universidade federal de mato grosso · 2.4 configuraÇÃo e teste ... resolução desta...
TRANSCRIPT
UNIVERSIDADE FEDERAL DE MATO GROSSO
COORDENAÇÃO DE ENSINO DE GRADUAÇÃO EM
SISTEMAS DE INFORMAÇÃO
RELATÓRIO DE ESTÁGIO SUPERVISIONADO
ACESSO SEGURO EM REDES DE COMPUTADORES
TIERRY LINCOLN RIBEIRO DE MIRANDA
CUIABÁ – MT
2016
UNIVERSIDADE FEDERAL DE MATO GROSSO
COORDENAÇÃO DE ENSINO DE GRADUAÇÃO EM
SISTEMAS DE INFORMAÇÃO
RELÁTORIO DE ESTÁGIO SUPERVISIONADO
ACESSO SEGURO EM REDES DE COMPUTADORES
TIERRY LINCOLN RIBEIRO DE MIRANDA
Relatório apresentado ao Instituto de
Computação da Universidade Federal de
Mato Grosso, para obtenção do título de
Bacharel em Sistemas de Informação.
CUIABÁ – MT
2016
UNIVERSIDADE FEDERAL DE MATO GROSSO
COORDENAÇÃO DE ENSINO DE GRADUAÇÃO EM
SISTEMAS DE INFORMAÇÃO
TIERRY LINCOLN RIBEIRO DE MIRANDA
Relatório de Estágio Supervisionado apresentado à Coordenação do Curso de
Sistemas de Informação como uma das exigências para obtenção do título de
Bacharel em Sistemas de Informação da Universidade Federal de Mato Grosso
Aprovado por:
Prof. Nilton Hideki Takagi
Instituto de Computação
(Coordenador de Estágios)
Prof. Dr. Roberto Benedito de Oliveira Pereira
Instituto de Computação
(ORIENTADOR)
Hernane de Paula Ferreira Junior
Coordenador técnico PoP-MT/CRS-UFMT
(SUPERVISOR)
Renan Heiji Susuki
Analista de redes PoP-MT/CRS-UFMT
(Convidado)
DEDICATÓRIA
A Deus por ter me sustentado com Tua grande força durante todo o tempo que estive
lutando para que este sonho se realizasse.
AGRADECIMENTOS
À minha família por todo o apoio e inventivo para que eu não viesse a
desfalecer pelo caminho.
Agradeço a todos os meus colegas de trabalho do PoP-MT da RNP que me
auxiliaram e me incentivaram para o cumprimento desse estágio.
Aos meus professores que tiveram paciência e dedicação para que o
conhecimento tenha sido formado em mim.
SUMÁRIO
LISTA DE FIGURAS ..................................................................................................................... 7
LISTA DE TABELAS .................................................................................................................... 8
LISTA DE SIGLAS E ABREVIATURAS ..................................................................................... 9
RESUMO ...................................................................................................................................... 10
1. REVISÃO DE LITERATURA ............................................................................................ 13
1.1 REDES DE COMPUTADORES .................................................................................................... 13 1.1.1 MODELO OSI ..................................................................................................................... 13 1.1.2 TCP/IP .............................................................................................................................. 16 1.1.3 RADIUS .............................................................................................................................. 18 1.2 FIREWALL ............................................................................................................................. 24 1.2.1 IPTABLES ........................................................................................................................ 25 1.2.2 IPFW ................................................................................................................................. 25 1.2.3 PFSENSE ............................................................................................................................. 26 1.3 CAPTIVE PORTAL ................................................................................................................... 27
2. MATERIAS, TÉCNICAS E MÉTODOS ............................................................................ 28
2.1 LOCAL DO EXPERIMENTO POP-MT ......................................................................................... 28 2.2 EQUIPAMENTOS UTILIZADOS .................................................................................................. 28 2.2.1 AP WIRELESS ..................................................................................................................... 28 2.2.2 SERVIDOR ....................................................................................................................... 28 2.3 CENÁRIOS DE TESTE .............................................................................................................. 28 2.4 CONFIGURAÇÃO E TESTE ....................................................................................................... 29 2.4.1 CONFIGURAÇÃO DA MÁQUINA VIRTUAL ............................................................................... 30 2.4.2 INSTALAÇÃO PFSENSE E CONFIGURAÇÃO DAS INTERFACES ................................................... 31 2.4.4 CONFIGURAÇÃO DO AP WIRELESS ...................................................................................... 42 2.4.5 CONFIGURAÇÃO DE SSL NO CAPTIVE PORTAL ...................................................................... 42
3. RESULTADOS .................................................................................................................... 46
3.1 SISTEMA EM FUNCIONAMENTO ............................................................................................... 46 3.2 SISTEMA ACEITANDO CONEXÕES ............................................................................................ 48 3.3 RECUSANDO CONEXÃO .......................................................................................................... 48
4. DIFICULDADES ENCONTRADAS................................................................................... 50
4.1 DESCONECTAR USUÁRIOS ...................................................................................................... 50 4.2 USUÁRIOS TEMPORÁRIOS ....................................................................................................... 50
5. CONCLUSÕES ................................................................................................................... 52
6. REFERÊNCIAS BIBLIOGRÁFICAS ................................................................................ 53
7
LISTA DE FIGURAS
FIGURA 1: MODELO DE REFERÊNCIA OSI (TANENBAUM 2003) .......................................................... 14 FIGURA 2: MODELO DE REFERÊNCIA TCP/IP .................................................................................... 17 FIGURA 3: RADIUS ATTRIBUTES (RFC2865)................................................................................... 20 FIGURA 4: ESTRUTURA DO PACOTE DO RADIUS (RFC2865) ............................................................ 22 FIGURA 5: FLUXO DE AUTENTICAÇÃO E AUTORIZAÇÃO WIKIPÉDIA (2016) ......................................... 23 FIGURA 6: CENÁRIO DE TESTES ........................................................................................................ 29 FIGURA 7: CONFIGURAÇÕES DA MÁQUINA VIRTUAL .......................................................................... 31 FIGURA 8: IMAGEM INICIAL DA INSTALAÇÃO .................................................................................... 32 FIGURA 9: CONFIGURAÇÃO DO CONSOLE .......................................................................................... 32 FIGURA 10: TIPO DE INSTALAÇÃO .................................................................................................... 