Post on 10-Dec-2018
INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA
CATARINENSE – CAMPUS SOMBRIO
ÂNGELA DE LIMA MACHADO
AUTENTICAÇÃO CENTRALIZADA COM FREERADIUS EM INFRAESTRUTURA
DE REDES MESH
Sombrio (SC)
2013
ÂNGELA DE LIMA MACHADO
AUTENTICAÇÃO CENTRALIZADA COM FREERADIUS EM INFRAESTRUTURA DE
REDES MESH
Trabalho de conclusão de curso superior de Tecnologia em Redes de Computadores, apresentado como requisito para obtenção do título de Tecnólogo em Redes de Computadores no Instituto Federal de Educação, Ciência e Tecnologia Catarinense – Campus Sombrio.
Orientador (a): Prof. Me. Marco Antonio Silveira de Souza
Coorientador (a): Prof. Me. Gerson Luís de Luz
Sombrio (SC)
2013
ÂNGELA DE LIMA MACHADO
AUTENTICAÇÃO CENTRALIZADA COM FREERADIUS EM INFRAESTRUTURA DE
REDES MESH
Este trabalho de conclusão de curso Técnica -
Científica foi julgado adequado para obtenção do
título de Tecnólogo em Redes de Computadores e
aprovada pelo Curso Superior de Tecnologia em
Redes de Computadores do Instituto Federal de
Educação, Ciência e Tecnologia Catarinense –
Campus Sombrio.
Área de Concentração: Arquitetura de sistema de
Computação.
Sombrio, 18 de janeiro 2013.
Prof. Me. Marco Antônio Silveira de Souza
Instituto Federal Catarinense – Campus Sombrio
Orientador (a)
Prof. Joédio Borges Junior
Instituto -Federal Catarinense – Campus Sombrio
Membro
Profª. Me. Lucyene Lopes da Silva Todesco Nunes
Instituto Federal Catarinense – Campus Sombrio
Membro
DEDICATÓRIA
“Dedico esta monografia à minha mãe, Olga de Lima Machado, uma mulher
guerreira, um exemplo de perseverança, persistência, dedicação, amor e carinho.
Sempre me apoiou e incentivou em todas minhas conquistas, que se tornavam sua
também, isso tudo fez com que eu desenvolvesse e concluísse esse trabalho.”
AGRADECIMENTOS
Inicialmente agradeço a Deus, por ter me dado força e sabedoria para
desenvolver e concluir esta monografia.
Agradeço ao a meu namorado Jean Douglas Conte que muitas e muitas
vezes mostrou como sou capaz, me ensinou tantas coisas quanto um professor,
passando noites oferecendo companhia e estímulo.
Agradeço a dois amores incondicionais que tenho na vida, minhas filhas
Anthielli Machado Rodrigues e Andrielli Machado Rodrigues, que dias e noites
aguentaram minha ausência, minha falta de tempo muitas vezes realizando os
trabalhos escolares para poder dar o exemplo para elas.
Agradeço aos meus professores, Vanderlei Junior, Lucyene, Daniel, Jéferson,
Rosangela, Gilnei, Jackson, Alessandro, André, Maria Emília, Jéssica, Joédio, Luiz
Minussi e Luciana, por transformar minha vida acadêmica, cultural e profissional.
Agradeço ao meu orientador Marco Antonio Silveira de Souza, que me
escolheu e deixou com que eu o escolhesse, pela admiração que tenho e pela
grande e significante participação nessa monografia.
Agradeço ao meu coorientador Gerson Luís da Luz pela tempo prestado a
coorientação.
Agradeço aos meus colegas pelo incentivo e companheirismo.
Agradeço ao colega Aroni Silveira Dal Ponte pela grande generosidade em
emprestar os equipamentos para a realização dos testes.
Agradeço à professora Sandra Vieira, que fez com que eu me inscrevesse
nesse curso, me aconselhando e incentivando sempre.
Agradeço a Jairo de Borba e Derli Sant´Helena, por dedicar um pouco do seu
tempo para corrigir o texto da monografia.
E por fim, agradeço a todos da minha família e a todos do meu convívio, pela
compreensão de tanto esforço.
RESUMO
Com o crescimento das redes sem fio, surge a necessidade de buscar métodos e
topologias inovadoras para segurança das mesmas. Com esse crescimento surgiu a
rede sem fio Mesh, com muitas vantagens, mas trazendo consigo problemas de
segurança como o acesso não autorizado, o mal uso de rede para práticas ilegais e
acesso para causar danos a infraestrutura. No presente trabalho, foram realizados
uma pesquisa e testes de implementação em redes Mesh com autenticação no
servidor FreeRADIUS. Para isso foi criada uma rede Mesh com equipamentos
Mikrotik e instalado um servidor FreeRADIUS com banco de dados MySQL com o
intuito de realizar a autenticação do usuários Mesh. Os testes foram positivos na
autenticação dos usuários. O presente trabalho descreve o modo como foi feito todo
o processo e os equipamentos utilizados, demonstrando que o servidor FreeRADIUS
atende às necessidades do problema de segurança encontrado na infraestrutura da
rede sem fio Mesh.
Palavras-chave: Autenticação. Mesh. Mikrotik. FreeRADIUS.
ABSTRACT
With the growth of wireless networks, the need arises to seek innovative methods
and topologies for their safety. With this growth came the wireless Mesh network with
many advantages, but bringing security problems as unauthorized access, misuse of
network for illegal access and damage to infrastructure. In this work, we conducted a
survey and testing implementation Mesh networks with authentication on
FreeRADIUS server. To do this we created a mesh network with Mikrotik equipment
and installed FreeRADIUS server with MySQL database in order to perform
authentication of users Mesh. Tests were positive in authenticating users. This paper
describes how the whole process was done and the equipment used, demonstrating
that the FreeRADIUS server meets the needs of security issue found in network
infrastructure wireless Mesh.
Keywords: RADIUS. Authentication. Mesh. Mikrotik. FreeRADIUS.
