Marlos Henrique Sotto Maior -...

Marlos Henrique Sotto Maior

RELATO DE EXPERIÊNCIA – IMPLEMENTAÇÃO DE VLANS E REGRAS DE ACESSO À REDE WIRELESS DA UNIVERSIDADE X

Monografia apresentada ao Curso de Pós Graduação em Redes de Computadores - Administração e Segurança da Faculdade de Ciências Exatas da Universidade Tuiuti do Paraná para conclusão do curso

Orientador Luiz Correia

CURITIBA

2011

SUMÁRIO

1.� INTRODUÇÃO ......................................................................................................... 5�

2.� REFERÊNCIAL TEÓRICO ...................................................................................... 8�

2.1� VLANs ................................................................................................................... 8�

2.2� REDES SEM FIO (WIRILESS NETWORK) ......................................................... 10�

2.3� SEGURANÇA ...................................................................................................... 14�

2.3.1� Iptables ............................................................................................................... 16�

2.3.2� Squid ................................................................................................................. 20�

3.� METODOLOGIA .................................................................................................... 23�

3.1� REVISÃO DA LITERATURA ............................................................................. 24�

3.2� SITUAÇÃO DA UNIVERSIDADE X ................................................................. 24�

3.3� CONFIGURAÇÃO DO SWITCH EDGE-CORE ES3526YA ............................. 25�

3.4� CONFIGURAÇÃO DO SERVIDOR DHCP E ROTEAMENTO ....................... 28�

3.5� IMPLEMENTAÇÃO DE REGRAS DE ACESSO .............................................. 31�

3.6� TESTES ................................................................................................................. 35�

4.� RESULTADOS ........................................................................................................ 39�

5.� CONCLUSÃO ......................................................................................................... 40�

REFERÊNCIAS ............................................................................................................ 41�

LISTA DE FIGURAS

FIGURA 01 – FORMATOS DOS QUADROS 802.3 E 802.1Q ............................................... 9�

FIGURA 02 – TRUNK LINKS E ROTEADORES PARA LIGAR VLANS ........................... 10�

FIGURA 03 – COMUNICAÇÃO AD HOC ............................................................................ 11�

FIGURA 04 – MODO INFRAESTRUTURA (BSS / ESS) ..................................................... 11�

FIGURA 05 – MAIORES RELACIONADOS A SEGURANÇA DE INFORMAÇÃO ......... 15�

FIGURA 06 – PAINÉIS: DIANTEIRO / TRASEIRO SWITCH ES526YA ........................... 25�

FIGURA 07 – MODOS DE IMPLEMENTAÇÃO DE VLANs .............................................. 25�

FIGURA 08 – CONFIGURAÇÃO – PUTTY .......................................................................... 26�

FIGURA 09 – CONFIGURAÇÃO DO SWITCH ................................................................... 28�

FIGURA 10 - TRACEROUTE ................................................................................................ 35�

FIGURA 11 - PING .................................................................................................................. 35�

FIGURA 12 – CONFIGURAÇÃO DO SERVIDOR PROXY ................................................ 36�

FIGURA 13 – SOLICITAÇÃO DE AUTENTICAÇÃO ......................................................... 36�

FIGURA 14 – ACESSO NEGADO – PALAVRA BLOQUEADA ........................................ 37�

FIGURA 15 – ACESSO NEGADO – SITE BLOQUEADO ................................................... 37�

FIGURA 16 – RESTRIÇÃO DE DOWNLOAD POR EXTENSÃO ...................................... 38�

LISTA DE TABELAS

TABELA 01 – FAIXA DE FREQUÊNCIAS .......................................................................... 12�

TABELA 02 – DSSS CANAIS E FREQUÊNCIAS ................................................................ 13�

TABELA 03 – PONTOS CHAVE ........................................................................................... 17�

TABELA 04 – SUBCOMANDOS IPTABLES ....................................................................... 18�

TABELA 05 – ALVOS EMBUTIDOS DA CHAIN ................................................................ 19�

5

1. INTRODUÇÃO

A comutação1 na camada 2 do modelo OSI permite a filtragem na rede através

do endereço MAC (Media Access Control). Os pacotes são encapsulados em quadros

(frames). Desta forma o encaminhamento de pacotes se dá pela análise deste endereço

o que torna este processo mais rápido e eficiente.

Os switches2 mantêm uma tabela com os endereços de hardware (MAC) e

permitem a segmentação da rede quebrando os domínios de colisão. Com isso

aumentam a largura de banda para cada conexão (interface).

Com o aumento gradativo da rede e do número de usuários a ela conectados,

seu desempenho pode ser afetado. Apesar da quebra do domínio de colisão, a rede

permanece com um grande domínio de broadcast. Todos os quadros de broadcast

transmitidos são enxergados por todos os dispositivos conectados a rede local,

diminuindo a largura de banda existente (FILIPPETTI, 2008).

Este aumento ainda pode gerar um gerenciamento complexo. Dependendo da

sua estruturação física e da localização dos usuários, novos equipamentos e novas

conexões devem ser implantados.

Outro problema encontrado é com relação à segurança, pois todos os usuários

deste segmento podem ter acesso a todos os dispositivos conectados. Um usuário mal

1 Do inglês Switching.2 Dispositivos de rede da camada 2 que conectam segmentos de redes e são responsáveis por

encaminhar ou abandonar os quadros.

6

intencionado pode, através de um analisador de rede, capturar os pacotes que trafegam,

visualizando seu conteúdo.

Em uma Universidade denominada neste estudo como X, para fins de

privacidade, tem-se em torno de 8 Access Points (APs) distribuídos no campus. A

restrição existente é apenas a chave de acesso e ainda fazem parte do mesmo segmento

de rede. Cada aparelho recebe um endereço IP3 real e faz o roteamento para redes

internas, distribuindo endereços de rede privados para cada cliente, além de não haver

nenhum controle com relação ao conteúdo acessado. Dentro deste cenário como a

implementação de VLANs e a criação de algumas regras de segurança podem

minimizar eficazmente o problema encontrado?

A virtualização das redes locais (VLANs) permite uma melhor administração

da rede pelo fato de agrupar logicamente dispositivos, serviços e estações de trabalho

independente da sua localização física (CCNA3, 2003).

A implementação de uma VLAN reduz o tamanho domínio de broadcast. A

cada porta do switch pode ser atribuída uma rede local virtual. As portas que

compartilham a mesma VLAN fazem parte do mesmo domínio de broadcast. As

mensagens de broadcast são enviadas apenas para estas portas, ou seja, impede que o

broadcast propague por toda a rede (FILIPPETTI, 2008).

Para aumentar o controle sobre o tráfego e a segurança cada porta pode ser

configurada. Um usuário pode ser configurado a uma VLAN específica e o acesso a

recursos de determinada VLAN podem ser restritos. O desempenho aumenta em

3 Internet Protocol – protocolo de Internet.

7

função da redução dos domínios de broadcast, cada porta pode ser uma rede local

virtual. O gerenciamento torna-se mais fácil em função da segmentação da rede.