33 FIGURA 11: REMOVER O DISCO E REINICIAR A MÁQUINA ................................................................... 33 FIGURA 12: CONFIGURAÇÃO DE VLANS .......................................................................................... 34 FIGURA 13: CONFIGURAÇÃO DA INTERFACE WAN ............................................................................ 34 FIGURA 14: CONFIGURAÇÃO DA INTERFACE LAN ............................................................................. 35 FIGURA 15: CONFIRMAÇÃO DA CONFIGURAÇÃO DAS INTERFACES ...................................................... 36 FIGURA 16: TELA PRINCIPAL DO PFSENSE ......................................................................................... 36 FIGURA 17: CONFIGURAR INTERFACE WAN ..................................................................................... 37 FIGURA 18: CONFIGURAÇÃO DNS .................................................................................................... 38 FIGURA 19: CAMPO PARA INSERÇÃO DO DNS ................................................................................... 39 FIGURA 20: CRIAÇÃO DE ZONAS ....................................................................................................... 39 FIGURA 21: CONFIGURAÇÃO DO SERVIÇO DE CAPTIVE PORTAL ........................................................... 40 FIGURA 22: ATIVAÇÃO DA AUTENTICAÇÃO POR RADIUS ................................................................. 41 FIGURA 23: CONFIGURAÇÃO DO RADIUS ........................................................................................ 41 FIGURA 24: INSERÇÃO DE PÁGINAS PERSONALIZADAS ....................................................................... 42 FIGURA 25: GERENCIAMENTO DE CERTIFICADOS ............................................................................... 43 FIGURA 26: CRIAÇÃO DE AUTORIDADE ............................................................................................. 43 FIGURA 27: CRIAÇÃO DE CERTIFICADO ............................................................................................. 44 FIGURA 28: CONFIGURAÇÃO DO CERTIFICADO .................................................................................. 44 FIGURA 29: ATIVAÇÃO DO CERTIFICADO NO CAPTIVE PORTAL ........................................................... 45 FIGURA 30: TELA DE AUTENTICAÇÃO DE USUÁRIOS .......................................................................... 46 FIGURA 31: TELA DE ERRO PARA CREDENCIAIS INVÁLIDAS ................................................................ 47 FIGURA 32: TELA DE BOAS-VINDAS COM A OPÇÃO DE DESCONECTAR ................................................. 47 FIGURA 33: SISTEMA ACEITANDO CONEXÕES .................................................................................... 48 FIGURA 34: SISTEMA RECUSANDO CONEXÕES ................................................................................... 48 FIGURA 35: SISTEMA DESCONECTANDO USUÁRIOS POR INATIVIDADE ................................................. 49
8
LISTA DE TABELAS
TABELA 1: TIPOS DE CÓDIGOS DO CAMPO CODE ................................................................................ 19
9
LISTA DE SIGLAS E ABREVIATURAS
HTML HyperText Markup Language
RADIUS Remote Authentication Dial In User Service
IP Internet Protocol
LDAP Lightweight Directory Access Protocol
VLAN LAN Virtual
DNS Domain Name System
DHCP Dynamic Host Configuration Protocol
LAN Local Area Network
WAN Wide Área Network
AP Access Point
IP Internet Protocol
IPv6 Internet Protocol Versão 6
HTTP Hypertext Transfer Protocol
WEB World Wide Web
SSL Secure Socket Layer
10
RESUMO
O estágio supervisionado foi realizado no ponto de presença da RNP (Rede
nacional de pesquisa) em Cuiabá Mato Grosso, localizado na Universidade Federal
de Mato Grosso (UFMT).
O objetivo desse trabalho é buscar uma solução para gerenciar uma rede sem
fio de maneira segura e automatizada, por meio de solicitações de autenticações aos
usuário que desejam usufruir de recursos da rede.
Para buscar a solução desse problema, foi seguido as seguintes etapas: revisão
de bibliografias, levantamento dos materiais e métodos e técnicas com objetivo de
encontrar a melhor solução.
Foi utilizado uma máquina virtual com o firewall pfSense e o serviço de
Captive Portal ativo. Também foi utilizado um AP Wireless para que todo tráfego
dos clientes fossem redirecionados para o firewall. Assim, os clientes são
interceptados pelo serviço Captive Portal que autentica os clientes por meio de um
servidor RADIUS. Quando um cliente é interceptado pelo Captive Portal, ele é
direcionado para uma página de autenticação no navegador.
Por meio do ambiente de testes foi identificado que a solução do serviço de
Captive Portal do pfSense obteve êxito no seu objetivo, auxiliando assim no
gerenciamento da rede. A solução trouxe um maior controle no gerenciamento dos
usuários que desejam utilizar os recursos da rede e sendo possível também por meio
de logs, ter o conhecimento de quando os usuários iniciaram uma conexão, uma
tentativa frustrada de conexão e a sua saída. Outro benefício foi a possibilidade de
uma maior integração de dados, porque foi utilizado credenciais providas por um
servidor RADIUS, possibilitando assim que credenciais utilizadas em outros
sistemas possam ser utilizados para o acesso à rede sem fio.
11
INTRODUÇÃO
A Rede Nacional de Ensino e Pesquisa (RNP) é uma instituição que provê
integração global e a colaboração com base em tecnologias de informação e
comunicação, com objetivo de gerar conhecimento e o aprimoramento da educação e
pesquisa.
Foi identificado, no Ponto de presença da RNP em Mato Grosso (PoP-MT)
que possui uma rede sem fio para acesso à Internet, a necessita de um melhor
gerenciamento do acesso a rede sem fio no padrão WiFi, como por exemplo, a
necessidade de liberar acesso por um determinado período à um usuário.
Com a estrutura atual, esse recurso não seria possível, devido ao modo como
o acesso é liberado, por meio de uma senha única para todos.
Devido a essa deficiência, foi levantada a possibilidade de estudo de uma
solução para ter maior controle sobre a rede por meio de um usuário e senha
individual para os clientes que tentarem acessar a rede. E para que seja possível a
resolução desta necessidade, foi considerado a utilização da solução captive portal
que torna possível um usuário se identificar antes de acessar a rede.
O objetivo geral deste trabalho é a implantação da solução captive portal, que
auxiliará na gerencia e no controle de acesso às redes sem fio no padrão WiFi (IEEE
802.11) do PoP-MT, utilizando para isso uma autenticação de usuários e senhas
individuais que permite disponibilizar o acesso com tempo ilimitado ou limitado
dependendo da situação. Buscando assim um melhor gerenciamento do acesso à
rede, além de ter maior controle em saber quem está se conectando à rede.
Os objetivos específicos deste trabalho consistem em:
- Investigar as soluções de autenticação baseadas em RADIUS;
- Definir a estrutura e componentes necessários para a sua implantação;
- Instalar a solução em um cenário de teste;
- Validar e homologar o sistema de autenticação.
A solução utilizada será o captive portal do PFSense que irá funcionar como
um meio de autenticar os usuários utilizando um banco de dados RADIUS o qual
pode ou não realizar consultas em outros bancos de dados como por exemplo em um
banco de dados relacional ou o LDAP, tudo isso para que seja possível ter uma maior
integração dos dados.