LISTA DE ILUSTRAÇÃO
Figura 1 - Vantagens e desvantagens da rede Mesh ..................................... 17
Figura 2 - Modelo de uma Rede Mesh............................................................ 18
Figura 3 - Modelo Protocolo PAP ................................................................... 23
Figura 4 - Funcionamento CHAP .................................................................... 24
Figura 5 - Modelo da Rede ............................................................................. 31
Figura 6 - Modelo das autenticações .............................................................. 32
Figura 7 - Acessando o MySQL ...................................................................... 35
Figura 8 - Base de dados radius ..................................................................... 35
Figura 9 - Usuário e senha de teste ................................................................ 36
Figura 10 - Permissão ao usuário radius ........................................................ 36
Figura 11 - Configurando base de dado, senha e usuário .............................. 37
Figura 12 - Parar o serviço freeradius............................................................. 38
Figura 13 - Realizando teste ........................................................................... 39
Figura 14 - Adicionando um cliente ................................................................ 39
Figura 15 - Incluindo dicionário ....................................................................... 39
Figura 16 - RouterBoard Mikrotik 433, Cartão PCI RB R52Hn e antena ....... 34
Figura 17 - Winbox ......................................................................................... 40
Figura 18 - Mikrotik Mesh ............................................................................... 41
Figura 19 - Mikrotik Mesh Port ........................................................................ 41
Figura 20 - Wireless1 ...................................................................................... 42
Figura 21 - Wireless WDS .............................................................................. 42
Figura 22 - Adicionando IPs ............................................................................ 43
Figura 23 - Mikrotik DNS ................................................................................. 44
Figura 24 - Faixa de IPs "Pool" ....................................................................... 44
Figura 25 - Mikrotik DHCP .............................................................................. 45
Figura 26 - Servidor FreeRADIUS .................................................................. 46
Figura 27 - Mikrotik Hotspot ............................................................................ 46
Figura 28 - Mikrotik hotspot 2 ......................................................................... 47
LISTA DE ABREVIATURAS E SIGLAS
AAA Authentication, Authorization and Accounting
ACS Access Control Server
ASCII American Standard Code for Information Interchange
BGP Border Gateway Protocol
CHAP Challenge Handshake Authentication Protocol
DNS Domain Name System
EAP Extensible Authentication Protocol
GB Gigabyte
GPL General Public License
GNU General Public License
HD Hard Disk
HTTP Hypertext Transfer Protocol
HWMP Hybrid Wireless Mesh Protocol
IAS Internet Authentication Service
IEEE Institute of Electrical and Electronics Engineers
IP Intenet Protocol
ISP Internet Service Provider
LAN local area network
LDAP Lightweight Directory Access Protocol
MAC Media Access Control
MB Megabyte
MHZ megahertz
MPLS Multi Protocol Label Switching
NAS Network Access Server
OSPF Open Shortest Path First
PAP Password Authentication Protocol
PCI Peripheral Component Interconnect
PHP Personal Home Page
POE Power over Ethernet
POP Point of Presence
QoS Quality of Service
RAM Random Access Memory
RADIUS Remote Access Dial In User Service
RB RouterBoard
RFC Request for Comments
RIP Routing Information Protocol
SATA Serial Advanced Technology Attachment
SQL Structured Query Language
SSID Service Set IDentifier
TCP Transmission Control Protocol
UDP User Datagram Protocol
USB Universal Serial Bus
VPLS Virtual Private LAN Service
VPN Virtual Private LAN Service
WAN Wide Area Network
WDS Wireless Distribution System
SUMÁRIO
1 INTRODUÇÃO ..................................................................................... 13
2 OBJETIVOS ......................................................................................... 16
2.1 Objetivo Geral ..................................................................................... 16
2.2 Objetivos específicos ........................................................................ 16
3 FUNDAMENTAÇÃO TEÓRICA ........................................................... 17
3.1 Redes Mesh ........................................................................................ 17
3.2 Autenticação ....................................................................................... 19
3.2.1 Autenticação, Autorização e Contabilização (AAA) .............................. 20
3.2.2 Métodos de Autenticação ..................................................................... 21
3.2.3 Exemplos de protocolos de autenticação ............................................. 22
3.2.4 Ferramentas de autenticação ............................................................... 25
3.3 FreeRadius .......................................................................................... 26
3.3.1 Histórico ............................................................................................... 27
3.3.2 Funcionamento do FreeRADIUS .......................................................... 28
3.3.3 Vantagens do FreeRadius .................................................................... 29
4 MATERIAIS E MÉTODOS ................................................................... 30
4.1 Modelo proposto ................................................................................ 30
4.2 Instalação e configuração dos softwares ........................................ 34
4.2.1 FreeRADIUS e MySQL ........................................................................ 34
4.3 Equipamentos RouterBoard (Mikrotik) ............................................. 32
4.3.1 Protocolo HWMP+ ................................................................................ 33
4.3.2 Equipamento Mikrotik utilizado ............................................................. 33
4.3.3 Configuração Mikrotik ........................................................................... 40
4.4 DaloRADIUS ........................................................................................ 47
4.4.1 Instalando DaloRADIUS ....................................................................... 47
5 RESULTADOS E DISCUSSÃO ........................................................... 49
5.1 Trabalhos futuros ............................................................................... 50
5.2 Dificuldades encontradas .................................................................. 51
6 CONSIDERAÇÕES FINAIS ................................................................. 50
REFERÊNCIA ................................................................................................ 52
APÊNDICES ................................................................................................... 55
13
1 INTRODUÇÃO
As redes cabeadas vêm sendo menos utilizadas devido a vários fatores, tais
como o custo e a dificuldade de implantação. Com isso, a rede sem fio tem crescido
significativamente. Uma rede sem fio (wireless) é uma tecnologia que interliga vários
equipamentos fixos ou móveis, que se comunicam pelo ar, através de ondas de
rádio, essas redes vem sendo a solução para muitos projetos que encontram na
infraestrutura problemas por não poder implantar a rede cabeada. A tecnologia
utilizada na construção de redes sem fio é atualmente a família de protocolos
802.11.
Existia um grande problema nas comunicações sem fio, que era a falta de
padronização entre os fabricantes, a questão do problema não é a faixa de
frequência usada, mas sim como os dados eram transmitidos, para resolver esse
problema, o IEEE (Institute of Electrical and Electronics Engineers) lançou o padrão
802.11, resolvendo o problema quando definiu-se a camada de controle de acesso
ao meio (MAC) para transmissões sem fio. TORRES. 2001. p. 263).
O termo Wireless (sem fio) pode ser qualquer tipo de conexão para
transmissão de informações sem o uso de fios ou cabos (POZZEBON, 2012).
As redes sem fios têm muitas utilidades. Um uso comum é o escritório portátil. Quando viajam, muitas vezes as pessoas querem usar seu equipamento eletrônico portátil para enviar e receber ligações telefônicas, fax e correio eletrônico, navegar pela Web, acessar arquivos remotos e se conectar à máquinas distantes. (TANENBAUM, 2003, p. 24).
Dentre os modelos e topologias de rede sem fio, uma que se destaca é a rede
Mesh. Segundo Abelém (2007 p. 60) as redes Mesh evoluíram a partir das redes
móveis ad-hoc (Mobile Ad-hoc NETworks, ou MANETs), que oferecem muitas
vantagens (baixo custo; Fácil implantação; tolerância a falhas...) que destacam esta
tecnologia aguçando a implantação da mesma em projetos inovadores.
Segundo Abelém et al. (2007) as redes Mesh (redes em malha sem fio) são
redes de topologia dinâmica, pois seu crescimento varia de acordo com a
quantidade de equipamentos inseridos na estrutura. Este modelo de rede é
constituído por nós cuja comunicação é feita através de variantes dos padrões IEEE
802.11 e 802.16. As redes Mesh são compostas por roteadores sem fio que criam
uma infraestrutura de rede em malha, se conectando uns aos outros para rotear os
14
pacotes, que por sua vez chegam aos clientes conectados nos mais diversos pontos
da rede. Existe a perspectiva de que as redes sem fio do futuro sejam compostas
por este modelo, sendo que alguns padrões de rede estão se adaptando a esta
realidade.
Os pesquisadores começaram a rever o design do protocolo de redes sem fio
existentes, especialmente de Redes IEEE 802.11, redes ad hoc e redes de sensores
sem fio, a partir da perspectiva de Redes Mesh. Grupos para padrões industriais
também estão trabalhando ativamente em novas especificações para redes Mesh.
Por exemplo, a IEEE 802.11 [64,74], IEEE 802,15 [65,79], e IEEE 802.16 [66111135]
todos tem estabelecidos subgrupos de trabalho para se concentrar em novos
padrões para redes Mesh.
Devido ao avanço das redes wireless, que fornece acesso à rede de dados
sem a necessidade da estrutura da rede cabeada, o problema da segurança começa
a avançar também. Com todo esse crescimento as redes sem fio encontram um
problema, pois são alvos fáceis para invasores (crackers), pessoas com intenção de
obter informações sigilosas para fins criminosos ou até mesmo para se
autopromoverem. Segundo os autores Costa & Martins (2012) o cracker é um
indivíduo que comete crime, por possuir um vasto conhecimento na área, encontra
falhas no sistema de segurança e invade de forma ilegal ou sem ética, para apenas
deixar sua marca, para roubar e praticar crimes virtuais e até mesmo destruir um
sistema. Para Assunção (2002 p.9), este problema preocupa muito os usuários e
administradores de redes sem fio.
Alguns destes indivíduos utilizam de seus conhecimentos para se conectar à
rede e roubar informações que deveriam ser sigilosas ou até mesmo prejudicar a
rede causando lentidão e danos que em certas ocasiões são irreversíveis. Os
profissionais na área de redes buscam novos métodos na segurança das redes sem
fio, que por sua vez são facilmente interceptáveis. A autenticação dos usuários é
uma forma a mais de proteger a rede, permitindo a associação somente de usuários
cadastrados pelo administrador.
As redes Mesh por sua vez, também sofrem com a falta de segurança. O
problema de segurança pode ser amenizado buscando meios que possam
assegurar as informações dos usuários cadastrados na rede e prover autenticidade
na comunicação. A autenticação dos usuários através de um servidor FreeRADIUS
foi a forma escolhida para assegurar a autenticidade e segurança da rede Mesh
15
neste trabalho. O protocolo RADIUS é largamente utilizado para controlar acesso a
recursos de rede, no teste realizado com a infraestrutura já implantada respondeu
positivamente ao objetivo de prover controle de acesso à internet em uma rede sem
fio. (KUTEN & NADOLNY, 2010)
A escolha foi baseada neste modelo por ser um serviço de redes confiável e
prover autenticação, autorização e contabilização dos usuários devidamente
cadastrados para o acesso à internet.