A implementação de algumas regras de segurança para restrição dos acessos

aumentarão o gerenciamento ao nível de usuário e conteúdo acessado, garantindo

maior confiabilidade e a integridade da rede.

Pretende-se validar o benefício de segmentar a rede logicamente e restringir o

acesso em camadas superiores.

O desenvolvimento deste trabalho permitirá implementar as VLANs com

algumas regras de acesso dentro da Universidade X, onde os produtos a serem gerados

por este projeto são:

A) A modelagem de uma rede logicamente segmentada com a implementação

de regras de acesso;

B) A implementação desta rede proposta no item A num ambiente

virtualizado;

C) Experimentação e testes da rede implementada no item B.

8

2. REFERÊNCIAL TEÓRICO

2.1 VLANs

Redes comutadas (camada 2) são consideradas como planas, os domínios de

colisão diminuem com a segmentação da rede, ou seja, os dados trafegam apenas no

mesmo segmento criando seu próprio domínio de colisão.

No entanto o domínio de broadcast continua único uma vez que todos os

pacotes de broadcast são enxergados por todos os dispositivos conectados a esta rede.

Quanto maior o número de usuários e dispositivos maior será o número de pacotes e

broadcast transmitidos nesta rede. A segurança pode ser comprometida uma vez que

todos os usuários podem encontrar todos os dispositivos (FILLIPPETI, 2008).

VLANs são redes comutadas virtuais que agrupam logicamente estações de

trabalho e dispositivos de redes. São utilizadas principalmente para diminuir domínios

de broadcast e separar segmentos de rede, aumentando assim a segurança dos dados

que trafegam nestas redes e a banda disponível. Como já comentado cada porta do

switch pode ser uma VLAN.

Uma empresa pode utilizar este recurso para separar departamentos, por

exemplo cada um em uma subrede separada. A comunicação entre eles é restrita

apenas ao grupo em que participam, ou seja, a mesma VLAN.

A identificação dos quadros que trafegam em switches que suportam VLANs

se dá através de uma marcação, inserindo um campo no quadro. O IEEE (Instituto de

Engenheiros Elétricos e Eletrônicos) definiu um método padrão (802.1Q) que

determina a alteração no cabeçalho Ethernet com a inclusão desta marca (tag)

(TANENBAUM, 2003).

A Figura abaixo mostra a alteração realizada no quadro (frame).

9

FIGURA 01 – FORMATOS DOS QUADROS 802.3 E 802.1Q FONTE: TANENBAUM, 2003, p. 262.

Foram adicionados 2 campos de 2 Bytes, o primeiro é o ID do protocolo de

VLAN, com o valor fixo de 0x8100, assim as placas de Ethernet o identificam como

um tipo. O segundo campo contém três subcampos, o principal deles é o identificador

da VLAN que diz a qual VLAN o quadro pertence. Esta alteração foi necessária para

estabelecer o transporte dos quadros (TANENBAUM, 2003).

Para que haja comunicação entre VLANs diferentes é necessário a utilização

de um dispositivo de camada 3, um roteador ou um switch camada 3 que suportem o

padrão 802.1Q. A comunicação acontece através de um link de transporte (trunk link)

que é responsável pelo transporte dos quadros contendo a identificação de qual VLAN

pertencem (FILLIPPETI, 2008).

Em redes comutadas os links de transportes são conexões ponto-a-ponto e

podem suportar várias VLANs. Pode conter vários links virtuais em um único meio

físico, transitando sobre um cabo único. O mecanismo de marcação de quadros (frame

tagging) é o padrão do IEEE 802.1Q para trunking, este mecanismo permite uma

entrega rápida dos frames (quadros) e facilitam o gerenciamento (CCNA3, 2003).

A figura 2 mostra como estes links podem são implementados e as vantagens

da utilização de dispositivos de camada 3 para comunicação inter-VLANs.

10

FIGURA 02 – TRUNK LINKS E ROTEADORES PARA LIGAR VLANS FONTE: CCNA3, 2003

As VLANs podem ser configuradas de 2 formas:

− Estáticas: método mais comum, a porta do switch é designada para uma

VLAN específica, configurada diretamente. O controle é maior pois

toda implementação e mudança são gerenciadas.

− Dinâmicas: a designação da VLAN é automática através de softwares

específicos, não dependem de portas designadas.

2.2 REDES SEM FIO (WIRILESS NETWORK)

Atualmente é uma das tecnologias mais difundidas, seja através de celulares,

infravermelho, bluetooth, entre dispositivos que se comunicam através de Wi-fi4 e

ainda com o surgimento de novas tecnologias como o WIMAX5 (FILIPPETTI, 2008).

A principal diferença entre as redes cabeadas e sem fio (wireless) está no

modo de transmissão. Redes cabeadas utilizam sinais elétricos em cabo metálico ou

luminosos em fibras-ópticas e redes sem fio utilizam ondas de rádio para transmissão

de quadros. O ar como meio de transmissão preconiza a utilização do modo half-

4 Wireless Fidelity – acesso sem fio de alta velocidade. 5 Worldwide Interoperability for Microwave Access – permite velocidades de até 130Mbps e alcance de 45 Km.

11

duplex de operação para evitar a incidência de colisões e do algoritmo CSMA/CD6

(FILIPPETTI, 2008).

Há dois modos de operação para redes sem fio (FILLIPPETI, 2008):

− Ad Hoc – os dispositivos podem se conectar sem a necessidade de um

ponto de acesso (access point - AP). A Figura 3 mostra a interconexão

destes dispositivos

FIGURA 03 – COMUNICAÇÃO AD HOC FONTE: http://img.vivaolinux.com.br/imagens/artigos/comunidade/ad-hoc.pngAcessado em 05 mar 2011

− Infraestrutura – implica na utilização de um AP conectado a uma rede

cabeada através de um cabo metálico. Os quadros são enviados para o

AP que redireciona para o destino. Dois tipos de serviços são

suportados: BSS (Basic Service Set) onde se utiliza apenas 1 AP para

implementação da WLAN (Wireless LAN) e o ESS (Extended Service

Set) que deve utilizar no mínimo 2 APs para implementar a WLAN.

FIGURA 04 – MODO INFRAESTRUTURA (BSS / ESS)

6 Carrier Sense Multiple Access / Collision Avoidance – Acesso múltiplo com verificação de portadora com anulação / prevenção de colisão.

12

Para que não haja interferência com transmissões de rádio públicas, como

rádios AM/FM, a ANATEL7 define uma faixa de frequência específica e os

fabricantes devem seguir estas normas, não havendo assim a necessidade de licença

para a transmissão (FILLIPPETI, 2008).

