports. Esta coleo conta com mais de 22 mil aplicativos preparados para instalao no FreeBSD. Para atualizar a rvore de diretrios Ports podemos usar vrios meios. Foi usado a aplicao Portsnap executando o comando 'portsnap fetch extract update' para essa atualizao. Depois de atualizar a rvore de diretrios, foram atualizados todos aplicativos j instalados junto com o sistema operacional. O aplicativo que atualiza os programas instalados no faz parte a instalao 29

inicial, por isso deve ser instalado executando o comando 'cd /usr/ports/ports-mgmt/portupgrade && make install clean'. Aps instalao, foi executado 'portupgrade -a' para que todos aplicativos instalados fossem atualizados. Com o sistema atualizado, o servidor RADIUS pode ser instalado, executando o comando 'cd /usr/ports/net/freeradius 2 & make install clean'. O sistema do 'Ports' analisou os pr-requisitos para instalao e fez as instalaes dos necessrias. Para ativar o servio do FreeRADIUS (2011), foi colocada a linha de configurao 'radiusd_enable="YES"' '/usr/local/etc/raddb' . no Para arquivo iniciar '/etc/rc.conf'. A pasta o servio do padro de configurao FreeRadius manualmente, execute

/usr/local/etc/rc.d/radiusd start'. 3.4 Servidor RADIUS

O servidor RADIUS entregar endereos de internet correspondentes endereamentos de redes especficos, atravs de uma relao com o servio de configurao dinmica de endereamento de internet embarcados nos pontos de acesso da rede sem fio. Um recurso de personalizao do servidor RADIUS, atravs de programao externa, descrito no apndice 6.1.1 , permite consultar no banco de dados a senha dos usurios do sistema de gesto. No foi possvel usar os mtodos de criptografia de senhas nos padres aceitos pelo servidor RADIUS, como o MD5, porque o sistema de gesto possui mtodo de criptografia proprietrio (dbo.GETPASSWORDHASH), desenvolvido pela CadSoft. 3.5 Configurao do servio Radius

O servidor Radius aqui est sendo configurado para usar o banco de dados na armazenagem de suas configuraes de autorizao, autenticao e registro de acesso. Portanto, deve-se incluir o mdulo SQL em seus arquivos de configuraes, conforme mostra o apndice 6.1.2 . Aps isso, deve-se colocar os parmetros referentes a conexo como banco e dados no arquivo de configurao do SQL, conforme vemos no apndice 6.1.3 . Para realizar a conexo entre o Radius no FreeBSD e o Microsoft SQLServer 2008 17 vamos17 Site ofical do SQL Server 2008 http://www.microsoft.com/sqlserver/2008/pt/br/default.aspx

30

utilizar a UnixODBC, as configuraes da ODBC esto no apndice 6.2 . 3.6 Testes de requisio de endereo IP

No primeiro teste foi enviado um endereo MAC vlido executando o comando no prprio servidor Radius '/usr/local/etc/raddb/Nets.php 00:1f:3c:7f:d7:34'. Foi recebido a resposta 'Accept' no teste, indicando assim que o endereo MAC vlido. Se resposta recebida fosse 'Reject', isso indicaria que o endereamento MAC foi enviado no formato incorreto ou invalido. O endereo MAC composto por 6 bytes expressos em notao hexadecimal. Na autenticao nos sistemas de gesto usamos a funo 'preg_match' do PHP para fazer essa validao, como pode ser visto no apndice 6.1.1 . Como o endereo MAC enviado foi vlido, o sistema buscou por ele no banco de dados WGU, e se existisse nenhuma ao seria executada. No entanto, se o MAC no fosse encontrado, um IP seria gerado dentro da faixa predefinida e gravado no banco de dados. Desta forma verificou-se que sistema respondeu corretamente a primeira etapa da conexo, que foi a requisio de endereo IP fixo para cada endereamento MAC. O segundo teste foi feito com o 'radtest'. O 'radtest' faz parte do pacote de instalao do servidor RADIUS. O teste poderia ter sido feito de qualquer computador conectado a rede ou no terminal do prprio servidor Radius, deste que esteja corretamente configurado. O teste foi feito executando a linha de comando 'radtest -x 00:1f:3c:7f:d7:34 '' 172.16.0.103 0 zxczxc'. Para ter xito no teste, o cliente '172.16.0.103 ' e a chave secreta 'zxczxc' foro configuradas no arquivo 'clients.conf', como pode ser visto no apndice 6.1.5 . A opo '-x' habilita o modo de depurao do cliente, exibindo assim mais informaes sobre a requisio enviada e a resposta recebida. Dessa forma foi enviado ao servidor RADIUS as variveis vista na tabela 9. User-Name User-Password NAS-IP-Address NAS-Port 172.16.0.103 0 00:1f:3c:7f:d7:34