O trabalho encontra-se estruturado da seguinte forma: o capítulo 1 traz a
introdução, com uma breve história do assunto abordado, o capítulo 2 traz os
objetivos que se deseja alcançar, o capítulo 3 traz a fundamentação teórica, material
pesquisado para fundamentar o presente trabalho, o capítulo 4 apresenta os
métodos e materiais usados no projeto, o capítulo 5 traz os resultados e discussão
obtidos na implantação, o capitulo 6 apresenta os resultados finais do projeto nas
considerações finais.
16
2 OBJETIVOS
2.1 Objetivo Geral
Este trabalho tem por objetivo implementar um servidor RADIUS para realizar
autenticação em rede sem fio Mesh.
2.2 Objetivos específicos
Pesquisar o protocolo RADIUS e a ferramenta FreeRADIUS
Estudar os principais protocolos de autenticação do FreeRADIUS
Estudar as redes Mesh
Instalar e configurar o servidor FreeRADIUS
Implementar uma rede sem fio Mesh
Integrar a autenticação da rede sem fio Mesh no servidor FreeRADIUS
Testar e documentar o ambiente desenvolvido
17
3 FUNDAMENTAÇÃO TEÓRICA
Neste item descreve-se a fundamentação teórica da rede Mesh, autenticação
e FreeRADIUS.
3.1 Redes Mesh
A rede Mesh (rede em malha sem fio) é uma nova topologia de rede sem fio e
um adicional do protocolo padrão 802.11. Como na maioria das redes Wireless, a
rede sem fio Mesh utiliza uma variação dos padrões WiFi, que são: 802.11a,
802.11b, 802.11g e 802.11n. Segundo Abelém (2007, p. 2), ”Rede Mesh:
Mobilidade, Qualidade de serviço e Comunicação em grupo.”.
Esta topologia é formada por equipamentos interligados (nós) que constroem
uma malha tornando a se comportar como uma grande rede, possibilitando que os
clientes se conectem a qualquer um destes equipamentos. Os nós replicam o sinal
entre eles, desta forma a mensagem encontra o melhor caminho até o nó central, o
qual estará ligado à WAN. Na rede Mesh, diferente das redes IPs onde cada nó
encontra-se em uma estrutura hierárquica, todos os nós encontram-se no mesmo
nível de igualdade. Segundo Abelém (2007, p. 62) ”[...] Em redes Mesh, nós móveis
conectam-se a redes IP através do gateway, que fazem a ligação entre as sub-redes
sem e com fio.”. Desta forma a circulação da comunicação se dá através de saltos,
ligando um ponto de acesso ao outro até que a mensagem chegue ao destino ou ao
gateway. A figura a 1 mostra um modelo de como seria um rede sem fio Mesh:
Figura 1 - Vantagens e desvantagens da rede Mesh
Rede Mesh
Vantagens Desvantagens
Baixo Custo Falta de padronização
Fácil implantação Falta de segurança
Tolerância a falhas Interferência
Escalável Baixo Throughput
Fonte: O autor, 2013.
18
Figura 2 - Modelo de uma Rede Mesh
Fonte: REDES Mesh
As redes Mesh possuem baixo custo, diferente da rede cabeada. Por possuir
poucos cabos o custo e o tempo de instalação são consideravelmente menores em
comparação com as demais topologias, indiferente de tamanhos variáveis de
cobertura. Segundo Saade et al (2007, p. 9) “Uma das vantagens da solução Rede
Mesh é o custo baixo dos equipamentos necessários para montar a malha sem fio.”.
Quanto à velocidade, quanto mais equipamentos (nós) forem instalados, a
largura de banda a rede sem fio Mesh mais rápida será e por consequência, mais
opções de caminhos disponíveis para comunicação os equipamentos da rede sem
fio Mesh terão.
Por ser uma rede sem fio e de fácil instalação, são ideais para eventos com
ambiente aberto que não possuem muitas paredes como shows, podendo ser
instalada e desinstalada rapidamente. Outros locais que são aconselháveis:
depósitos, locais de transporte, parques, campi universitários, escolas, aeroportos,
rodoviárias e cidades.
Uma vantagem é a autoconfiguração. Cada novo nó existente na rede se
configura automaticamente na rede, sem a necessidade de um administrador de
redes no local, basta instalar um equipamento dentro do alcance da malha, tendo o
alcance do sinal dos demais nós, que o mesmo se configura automaticamente.
Se um dos equipamentos perder o sinal de outro por quaisquer que sejam os
motivos, a rede automaticamente encontrará o caminho mais rápido e confiável para
enviar os dados por outro equipamento da malha, fazendo uma autorreparação e
19
convergindo a rede sem que haja a emergência de reparar o equipamento que se
encontra danificado no mesmo instante.
Uma rede local sem fio Mesh possui uma velocidade maior, pois os pacotes
são encaminhados diretamente ao destino, sem a necessidade de passar por um
servidor central. Na rede sem fio Mesh os equipamentos são de fácil instalação e
desinstalação, tornando a rede adaptável e expansiva na medida em que for
necessário aumentar ou diminuir a cobertura de sinal.
As redes Mesh sem fio representam uma ótima solução para os novos
projetos de redes. Mesmo assim, na rede Mesh encontra-se uma fragilidade que é a
segurança. A autenticação dos usuários na rede é um método que garante uma
maior segurança.
3.2 Autenticação
A autenticação consiste em um cadastro prévio do equipamento ou usuário
que permite acesso à rede estabelecendo ou não uma conexão, caso a autenticação
seja positiva a conexão é aberta, caso seja negativa o acesso será negado e
rotulado como impostor. Segundo Rufino (2007) ”Essa autenticação é feita antes de
qualquer outro serviço de rede estar disponível ao usuário requerente.”.
Há softwares de serviço pagos e gratuitos para autenticação, desta forma
existe a opção de investir em software proprietário ou gratuito. Instalando um
servidor de autenticação gratuito a despesa consiste em hardware. O que leva a
instalação de um servidor de autenticação gratuito em uma rede sem fio Mesh são
suas vantagens. Algumas das vantagens são: baixo custo, manutenção facilitada,
suporte ativo e segurança.
A implementação do software gratuito em suma é de fácil instalação, pois na
maioria das vezes existem tutoriais prontos, criados pela comunidade e disponíveis
em sites especializados na ferramenta, havendo somente a necessidade de
conhecimento do sistema e configuração dos métodos de autenticação,
recolhimento dos dados e criptografia.
Existem comunidades que desenvolvem e solucionam os problemas de
softwares gratuitos; as mesmas também oferecem suporte sempre que é solicitado
pelos usuários. A manutenção do servidor de autenticação garante a atualização do
20
sistema, o software necessita de atualização periódica, garantindo a segurança e o
bom funcionamento do servidor.
Como a autorização de acesso é concedida somente aos usuários existentes
no banco de dados, este método torna-se conveniente e simples. A autenticação
resolve um dos maiores problemas das redes sem fio Mesh que é a permissão do
acesso à rede em qualquer ponto da malha somente pelos usuários previamente
cadastrados no servidor de autenticação. Segundo o autor Filagrana (2002) o
aumento do expressivo em segurança de computadores significa que apenas
pessoas devidamente autorizadas terão o acesso às informações armazenadas nos
sistemas. A autenticação de usuários neste caso de implantação de uma rede sem
fio Mesh é de suma importância.
3.2.1 Autenticação, Autorização e Contabilização (AAA)
Para garantir o controle de acesso a rede, a RFC 2903 especifica três
modelos básicos de segurança, são estes Autenticação, Autorização e
Contabilização. Estes modelos são comumente descritos como AAA. (WALT, 2011
p. 8)
a) Autenticação
Autenticação é o método pelo qual o cliente confirma sua identidade para
acesso a rede. Segundo Pereira (2009, p. 2) “Autenticação: As credenciais do
usuário são comparadas com as existentes no banco de dados”. Este processo
confirma se as credenciais fornecidas pelo usuário são válidas. As principais formas
utilizadas para autenticação são o usuário e a senha, certificados e tokens. Caso o
usuário, senha, token ou certificados estejam incorretos a autenticação não será
confirmada. Caso contrário, uma sessão para o usuário é aberta com um tempo de
utilização limitado da rede. (WALT, 2011 p. 8).
b) Autorização
Autorização é o meio pelo qual é feito o controle do uso dos recursos da rede.