A tabela 01 mostra as faixas de frequências liberadas por órgãos reguladores.

TABELA 01 – FAIXA DE FREQUÊNCIAS

Faixa Frequência Nome Exemplos de Dispositivos

900 KHz Industrial, Scientific, Mechanical (ISM) Telefones sem fio antigos

2.4 GHz ISM Telefones mais modernos e dispositivos Wi-

Fi 802.11, 802.11b, 802.11g

5 GHz Unlicensed National Information

Infrastructures (U-NII)

Telefones mais modernos e dispositivos Wi-

Fi 802.11a, 802.11n

FONTE: FILLIPPETI, 2008, p77

O IEEE 802.11 define os padrões a serem utilizados para redes sem fio para

operar tanto em modo ad hoc como infraestrutura. O propósito é definir a

conectividade entre equipamentos que utilizam a tecnologia sem fio. Mais

especificamente também definem procedimentos e regras para garantir a

confiabilidade dos dados que trafegam no meio sem fio. O formato dos quadros MAC

criando convenções, a modulação necessário para o tráfego destes quadros e outros.

(IEEE 802.11, 2007).

As três modulações mais comuns são (FILLIPPETI, 2008):

− FHSS (Frequency Hopping Spread Spectrum) – utiliza as frequências

disponíveis. Evita desta forma a interferência por outros dispositivos

que utilizam a mesma frequência.

− DSSS (Direct Sequence Spread Spectrum) – projetada para operar na

faixa de frequência de 2.4 GHz a 2.4835 GHz, pode trabalhar em até 14

canais (dependendo da região). A tabela 02 mostra as regulamentações

para os países que implementam esta classe de codificação.

7 Agência Nacional de Telecomunicações.

13

TABELA 02 – DSSS CANAIS E FREQUÊNCIAS

FONTE: IEEE 802.11Q, 2007, p 566

No Brasil utilizamos o padrão da FCC (Federal Communications

Commission órgão regulamentador norte americano) com 11 canais.

Estes canais são parcialmente sobrepostos, mas 3 deles não se encontram

(1, 6, 11) e portanto podem ser utilizados em uma mesma WLAN.

− OFDM (Orthogonal Frequency Division Mutiplexing) – projetada para

operar em 5 GHz, permite velocidade de banda de até 54 Mb/s (IEEE

802.1Q, 2007). Podem também utilizar múltiplos canais.

Para configuração de um AP (tanto em modo BSS ou ESS) são necessários

alguns parâmetros para seu funcionamento (FILLIPPETI, 2008):

− Padrão IEEE (a, b, ou g);

− Configuração do canal (1 a 11);

− Configuração do SSID (Service Set Identifier) – é o identificador da

WLAN, formado por 32 caracteres da tabela ASCII. Para o modo ESS

todos os APs participantes devem ter o mesmo SSID.

Os métodos de segurança também devem ser implementados na configuração

de uma rede sem fio.

14

Estes métodos ou padrões estão em constante evolução conforme demanda.

Inicialmente o padrão WEP (Wired Equivalent Privacy) foi criado originalmente pelo

IEEE 802.11, um algoritmo de autenticação e criptográfico. Este método é fraco com

relação a criptografia e autenticação, podendo ser facilmente quebrado. O

comprimento da chave é de 40 ou 104 bits, com um método estático de troca de chaves

(PSK – Static Preshared Keys) facilitando assim seu descobrimento (FILLIPPETI,

2008).

Necessitava-se de um novo método de segurança que suprisse as falhas do

sistema WEP. O IEEE estava trabalhando no padrão 802.11i mas em função da

demora o grupo Wi-fi Alliance8 utilizou parte do que o IEEE já havia desenvolvido e

em cima disto criou o padrão WPA (Wi-fi Protected Access). Este novo padrão inclui a

troca dinâmica de chaves através do protocolo TKIP (Temporal Key Integrity

Protocol) também permite autenticação através de PSK (FILLIPPETI, 2008).

IEEE em 2004 implementou o padrão 802.11i, e no mesmo ano a nisto a Wi-fi

Alliance introduziu o WPA2. Com as mesmas características do WPA com a inclusão

do algoritmo de encriptação AES (Advanced Encryption Standard) onde chaves são

mais extensas com blocos 128 bits que permitem 3 tamanhos de chaves 12, 192 e 256

bits, o WPA2 / 802.11i utilizam uma chave de 128 bits. Oferecendo assim maior

segurança e confiabilidade (Wi-fi Alliance, 2005) dúvida em como referenciar.

2.3 SEGURANÇA

Com o crescente uso da Internet, o aumento de ataques às redes corporativas e

governamentais e a proliferação de vírus tem se intensificado. Apesar da evolução de

tecnologias e a maior conscientização sobre segurança da informação, muitas

empresas e órgãos ainda enfrentam problemas com segurança.

8 Um grupo criado em 1999 sem fins lucrativos com o intuito simplificar e padronizar redes sem fio de alta velocidade, fonte - http://www.wi-fi.org/organization.php acessado em 05 mar 2011.

15

De acordo com a 10ª edição da pesquisa Nacional de Segurança da Informação

33% das companhias não sabem quantificar as perdas decorrentes de falhas na

segurança. A falta de planejamento na área de segurança em 35 % das empresas não

existe. O resultado é que as ações são dedicadas a resolver os problemas e corrigir

falhas (48%), quando encontrados (http://www.modulo.com.br/media, 2006).

A pesquisa ainda revela que 24% das falhas de segurança são causadas por

funcionários, 20% por hackers, problemas com vírus 15% e spam 10% e 8 % fraudes.

Futuramente tem-se um expectativa de aumento dos problemas relacionados a

segurança (77%), problemas com vírus 10 %, spam 15% vazamento de informações

7% e outros 7% com acesso remoto indevido (invasão), entre outros

(http://www.modulo.com.br/media, 2006).

Na figura 05 é possível visualizar as maiores de incidências dos problemas

relacionados à segurança da informação.

FIGURA 05 – MAIORES RELACIONADOS A SEGURANÇA DE INFORMAÇÃO FONTE - http://www.modulo.com.br/media/10a_pesquisa_nacional.pdf, p 07, Acessado em

08 mar 2011 (dúvida na referência, coloco o arquivo pdf? Ou deixo na referência bibliográfica)

Dentro deste cenário faz-se necessária a criação de regras e políticas de

segurança que visem minimizar os problemas enfrentados atualmente.

Duas ferramentas hoje disponíveis no mercado auxiliam na criação destas

regras e políticas o firewall iptables e o proxy squid.