12
Para esse trabalho, o primeiro capítulo aborda uma revisão de literatura para
auxiliar no entendimento, focando nos conceitos de: redes de computadores, TCP/IP,
alguns tipos de firewalls e captive portal. No segundo capítulo foi abordado os
materiais, as técnicas e os métodos utilizados para a resolução do problema como a
utilização a configuração dos equipamentos e cenários para testes. O quarto capítulo
apresentam os resultados, como as telas da implantação do sistema e logs,
apresentando seu funcionamento. No penúltimo capítulo aborda as dificuldades
encontradas no desenvolvimento do trabalho. E por fim, a conclusão que apresenta
um fechamento das atividades desse trabalho.
13
1. REVISÃO DE LITERATURA
1.1 Redes de computadores
Devido ao crescimento da tecnologia nos dias de hoje, é possível notar um
grande crescimento de dispositivos conectados à rede mundial de computadores
(KUROSE, 2010). Como por exemplo, telefones celulares e tabletes com diversos
tipos de aplicações os quais estão sempre conectados. E também com a chegada da
Internet das coisas que traz o objetivo de conectar à rede os objetos do dia a dia
como por exemplo controlar o funcionamento de um ar condicionado a partir do
celular.
Segundo KUROSE (2010), a internet hoje está acessível em grande parte das
residências e empresas, ela é formada por diversas redes, sendo elas privadas e
públicas, ela também está ligada à tecnologias de redes sem fio, como as redes de
fibra ótica e eletrônicas. Ela é composta também por um conjunto de protocolos
(TCP/IP) para auxiliar na comunicação entre os dispositivos dessas redes, serviços
importantes como a World Wide Web (WWW), correio eletrônico (e-mails), redes
ponto a ponto e uma grande quantidade diversificada de recursos e conteúdos
disponibilizados mundialmente. Então a internet tornou-se algo indispensável e
essencial para todos os tipos de usuários, tendo como objetivo, compartilhar
informações e conectar usuários de toda a parte do mundo.
1.1.1 Modelo OSI
Segundo Tanenbaum (2003), modelo OSI é baseado é baseado na proposta da
ISO (International Standards Organization) com o objetivo para a padronização
internacional dos protocolos associados nas camadas. O Modelo de Referência ISO
OSI (Open Systems interconnection), trata da interconexão de sistemas abertos. É
importante observar que o modelo de referência OSI não é uma arquitetura de rede,
assim não sendo especificados serviços e protocolos que devem ser utilizados em
cada camada. Na Figura 1 é mostrado o modelo de referência OSI.
14
Figura 1: Modelo de referência OSI (Tanenbaum 2003)
E o modelo OSI é composto por sete camadas:
1. A camada física
É responsável pela transmissão dos bits através de um canal de comunicação,
e é preciso ter uma garantia de que quando for enviado um bit 1 para uma máquina, a
mesma venha a receber este bit 1 e não um bit 0. Nesta camada também é definido as
voltagens para representar um bit 1 e 0, se o fluxo dos bits será apenas em um
sentido ou simultâneo, a maneira como a conexão é iniciada e terminada quando
tiver encerrado a transmissão e também a quantidade de pinos que terá no conector e
a finalidade para cada um deles.
2. Camada de enlace de dados
A função desta camada é tornar o canal de transmissão livre de erros não
detectados para a camada de rede. E para esta função ser executada, o transmissor
divide os dados de entrada em quadros de dados e transmite sequencialmente. E se os
dados estiverem corretos o receptor confirma e envia de volta um quadro de
confirmação.
3. Camada de rede
15
Nessa camada é onde fica o controle de operação de sub-rede. Esta camada
determina também a maneira como os pacotes serão roteados da origem até o
destino, podendo ser rotas estáticas que dificilmente são alteradas, e dinâmicas que
podem alterar com frequência com o objetivo de distribuir os pacotes para balancear
a carga atual da rede.
4. Camada de transporte
Ela é responsável por receber os dados da camada acima dela, dividi-los em
partes menores caso precise e enviá-los a camada de rede e assegurar que os
fragmentos cheguem corretos ao outro lado. Também com o objetivo de isolar das
camadas superiores, as mudanças de tecnologias de hardware.
Ela também tem o objetivo de determinar o tipo de serviço que deve ser
provido para a camada de sessão. Além do serviço mais comum dessa camada que
permite entregar mensagens ao destino sem erros, essa camada também possui outros
serviços possíveis como a de mensagens isoladas sem garantia relativa à ordem de
entrega e à distribuição de mensagens para vários destinos. Então, uma característica
dessa camada é que ela é uma camada fim a fim, ligando a origem e o destino, como
por exemplo, quando um programa de um computador de origem mantém uma
conversação com um programa semelhante no computador de destino.
5. Camada de sessão
Esta camada permite que duas máquinas estabeleçam sessão de comunicação
com o objetivo de oferecer serviços, um deles é o controle de diálogo (O qual
controla quem deve transmitir primeiro), o gerenciamento de símbolos (Que impede
que ambos os lados execute uma operação crítica ao mesmo tempo) e a sincronização
(que efetua verificações em transmissões longas para garantir a continuidade das
transmissões caso haja falhas).
6. Camada de apresentação
Na camada de apresentação diferente das camadas mais baixas que se
preocupam com a movimentação de bits, se preocupa com a sintaxe e à semântica
das informações transmitidas. Para que a comunicação entre computadores com
diferentes tipos de dados seja possível, a estrutura dos dados pode ser definida de um
16
jeito abstrato associando a uma codificação padrão para ser usada durante a conexão.
Então esta camada é responsável por gerenciar essas estruturas de dados abstratas.
7. Camada de aplicação
A camada de aplicação tem o objetivo de prover protocolos necessários aos
usuários. Como por exemplo, o HTTP (HyperText Transfer Protocol), que é a base
do World Wide Web (WWW). Quando um navegador deseja uma página de web, o
navegador envia a solicitação para o servidor através do protocolo HTTP e então o
servidor retorna a página para o navegador.
O principal objetivo do modelo de referência OSI segundo Tanenbaum
(2003), é que cada camada é responsável por um determinado processo e só se
comunica com a camada imediatamente acima ou abaixo. Quando um computador
está enviando algum dado para outro computador, o dado é recebido pela camada
superior e então adicionado informações de controle e então passado para a camada
inferior, e acontece o contrário quando um computador esteja recebendo um dado,
quando uma camada recebe um dado, ela processa as informações de controle que a
camada é responsável, remove-os e então passa para a camada imediatamente
superior. O modelo OSI é responsável por padronizar a ordem que os protocolos
trabalham, e o TCP/IP é um conjunto de protocolos de comunicação entre
computadores mais utilizados atualmente que será estudado a seguir.
1.1.2 TCP/IP
Segundo Tanenbaum (2003), o modelo de referência TCP/IP foi criado
através da necessidade de conectar diversas redes de um jeito uniforme, o TCP/IP
pode ser visto como um modelo de camadas (OSI) onde cada camada tem sua tarefa
específica fornecendo um conjunto de tarefas para a camada imediatamente acima ou
abaixo. O protocolo TCP/IP possui cinco camadas, a de Inter redes, transporte,
aplicação, host/rede.