Segundo o autor Pereira (2009 p. 2) Autorização: O acesso ao recurso é aceito ou
recusado. Este controle é realizado através da atribuição de privilégios e restrições
21
aos usuários da rede. Através da autorização é possível limitar o numero de seções
de um usuário, restringir o trafego da rede e até mesmo limitar o acesso para um
determinado tempo. (WALT, 2011 p. 8).
c) Contabilização
A contabilização é o meio pelo qual se mensura a utilização dos recursos da
rede. Através das informações obtidas pode se fazer o gerenciamento, planejamento
e cobrança da utilização dos recursos da rede. Estas informações envolvem dados
como a identificação do usuário, recursos utilizados por este usuário e inicio e
término da utilização. (WALT, 2011 p. 8).
3.2.2 Métodos de Autenticação
Cada método de autenticação define os requisitos acerca de como as
identidades são verificadas nas comunicações às quais a regra associada se aplica,
existem basicamente quatro modos de autenticação: algo que o usuário é, algo que
o usuário tem e algo que o usuário sabe.
a) Biometria
Algo que o usuário é (biometria): segundo Filagrana (2002) “Este método e
baseado nas características físicas dos indivíduos.” Nessa técnica são usados meios
biométricos, como impressão digital, padrão facial, padrão da retina, padrão da voz,
reconhecimento de assinatura e ritmo da digitação, geometria da mão e íris. A
vantagem desta técnica é que é difícil de ser burlada, exigindo que o indivíduo esteja
fisicamente presente no ato da autenticação. O mesmo autor também cita o
desconforto, a falta de padrões e o custo dos equipamentos extras envolvidos como
uma desvantagem ao se utilizar alguns dispositivos biométricos.
b) Método por propriedade
22
Algo que o usuário tem (propriedade): usam-se objetos físicos que o usuário
possui, como cartão de banco, cartões de identificações, smart cards e tokens USB.
Segundo Filagrana (2002) “Sua maior desvantagem é a possível perda dos objetos
físicos e o custo adicional do hardware”.
c) Método através de senha
Algo que o usuário sabe: o autor Rainer (2012, p. 89) cita esta técnica,
demonstrando que usuário é autenticado através de senhas e/ou frases de acesso.
Contudo as senhas devem possuir métodos de segurança para não ocasionar
alguns problemas de organização em todo o sistema. Uma senha segura e eficaz
deve possuir as seguintes características: ser difícil de descobrir, ser longa, ter
vários caracteres incluindo letras maiúsculas, minúsculas, números e caracteres
especiais, não possuir palavras facilmente reconhecíveis, não conter datas,
documentos ou números que sejam conhecidos e se possível não conter o nome de
coisas ou pessoas.
3.2.3 Exemplos de protocolos de autenticação
O protocolo RADIUS permite a utilização e a implementação de diferentes
protocolos para autenticação, como PAP, CHAP e EAP.
a) PAP
O protocolo PAP (Password Authentication Protocol) foi um dos primeiros
protocolos utilizados para o fornecimento de nome de um usuário e senha ao
servidor. Ele utiliza autenticação simples, através de texto sem formatação (sem
Criptografia). O autor Campos et al. (2005, p. 6) afirma que o protocolo PAP Ӄ um
protocolo de autenticação de texto em formato simples” ele envia a senha e nome do
usuário para o servidor em formato ASCII que vem diretamente do usuário através
do NAS (Network Access Server). Por não serem criptografadas suas senhas são
facilmente lidas no processo de autenticação, por esse motivo é considerado
inseguro. (WALT, 2011, p. 69).
23
Figura 3 - Modelo Protocolo PAP
Fonte: O autor
b) CHAP
O protocolo CHAP ou (Challenge Handshake Authentication Protocol)
segundo Campos (2005, p. 6) “é conhecido como a melhoria do protocolo PAP”, este
protocolo diferente do PAP impede a transmissão de texto puro, CHAP foi criado nos
dias em que os modems eram populares e havia uma preocupação com o aumento
das capturas das senhas com textos puros. O protocolo CHAP funciona através de
uma ligação que é estabelecida com o NAS (Network Access Server), o NAS por sua
vez gera um desafio aleatório e envia para o usuário, o usuário responde a esse
desafio e retorna um hash unidirecional calculado em um identificador, juntamente
com o desafio e a senha do usuário, a resposta do usuário é utilizada pelo NAS para
criar um pacote de solicitação de acesso que é enviado para o servidor RADIUS.
Dependendo da resposta do servidor RADIUS o NAS irá retornar: “CHAP sucesso”
ou “CHAP falhou” para o usuário. (WALT, 2011, p. 69). Abaixo mostramos a figura 4
o funcionamento do protocolo CHAP:
24
Figura 4 - Funcionamento CHAP
Fonte: O autor
c) EAP
O protocolo “Extensible Authentication Protocol” é um protocolo de
autenticação extensível, que oferece suporte a diversos métodos de autenticação.
O autor Peres & Weber (2003) traz que o protocolo EAP tem como definição, permitir
a utilização de uma grande variedade de mecanismo de autenticação. O método
EAP autentica o usuário antes que ele tenha permissão de acessar a rede, a
autenticação com o protocolo EAP é diferente de um processo de autenticação
comum onde o cliente leva o primeiro passo e pede a autenticação, com o EAP o
autenticador solicita ao cliente identificar-se como o primeiro passo. Segundo o
autor Milanez, Mazieiro & Jamhour (2004) o funcionamento básico do protocolo EAP
é o seguinte:
1. O pacote request é enviado pelo autenticador para o ponto. O que
indica que a solicitação foi realizada é o campo “tipo” do pacote
(Indentily, MD5 – challenge,etc).
2. A resposta é enviada através do ponto com um pacote Response para
cada Request.
3. Para finalizar a fase de autenticação o autenticador envia um pacote de
Success ou Failure, indicando sucesso ou falha no processo de
autenticação.
25
3.2.4 Ferramentas de autenticação
Existem varias ferramentas que oferecem o serviço de autenticação com
diferentes métodos. Destacam-se algumas destas abaixo:
Kerberos: O Kerberos é uma destas ferramentas de autenticação. Esta
ferramenta foi desenhada para atuar como uma tecnologia cliente/servidor,
onde o usuário se identifica e autentica em tempo real usando a criptografia,
portanto é considerado seguro. O sistema de autenticação Kerberos possui
um diferencial, quando um cliente se autenticar na rede, ele questiona se
realmente sua identidade e respectiva autenticação são verdadeiras.
Segundo o autor Steiner (2004 p. 3) o Kerberos é um serviço de autenticação
confiável de terceiros com base no modelo apresentado por Needham e
Schroeder. Ele é confiável no sentido de que cada um dos clientes acredita
julgamento do Kerberos quanto à identidade de cada um dos seus outros
clientes com exatidão. Estampas de tempo (grande números que
representam a data atual e tempo) foram adicionadas ao modelo original para
ajudar na detecção de repetição. A repetição ocorre quando uma mensagem
é interceptada para fora da rede e reenviada mais tarde.
TIS Firewall Toolkit: Os componentes do TIS foram desenhados para
trabalhar de forma conjunta, cita os autores Brahm, Fernandes & Avelino
(2001) que porem os componentes podem trabalhar isoladamente ou em
conjunto combinados com outras ferramentas do Firewall. Segundo Moreira
(2003), ”é um conjunto de programas e práticas de configuração projetada
para facilitar a construção de firewall,” nele inclui apresentação de vários
mecanismos de autenticação de senhas e sua fragilidade.
Samba: A ferramenta Samba é um software servidor para Linux que pode
assumir as funções de: controlador de domínio, servidor de arquivo ou serviço
de autenticação como um controlador de acesso. Segundo Mayer, Fries &
Baú (2004), “O samba é um servidor e um conjunto de ferramentas que
permite que máquinas Linux e Windows se comuniquem entre si,
compartilhando serviços através do protocolo SMB”.
26
LDAP: O LDAP (Lightweight Directory Access Protocol) é um protocolo para
gerenciamento de diretórios via TCP/IP. O servidor LDAP tem a função de
analisar as credenciais do usuário, verificar se os dados informados pelo
usuário estão armazenados neste servidor e permitir ou não que o usuário
efetue suas consultas e modificações. Também é conhecido por ser utilizado
como um banco de dados hierárquico e centralizador. Oferece suporte para
trabalhar em conjunto com outras ferramentas de autenticação. Segundo
Oliveira (2007 p. 1) “o LDAP é um protocolo de acesso a serviços de
diretórios e esta definido na RFC 3377”.