16

2.3.1 Iptables

Primeiramente precisa-se explanar o conceito de firewall, segundo Neto

(2004) um firewall pode ser definido como:

Firewall é um programa que detém autonomia concedida pelo próprio sistema para pré-determinar e disciplinar todo o tipo de tráfego existente entre o mesmo e outros hosts/redes; salvo situações onde o Firewall é um componente de soluções denominado “Firewall in-a-box” , onde neste caso, trata-se não somente de um software e sim de um agrupamento de componentes incluindo software e hardware, ambos projetados sob medida para compor soluções de controle perante o tráfego de um host/rede. (NETO, 2004, p. 9-10).

Tem como objetivo impedir acessos e bloquear passagem de pacotes

indesejados.

A partir kernel9 2.4 do Linux foi introduzido o iptables. Ele é um firewall que

funciona ao nível de pacotes, baseando-se no endereço e porta, tanto de destino quanto

origem. Ele faz comparação de regras para avaliar se o pacote deve ou não passar.

Também pode ser utilizado para monitorar o tráfego na rede, NAT10, redirecionar e

marcar pacotes, entre outros (SILVA, 2007).

O iptables é modular, ou seja, novas funções podem ser agregadas. É

necessário um conhecimento básico de redes TCP/IP e roteamento, para entender e

implementar regras que serão responsáveis por assegurar o sistema. Do controle destas

regras dependerão a segurança do sistema (SILVA, 2007).

O subsistema para pacotes do kernel do Linux é o Netfilter, o iptables é um

conjunto de comandos para sua configuração. É um agrupamento de regras que

processam os pacotes da rede, consiste em combinações de cláusulas que determinam

o destino do pacote. O iptables atua na camada de rede do modelo OSI (PURDY,

2005).

Algumas características do iptables conforme Silva (2004):

9 Núcleo, faz todo o controle do hardware, é a interface entre os programas e o meio físico. 10 Network Address Translation – tradução de endereços, de origem e destino, faz com que 2 redes distintas conversem, geralmente a rede local com a Internet.

17

– Mecanismos internos para rejeitar pacotes mal formados

automaticamente;

– Redirecionamento de portas;

– Masquerading11;

– SNAT / DNAT (modificação dos endereços de origem e destino,

respectivamente);

– Suporta protocolos TCP, UDP e ICMP;

– Manipulação do proxy da rede;

– Detecta fragmentos;

– Limitação das passagens de pacote.

Purdy (2005) define cinco pontos chave no processamento das rotas, conforme

tabela abaixo:

TABELA 03 – PONTOS CHAVE

��

��

��

��

��

�� !��"�#��

FONTE: PURDY, p 8, 2005.

As chains (sequência ou cadeia de regras) determinam o destino dos pacotes, a

operação do firewall. Podem ser embutidas (OUTPUT, INPUT, FORWARD,

11 Mascaramento, faz com que a rede interna possa alcançar a rede externa com endereço válido na Internet

18

PREROUTING, POSTROUTING), ou criadas pelo usuário. Elas representam os

pontos-chave dentro do fluxo do pacote (PURDY, 2005).

As tabelas são os locais para armazenar as regras e as chains. O iptables

contém 3 tabelas:

– NAT – responsável pela tradução de endereços e redirecionamento das

conexões, são baseadas nos endereços de origem e destino. Possui 3

chains embutidas: OUTPUT, PREROUTING e POSTROUTING;

– FILTER – estabelece as políticas para o tráfego dentro, através e fora da

rede (tabela padrão). Também possui 3 chains embutidas: FORWARD,

INPUT e OUTPUT;

– MANGLE – responsável por operações específicas nos pacotes,

modificação do tipo de serviço por exemplo. Chains embutidas:

FORWARD, INPUT, OUTPUT, PREROUTING e POSTROUTING.

As regras são critérios de combinações passados ao iptables para determinar a

ação desejada, quais os pacotes de rede a regra atingirá e quais serão afetados (se serão

bloqueados ou não). De acordo com a origem e destino (pode ser a interface, a porta,

etc.). O processamento é em ordem (top-down) (SILVA, 2007).

A tabela 04 mostra os subcomandos do iptables.

TABELA 04 – SUBCOMANDOS IPTABLES


19

Os alvos definem a ação a ser tomada propriamente dita e também especifica a

regra da chain. A tabela 05 mostra os alvos embutidos e sua descrição.

TABELA 05 – ALVOS EMBUTIDOS DA CHAIN


Purdy (2005) descreve algumas aplicações e técnicas de processamento:

– Rastreamento e estado de Conexão (connection tracking/state):

associação lógica das conexões as quais o pacote pertence, faz o

rastreamento e determina o estado destas conexões através de ciclos de

vida. São interpretações do módulo ip_conntrack. Especifica as regras

de acordo com o estado da conexão com as seguintes opções:

• ESTABLISHED – conexões estabelecidas;

• INVALID – nenhuma conexão rastreada;

• NEW – nova conexão;

• RELATED – nova conexão, porém associado a uma já existente;

– Accountig (contagem) – Automaticamente são contabilizados os pacotes

e bytes de cada regra, é possível assim verificar o tráfego na rede,

sabendo por quais regras o pacote passou (listando as regras através

com a opção iptables –L –v por exemplo);

– NAT (tradução dos endereços) – é a tradução ou mudança de portas e ou

endereços na de pacotes na rede. Executa diversas funções através da

manipulação dos endereços e portas de origem e destino;

20

– SNAT (tradução dos endereços de origem) – compartilhamento de uma

conexão com a Internet com a rede interna, modificando o endereço de

origem das máquinas na rede interna antes do envio do pacote para o

endereço do roteador. Utiliza a chain POSTROUTING. Um tipo

especial de SNAT é o mascaramento (masquerading) utilizado quando

o endereço do roteador é dinâmico.

– DNAT (tradução do endereço de destino) – modifica os endereços de

destino, da rede interna para a Internet. Faz com que o tráfego de

retorno volte para sua origem. Um método específico do DNAT é o

redirecionamento de portas, repassa as conexões de destino de uma

porta para outra no mesmo host. Um método de redirecionamento

muito utilizado é o de proxy transparente, redirecionando todo o tráfego

da Internet da porta 80 para a porta 3128 (porta específica do proxy

squid, assunto do próximo tópico) por exemplo;

– Balanceamento de Carga – com iptables é possível também fazer o

balanceamento de carga, é um refinamento da distribuição, utilizando

estatísticas de cargas das máquinas de destino. Distribuindo conexões

fazendo com que a saída total seja alta. Uma forma simples de

implementar é redirecionando portas, com a seleção no modo round-

robin (carga alternada) no endereço de destino.

2.3.2 Squid

O Squid é um proxy-cache que atua com os protocolos FTP, gopher e HTTP.

Com controle de acesso, autorização e autenticação, ainda suporta SSL e é

multiplataforma. Pode armazenar ainda cache de nomes DNS e realizar o proxi

transparente além de manter meta dados em memória RAM (BASTOS, 2005). Com

isto as consultas a sites que estejam armazenados neste servidor tornam a busca e

21

resposta mais rápidos, por não ser necessário buscar o conteúdo de uma determinada

consulta na rede mundial (Internet).