Camada de Inter redes
Devido às necessidades, foi levantada a escolha de uma rede de comutação de
pacotes baseada em uma camada de interligação de redes, que interliga toda a
17
arquitetura. O objetivo desta camada é permitir que os hosts enviassem pacotes pelas
redes e garantir que eles trafeguem independentemente até o destino. Podendo até os
pacotes chegar ao destino em uma ordem diferente de quando foram enviados, sendo
assim as camadas superiores sendo obrigadas a organizá-los caso desejável.
A camada de Inter redes define o protocolo IP (Internet Protocol). O objetivo
desta camada é entregar pacotes IP onde sejam necessários. Nesta camada também
trata da questão de roteamento de pacotes com o objetivo de evitar
congestionamento. Assim sendo possível dizer que a função desta camada é parecida
com a função da camada de rede do OSI. A Figura 2 a seguir mostra a correlação
delas.
Figura 2: Modelo de referência TCP/IP
Camada de transporte
Segundo Tanenbaum (2003), a camada localizada acima da camada de Inter
redes é chamada de camada de transporte. Ela é responsável por permitir que as
partes pares do host de destino e de origem mantenham uma comunicação, como na
camada de transporte do modelo OSI. Nesta camada, dois protocolos fim a fim são
definidos. Um deles é o TCP (Transmission Control Protocol – protocolo de controle
de transmissão) que tem a característica de ser um protocolo orientado a conexões
confiáveis que permite a entrega dos bytes sem erros ao destinatário da Inter rede. O
protocolo TCP remove informações do fluxo de bytes e então passa para a camada de
18
baixo (Inter redes). E no destino, as mensagens recebidas do fluxo de saída são
montadas e enviadas para a camada imediatamente acima. Esse protocolo também é
responsável por cuidar do fluxo, impedindo que a rede seja sobrecarregada,
desacelerando a sua taxa de envio.
O outro protocolo é o UDP (User Datagram Protocol), que tem a
característica de não possuir conexões e “não confiável” pelo fato de não verificar se
os pacotes chegaram ao destino, e também não dando garantia de que os pacotes
chegarão em ordem.
O TCP e o UDP são usados para transmissão de aplicações em alto nível.
Sendo assim uma determinada aplicação em um endereço de rede é identificada por
um endereço de porta TCP ou UDP.
Camada host/rede
Logo abaixo da camada de Inter redes, encontra-se a camada de Host/rede,
que o modelo de referência OSI não especifica muito bem. Só é exigido que o host se
conecte à rede utilizando algum tipo de protocolo para que os pacotes IP sejam
enviados. Ou seja, esse protocolo não é especificado e depende de cada host e rede.
1.1.3 Radius
RADIUS (Remote Authentication Dial In User Service) segundo a RFC2865
é um protocolo de rede com o objetivo de prover uma forma centralizada a
autenticação, autorização e contabilização, assim gerenciando computadores que
desejam se conectar e utilizar determinado serviço de rede. Esse protocolo foi
desenvolvido pelo Livingston Enterprises, inc. Com o objetivo de prover um servidor
de autenticação de acesso que mais tarde foi padronizado pela IETF (Internet
Engineering Task Force).
Este protocolo é utilizado com maior frequência nas ISPs (Internet service
provider – Provedores de serviços de internet) e empresas para controlar o acesso à
internet, redes internas e serviços de e-mail integrados.
O protocolo RADIUS é do tipo cliente/servidor que está situado na camada
de aplicação e utiliza o protocolo UDP para ser transportado. Geralmente um
gateway que controla uma determinada rede possui um componente do cliente
RADIUS que controla o acesso a essa determinada rede, e esse componente
19
comunica com um servidor RADIUS que geralmente trabalha em back-end.
Geralmente esses servidores RADIUS são processos em background (segundo plano)
rodando em UNIX ou Microsoft Windows server.
A estrutura do pacote RADIUS é mostrada na Figura 4 e são transmitidos da
esquerda para a direita e composto por cinco campos Code, Identifier, Length,
Authenticator e Attributes.
Code (Código)
Esse campo possui um octeto e é responsável por identificar o tipo de
pacote RADIUS. E quando um pacote inválido é identificado, ele é
descartado.
Os tipos de códigos (decimal) são mostrados na Tabela 1.
1 Access-Request
2 Access-Accept
3 Access-Reject
4 Accounting-Request
5 Accounting-Response
11 Access-Challenge
12 Status-Server (experimental)
13 Status-Client (experimental)
255 Reserved
Tabela 1: Tipos de códigos do campo Code
Identifier (identificador)
Esse campo possui o tamanho de um octeto e auxilia na relação das
requisições e respostas. Sendo assim possível que o servidor RADIUS
detecte requisições repetidas de um cliente com um IP e porta UDP de
origem.
Length (comprimento)
Esse campo possui o tamanho de dois octetos e tem o objetivo de indicar
o tamanho do pacote incluindo o tamanho do Code, Identifier, lenght,
Authenticator e os campos de Attribute. E os atributos que chegarem na
recepção com tamanhos maiores que o definido em lenght são
20
obrigatoriamente tratados como padding (preenchimento) e ignorados. E
caso o tamanho do pacote seja menor que o indicado em lenght, esse
pacote é silenciosamente descartado. O tamanho máximo do lenght é de
4096 e o mínimo de 20.
Authenticator (autenticador)
Esse campo é composto por dezesseis octetos e os seus octetos mais
significantes são transmitidos primeiro. Esse valor é utilizado para
autenticar uma resposta do servidor RADIUS, e usado em um algoritmo
para esconder senhas.
Attributes (atributos)
Os atributos no RADIUS tem como objetivo transportar especificas
autenticações, autorizações e detalhes de configurações para uma
requisição e resposta. O fim da lista de atributos é identificado pelo
tamanho do lenght do pacote RADIUS. Esse pacote é apresentado na
Figura 3.
Figura 3: RADIUS Attributes (RFC2865)
O campo type, possui um octeto e as seguintes especificações:
1 User-Name
2 User-Password
3 CHAP-Password
4 NAS-IP-Address
5 NAS-Port
6 Service-Type
7 Framed-Protocol
8 Framed-IP-Address
9 Framed-IP-Netmask
10 Framed-Routing
11 Filter-Id
12 Framed-MTU
21
13 Framed-Compression
14 Login-IP-Host
15 Login-Service
16 Login-TCP-Port
17 (unassigned)
18 Reply-Message
19 Callback-Number
20 Callback-Id
21 (unassigned)
22 Framed-Route
23 Framed-IPX-Network
24 State
25 Class
26 Vendor-Specific
27 Session-Timeout
28 Idle-Timeout
29 Termination-Action
30 Called-Station-Id
31 Calling-Station-Id
32 NAS-Identifier
33 Proxy-State
34 Login-LAT-Service
35 Login-LAT-Node
36 Login-LAT-Group
37 Framed-AppleTalk-Link
38 Framed-AppleTalk-Network
39 Framed-AppleTalk-Zone
40-59 (reserved for accounting)
60 CHAP-Challenge
61 NAS-Port-Type
62 Port-Limit
63 Login-LAT-Port
22
O campo Lenght, possui um octeto e inclui o tamanho do Attribute,
incluindo o Type, Lenght e valores dos campos, e caso um Attribute é
recebido em um Access-Request.