3.3 FreeRadius
O FreeRADIUS segundo Antunes (2008/2009) 9é o servidor de autenticação1
mais utilizado para sistemas Linux, pois é responsável por autenticar pelo menos um
terço dos utilizadores de internet do mundo.
O autor WALT (2011) traz que o FreeRADIUS é um projeto open source
fornecendo uma implementação muito rica em recursos do Protocolo RADIUS com
seus acessórios diversos (http://www.freeradius.org). Quando pessoas se referem ao
FreeRADIUS, eles costumam falar sobre o software de servidor. Este é o principal
componente do conjunto de software incluído no download do FreeRADIUS.
Existem no mercado tecnologias concorrentes diretas do FreeRADIUS são
eles, ACS Cisco (Access Control Server) e o Microsoft IAS (Internet Authentication
Service). De acordo com o site Freeradius.org, o FreeRADIUS é uma implementação
do protocolo RADIUS modular, de alta performance e rica em opções e
funcionalidades.
Outra característica do servidor FreeRADIUS, é a capacidade de limitação do
número máximo de acessos simultâneos e a capacidade de funcionar como
servidor proxy.
O FreeRADIUS fornece varias maneiras para autenticação, que possuem
regras de acesso escolhidas pelo administrador. Um modelo de regra, por exemplo,
é como as senhas devem ser criadas. Estas questões são determinadas na
1 Máquina que autentica os usuários de uma rede LAN, podendo ser Linux ou
Windows. A principal vantagem é ter todos os cadastros de usuários e senhas em um único lugar.
27
configuração do MySQL juntamente com o FreeRADIUS. O FreeRADIUS permite a
edição de usuários, clientes e regras de acesso tanto em arquivos como em bases
de dados. O autor Antunes (2009) cita que os tipos de bases de dados compatíveis
com o FreeRADIUS são: MySQL, PostgresSQL e Oracle.
3.3.1 Histórico
RADIUS é um acrônimo para Remote Access Dial In User Service (, um
protocolo de autenticação de usuários que oferece uma segurança maior no acesso
à rede. Segundo WALT (2011 pg. 10) o RADIUS era parte de uma solução AAA
entregue pela Livingston Enterprises, para a Merit Network em 1991. Merit Network
é um provedor de Internet, sem fins lucrativos, que precisou de uma forma criativa
de gerenciar o acesso discado a vários pontos de presença (POP) em toda a sua
rede. A solução fornecida pelo Livingston Enterprises tinha um armazenamento
central de usuários utilizada para autenticação. Isso poderia ser usado por
numerosos servidores RAS (servidor de acesso remoto). Autorização e
contabilidade também poderiam ser realizadas, satisfazendo os princípios AAA.
Outro aspecto fundamental da solução da Livingston Enterprises foi o Proxy para
permitir dimensionamento. O protocolo RADIUS foi posteriormente publicado em
1997, como RFCs, algumas mudanças foram aplicadas. Hoje temos RFC2865, que
abrange o protocolo RADIUS, e a RFC2866, que cobre a contabilidade RADIUS. .s
adicionais que cobrem melhorias em determinados aspectos do RADIUS. Após a
criação de RFCs sobre o protocolo qualquer pessoa ou o fornecedor pôde então
implementar o protocolo RADIUS em seus equipamentos ou software. Isto resultou
em uma adoção generalizada do protocolo RADIUS para redes AAA sobre TCP/IP.
A palavra RADIUS pode ser encontrada sendo usada livremente significando o
protocolo RADIUS ou o cliente RADIUS/servidor do sistema inteiro. O significado
deve ser claro a partir do contexto em que é usada.
O desenvolvimento do FreeRADIUS começou em 1999, assim cita o autor
WALT (2011), depois que o futuro do original servidor RADIUS da Livingston
Enterprises tornou-se incerto. Isto permitiu a criação de um novo servidor, o
RADIUS, que por sua vez era código aberto e poderia incluir a participação ativa da
comunidade. O FreeRADIUS adquiriu uma sólida reputação e foi capaz de competir
28
com, e até mesmo decair, a maioria dos equivalentes comerciais. Seu lema de "O
servidor RADIUS mais popular do mundo” tem sido incontestada por algum tempo,
tornando-se uma afirmação válida.
3.3.2 Funcionamento do FreeRADIUS
O FreeRADIUS utiliza o protocolo RADIUS, que foi publicado na RFC 2865 e
RFC 2866. A comunicação do protocolo RADIUS entre o cliente e o servidor se faz
através do protocolo UDP, o que torna a comunicação em redes de baixa velocidade
viável e eficiente. Para que a comunicação entre o cliente e o servidor FreeRADIUS
aconteça, o cliente fará uma requisição ao servidor que por sua vez enviará uma
resposta para a requisição do cliente.
Segundo Antunes (2009) os clientes deverão ser configurados corretamente
de modo a comunicar com o servidor instalado. Nesse modelo, o cliente pode ser
um computador de rede, um ponto de acesso ou uma máquina com software
apropriado de modo que se possa instalar um cliente (p. ex. radiusclient).
O FreeRADIUS usa a tecnologia cliente/servidor, onde o NAS é o
equipamento que autentica usuários para acesso. O mesmo autor cita as formas de
como ocorre à comunicação que é feita entre o RADIUS e o NAS através do
protocolo UDP na porta 1812 (autenticação-radius) e na porta 1813 (contabilização-
radacct) definidas pela RFC2865. Quando instalado, o serviço oferece as seguintes
ferramentas:
radclient - emula um cliente RADIUS, enviando pacotes para o servidor
imprimindo a resposta;
radlast - mostra as ultimas sessões de utilizadores;
radtest - frontend para o radclient, utilizado para testar o servidor;
radwho - mostra os utilizadores ligados;
radrelay - reenvia dados de accounting para um outro servidor RADIUS;
radwatch - não é utilizado, sendo instalado apenas por razões históricas;
radzap - efetua a limpeza da base de dados de sessões ativas.
29
3.3.3 Vantagens do FreeRadius
O FreeRADIUS é uma ferramenta gratuita de código aberto, podendo o
administrador realizar alterações, caso haja uma necessidade. Em ferramentas de
código aberto (OpenSource) você está livre para se adaptar, mudar, expandir e
corrigir caso seja necessário. FreeRADIUS é licenciado sob a GNU “General Public
License” (GPL) (WALT 2011, p.23).
O FreeRADIUS é modular, deste modo o administrador poderá utilizar os
módulos que a ferramenta oferece para integração LDAP ou SQL. O mesmo oferece
também os módulos Perl e Python dando permissão ao administrador desencadear
essas duas linguagens de script em FreeRADIUS. O servidor FreeRADIUS é
comumente usado, podendo assim encontrar facilmente referências em ISPs
(Provedores de internet) e grandes empresas com número considerável de usuários
conectados à rede. Pelo fato de ser muito utilizado, a comunidade criou várias listas
de discussão, se houver alguma dificuldade de implantar ou algum problema estas
listas com arquivos de pesquisa estão disponíveis para consultas. A instalação do
servidor FreeRADIUS é multiplataforma, portanto pode ser instalado nas principais
plataformas disponíveis no mercado, no sistema operacional Linux já faz parte dos
pacotes disponíveis, o download está disponível também para Windows. (WALT,
2011).
30
4 MATERIAIS E MÉTODOS
Na arquitetura de testes proposta, foi implementada uma rede sem fio Mesh
entre três roteadores Mikrotik, para autenticação da rede sem fio Mesh foi instalado
o servidor FreeRADIUS com o gerenciador de banco de dados MySQL e para
realização da gerência do mesmo, foi instalado o software Daloradius.
Os métodos realizados no presente trabalho foram pesquisas exploratórias e
bibliográficas, e a realização de testes, buscando nos tempos atuais encontrar a
solução do objetivo e conhecer o melhor método a ser aplicado no projeto.
4.1 Modelo proposto
O modelo proposto foi constituído por três RouterBoard Mikrotik. Uma destas
RouterBoards com acesso à internet, um hotspot configurado para acesso dos
usuários à rede e acesso direto ao servidor de autenticação FreeRADIUS através de
cabo. A ligação entre as demais RouterBoard Mikrotik se deram através de rede sem
fio, da mesma forma entre os usuários finais.