Por proporcionar todas estas ferramentas o Squid fornece um aumento no

desempenho, acesso e segurança da rede. É uma ferramenta de código aberto em

constante desenvolvimento. Funciona como um intermediário entre uma rede local e a

Internet por exemplo, uma rede externa.

O Squid utiliza para comunicação os protocolos TCP, para comunicação entre

servidores web e o cliente, e ICP para comunicação com servidores de cache. Apenas

uma porta é configurada para enviar requisições e ouvir as respostas (BASTOS, 2005).

A técnica de proxy transparente, mencionada acima, permite que, mesmo que

não haja uma configuração prévia no navegador, as requisições para Internet passem

pelo proxy. Isso é muito útil para evitar que os usuários utilizem outro meio de

comunicação com a Internet senão o proxy. Para que seja possível o funcionamento

um redirecionamento no firewall é necessário. Direcionar todas as requisições da rede

interna na porta 80 (padrão dos serviços www) para a porta 3128 (porta padrão do

Squid). Por exemplo:

# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --

to-port 3128

A autenticação padrão é feita por máquina, mas o Squid permite o controle

também por usuário e senha para liberar o acesso. Pode ser feita de várias maneiras,

NCSA é uma delas, já vem implementado com o Squid através do módulo ncsa_auth e

é simples de ser utilizada. O cadastro de usuários é feito através do utilitário htpasswd.

Para autenticação no proxy alguns parâmetros devem ser habilitados (PINHEIRO,

2006).

Outros métodos de autenticação podem ser implementados, para este trabalho

será utilizado o método de autenticação acima, sua implementação será apresentada na

seção seguinte.

Uma outra funcionalidade interessante que o Squid disponibiliza é o controle

de banda através do recurso delay pools. Por exemplo, se a banda disponível é pouca e

22

uma determinada área dentro de uma instituição necessita de um canal maior para uma

tarefa específica que utilizará um tráfego maior, através de delay pools é possível

determinar para este determinado grupo uma faixa de banda maior do link disponível

para realizar determinada tarefa.

A forma como o Squid controla os acessos e as demais configurações são

através de listas de acesso (ACL). Estas listas são a estrutura deste sistema. Através

delas são realizados bloqueio a sites, usuários, máquinas, etc. Esta parametrização se

dá através do tipo da ACL, abaixo os tipos mais comuns de ACLs (VISOLVE,2006):

– src: origem e destino de endereços IPs

• acl <nome > scr <endereço IP>/ <Máscara>;

– time: restrição de horário:

• acl <nome> time <dia da semana> <horário>

– url_regex: busca expressões regulares em uma URL:

• acl <nome> url_regex –i <expressão>

– port: portas de destino, acesso liberado ou restrito:

• acl <nome> port <num_da_porta>

– proxy_auth: autenticação, com um processo externo (ex: NSCA)

• acl <nome> proxy_auth <nome_do_usuário> ou REQUIRED

– method: conexão em portas seguras, métodos (CONECT, POST e GET)

• acl <nome> method <método>.

Os operadores de acesso são necessários para ativação das regras criadas

através das listas. O operador mais utilizado é o http_access, sua estruturação segue

abaixo, e este formato é praticamente o mesmo para outros operadores (PEARSON,

2006):

– http_access deny|allow [!]<nome_da_acl>

Pode-se permitir ou negar a regra criada, a utilização do “!” significa a

negação do conteúdo da regra.

23

3. METODOLOGIA

Relembro que o objetivo deste relato é a implantação de VLANs para a rede

sem fio da Universidade X com aplicação de algumas regras de acesso. Para que seja

possível alcançar este objetivo as seguintes atividades estão definidas na metodologia:

1. Revisão da literatura;

2. Situação atual na Universidade X;

3. Configuração das redes virtuais:

a) Switch Gerenciável Edge-Core ES3526YA;

b) Configuração do servidor DHCP12 e de roteamento;

c) Implementação de regras de acesso;

4. Testes.

12 Dynamic Host Configuration Protocol – protocolo que oferece configuração automática de

endereços IP

24

3.1 REVISÃO DA LITERATURA

A pesquisa foi realizada através de leituras de artigos, publicações e livros

referentes ao tema para o entendimento do assunto. O produto gerado nesta etapa foi é

apresentado na seção 2.

3.2 SITUAÇÃO DA UNIVERSIDADE X

Atualmente a Universidade X está em projeto de implantação em um outro

setor. Por se tratar de uma instituição pertencente ao Governo Federal as aquisições de

equipamentos são determinadas pela lei nº 8.666 de Junho de 1993 e pelo decreto 5450

(pregão eletrônico).

Uma unidade dentro da universidade é responsável por realizar estas compras.

Esta unidade está passando por um processo de reestruturação, padronizando os

equipamentos informáticos dentro da instituição.

Antigamente os equipamentos eram comprados de acordo com o que

determinada unidade requisitava, sem passar por avaliação da área de tecnologia da

informação (TI). Com isto diferentes tecnologias e plataformas fazem parte do parque

informático na Universidade.

Esta diversidade acaba gerando uma dificuldade na administração e gerencia.

Outro fator importante é que esta mesma unidade gerencia o tráfego da rede e

especifica a banda disponível para o setor em implantação. Os IPs fornecidos são reais,

apenas parte do parque informático está em uma rede privada.

Contrastando com isto o acesso a Internet tem poucas restrições, dificultando

ainda mais a administração dos recursos disponíveis. Alguns dispositivos da rede sem

fio estão com a proteção por chave de segurança e filtro de endereços de MAC e

outros somente com chave de segurança.

25

3.3 CONFIGURAÇÃO DO SWITCH EDGE-CORE ES3526YA

O Edge-Core é um Switch gerenciável de camada 2 com 24 portas 10BASE-

T/100BASE-TX, conta ainda com duas portas Gbps para “empilhamento” de switches

e 2 portas 1000BASE-T integradas com 2 conectores SFP13.

A figura 06 mostra os painéis dianteiro e traseiro do equipamento

FIGURA 06 – PAINÉIS: DIANTEIRO / TRASEIRO SWITCH ES526YA FONTE: MANUAL DE INSTALAÇÃO

Este switch suporta até 255 VLANs, tem suporte para tagged VLANs de

acordo com o IEEE 802.11Q. A figura 07 demonstra as diversas possibilidades para

implementação das redes virtuais.

FIGURA 07 – MODOS DE IMPLEMENTAÇÃO DE VLANs FONTE: MANUAL DO SWITCH

13 Small form-factor pluggable- um transmissor para aplicações usado tanto para

telecomunicações e dados.

26

A configuração do switch pode ser através da porta serial 9 pinos (DB-9),

através da configuração do IP para a VLAN padrão (1), acessando via web ou via

telnet.