O campo Value, possui zero ou mais octetos e contem diversas
informações específicas para o Attribute. E o formato e tamanho do
campo Value é determinado pelos campos Type e Lenght.
Figura 4: Estrutura do pacote do RADIUS (RFC2865)
Autenticação e autorização
Para que uma máquina possa ter acesso a uma determinada rede utilizando
suas credenciais, ela precisa enviar a solicitação para uma Network Access Server
(NAS). Essas credenciais são enviadas para o NAS por meio do protocolo da camada
de link, um exemplo seria o Point-to-Point Protocol (PPP) utilizado na DSL (Digital
Subscriber Line) que é comum encontrar nas Internet residenciais. Após a máquina
enviar as credenciais para o NAS, o NAS envia uma mensagem de RADIUS com um
Access-Request para o servidor de RADIUS requisitando autorização de acesso
através do protocolo RADIUS.
Essas requisições geralmente têm um formado de usuário e senha ou algum
certificado seguro provido pelo usuário. Algumas vezes essas requisições podem
conter algumas informações adicionais que o NAS conhece como, por exemplo,
23
número de telefone ou algum endereço de rede. Os servidores RADIUS verificam as
informações dos usuários em bancos de dados armazenados localmente. Também é
possível que busquem informações de credenciais de usuários em fontes externas
como em bancos SQL, Kerberos, LDAP ou servidores Active Directory.
O servidor de RADIUS após receber uma requisição de Access-Request
retorna três respostas para o NAS como mostrado na Figura 5, o primeiro é o Access-
Reject, Access-Challenge e o Access-Accept:
Access-Reject – Responsável por rejeitar o acesso do cliente a todos os
recursos da rede.
Access-Challenge – Quando o servidor RADIUS solicita informações
adicionais aos usuários como, por exemplo, uma segunda senha, token ou
PIN. Ele é mais utilizado quando há uma comunicação com autenticação
mais complexa, onde é preciso estabelecer um túnel entre uma máquina
usuária e um servidor de RADIUS com objetivo de esconder do NAS as
credenciais de acesso.
Access-Accept – Então garantir o acesso ao usuário. Uma vez que um usuário
é autenticado, o servidor RADIUS irá frequentemente verificar se um
usuário é autorizado também para utilizar determinados serviços de rede,
como por exemplo, um usuário que tenha permissão para utilizar a rede sem
fio da empresa, mas não ao serviço de Virtual private network (VPN).
Figura 5: Fluxo de autenticação e autorização Wikipédia (2016)
E em cada um desses três tipos de resposta do RADIUS, é possível ser
incluido um atributo na mensagem de resposta relatando a razão da rejeição de
acesso ou mensagem de boas vindas. Podendo assim o texto contido no atributo ser
apresentado ao usuário em uma página de web.
24
Atributos de autorização transmitidos para o NAS estipulam tipos de acessos
a ser garantidos. Por exemplo alguns tipos de autorização de atributos que podem ser
incluidos em um Access-Accept:
Específicos endereços de IP para ser associado a determinado usuário;
Um determinado IP deu um range de IP que um usário pode ter;
Um tempo máximo que um usuário pode permanecer conectado;
Parâmetros de Quality of Service (QoS);
Lista de acesso, prioridade em filas entre outras restrições de acesso;
Parâmetros de VLAN.
Quando um NAS é configurado para ser um cliente de RADIUS, os usuários
apresentam as informações ao NAS podendo ser por meio de uma tela de prompt
customizável, onde o usuários esperam inserir suas credenciais como usuário e
senha. Também podendo ser utilizando por meio do protocolo PPP e também através
de um captive portal que é o objetivo deste trabalho.
1.2 Firewall
Um firewall segundo Kurose (2010), é uma combinação entre hardware e
software que possibilita o isolamento de uma determinada rede das demais redes
externas, permitindo determinados pacotes passar e bloqueando outros. Um firewall
possibilita que o administrador de rede gerencie o acesso entre o mundo externo e a
rede protegida pelo firewall. O firewall possui três objetivos:
● O primeiro é que todo o tráfego que entra na rede e que sai da rede deve
passar pelo firewall.
● O segundo é que apenas um tráfego autorizado através de políticas de
segurança pode passar, tanto para a entrada quanto para a saída da rede.
● O terceiro é que o próprio firewall deve ser imune à penetrações pois ele
também está conectado à rede, e caso ele não esteja bem configurado, ele
pode comprometer a segurança desta rede, podendo até ser ainda mais
prejudicial do que não ter um firewall.
Uma das principais fornecedoras de firewall é a Cisco e a Check Point, mas
também é possível criar um firewall, no caso filtro de pacotes, através do sistema
25
operacional Linux utilizando tabelas IP o qual normalmente acompanha o sistema
operacional.
E segundo Kurose (2010), um firewall pode ser classificado em três
categorias, filtros de pacotes tradicionais, filtros de pacotes com controle de estado e
gateways de aplicação mostrado a seguir.
Filtros de pacote tradicionais, que tem o objetivo de receber todo o tráfego
que entra ou sai da rede interna, sendo nesse momento que ocorre a filtragem de
pacotes.
Nos filtros de pacote com controle de estado, o filtro de estado rastreia
todas as conexões TCP, e com base no conhecimento adquirido anteriormente desses
pacotes o filtro toma decisões sobre filtragem futuras.
Nos gateways de aplicação, eles se tornam servidores específicos de
aplicação, que todos os dados de aplicação tanto de entrada quanto de saída devem
passar por eles.
1.2.1 IPTABLES
O IPTABLES é uma ferramenta de interface do usuário com objetivo de
auxiliar na administração e configuração de Firewall e Network Address Translation
(NAT). Embora ele seja apenas uma ferramenta para configurar e administrar o
módulo Netfilter (Fornecedor de funções de firewall, NAT e log para Linux), ele é
frequentemente referenciado como sendo um conjunto completo de funcionalidades
do Netfilter. O IPTABLES é uma ferramenta que faz parte de boa parte das
distribuições Linux.
1.2.2 IPFW
O IPFW segundo o site oficial do FreeBSD, é um firewall de filtro de pacotes
escrito para o FreeBSD que suporta tanto o IPv4 quanto o IPv6. Sua autoria e
manutenção é realizada por membros voluntários do FreeBSD. O IPFW pode ser
usado tanto por um módulo de kernel carregável quanto em um kernel incorporado,
sendo mais indicada a utilização da primeira opção.