A figura 5 mostra toda a estrutura da rede, a ligação entre as RouterBoard
Mikrotik com RouterBoard mestre e o direcionamento das mesmas ao servidor
FreeRADIUS, assim como o alcance do sinal das Mikrotiks e a localização de cada
equipamento.
31
Figura 5 - Modelo da Rede
Fonte: O autor
A figura 6 apresenta como a autenticação foi realizada nos testes e o mostra
o fluxo dos pedidos de autenticação de cada usuário solicitante a cada RouterBoard
Mikrotik, e a relação entre as RouterBoard Mikrotik e o servidor FreeRADIUS:
32
Figura 6 - Modelo das autenticações
Fonte: O autor
4.2 Equipamentos RouterBoard (Mikrotik)
A Mikrotik é uma empresa da Letônia que fabrica equipamentos para redes de
computadores, fundada em 1995. Alguns provedores de acesso à internet utilizam
estes equipamentos, o sistema operacional RouterOS baseado em Linux é o
principal produto da empresa. O sistema RouterOS permite que equipamentos
fabricados pela empresa ou qualquer computador se um torne roteador, com
funções como firewall, VPN (Virtual Private Network), Proxy, QoS, protocolos de
roteamento do tipo BGP (Border Gateway Protocol), RIP (Routing Information
Protocol), OSPF (Open Shortest Path First), MPLS (Multiprotocol Label Switching),
VPLS (Virtual Private LAN Service). (WELTER, 2012).
Existem varias formas de gerenciar o sistema operacional RouterOS, estas
são: Terminais SSH, Telnet, pagina Web ou pelo software de configuração Winbox.
33
O Winbox é uma ferramenta com interface gráfica usada para gerenciar o RouterOS
nas RouterBoard Mikrotik.
O protocolo de roteamento para redes sem fio Mesh oferecido pelo RouterOS
é o HWMP+.
4.2.1 Protocolo HWMP+
O protocolo HWMP+ é o protocolo proprietário da Mikrotik. Este é um
protocolo de roteamento eficiente e sua implementação é simples, pois combina as
vantagens dos protocolos que trabalham no modo reativo e proativo. O modo reativo
é utilizado para comunicação ponto a ponto, proporcionando baixo overhead de
roteamento. Já o modo proativo é utilizado quando se faz necessário estabelecer
rotas com um gateway ou nós importantes na rede, proporcionado baixa latência.
Por ser um protocolo proprietário, é necessário que os equipamentos da rede sem
fio Mesh sejam todos RouterBoard Mikrotik.
4.2.2 Equipamento Mikrotik utilizado
As três RouterBoard Mikrotik utilizada nas realizações dos testes possuíam a
seguinte configuração: modelo RB433, RAM 64MB, 3 portas LAN, 3 miniPCI, PoE
10-28V, RouterOS License Level 4, CPU 300 MHz e RouterOS versão 5.23. Este
modelo de RouterBoard não possui wireless, foi preciso anexar um cartão PCI de
rede sem fio com a antena para que a rede sem fio Mesh fosse implantada. Os
cartões PCI sem fio possuíam as seguintes configurações Mikrotik – mini PCI Card
R52Hn 802.11a/b/g/n 320mw Mmcx juntamente com uma antena omni como mostra
as figura 16:
34
Figura 7 - RouterBoard Mikrotik 433, Cartão PCI RB R52Hn e antena
Fonte: O autor
4.3 Instalação e configuração dos softwares
Para a realização dos testes, inicialmente foi instalado o sistema operacional
em uma máquina virtual, com a seguinte configuração: Nome do servidor
FreeRADIUS, sistema operacional Ubuntu server 12.04 x86, memória principal 1024
MB e armazenamento em HD SATA de 160 GB.
Na instalação do servidor foi criado um usuário com o nome “angela” e senha
“123”, os testes foram realizados com este usuário. A versão do FreeRADIUS
instalada é a 2.1.10 e a do MySQL é 5.5.28.
4.3.1 FreeRADIUS e MySQL
A seguir será feita a descrição de como foram realizadas as configurações do
servidor FreeRADIUS com MySQL no Ubuntu. No terminal (com direitos
administrativos) o primeiro passo foi instalar o FreeRADIUS, Apache, MySQL e PHP,
para tal o comando é:
# apt-get install freeradius freeradius-mysql lamp-server^
O pacote “freeradius” instala o servidor FreeRADIUS, o pacote seguinte,
“freeradius-mysql” instala os arquivos para configurar a base dados MySQL no
35
servidor FreeRADIUS e por fim, o ultimo pacote “lamp-server” instala o conjunto de
serviços Apache, MySQL e PHP.
O comandos seguintes configuraram o MySQL para trabalhar com o
FreeRADIUS, primeiro foi criado um banco de dados onde o FreeRADIUS guardará
dados de nomes RADIUS, pra isso foi necessário acessar o MySQL, o comando
seguinte realizou o acesso.
#mysql –u root –p 123;
O comando abaixo criou a base de dados radius.
#create database radius;
Aconselha-se criar um usuário para realização dos testes, pra isso
acessamos o MySQL como mostra a figura 7:
Figura 8 - Acessando o MySQL
Fonte: O autor
O comando da figura 8 acessa a base dados radius.
Figura 9 - Base de dados radius
Fonte: O autor
36
O usuário “radius” com a senha “123” foi criado na tabela “radcheck” do
MySQL onde fica guardados os nomes dos usuários. A figura 9 mostra o comando
usado:
Figura 10 - Usuário e senha de teste
Fonte: O autor
A figura 10 garante que o usuário “radius” possua acesso a todas as tabelas
de dados radius.
Figura 11 - Permissão ao usuário radius
Fonte: O autor
Os comandos seguintes foram utilizados para e importar as configurações do
FreeRADIUS para MySQL, enviando os scripts para ser criadas as tabelas
“shema.sql” e “nas.sql” na base de dados radius:
#mysql –u radius –p radius <
/etc/freeradius/sql/mysql/shema.sql
#mysql -u radius -p radius <
/etc/freeradius/sql/mysql/nas.sql
Enter password:
Foi necessário editar o arquivo “/etc/freeradius/sql.conf” para definir o tipo do
banco de dados, nome e senha que já foram configurado anteriormente. O comando
usado foi:
37
#nano /etc/freeradius/sql.conf
Figura 12 - Configurando base de dado, senha e usuário
Fonte: O autor
Para habilitar o SQL no FreeRADIUS, o arquivo “/etc/freeradius/sites-
enabled/default” foi alterado, retirando os comentários. Os comandos abaixo
mostram como esse processo é feito:
# vim /etc/freeradius/sites-enabled/default
Retirado o comentário sql em authorize{}
# See “Authorization Queries” in sql.conf
sql
Retirado o comentário sql em accounting{}
# See “Accounting queries” in sql.conf
sql
Retirado o comentário sql em session{}
# See “Simultaneous Use Checking Queries” in sql.conf
sql
Retirado o comentario sql em post-auth{}
# See “Authentication Logging Queries” in sql.conf
38
Sql
Após os passos acima, foi retirado o comentário do arquivo “radiusd.conf”,
habilitando e incluindo o SQL no arquivo. Esta é uma forma de organizar melhor os
arquivos de configuração, pois o arquivo “sql.conf” tende a ser um arquivo grande.
# vim /etc/freeradius/radiusd.conf
#Uncomment #$INCLUDE sql.conf
$INCLUDE sql.conf
Para a realização do teste e averiguar se o serviço FreeRADIUS está
funcionando é necessário parar o serviço “freeradius” e iniciar em modo debugging
(depuração).