Tabela 9: Variveis geradas pelo 'radtest' e enviadas ao servidor RADIUS No terminal foi exibido as informaes vista na Figura 7.

31

Sending Access-Request of id 204 to 172.16.0.103 port 1812 User-Name = "00:1f:3c:7f:d7:34" User-Password = "" NAS-IP-Address = 127.0.1.1 NAS-Port = 0

Figura 7: Teste de requisio de endereo IP Nesse caso a resposta do servidor RADIUS foi o numero IP que dever ser atribudo ao endereo MAC, enviado como resposta da requisio, na varivel 'Framed-IP-Address' e valor '172.17.1.133'. No terminal foi exibido a resposta 'Access-Accept' indicando assim o sucesso no procedimento de requisio de endereo IP para o MAC enviado. Se uma requisio com endereo MAC incorreto fosse enviada, a resposta 'Access-Reject' indicaria esse erro e nenhum endereo IP seria enviado como resposta. 3.7 Testes de autenticao no servidor radius

O teste de autenticao semelhante ao teste de requisio de endereo IP, mas desta vez foi verificado o usurio e a senha integrado com o sistema de gesto acadmica. Foi tambm verificado se o endereo MAC cadastrado corresponde ao endereo do dispositivo que solicitou o acesso. No primeiro teste foi enviado um usurio com numero de R.A.18 '0803397', uma senha 'xxxxx' e um endereo MAC vlido, j cadastrado no site WGU19, na linha de comando '/usr/local/etc/raddb/Nets.php 0803397 xxxxx 01:1f:3c:7f:d7:71'. A resposta 'Accept' no teste indicou que o usurio e a senha foram validados no banco de dados do sistema acadmico e que o endereo MAC corresponde ao endereo cadastrado para esse usurio. Caso o usurio no fosse localizado no sistema acadmico, o mesmo usurio e senha seria validado no sistema WGU, que mantm registros de funcionrios e outros usurio que no possuem senha no sistema acadmico. Para verificar uma autenticao de um usurio que no estava cadastrado no sistema de gesto acadmica, foi usado o mesmo comando e foi utilizado o nmero do CPF como usurio, desta forma: '/usr/local/etc/raddb/Nets.php 96364289649 321231 01:1f:3c:7f:d7:71 ' A resposta 'Reject' indicaria que o usurio e senha estariam incorretos ou que o endereo18 R.A. Refere-se ao nmero de matrcula no registro acadmico. 19 http://www.wgu.unis.edu.br

32

MAC cadastrado no correspondeu ao endereo do dispositivo que fez a requisio. Desta forma verificamos que sistema respondeu corretamente a primeira etapa da conexo, que a validao do usurio e seu endereo MAC. O segundo teste foi feito com o aplicativo 'radclient'. O 'radclient' tambm faz parte do pacote de instalao do servidor Radius. O teste foi feito com esse aplicativo porque foi preciso simular o envio de um endereo MAC. O=

teste

foi

feito

executado=

a

linha

de

comando=

'echo

-e

"User-Name =

\"0803397\"\nUser-Password

\"xxxxx\"\nNAS-Port

0\nCalling-Station-Id

01:1f:3c:7f:d7:71" | radclient -x 172.16.0.103:1812 auth zxczxc'.