IPFW possui alguns componentes:
Processador de regras de firewall do kernel e sua integração com um
facilitador de contabilidade de pacotes;
26
Recurso de logs;
NAT;
Controlador de tráfegos Dummynet(4);
Ferramentas de forward;
Ferramentas para ponte;
Ferramenta de ipstealth.
Os comandos básicos para a utilização do IPFW são:
Visualizar regras – Para visualizar as regras ativas do firewall é preciso
utilizar o parâmetro show, por exemplo, ipfw show.
Adicionar regras – Para adicionar novas regras de bloqueio a um
determinado IP poderia ser utilizado um comando assim: ipfw add
numeroDaRegra deny all from any to ipDoUsuario.
Remover regras – basta utilizar o parâmetro delete seguido do número da
regra, por exemplo, ipfw delete numeroDaRegra.
O IPFW é essencial para este trabalho por ser criado para o FreeBSD que é
base para o pfSense que irá ser mencionado a seguir.
1.2.3 pfSense
O pfSense é um projeto open source licenciado sob BSD license, ele é um
firewall/roteador baseado no FreeBSD. Ele é geralmente instalado em uma máquina
física ou virtual com o objetivo de ser um firewall ou roteador dedicado para uma
rede, ele tem demonstrado confiabilidade e características que somente é encontrado
em firewalls comerciais caros. Ele pode ser configurado e atualizado por meio de
uma interface WEB, consequentemente não necessitando muito conhecimento em
FreeBSD para gerenciar o sistema.
O pfSense geralmente é implementado como firewall, roteador, ponto de
acesso para internet sem fio, servidor de DHCP, servidor de DNS e VPN endpoint. O
pfSense permite também que seja adicionado pacotes de terceiros através de seu
gerenciamento de pacotes, como por exemplo, Squid, agente de Zabbix, Snort, entre
outros.
Então para esse trabalho, o pfSense foi implementado como um Network
Access Server (NAS).
27
1.3 Captive portal
O Captive Portal segundo o Wikipedia (2016) é uma técnica com o objetivo
de interceptar usuários que tentam acessar a Internet ou uma rede específica de uma
maneira automatizada, por exemplo, ao conectar em uma rede e tentar acessar
alguma página na web, o usuário é interceptado e redirecionado para uma interface
WEB que pode solicitar ou não a autenticação do usuário para poder ter acesso.
Essa técnica, por exemplo no firewall pfSense, é oferecida como um serviço
que possibilita a interceptação de um usuário para realizar a autenticação, e também
possível definir alguns parâmetros como tempo de inatividade, possibilidade de
utilização de usuários RADIUS, vouchers, entre outros. Essa técnica de Captive
Portal também é encontrada em produtos de algumas empresas como a Mikrotik e
CheckPoint.
O captive portal pode ser utilizado tanto para redes sem fio quanto para redes
cabeadas, e tem sua maior utilização para pontos de acesso sem fio. É comum a
utilização desse tipo de serviço em hotéis, restaurantes, escolas, e empresas que
necessitem de controle de acesso à suas redes.
28
2. MATERIAS, TÉCNICAS E MÉTODOS
2.1 Local do experimento PoP-MT
O local do estágio foi realizado no PoP-MT da RNP localizado no datacenter
da Coordenação de redes e servidores da UFMT no bloco ICET/FAET da
Universidade Federal de Mato Grosso (UFMT).
2.2 Equipamentos utilizados
2.2.1 AP Wireless
Foi utilizado o AP Wireless DAP-2590 para conectar os aparelhos celulares e
todos aqueles equipamentos que tenham suporte a redes sem fio. Embora o Captive
Portal possa ser utilizado para redes com fio sem grandes alterações, no caso deste
trabalho utilizamos apenas para uma rede sem fio.
2.2.2 SERVIDOR
Foi utilizado o servidor Proliant 380P Gen 8 que contem 124GB de memória
RAM, processador Intel(R) Xeon(R) CPU E5-2670 (20M Cache, 2.60 GHz), e
capacidade de armazenamento de 2,45 TB. E que possui um sistema de virtualização
instalado, VMware ESXi, 5.5.0.
2.3 Cenários de Teste
Os testes foram realizados em uma rede sem fio do PoP-MT que é
frequentemente utilizada por dispositivos móveis dos funcionários e as vezes
notebooks.
29
Figura 6: Cenário de testes
A Figura 6 ilustra o cenário de testes para este trabalho, onde há uma máquina
virtual com o pfSense que é responsável por controlar os acessos, e essa máquina
também está conectada a um servidor de RADIUS já em produção, ou seja, a
máquina pfSense possui duas interfaces de rede, uma para receber o tráfego da rede
do AP, que é a interface LAN chamada de “em1”, e a outra direcionando para a
internet chamada de em0 (WAN). O AP Wireless terá como principal papel de ponte
de acesso para os clientes.
Por exemplo, no caso de um usuário desejar conectar à rede Wireless provida
pelo AP da instituição, o AP permite que este cliente acesse a rede e todo o tráfego é
encaminhado para o servidor com o pfSense que por meio do Captive Portal ele
encaminha as credenciais recebidas pelo usuário para o servidor RADIUS. Então o
servidor RADIUS autenticando essas credenciais, ele envia uma resposta para o
Captive Portal e caso o usuário tenha permissão para acessar a rede, ele libera o
acesso, caso contrário ele bloqueia o acesso a essa rede.
2.4 Configuração e Teste
Como este trabalho não tem como foco a configuração do RADIUS e nem a
sua administração, pois a instituição já possui um instalado e em funcionamento.
30
Então o foco maior do estágio será a configuração de ferramentas necessárias para o
consumo dessa base de dados para que haja uma maior integração e com um controle
maior sobre a rede.
2.4.1 Configuração da máquina virtual
Para a configuração da máquina virtual utilizamos o VMware vSphere
Hypervisor, que é responsável pela administração das máquinas virtuais que a
empresa possui. As configurações básicas para a instalação do servidor pfSense
serão:
Memória RAM: 2GB;
Processador: 2 core e 2 socket;
Armazenamento: 40GB;
2 interfaces de rede.
31
Na Figura 7 é mostrado a listagem das configurações da máquina virtual que
foi utilizada para a instalação do pfSense.
Figura 7: Configurações da máquina virtual
2.4.2 Instalação pfSense e configuração das interfaces
É importante notar que ao início da instalação, será exibida uma contagem
onde o usuário deverá pressionar a tecla enter para continuar, e na segunda contagem
será selecionado a opção “I”, para instalar o PFSense no HD, como mostrado na
Figura 8.
32
Figura 8: Imagem inicial da instalação
Na figura 9, irá apresentar uma tela em que será selecionada a opção “Accept
these Settings”.