Figura 13 - Parar o serviço freeradius
Fonte: O autor
Em outro terminal iniciar o serviço freeradius
#freeradius –X
O comando “radtest” do usuário “anja” com a senha “123” no local onde o
servidor se encontra (localhost) na porta “1812” com a senha do cliente “testing123”
testa a requisição do usuário anja e na figura 13 mostra que a requisição e o usuário
anja foram aceitos, pois foi recebido um Access-Accept do servidor FreeRADIUS:
39
Figura 14 - Realizando teste
Fonte: O autor
Para habilitar o dispositivo Mikrotik para acessar nosso servidor, precisamos
adicionar cliente no arquivo “clients.conf”. como mostra o comando abaixo:
#vim /etc/freeradius/clients.conf
Figura 15 - Adicionando um cliente
Fonte: O autor
Para obter um valor específico para Mikrotik, foi preciso adicionar um
dicionário Mikrotik como mostra o comando e a imagem do arquivo 15:
#vim /etc/freeradius/dictionary
Figura 16 - Incluindo dicionário
Fonte: O autor
40
4.3.2 Configuração Mikrotik
Na realização dos testes da infraestrutura da rede, foi configurada toda a rede
Mesh usando o protocolo HWMP+ nas RouterBoard Mikrotiks, as figuras seguintes
mostram como foi realizado esse processo de configuração. O primeiro passo foi a
instalação do Winbox para acessar o sistema operacional RouterOS nas
RouterBoard Mikrotik, através do acesso foram iniciadas as configurações da rede
sem fio Mesh. A figura 17 mostra a janela de conexão do Winbox:
Figura 17 - Winbox
Fonte: O autor
Na janela do Winbox no ícone em destaque é onde se coloca o IP ou o MAC
Address da RouterBoard Mikrotik, como mostra a figura 17, o IP padrão da Ethernet
da RouterBoard Mikrotik é o 192.162.88.1. Na configuração sem fio Mesh do projeto
os IPs das interfaces sem fio das Mikrotiks foram 10.0.0.1, 10.0.0.2 e 10.0.0.3. O
próximo passo demonstra a parte mais importante da construção da rede sem fio
Mesh, pois foi configurada a RouterBoard que fará a distribuição do IP para a rede
sem fio Mesh. Esta RouterBoard é o principal equipamento que fará a negociação de
autenticação com o servidor FreeRADIUS e também é onde foi configurado o
hotspot para acesso dos usuários. O nome que foi configurado na RouterBoard
41
mestre é PC1. No passo seguinte foi configurada a rede sem fio Mesh como mostra
a figura 18:
Figura 18 - Mikrotik Mesh
Fonte: O autor
Na mesma aba onde foi configurada a rede sem fio Mesh foi configurada a
interface Wireless, como mostra a figura 19:
Figura 19 - Mikrotik Mesh Port
Fonte: O autor
42
As figuras a seguir mostram como foi configurada a Wireless da RouterBoard.
Na aba wireless foram realizadas as seguintes configurações: em modo “ap bridge”
na banda “2GHz-B/G/N”, em frequência “2412” e em SSID “Mesh”, na aba WDS o
modelo do sistema foi colocado como “dynamics Mesh”, como mostra as figuras 20 e
21.
Figura 20 - Wireless1
Fonte: O autor
Figura 21 - Wireless WDS
Fonte: O autor
43
Nas interfaces foi configurado o IP na interface bridge-Mesh como mostra a
figura 22:
Figura 22 - Adicionando IPs
Fonte: O autor
O DNS adicionado na configuração foi o 8.8.8.8, DNS público do Google,
como segue a figura 23:
44
Figura 23 - Mikrotik DNS
Fonte: O autor
Para adicionar uma faixa de IPs foi acessada na barra “menu” na opção IP, o
Pool. Nesta opção foi adicionado um range (faixa de IP) e o nome deste range. Na
figura 24 mostra como isso foi feito:
Figura 24 - Faixa de IPs "Pool"
45
Fonte: O autor
Com o range criado, o passo seguinte foi a criação do servidor DHCP da rede
sem fio Mesh, que ficou responsável por distribuir os IPs aos hosts ligados a essa
rede, na figura 25:
Figura 25 - Mikrotik DHCP
Fonte: O autor
A RouterBoard tem que estar conectada no servidor de autenticação, para isso,
na configuração é colocado o endereço do servidor FreeRADIUS, para que quando
a RouterBoard mande a solicitação de autenticação feita pelo usuário para ao
servidor como mostra a figura 26:
46
Figura 26 - Servidor FreeRADIUS
Fonte: O autor
E por fim, foi configurado o hotspot. O hotspot é uma forma de autenticação
através de uma interface web que exige ao usuário login e senha. Desta forma,
alimentado através do servidor FreeRADIUS, o hostspot pode ou não permitir o
acesso a rede. Por padrão o hotspot marca na aba login as opções “HTTP CHAP” e
“Cookie”, e os utiliza como modelo de autenticação. As figuras 27 e 28 mostram
como foi configurado o hotspot na RouterBoard Mikrotik:
Figura 27 - Mikrotik Hotspot
Fonte: O autor
47
Figura 28 - Mikrotik hotspot 2
Fonte: O autor
4.4 DaloRADIUS
O DaloRADIUS é uma ferramenta Web para gerenciar o servidor
FreeRADIUS. A ferramenta possui gerenciamento de cadastros de clientes,
relatórios gráficos e faturamento. Para o funcionamento do DaloRADIUS foi
necessário instalar um servidor Web, que foi instalado anteriormente como mostra o
capitulo 4.2.1.
4.4.1 Instalando DaloRADIUS
Os comandos abaixo mostram como foi instalado o DaloRADIUS, inicialmente
acessamos a pasta de temporários com o comando:
# cd /tmp
O seguinte comando, baixa o pacote do DaloRADIUS dentro da pasta
temporários e deve ser executado em apenas uma linha:
48
#wget 'http://downloads.sourceforge.net/project/ ->
daloradius/daloradius/daloradius-0.9-8/daloradius->
-0.9-8.tar.gz'
O comando abaixo foi usado para descompactar o arquivo:
# tar xvzf daloradius-0.9-8.tar.gz
O próximo comando move o arquivo para outro local a pasta do servidor web:
# mv /tmp/daloradius-0.9-8 /var/www/daloradius
Para mudar o proprietário e o grupo dos arquivos de modo que o servidor web
possa acessá-los o comando usado foi o seguinte:
# chown -R www-data:www-data /var/www/daloradius
49
5 RESULTADOS E DISCUSSÃO
Com a realização das pesquisas e testes, foi possível observar que a rede
Mesh oferece vantagens significativas, como baixo custo, fácil implantação,
tolerância a falhas e escalável, podendo ser implantada em ambiente com âmbito
educacional para prover técnicas de conhecimento e popularização do protocolo, ou
para fins específicos como ambientes proprietários a fim de oferecer acesso à
Internet de forma controlada.
Após a configuração o servidor freeRADIUS se apresenta como um servidor
de autenticação seguro e com muitas opções de gerenciamento, também
oferecendo um leque de serviços para cada infraestrutura necessária.
Um dos grandes benefícios de unir a tecnologia de rede sem fio Mesh e o
servidor de autenticação FreeRADIUS é o fator custo x benefício, pois com baixo
custo é possível proporcionar um nível maior de segurança em uma rede sem fio
Mesh. Este benefício se dá pelo fato do protocolo RADIUS ser gratuito, ou seja,
possuir licença aberta para que qualquer pessoa ou entidade possa modificar e usar
para uso próprio e específico.
O FreeRADIUS também é modular e altamente integrável, deste modo,
integrá-lo à rede sem fio Mesh se tornou muito mais fácil, ao ponto que pode-se unir
ambas as ferramentas cada vez mais se necessário. Caso a integração básica não
consiga satisfazer todos os requisitos necessários na implantação, ainda é possível
que se criem módulos específicos no FreeRADIUS a partir de dicionários
específicos, podendo aliar ainda mais as duas ferramentas no momento da
autenticação.
A mobilidade proporcionada pela rede Mesh também foi aproveitada pelo
servidor FreeRADIUS. O método de autenticação utilizado pelo servidor
FreeRADIUS permitiu que um usuário da rede Mesh autenticado em um nó se
movesse em direção a outro e a segurança permanecesse em funcionamento. A
rede sem fio Mesh também proporcionou a facilidade de expansão da rede. Em
conjunto com o servidor FreeRADIUS cada novo nó instalado na rede necessitou de
menos configurações, pois a rede Mesh somente encaminhou o tráfego ao servidor
de autenticação.
50
6 CONSIDERAÇÕES FINAIS
Este trabalho tem por objetivo implementar um servidor RADIUS para realizar
autenticação em rede sem fio Mesh. Ao fim dos estudos, o material teórico e a
observação intensa no período de pesquisa foram fundamentais para entender como
se deu a construção e o crescimento das duas tecnologias FreeRADIUS e Redes
sem fio Mesh.