O modo escolhido para configuração foi através da entrada serial DB-9 através

do software PuTTy (um cliente SSH) que possibilita o gerenciamento remoto através

de telnet, SSH (Secure Shell) e serial (figura 08 com as configurações do PuTTy para o

acesso serial).

FIGURA 08 – CONFIGURAÇÃO – PUTTY

Na sequência são apresentados os passos para configuração das VLANs:

1 – Configuração da VLAN (Configuração utilizada)

Console#conf

Console(config)#vlan database

Console(config-vlan)#vlan 2 name Vlan2 media ethernet state active




Console(config-vlan)#end

27

2 – Configuração da Portas

Console#conf

Console(config)#int ethernet 1/1

Console(config-if)#switchport allowed vlan add 1 untagged

Console(config-if)#switchport native vlan 1

Console(config-if)#switchport allowed vlan add 2 tagged




Console(config-if)#exit





















A porta 1 do switch foi escolhida como porta de transporte dos pacotes. Como

se percebe na configuração os pacotes nesta porta para todas as Vlans são marcados

como tagged. Esta é a forma de se construir um link de transporte entre as respectivas

redes.

28

Para as portas 2 a 5 os pacotes são marcados como untagged e a vlan nativa é

alterada conforme a porta, esta é a forma para que o pacote possa trafegar em cada

rede.

A figura 09 mostra a configuração armazenada no switch.

FIGURA 09 – CONFIGURAÇÃO DO SWITCH

3.4 CONFIGURAÇÃO DO SERVIDOR DHCP E ROTEAMENTO

Abaixo a configuração do arquivo dhcpd.conf localizado em

/etc/dhcp3/dhcpd.conf

# # Sample configuration file for ISC dhcpd for Debia n # # $Id: dhcpd.conf,v 1.1.1.1 2002/05/21 00:07:44 pel oy Exp $ #

# The ddns-updates-style parameter controls whether or not the server will # attempt to do a DNS update when a lease is confir med. We default to the # behavior of the version 2 packages ('none', since DHCP v2 didn't # have support for DDNS.) ddns-update-style none;

29

# option definitions common to all supported networ ks... option domain-name "example.org"; option domain-name-servers ns1.example.org, ns2.exa mple.org;

default-lease-time 600; max-lease-time 7200;

# If this DHCP server is the official DHCP server f or the local # network, the authoritative directive should be un commented. #authoritative;

# Use this to send dhcp log messages to a different log file (you also # have to hack syslog.conf to complete the redirect ion). log-facility local7;

# No service will be given on this subnet, but decl aring it helps the # DHCP server to understand the network topology.

subnet 10.0.0.0 netmask 255.255.255.192 { range 10.0.0.10 10.0.0.50; option routers 10.0.0.1; option domain-name-servers 200.17.236.29; option broadcast-address 10.0.0.63; } subnet 20.0.0.0 netmask 255.255.255.192 { range 20.0.0.10 20.0.0.50; option routers 20.0.0.1; option domain-name-servers 200.17.236.29; option broadcast-address 20.0.0.63; } subnet 30.0.0.0 netmask 255.255.255.192 { range 30.0.0.10 30.0.0.50; option routers 30.0.0.1; option domain-name-servers 200.17.236.29; option broadcast-address 30.0.0.63; } subnet 40.0.0.0 netmask 255.255.255.192 { range 40.0.0.10 40.0.0.50; option routers 40.0.0.1; option domain-name-servers 200.17.236.29; option broadcast-address 40.0.0.63; }

As interfaces que terão o serviço DHCP ativo devem ser especificadas no

arquivo /etc/default/dhcp3-server:

INTERFACES="eth0.2 eth0.3 eth0.4 eth0.5"

30

Para que o roteamento possa acontecer e os pacotes consigam trafegar deve ser

habilitado no roteador o encaminhamento de pacotes. Pode ser feito de 2 formas:

1 – inserindo 1 no arquivo ip_forward:

# echo 1 > /proc/sys/net/ipv4/ip_forward

2 – alterando o sysctl.conf:

# vi /etc/sysctl.conf, removendo o comentário na linha

net.ipv4.ip_forward = 1

Configuração das Vlans no Debian através do pacote vconfig:

# vconfig add eth0 2




A configuração das interfaces de rede ficam configuradas da seguinte forma:

eth0 Link encap:Ethernet HWaddr 08:00:27:71:5 f:46 inet6 addr: fe80::a00:27ff:fe71:5f46/64 S cope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:94268 errors:0 dropped:0 overr uns:0 frame:0 TX packets:35208 errors:0 dropped:0 overr uns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:25460397 (24.2 MiB) TX bytes:32 289247 (30.7 MiB)

eth1 Link encap:Ethernet HWaddr 08:00:27:b5:b 1:d7 inet addr:200.17.236.40 Bcast:200.17.236 .255

Mask:255.255.255.0 inet6 addr: fe80::a00:27ff:feb5:b1d7/64 S cope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:1182614 errors:0 dropped:0 ove rruns:0 frame:0 TX packets:48213 errors:0 dropped:0 overr uns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:143222796 (136.5 MiB) TX bytes: 7320394 (6.9 MiB)

eth0.2 Link encap:Ethernet HWaddr 08:00:27:71:5 f:46 inet addr:10.0.0.1 Bcast:10.0.0.63 Mask :255.255.255.192 inet6 addr: fe80::a00:27ff:fe71:5f46/64 S cope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:77428 errors:0 dropped:0 overr uns:0 frame:0 TX packets:18165 errors:0 dropped:0 overr uns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:21791122 (20.7 MiB) TX bytes:17 146868 (16.3 MiB)

31

eth0.3 Link encap:Ethernet HWaddr 08:00:27:71:5 f:46 inet addr:20.0.0.1 Bcast:20.0.0.63 Mask :255.255.255.192 inet6 addr: fe80::a00:27ff:fe71:5f46/64 S cope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:801 errors:0 dropped:0 overrun s:0 frame:0 TX packets:681 errors:0 dropped:0 overrun s:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:40050 (39.1 KiB) TX bytes:43844 (42.8 KiB)

eth0.4 Link encap:Ethernet HWaddr 08:00:27:71:5 f:46 inet addr:30.0.0.1 Bcast:30.0.0.63 Mask :255.255.255.192 inet6 addr: fe80::a00:27ff:fe71:5f46/64 S cope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:801 errors:0 dropped:0 overrun s:0 frame:0 TX packets:681 errors:0 dropped:0 overrun s:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:40050 (39.1 KiB) TX bytes:43844 (42.8 KiB)

eth0.5 Link encap:Ethernet HWaddr 08:00:27:71:5 f:46 inet addr:40.0.0.1 Bcast:40.0.0.63 Mask :255.255.255.192 inet6 addr: fe80::a00:27ff:fe71:5f46/64 S cope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:14423 errors:0 dropped:0 overr uns:0 frame:0 TX packets:15631 errors:0 dropped:0 overr uns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:2228351 (2.1 MiB) TX bytes:1504 6717 (14.3 MiB)

lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:136 errors:0 dropped:0 overrun s:0 frame:0 TX packets:136 errors:0 dropped:0 overrun s:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:10320 (10.0 KiB) TX bytes:10320 (10.0 KiB)