Figura 9: Configuração do console
E na Figura 10 apenas selecionar a opção “Quick/Easy Install” para uma
instalação mais simples.
33
Figura 10: Tipo de instalação
Irá abrir outra tela após essa em que é preciso apenas confirmar a decisão do
tipo da instalação. E na próxima tela irá perguntar sobre custom kernel, que será
escolhido a opção “Standard Kernel”. E então o instalador irá pedir para remover o
disco e reiniciar a máquina, como mostrado na Figura 11.
Figura 11: Remover o disco e reiniciar a máquina
34
Após a instalação do PFSense, ele irá pedir para configurar VLANs, mostrado
na Figura 12, só que para esse trabalho, não será configurado, então selecionar a
opção “n”.
Figura 12: Configuração de VLANs
A próxima opção ele pede para escolher uma das interfaces para ser a WAN
mostrado na Figura 13, será selecionada a em0.
Figura 13: Configuração da interface WAN
35
Na Figura 14 o sistema irá solicitar para inserir uma interface para a LAN,
será escolhida a em1.
Figura 14: Configuração da interface LAN
E logo após, ele irá solicitar para inserir outra interface de rede, mas apenas
será pressionada a tecla enter para ir ao próximo passo. Então na Figura 15, ele irá
solicitar para confirmar a configuração, será pressionada a tecla “y” e enter para
finalizar.
36
Figura 15: Confirmação da configuração das interfaces
Após a configuração das interfaces, ele irá apresentar a tela principal
mostrada na Figura 16.
Figura 16: Tela principal do pfSense
37
Agora é preciso configurar as interfaces de rede, para isso será selecionada a
opção 2 (Set interface(s) IP Address). E no próximo passo mostrado na Figura 17, a
interface 1 será selecionada para configurar a interface WAN.
Figura 17: Configurar interface WAN
No próximo passo, irá ser perguntado se deseja obter o IP da WAN via
DHCP, nesse caso será optado por não. E então irá pedir um IP para essa interface,
será utilizado o IP: 192.168.0.2 e a máscara será a 255.255.255.0, ou seja, 24 bits. E
no próximo passo será inserido o gateway que é o 192.168.0.1 e que também é a
saída para a Internet, e então escolher a opção ‘n’ pois não será necessário configurar
o IPV6 para a interface. E no próxima passo perguntará sobre o IP para a Ipv6, e só
será pressionado enter.
E logo após isso, será perguntado se deseja converter o webConfigurator de
HTTPS para HTTP, a opção será não.
E então será preciso fazer uma configuração parecida para a interface em1
que é a LAN, só que não será utilizado o gateway, apenas será pressionado enter para
nenhum e o IP será 192.168.0.3. E então ele irá perguntar se deseja inserir um
endereço de IPv6, será apenas pressionado enter para não. E na próxima opção ele irá
perguntar se deseja ativar DHCP para a LAN, não para essa opção. Pois quem irá
gerenciar os IPs será o AP Wireless.
38
2.4.3 Configuração WEB do pfSense e Captive Portal
Então após completar a instalação, será continuada a configuração pelo
navegador, utilizando o IP 192.168.0.3 no navegador irá abrir a tela inicial do
pfSense. O login padrão é o “admin” e a senha é “pfsense”, logo após autenticar ele
irá iniciar uma tela de configuração (wizard), o que será feito agora é inserir o IP de
novo no navegador, pois não há necessidade de configura-lo pelo wizard.
Agora será inserido o DNS, na aba System e depois em General Setup, como
mostrado na Figura 18 abaixo.
Figura 18: Configuração DNS
E então inserir o DNS, podendo ser por exemplo o DNS do Google, mostrado
na Figura 19.
39
Figura 19: Campo para inserção do DNS
E agora será habilitado o serviço do Captive Portal no PFSense, para isso
será preciso ir na aba Services depois em Captive Portal, então adicionar uma nova
instancia de captive portal e escolher um nome para a zona e uma descrição, o
resultado disso é mostrado na Figura 20.
Figura 20: Criação de zonas
E no próxima passo é preciso clicar no ícone onde tem uma letra “E” para
configurar o serviço, mostrado na Figura 21. Após abrir a janela de configuração,
será preciso marcar a caixa “Enable Captive Portal”, e em interfaces, selecionar a
40
interface LAN que será utilizada para os clientes, então marcar a opção “Enable
logout popup window” com objetivo de habilitar a opção de desconectar, e em “After
authentication redirection URL” inserir logout.html para que todo usuário após
validar suas credenciais seja redirecionado para uma página com a opção para
desconectar.
Figura 21: Configuração do serviço de Captive Portal
Na Figura 22 mostra as configurações de autenticação, em Authentication
será utilizado o RADIUS Authentication, para autenticar os usuários por meio do
RADIUS.
41
Figura 22: Ativação da autenticação por RADIUS
E na Figura 23 é mostrado os campos em que será configurado o servidor
RADIUS, inserindo o IP, a porta e a Shared secret.
Figura 23: Configuração do RADIUS
O próximo passo foi o desenvolvimento de telas para os usuários efetuarem a
autenticação via WEB, no total foram três telas, uma para a autenticação, uma para
mensagem de erro caso o usuário inserir usuários inválidos e a última é a de
desconectar do sistema. Essas páginas foram enviadas ao servidor por meio de
campos disponibilizados pelo pfSense como mostrado na Figura 24.
42
Figura 24: Inserção de páginas personalizadas
As páginas foram desenvolvidas em HTML e com características responsivas
para que diminua problemas de compatibilidade com dispositivos móveis.
2.4.4 Configuração do AP Wireless
Para os testes o AP foi configurado em modo bridge e com o DHCP ativado
para distribuir IP do 192.168.0.100 até o 192.168.0.254, com o gateway 192.168.0.1
que é a interface LAN do servidor pfSense. Ou seja, o AP apenas irá prover IPs e
encaminhar todo o tráfego que receber para o gateway informado a ele, que é o
servidor pfSense.
2.4.5 Configuração de SSL no Captive Portal
Com o objetivo de assegurar a segurança e integridade das credenciais dos
usuários no momento da autenticação, foi configurado e ativado no Captive Portal
uma chave de certificação SSL (Secure Socket Layer) para que quando os usuários
insiram suas credenciais para autenticação, essa informação possa ser encaminhada
para o servidor de uma maneira criptografada.
Para essa configuração, será preciso ir em “System/Cert Manager”. Na Figura
25 é apresentado a tela de gerenciamento de autoridade de certificado, nessa tela será
preciso clicar em um “+” como mostrado na figura.
43
Figura 25: Gerenciamento de certificados
Logo após clicar no “+” para adicionar uma nova autoridade, selecione
“Create an internal Certificate Authority” e os demais campos podem ser inseridos
de acordo com as necessidades do usuário apresentado na Figura 26.