A opo '-x' habilitou o modo de depurao do cliente, exibindo assim mais informaes sobre a requisio enviada e a resposta recebida. Dessa forma foi enviado ao servidor RADIUS as seguintes variveis vistas na Tabela 10. User-Name User-Password NAS-IP-Address Calling-Station-Id 0803397 xxxxx 172.16.0.103 01:1f:3c:7f:d7:71

Tabela 10: Teste de autenticao No terminal foi exibido as informaes de envio mostradas na Figura 8.Sending Access-Request of id 29 to 172.16.0.103 port 1812 User-Name = "0803397" User-Password = "xxxxx" NAS-Port = 0 Calling-Station-Id = "01:1f:3c:7f:d7:71"

Figura 8: Resposta recebida aps o teste Logo em seguida foi exibido a resposta 'Access-Accept' indicando o sucesso no procedimento. Se uma requisio com endereo MAC vlido fosse enviada, mas o cadastro desse endereamento no estive vinculado ao usurio, a resposta seria 'Access-Reject'. Isso indicaria uma tentativa de usar um dispositivo mvel no cadastro para esse usurio.

33

4

CONCLUSO O desenvolvimento deste projeto, bem como a instalao do servidor, proporcionou uma

excelente experincia em segurana de rede sem fio. A fundamentao terica mostra que o protocolo Radius amplamente utilizado para controlar acesso a recursos de rede, e atendeu ao objetivo de fornecer controle de acesso internet em uma rede sem fio. Os resultados obtidos com o uso do FreeRadius e banco de dados demonstram um mecanismo eficiente de controle para acesso utilizando usurio e senha do sistema de gesto acadmica, alm de controlar o acesso por endereo MAC de origem, mantm um histrico dos acessos dos clientes. A maior dificuldade encontrada no foi a configurao do servidor RADIUS, mas foi a falta de documentao do banco de dados do sistema de gesto acadmica. Foram necessrios vrios ajustes at conseguir menor erro na identificao dos alunos atualmente matriculados na instituio. Esse conhecimento foi adquirido ao longo da instalao do sistema acadmico e de outros sistemas que necessitavam dessas informaes. Embora a empresa desenvolvedora sempre esteve disposta a colaborar, muitas vezes no dava respostas satisfatrias. A expectativa da Assessoria de Tecnologia da Informao era conseguir melhor controle e registro do acesso a rede sem fio. Espera-se melhor monitoramento dos recursos com o uso da senha do sistema acadmico em conjunto com o registro do endereo MAC do dispositivo mvel. Pretende-se assim limitar o uso indevido dos recursos da rede sem fio. Direcionando assim esses recursos a quem realmente faz uso da rede para fins acadmicos. O cenrio atual sem precedentes com relao segurana da informao. Portanto as instituies precisam estar cada vez mais atentas a sua segurana de rede. Principalmente nas redes internas, onde geralmente encontra-se o maior nmero de falha nesta rea. Aps pesquisas realizadas dentro desta rea foi verificado que uma das solues possveis para amenizar este problema encontra-se em autenticar o usurio ainda na camada de enlace, designando a ele o que pode ou no fazer dentro da rede. Nesse sentido, o padro de protocolo utilizado foi de grande importncia. O protocolo Radius tem grande vantagem de possuir vrios mtodos de autenticao. Os experimentos realizados com o servidor FreeRadius foram fundamentais para demonstrar o resultado do projeto. importante destacar, que toda a instalao do servidor de autenticao foi baseada em aplicativos dentro da filosofia do software livre. Com exceo apenas do SQL Server da empresa Microsoft, 34

que foi usado porque j havia sido adquirido em funo do sistema de gesto acadmica j anteriormente instalado. A implantao de uma soluo de controle de acesso acrescenta vrios benefcios importantes em uma rede de computadores. Por se tratar de um projeto inovador no contexto das instituies de ensino da regio, mesmo que os elementos utilizados sejam bem conhecidos individualmente, existe pouca pesquisa no que se diz respeito integrao destes elementos. A integrao de todos esses servios permite melhor controle de usurios sem duplicao de cadastros ou de senha inseguras. Por ser o FreeBSD um sistema bastante estvel e que no exige tantos recursos a nvel de hardware, os custos financeiros para a implementao do conjunto foram relativamente baixo. Para trabalhos futuros sero importantes as documentaes e melhorias nos procedimentos armazenados no servidor de banco de dados relacionados ao sistema de autenticao. So necessrios ajustes e novas opes na pgina do sistema WGU para cadastro e manuteno dos usurios que no esto nos sistemas de gesto. Desenvolvimento de um sistema automatizado para controle de contedo de pginas seguras criptografadas que esto sendo usadas para transportes de contedos imprprios, limitando e tendo melhor controle no acesso aos mesmos.