3.5 IMPLEMENTAÇÃO DE REGRAS DE ACESSO

Abaixo as regras de configuração de acessos no iptables :

#!/bin/bash

#### CONFIGURAÃ‡ES DO IPTABLES FIREWALL ####

# REDIRECIONAMENTO LIGADO (Forwarding ON) # echo 1 > /proc/sys/net/ipv4/ip_forward

# CARREGANDO MODULOS # modprobe ip_nat_ftp modprobe ip_conntrack_ftp

32

modprobe ip_tables modprobe iptable_nat modprobe ip_conntrack

# LIMPANDO (FLUSH) iptables -t nat -F POSTROUTING iptables -t nat -F PREROUTING iptables -t nat -F OUTPUT iptables -t mangle -F iptables -F

# DEFININDO POLITICAS PADROES iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT

# LIBERAR O TRAFEGO DE REDE PARA O ROTEADOR iptables -A INPUT -i lo -j ACCEPT

#Estabilizando Conexoes iptables -A INPUT -m state --state ESTABLISHED,RE LATED -j ACCEPT #iptables -A FORWARD -m state --state INVALID -j DR OP iptables -A FORWARD -m state --state ESTABLISHED,RE LATED -j ACCEPT #iptables -A FORWARD -m unclean -j DROP

#roteamento entre as vlans para sair iptables -A FORWARD -i eth0.2 -o eth1 -j ACCEPT iptables -A FORWARD -i eth0.3 -o eth1 -j ACCEPT iptables -A FORWARD -i eth0.4 -o eth1 -j ACCEPT iptables -A FORWARD -i eth0.5 -o eth1 -j ACCEPT

#Sai apenas pelo proxy no servidor iptables -A INPUT -s 10.0.0.0/26 -p tcp -d 10.0.0.1 /26 --dport 3128 -j ACCEPT iptables -A INPUT -s 20.0.0.0/26 -p tcp -d 20.0.0.1 /26 --dport 3128 -j ACCEPT iptables -A INPUT -s 30.0.0.0/26 -p tcp -d 30.0.0.1 /26 --dport 3128 -j ACCEPT iptables -A INPUT -s 40.0.0.0/26 -p tcp -d 40.0.0.1 /26 --dport 3128 -j ACCEPT

#Gerando os Logs iptables -A INPUT -s 40.0.0.0/26 -j LOG --log-lev el 4 --log-prefix "INPUT_LOG: " iptables -A INPUT -s 30.0.0.0/26 -j LOG --log-lev el 4 --log-prefix "INPUT_LOG: " iptables -A INPUT -s 20.0.0.0/26 -j LOG --log-lev el 4 --log-prefix "INPUT_LOG: " iptables -A INPUT -s 10.0.0.0/26 -j LOG --log-lev el 4 --log-prefix "INPUT_LOG: " iptables -A FORWARD -i eth0.4 -j LOG --log-level 4 --log-prefix "FORWARD_LOG: "

#FIM!!!

33

echo -e ' Firewall \t\t \E[32m[ OK ' ]; tput sgr 0 #

Estas regras definem basicamente o acesso a rede mundial, a maneira como a

rede interna acessará a internet através do responsável pelo roteamento de cada rede.

Regras de registros de nível 4, registra os pacotes com status de aviso, também foram

criadas para a sequência INPUT e FORWARD.

Para o acesso no navegador da internet as regras principais do squid foram

implementadas da seguinte forma:

auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/passwd auth_param basic children 5 auth_param basic realm SQUID - Digite seu usuario auth_param basic credentialsttl 2 hours

#Recommended minimum configuration: acl manager proto cache_object acl localhost src 127.0.0.1/32 acl to_localhost dst 127.0.0.0/8 #

#REDES DA VLAN acl localnet1 src 10.0.0.0/26 # RFC1918 possible in ternal network acl localnet2 src 20.0.0.0/26 # RFC1918 possible in ternal network acl localnet3 src 30.0.0.0/26 # RFC1918 possible in ternal network acl localnet src 40.0.0.0/26 #UsuÃ¡rios acl usuarios proxy_auth REQUIRED acl gti proxy_auth -i "/etc/squid3/gti" REQUIRED #downloads proibidos acl download url_regex -i .exe$ .mp3$ .tar.gz$ .gz$ .zip$ .rar$ .avi$ .mpeg$ .mpg$ .qt$ .ram$ .rm$ .iso$ .raw$ .wav $ #acessos restritos acl sites_bloqueados url_regex -i "/etc/squid3/site s_bloqueados" acl palavras_bloqueadas url_regex -i "/etc/squid3/palavras_bloqueadas"

# acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered portsacl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http

34

acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT

#Recommended minimum configuration: # # Only allow cachemgr access from localhost http_access allow manager localhost http_access deny manager # Deny requests to unknown ports http_access deny !Safe_ports # Deny CONNECT to other than SSL ports http_access deny CONNECT !SSL_ports # # from where browsing should be allowed http_access allow gti http_access deny download http_access deny palavras_bloqueadas http_access deny sites_bloqueados http_access allow usuarios http_access allow localnet http_access allow localnet1 http_access allow localnet2 http_access allow localnet3 http_access allow localhost

Definindo o método de autenticação e o modo de acesso as redes e conteúdos,

restringindo inclusive o download.

Os arquivos contendo palavras bloqueadas e sites bloqueados:

Palavras_bloqueadas:

sexo suruba hardcore ninfeta jogo game

Sites_bloqueados:

.playboy.com.

.sexy.com.

.youtube.com

.facebook.com.

.orkut.com.

.twitter.com

35

3.6 TESTES

Para validação das regras implementadas foram realizados testes de acesso e

comunicação entre as redes. Ferramentas comuns como os comandos ping, que utiliza

o protocolo ICMP e é responsável por testar a conexão até a camada de rede,

traceroute que mostra a rota possível que um pacote pode percorrer foram utilizadas.

As figuras 10 e 11 mostram que as tentativas de acesso ao gateway da rede são

impedidas, mas a sua rede não, validando as regras de acesso.

FIGURA 10 - TRACEROUTE

FIGURA 11 - PING

36

Após validado o acesso inter redes, o próximo passo foi o teste com a internet,

conforme a subseção 3.5. A configuração do Squid valida um usuário limitado com

acesso restrito.

Para isso cada rede deve configurar o servidor proxy em seu navegador.