Figura 26: Criação de autoridade
Então agora é só criar um certificado clicando na aba “Certificates” e então
clicando no “+” como na Figura 27.
44
Figura 27: Criação de certificado
O próximo passo será a configuração do certificado, no campo “Certificate
authority” é preciso selecionar a autoridade anteriormente criada. Na Figura 28 é
apresentado a tela para essa configuração.
Figura 28: Configuração do certificado
45
Por fim, para ativar esse certificado no sistema, é preciso ir nas configurações
do Captive Portal e ativar a opção “HTTPS login”, inserir o IP da LAN no campo
“HTTPS server name” e selecionar o certificado no campo “SSL Certificate” como
mostrado na Figura 29.
Figura 29: Ativação do certificado no Captive Portal
46
3. RESULTADOS
3.1 Sistema em funcionamento
Na Figura 30 é mostrado a tela inicial que o Portal Captive apresenta aos
usuários após conectarem à rede sem fio da instituição. Há dois meios do Captive
Portal solicitar a autenticação do usuário, uma delas é que ao tentar acessar alguma
página na WEB, o Captive Portal ao identificar que o usuário não está autenticado,
redireciona para a página de autenticação, e a outra forma que é mais comum, é que
o Captive Portal solicita ao equipamento do cliente para realizar a autenticação
através do navegador.
Figura 30: Tela de autenticação de usuários
Na Figura 31 mostra a tela de erro caso um usuário insira credenciais
incorretas.
47
Figura 31: Tela de erro para credenciais inválidas
Então se um cliente inserir suas credenciais corretas, o sistema então irá
autorizar o cliente para utilizar a rede e redirecioná-lo para uma tela de boas-vindas e
com um botão para desconectar caso seja necessário. Tela de boas-vindas mostrada
na Figura 32.
Figura 32: Tela de boas-vindas com a opção de desconectar
Logo a seguir será apresentado o log de aceitação de conexões, o sistema
recusando um usuário que tenta obter acesso a rede e um usuário sendo desconectado
por inatividade que nesse caso está configurado para quinze minutos.
48
3.2 Sistema aceitando conexões
Na Figura 33 mostra as conexões aceitas por meio do servidor RADIUS
marcadas em vermelho “USER LOGIN” e logo após esse campo, o sistema informa o
usuário conectado e após as duas vírgulas, o IP fornecido ao usuário pelo AP
Wireless.
Figura 33: Sistema aceitando conexões
3.3 Recusando conexão
Na Figura 34 são exibidas as conexões sendo recusadas com o nome do
usuário e o IP que foi recebido pelo AP Wireless.
Figura 34: Sistema recusando conexões
49
E na Figura 35 são exibidas as conexões sendo expiradas devido ao tempo
limite de quinze minutos de inatividade.
Figura 35: Sistema desconectando usuários por inatividade
50
4. DIFICULDADES ENCONTRADAS
4.1 Desconectar usuários
Uma dificuldade encontrada no sistema utilizando o Captive Portal por meio
do pfSense é que houve a necessidade de um usuário desconectar desta rede, ou seja
quando um usuário conecta na rede, o sistema solicita o acesso, o usuário insere suas
credenciais e então se for aceito, o sistema deveria apresentar alguma forma para que
o usuário desconecte da rede caso ele necessite disso ou o caso dele estar utilizando
um computador que não fosse dele, por exemplo um computador público. Então foi
ativado a opção de pop-ups para desconectar do sistema, mas por meio dos testes
realizados com o pop-ups ativo, foi identificado que uma boa parte dos navegadores
possuem um bloqueio para pop-ups, dificultando assim que isso viesse a funcionar de
forma simples.
A solução encontrada para essa dificuldade foi a criação de uma página
customizada em HTML com um botão para desconectar do sistema como mostrado
na Figura 27. Então, após um usuário conectar-se na rede, o mesmo é redirecionado à
página para sair do sistema caso necessário.
4.2 Usuários temporários
Este trabalho também continha a ideia de poder ter usuários com acessos
limitados, ou seja, para que um usuário tivesse apenas um tempo limitado para
utilizar os serviços que a rede pudesse fornecer, e então ser interrompido o acesso
definitivamente, uma espécie de voucher.
Como o servidor de RADIUS já encontrava-se em funcionamento com todos
os usuários já criados e sendo administrado por outra equipe, não foi possível ter
acesso ao servidor RADIUS para a criação desses novos tipos de usuários e realizar
investigação das possibilidades de criação desse tipo de acessos no RADIUS não
seria viável.
Visto que por meio do Captive Portal isso poderia ser possível através da
criação de uma nova zona com autenticações em voucher para a mesma rede que a
51
zona com autenticação do RADIUS estava autenticando, mas isso tomaria um pouco
mais de tempo e investigações.
52
5. CONCLUSÕES
Por meio de pesquisas de soluções de Captive Portal com autenticações
baseadas em RADIUS, a solução do pfSense atendeu melhor as necessidades da
empresa e além de ser um software free, ele demostrou estabilidade e facilidade tanto
em configurações quanto na administração.
As configurações do servidor para o pfSense foi suficiente para a realização
dos testes, que se manteve estável durante todo o período de testes.
Os testes realizados com o Captive Portal instalado na máquina virtual e mais o AP
Wireless funcionou corretamente, fornecendo assim acesso à rede pelo Captive
Portal aos usuários da empresa.
Durante todo o período de testes, as autenticações dos usuários obteve êxito.
O tempo de inatividade para desconectar automaticamente um usuário também
funcionou corretamente, e a rejeição do acesso de um usuário que tenta acessar com
credenciais inválidas também foi bem sucedida.
Uma questão interessante para ser aplicada em novas pesquisas utilizando
essa solução de Captive Portal seria a possibilidade de utilização da autenticação de
usuários do sistema do pfSense e mais os usuários do RADIUS para poder criar
vouchers com acessos limitados aos clientes que não precisem ter acesso permanente
à rede, para que não seja necessário a solicitação de criação de usuários no RADIUS
por ser uma base de dados grande e muitas vezes de difícil acesso.
Então o objetivo desse trabalho para gerenciar as redes sem fio utilizando
Captive Portal do pfSense obteve êxito pois os usuários podem utilizar suas
credenciais que são utilizadas em outras aplicações, para acessar a rede sem fio,
obtendo assim uma maior integração dos dados e controle sobre a rede.
53
6. REFERÊNCIAS BIBLIOGRÁFICAS
Tanenbaum, A. S. (2003). Redes de Computadores - Quarta Edição. Amsterdan:
Campus.
Kurose e Ross. (2010). Redes de Computadores e a Internet: Uma abordagem
topdown. São Paulo: Pearson Addison Wesley.
Request for Comments (RFC); 2000. Remote Authentication Dial In User Service
(RADIUS), RFC 2865.
PfSense® Rubicon, Communications LCC. pfSense 2.1.5 RELEASE. Fonte:
https://www.pfsense.org/download/