35

5

REFERENCIAS BIBLIOGRFICAS

CHAMON, Edna Maria Querido de Oliveira , Gesto integrada de organizaes, 2008, Rio de Janeiro: Brasport, . DATE, C. J., Introduo a sistemas de bancos de dados, 2003, Rio de Janeiro: Elsevier, . FREEBSD, The FreeBSD Project, 2011, Disponvel em: . Acesso em: 25/11/2011. FREERADIUS, The FreeRADIUS Project, , Disponvel em: . Acesso em: 02/12/2011. KUROSE, James F.; ROSS, Keith W., Redes de computadores e a internet: uma abordagem topdown, 2010, So Paulo: Editora Addison Wesley, 5 Edio. MEDINA, Marco; FERTIG, Cristina, Algoritmos e programao: teoria e prtica, 2006, So Paulo: Novatec, . MIKROTIK, Routers and Wireless, 2011, Disponvel em: . Acesso em: 17/11/2011. MUTO, Claudio Adonai, Php e MySQL: guia introdutorio, 2006, Rio de Janeiro: Brasport, 3. ed.. NETCRAFT, Most Reliable Hosting Company Sites in November 2011, 2011, Disponvel em: . Acesso em: 07/12/2011. PLUMMER, David C. , An Ethernet Address Resolution Protocol, 1982. Disponvel em: . Acesso em: 22/11/2011. RIGNEY, C.; Willens, S., Remote Authentication Dial In User Service, 2000, Disponvel em: . Acesso em: 23/11/2011. SENIOR, Solues em Gesto Empresarial, Gesto de Pessoas e Acesso e Segurana, 2011, Disponvel em: . Acesso em: 26/11/2011.

36

SILBERSCHATZ, Abraham, Sistema de banco de dados, 2006, Rj: Editora Campus, . SOCOLOFSKY, T. e Kale, C., A TCP/IP Tutorial, 1991. Disponvel em: . Acesso em: 16/10/2011. TITTEL, Ed., Rede de Computadores, 2002, So Paulo: Artmed Editora SA, .

37

6

APNDICES E ANEXOS

Foram relacionados nestes apndices os principais arquivos de configuraes e os cdigos fontes desenvolvidos para a autenticao dos usurios nos sistemas de gesto. 6.1 Arquivos de configurao do FreeRADIUS Arquivos necessrios para conexo com o banco de dados e para autenticao no sistema de gesto. 6.1.1 Nets.php Programao externa para autenticao no sistema de gesto#!/usr/local/bin/php


Roteiro Instalação Avance PDV com Integração · Roteiro de Instalação Avance PDV com Integração Avance Sistemas & Consultoria Ltda. ... Fim de processo. É importante aceitar

Concursos Resumos Coleção para 34 · Instalação simples, suporte a USB, Integração de pasta entre host e convidado, aplicativos de conexão remota Compartilhamento de área

Zeroshell autenticatore RADIUS per reti Wireless

A INTEGRAÇÃO NOS SISTEMAS DE TRANSPORTE PÚBLICO … · na cptm –sp - integraÇÃo em expansÃo face À instalaÇÃo de bloqueios eletrÔnicos nas estaÇÕes em 2003 ... 3/2/2010

PROGRAMA DO CURSOPROGRAMA DO CURSO WIFI HACKING ENTERPRISE WPA Enterprise - Parte IV Free Radius Pós Exploração Port Scanning NSE - Scripts Redes Windows Páginas falsas Ataques

ARCABOUÇO LEGAL DO DESCOMISSIONAMENTO NA INDÚSTRIA … · PDI – Projeto de Desativação da Instalação PIS – Programa de Integração Social ... envelhecimento das plataformas

DOCUMENTAÇÃO DE INTEGRAÇÃO fraudControl! - maxiPago! · 2016. 4. 22. · 6 Escolhendo o seu tipo de integração: Integração via API A principal característica da integração