Nos testes realizados, considerou-se que a implantação do servidor
FreeRADIUS para realizar a autenticação da infraestrutura da rede sem fio Mesh foi
bem sucedida, trazendo uma carga de aprendizado e conhecimento prático sobre os
assuntos testados.
Na infraestrutura da rede sem fio Mesh foi encontrado um grau de
complexidade, surpreendendo de certa forma em alguns momentos da pesquisa e
implantação. Ainda assim, no resultado final do modelo proposto com os
equipamentos RouterBoard Mikrotik o funcionamento da infraestrutura de rede Mesh
foi bem sucedida e ofereceu vantagens significantes.
O servidor FreeRADIUS é considerado uma ferramenta robusta e de fácil
instalação, apropriada para autenticar os usuários da rede sem fio Mesh proposta,
amenizando o problema de segurança encontrado na rede Mesh.
As RouterBoard Mikrotik são equipamentos que oferecem amplas
funcionalidades e configurações, facilitando e enriquecendo toda a arquitetura do
projeto proposto. Por fim, os objetivos foram alcançados, com enriquecimento
significativo para o âmbito acadêmico.
6.1 Trabalhos futuros
Com os estudos realizados e o embasamento teórico obtido, algumas
sugestões de trabalhos posteriores puderam ser encontradas, como a implantação
do projeto em questão no campus IFC unidade Urbana de sombrio ou da unidade
sede de Santa Rosa do Sul. Surgiram também sugestões de outros equipamentos
para a construção da rede sem fio Mesh, com novos protocolos.
51
6.2 Dificuldade encontrada
A dificuldade encontrada foi na configuração dos protocolos de autenticação
do servidor FreeRADIUS, na busca de obter uma maior segurança das senhas, em
algumas configurações o servidor não reconhecia a criptografia implantada, na
realização dos testes foi usado os protocolos PAP e CHAP, com o protocolo PAP a
autenticação foi confirmada com sucesso, mas com o protocolo CHAP a
autenticação inicialmente não era confirmada.
52
REFERÊNCIA
ABELÉM, Antônio Jorge Gomes et al. Redes Mesh: Mobilidade, Qualidade de Serviço e Comunicação em Grupo. In: Minicursos: 25º Simpósio Brasileiro de Redes de Computadores e Sistemas Distribuídos. Disponível em: <http://sbrc2007.ufpa.br/anais/2007/MC%20-%2002.pdf> Acesso em: 14 jan. 2013. ABELÉM, Antônio Jorge Gomes et al. Estudo comparativo de protocolos de roteamento para redes Mesh na região Amazônica. SBRC. 2007. Sessão de Artigos Curtos II. Disponível em: <http://www.lbd.dcc.ufmg.br:8080/colecoes/sbrc/2007/080.pdf> Acesso em: 17 jan. 2013. ANTUNES, Vitor Hugo Leite. Frontend Web 2.0 para Gestão de RADIUS. Maj or Telecomunicações. Dissertação de mestrado. 2008/2009. Disponível em: <http://paginas.fe.up.pt/~ee04199/Frontend%20Web%202.0%20para%20Gestao%20de%20RADIUS.pdf>.Acesso em: 15 jan. 2013. ASSUNÇÃO, Marcos Flávio A. Guia do Hacker Brasileiro. Editora: Visual Books. 2002. BRAHM, Daniel Ribeiro; FERNANDES, Sandro Antônio; AVELINO, João Bellomo Filho. Certificação de Firewalls. Universidade Católica de Pelotas, 2001. CAMPOS, Juliana C. Moura.et al. Segurança de redes. Pontifícia Universidade Católica de Campinas. 2005. p. 6. COSTA, Rui; MARTINS, Felipe. “Hacking.” Disponível em: <http://www.alunos.dcc.fc.up.pt/~c0616038/files/hacking.pdf>. Acesso em: 17 jan. 2012. FILAGRANA, Artur Carlos. Sistema de autenticação de usuários para provedores de internet baseado no número telefônico. Universidade para o Desenvolvimento do Alto Vale do Itajaí. INIDAVI. Itajaí, SC, 2002. FreeRADIUS: The world’s most popular RADIUS Server. Disponível em: <http://freeradius.org/>. Acesso em: 23 jan. 2013.
TORRES Gabriel. Redes de Computadores: urso completo. Edit. Axcel Books do Brasil. Rio de Janeiro, RJ. 2001. p. 263. KUTEN, Júlio. NADOLNY; Leonardo Neto. Autenticação de clientes em rede sem fio com Radius. Pontifícia Universidade Católica do Paraná. Curitiba, 2010. MAYER, Eleonor Vinícius Dudel; FRIES, Fabricio Deitos; BAÚ, Giovani. Samba: Servidor de Domínio. Universidade Regional do Noroeste do Estado do Rio Grande do Sul. Santa Rosa, RS, 2004.
53
MILANEZ, Marcelo; MAZIEIRO, Carlos; JAMHOUR, Edgar. Segurança em Redes IEEE 802.11 utilizando cadeias SPKI. PUCPR – Pontifícia Universidade Católica do Paraná. Curitiba, 2004. MOREIRA, Anderson Luiz Souza. Plano de segurança e planejamento da rede de computadores da waytec tecnologia em comunicação ltda. Universidade Estadual de Santa Cruz. Ilhéus, Bahia, 2003. OLIVEIRA, Bruno Filipe Sobral de. Servidores e Topologias de rede. Disponível em: < http://paginas.fe.up.pt/~ee07055/mieec/index.php> Acesso em 13 jan. 2013. OLIVEIRA, Isabela Liane de. Análise de ferramentas para Gerenciamento de Arquivos de Sistemas. Instituto de Biociências Letras e Ciências Exatas. São José do Rio Preto, 2007. p. 1. PEREIRA, Marcelo Veiga. Implementando segurança no nível de acesso utilizando servidor radius. Disponível em: <http://repositorio.roca.utfpr.edu.br/jspui/bitstream/1/419/1/CT_GESER_1_2011_17.pdf>Acesso em: 14 jan. 2013. PEREIRA, Marcos Heyse. Segurança de redes sem fio, uma proposta com serviços integrados de autenticação LDAP e RADIUS. Pontifícia Universidade Católica do Paraná. 2009. p. 9. PERES, André; WEBER, Raul Fernando. Considerações sobre Segurança em Redes Sem Fio. ULBRA – Universidade Luterana do Brasil; UFRGS – Universidade Federal do Rio Grande Do Sul. 2003. POZZEBON, Rafaela. O que é wireless e como Funciona?. Disponível em: <http://www.oficinadanet.com.br/artigo/redes/o-que-e-wireless-e-como-funciona>. Acesso em: Dezembro 2012. RAINER, R. Kelly Introdução a sistemas da informação. (Recurso eletrônico), edição 3ª. Ed. Elsevier. Tradução de Android in Action. Rio de Janeiro, 2012. p. 89. REDES Mesh, Disponível em: < http://www.vivasemfio.com/blog/category/1_tecnologias/r_z_tecnologias/wi_Mesh/> Acesso em: 15 de jan. 2013.
RUFINO, Nelson Murilo de Oliveira. Segurança em Redes sem Fio: Aprenda a proteger suas informações em ambientes Wi-Fi e Bluetooth. Edição 3ª. Editora Novatec. 2007. SAADE, Débora C. Muchaluart. et al. Redes em Malha: Solução de Baixo Custo para Popularização do Acesso à Internet no Brasil. XXV Simpósio Brasileiro de Telecomunicações – SBrT. Recife, 2007. P. 3.
54
STEINER, Jennifer G. Kerberos: Na Authentication Service for Open Network Systems. University of Washington Sattle. 2004. p. 3. TANENBAUM, Andrew S., Computer Network. Edição 4ª. Editora Campus, 2003. p. 24. WALT, Dirk Van Der. FreeRADIUS: Manage your network resources with FreeRADIUS. Editora: Published by Packt Publishing Ltda. 2011. WELTER, Geovani Fabricio. Sistema para interação com o equipamento routerboard. Universidade Tecnológica Federal do Paraná- campus Pato Branco, Disponível em : <http://repositorio.roca.utfpr.edu.br/jspui/bitstream/1/589/1/PB_COADS_2012_1_06.pdf> Acesso em: 05 fev. 2013.
55
APÊNDICES