Validando a saída da rede interna para externa apenas pela porta 3128 de cada

gateway, conforme figura 12 abaixo (no exemplo o navegador Firefox foi utilizado).

FIGURA 12 – CONFIGURAÇÃO DO SERVIDOR PROXY

Será solicitado um usuário e senha para autenticar o acesso para que a

navegação possa ocorrer, a figura 13 mostra esta solicitação.

FIGURA 13 – SOLICITAÇÃO DE AUTENTICAÇÃO

37

Após autenticado o usuário, as regras passam a vigorar, como demonstrado na

subseção 3.5. As restrições de acesso para o usuário limitado são validadas.

FIGURA 14 – ACESSO NEGADO – PALAVRA BLOQUEADA

A figura 14 acima mostra a restrição quando a palavra restrita “sexo” foi

solicitada.

O acesso a sites também é controlado, a figura 15 mostra o acesso negado para

uma consulta a um site bloqueado pela regra.

FIGURA 15 – ACESSO NEGADO – SITE BLOQUEADO

38

Os acessos a downloads também foram restritos para o usuário limitado

validando a regra para restringir download de determinadas extensões. A figura 16

exibe a mensagem de erro ao se tentar baixar um arquivo com restrição de extensão.

FIGURA 16 – RESTRIÇÃO DE DOWNLOAD POR EXTENSÃO

Como se pode verificar o usuário tentou realizar um download de um arquivo

com extensão .exe, que conforme a regra apresentada na subseção 3.5 é restrito.

39

4. RESULTADOS

A implementação das redes virtuais na Universidade X permitirá o isolamento

das redes sem fio. Desta forma a cada dispositivo wireless gera seu próprio domínio de

broadcast conseguindo desta forma uma melhora no desempenho da rede. Aliado a

utilização do Squid e do firewall Iptables, com restrição ao acesso a determinados

downloads e acesso a alguns sites de conteúdo duvidoso.

Obtém-se rá ainda um aumento na segurança da instituição como um todo.

Conforme acima mencionado, o isolamento da rede por VLANS, em caso de uma

infecção por vírus ou algum programa malicioso afetará apenas o segmento atacado,

não propagando para outros setores dentro da instituição.

Isto ainda será minimizado com a introdução das regras de acesso

implementadas no proxy Squid em conjunto com as regras do Iptables, reduzindo

assim os ataques e infecções. Contribuindo também no processo de desinfecção e / ou

correção de possíveis falhas de segurança em segmentos menores.

O fato de contribuir na verificação não solucionará o problema totalmente,

pois o número de hosts que se conecta a cada dispositivo dentro da Universidade é

muito grande. O mesmo host pode se conectar a outro segmento e propagar o

problema caso não seja identificado a tempo.

Efetivamente o resultado será positivo, antigamente o acesso a estas redes era

liberado sem nenhum controle ou restrição. Os recursos oferecidos aos alunos da

instituição são os de pesquisa para aprimoramento do conhecimento. Haverá um ganho

da disponibilização de serviços da rede mundial específicos para este fim.

Os testes realizados demonstraram a eficiência e a validade da implementação

deste sistema, como um mecanismo que auxilie na utilização da rede.

40

5. CONCLUSÃO

Este projeto teve como objetivo principal implementar as VLANS e

juntamente com algumas regras de acesso para a Universidade X. Restringindo o

acesso a conteúdos duvidosos e reduzindo os domínios de broadcast. Com isso

aumentando a disponibilidade da rede e diminuindo a incidência de possíveis ataques.

Os resultados obtidos com os testes realizados, com os cenários gerados na

subseção 3.6 demonstraram a eficiência deste sistema de redes virtuais, confirmando

sua necessidade no ambiente encontrado na Universidade X.

Sua total implementação não foi definida, há um projeto em andamento para

restruturação da rede, solicitado pelo setor principal da Universidade. Neste projeto a

rede sofrerá grande alteração.

Para trabalhos futuros sugere-se:

– Um controle de acesso mais específico, para cada aluno ter seu próprio

acesso, atrelado a um usuário padrão na rede da Universidade;

– Controle de banda, para determinadas redes a largura de banda

disponível pode ser aumentada, em função de tarefas específicas que

necessitem de uma disponibilidade com menor tempo na rede;

– A utilização de ferramentas de rastreamento, para determinar possíveis

ameaças em máquinas de alunos dentro do campus.

41

REFERÊNCIAS

BASTOS, Eri Ramos. Configurando um Squid “Ninja”. LinuxMan, 2005. Disponível em: http://www.linuxman.pro.br/squid/squid-ninja.pdf. Acesso em: 20 abr 2011.

CISCO SYSTEM INC. Programa da Cisco Networking Academy. CCNA3: Conceitos Básicos de Switching e Roteamento Intermediário v3.1, 2003.

FILLIPPETI, Marco Aurélio, CCNA 4.1 Guia Completo de Estudo.Florianópolis: Visual Books, 2008.

IEEE STANDARDS ASSOCIATION. IEEE Standards for Local and Metropolitan Area Networks, 2007. Disponível em: http://standards.ieee.org/getieee802/download/802.11-2007.pdf. Acesso em: 06 mar 2011.

MODULO. 10ª PESQUISA NACIONAL DE SEGURANÇA DA INFORMAÇÃO, 2006. Disponível em: http://www.modulo.com.br/media/10a_pesquisa_nacional.pdf. Acesso em: 08 mar 2011.

PEARSON, Oskar. Access Control and Access Control Operators. Squid User’s Guide., África do Sul, 2006. Disponível em: http://www.deckle.co.za/squid-users-guide/Access_Control_and_Access_Control_Operators#Access_Classes_and_Operators. Acesso em: 20 abr 2011.

PINHEIRO, Antonio Claudio Sales. Uso e configuração do Squid – Parte 1. Squid-cache.org.br A casa Brasileira do Squid, 2006. Disponível em: http://www.squid-cache.org.br/index.php?option=com_content&task=view&id=81&Itemid=27. Acesso em: 20 abr 2011.

PURDY, Gregor N., Linux iptables Guia de Bolso. Rio de Janeiro: Alta Books, 2005.

TANENBAUM, Andrew S., Redes de Computadores.4 ed.: Campus, 2003.

VISOLVE OPEN SOURCE SOLUTIONS. Squid 2.4 Configuration Manual, 2002. Disponível em: http://www.visolve.com/squid/squid24s1/access_controls.php. Acesso em: 20 abr 2011.

42

WI-FI ALLIANCE , Deploying Wi-Fi Protected Access (WPA™) and WPA2™ in the Enterprise. Disponível em: http://www.wi-fi.org/files/wp_9_WPA-WPA2%20Implementation_2-27-05.pdf . Acesso em: 06 mar. 2011.

Marlos Henrique Sotto Maior -...

Documents

Transcript of Marlos Henrique Sotto Maior -...