MUM Brasil Novembro de 2012 Lacier Diasmum.mikrotik.com/presentations/BR12/lacier2.pdf · ao servidor RADIUS a validação de um usuário. ... Criando usuários para o Radius

SERVIDOR RADIUS COM CONEXÃO LDAPrepositorio.roca.utfpr.edu.br/jspui/bitstream/1/... · instalação do servidor RADIUS e a conexão utilizando o protocolo LDAP terão como base as

Manual de Integração - Clearsaleclearsale.com.br/start/manual/Start_Manual_Integracao.pdf · Manual de Integração 3 Versão 2.1 2. Integração 2.1. Envio dos Pedidos A integração

Divisão de Consultoria e Engenharia de Segurança Industrial · Engenharia de Segurança Projeto, desenho e planificação com o máximo detalhe INT Instalação e integração de

CONTEÚDO LOCAL NAS RODADAS DE LICITAÇÕ ES DE … · Pré-Instalação e Hook-up das Linhas de Ancoragem Casco Sistema simples de ancoragem Instalação e Integração dos Módulos

Integração de sistemas da informação - Abordagens de integração

Conceção e instalação de um ... - Repositório AbertoConceção e instalação de um controlador de um spindle para integração em célula robótica VII Abstract Design and installation

olha de dadosa030f85c1e25003d7609-b98377aee968aad08453374eb1df3398.r40.cf2.rackcdn.com/... · conectividade para telefones digitais, que exigem acesso nativo a um sistema ... RADIUS,

59278727 Ubuntu Hotspot Coovachilli Free Radius Lamp (1)

Vet 2495 pvb-5209 SA A 3D printed model for radius curvus

Tutorial Ospf Radius Ixcprovedor

Autenticação do roteador no AD (radius) .pdf

cacti instalação configuração unesp€¦ · Instalação da linguagem PHP. # apt-get install php5 . Módulo de integração do Apache e PHP: # apt-get install libapache2-mod-php5

Integração de Novos Estudantes 2016/17 - cenimat.fct.unl.pt · O itinerário passa ainda pela Instalação Piloto de Engenharia Química e Bioquímica onde os alunos têm contacto

Freeradius - Servidor Radius Eficiente e Completo

Inversores de Frequência EFC e VFC - dc-br.resource.bosch.com · 2 Inversores de Frequência EFC e VFC x610 - integração perfeita em aplicações diversas. De fácil instalação

PIX, TACACS+, e configurações de exemplo RADIUS: 4.4 · TACACS+/RADIUS, e segundo a resposta, abre ou nega a conexão. Estes usuários 6 poderiam fazer o FTP, o telnet, ou o HTTP

RADIUSサーバ設定ガイド Windows Server · 2019-11-16 · RADIUS サーバ設定ガイド Windows Server 2003 編(第2 版) 1. 概要 1.1. 概要 本ガイドでは認証スイッチにAX

Rede Wireless segura com WPA/WPA2 e RADIUS Por Patrick Brandão – TMSoft

DE COMPUTADORES - editora.ifc.edu.breditora.ifc.edu.br/wp-content/uploads/sites/33/... · Autenticação de usuários em redes wireless utilizando protocolo 802.1x, servidor radius

Luiz Carlos Farkas Composite Plant - Integração Elétrica ... · Instrumentos de campo Instalação ... Rede Automação Lindemberg Remotas / Força Moises Supervisor Nilton Barros

Instalação do servidor radius com autenticação via ... · entrega de vlan dinâmica por grupo de ... # entrada que faz a autenticação no ldap e compara se o grupo do usuário

Capítulo 9 Gerenciamento de rede - ic.uff.brlsousa/redes_ii/cap-9.pdf · Segurança em redes Gerenciamento de redes. 7 • A gerência de rede inclui a instalação integração

MPS MÓDULO 1site.sanepar.com.br/sites/site.sanepar.com.br/files/informacoes... · pré-dimensionamento e a integração entre elas ... NBR 5.626 1998 Instalação predial de água

Configurando Um Servidor Radius Para Sua Rede

Rede Wireless segura com WPA/WPA2 e RADIUS

59278727 Ubuntu Hotspot Coovachilli Free Radius Lamp

INSTALAÇÃO DO RADIUS: Integração com sistema de gestão