FUNDAÇÃO COMUNITÁRIA TRICORDIANA DE EDUCAÇÃODecretos Estaduais n.º 9.843/66 e n.º 16.719/74 e Parecer CEE/MG n.º 99/93
UNIVERSIDADE VALE DO RIO VERDE DE TRÊS CORAÇÕESDecreto Estadual n.º 40.229, de 29/12/1998
Pró-Reitoria de Pós-Graduação, Pesquisa e Extensão.
SEGURANÇA EM REDE WIRELESS: Através da Ferramenta Mikrotik RouterOS
Três Corações2012
MOARA NASCIMENTO SILVARÔMULO RAIMUNDO DE ANDRADE ROTONDARO
SEGURANÇA EM REDE WIRELESS: Através da Ferramenta Mikrotik RouterOS
Projeto de Conclusão de Curso apresentado ao Programa de Graduação em Ciência da Computação da Universidade Vale do Rio Verde, como requisito obrigatório da disciplina Projeto II.
Orientador
Prof. Esp. Paulo Roberto Mendes
Três Corações2012
AGRADECIMENTOS
Primeiramente, agradeço a Deus por toda essa conquista. Pois sem ele,
definitivamente eu não estaria aqui. Pois, graças a Deus eu pude concluir não só o Curso de
Ciência da Computação, mas também o ano de 2012. A minha maior vitória nesta vida foi ter
chegado ao fim deste ano, com saúde e podendo celebrar esta graduação. Pois foi Deus quem
planejou que minha hora ainda não havia chegado, e eu continuaria a viver.
Agradeço a minha mãe, meu exemplo de mulher, de pessoa... Minha melhor
amiga, que sempre esteve e eu sei que sempre estará ao meu lado. Obrigada Mãe, minha
heroína. À toda minha família, meu pai, minha irmã amada... o que seria de mim sem vocês,
meus amores. À minha tia Elaine em especial, por ter tornado meu sonho realidade, sem ela
nada disso seria possível.
Ao meu amor, meu amado noivo Wender, que participou de todo esse percurso,
pela paciência e compreensão nas muitas ausências, pelo carinho e pelo amor.
Agradeço também ao meu grande amigo, que lutou ao meu lado durante esses
quatro anos, Rômulo que, sem ele talvez a caminhada seria bem mais difícil. Principalmente
por ter sido um grande amigo quando precisei, nos momentos mais difíceis ter sido aquele que
mais me ajudou.
Aos professores Paulo e Iliana, que nos orientaram como verdadeiros pais e nos
auxiliaram nesta jornada, vivenciando hoje a nossa vitória. A todos os alunos do curso
Ciência da Computação, que durante esses quatro anos, tornaram-se muito mais que amigos,
se fizeram minha família.
A todos o meu muito obrigado.
Moara Nascimento Silva
Chegou o fim de um ciclo de uma grande realização, tanto para mim quanto para todos
que estiveram ao meu redor. Não foi apenas uma vitória pessoal, mais de toda minha família,
que sempre me apoio, me deu força nessa jornada, um sonho meu que é de todos eles juntos.
Por isso tenho muito a agradecer, primeiramente aquele que está sempre na minha frente, para
me guiar, do meu lado, para me acompanhar e na minha retaguarda, para sempre me proteger
“DEUS”, obrigado pela força senhor e por essa oportunidade em minha vida. Aos meus
queridos pais e querida irmã, sempre me dando força e fazendo de tudo para que eu sempre
realize meus sonhos, a minha amada Elisângela que esteve todo esse tempo do meu lado me
dando força, incentivo, tendo toda paciência do mundo e um companheirismo sem igual, aos
meus familiares que sempre estão ao meu lado para o que der e vier. Meu Avô Jorge, sempre
esteve presente quando precisei de seu apoio.
Aos amigos de sala, que estiveram nessa jornada de desafios e dificuldades, que
conseguimos vencer e o resultado de tudo isso serão dias de GLORIA, mais entre todos em
especial aos grandes amigos, Edvaldo, Welder e Moara, que nesse período formamos uma
equipe, que sempre buscou o Maximo em todas as missões que nos foi dada, assim formamos
uma verdadeira “ELITE”, sem vocês não conseguiria estar aqui. Aos meus pupilos do Karatê,
pelos quais criei um verdadeiro apego e hoje fazem de mim um homem mais comprometido,
confiante e responsável com meus compromissos. A nossa querida universidade UNINCOR,
onde passei momentos de muita alegria com toda essa turma, aos professores pelos
ensinamentos passados, pela dedicação e compreensão, mais em principal ao professor Paulo
Roberto, por toda amizade e companheirismo nessa jornada e pela brilhante orientação para
minha conclusão no curso. Obrigado a todos vocês! Por fim deixo um trecho de uma música
que faz referencia a tudo que passei e irei passar daqui a diante. “...A vida me ensinou a nunca
desistir, nem ganhar, nem perder mas procurar evoluir.Podem me tirar tudo que tenho, só não
podem me tirar as coisas boas que eu já fiz pra quem eu amo...”
Rômulo Raimundo de Andrade Rotondaro
“O único lugar onde o sucessovem antes do trabalho é no dicionário.”
Albert Einstein
SUMÁRIO
Lista de Ilustrações............................................................................................................Pág. 10
Lista de Abreviaturas, Siglas e Símbolos..........................................................................Pág. 12
Resumo..............................................................................................................................Pág. 14
Abstract..............................................................................................................................Pág. 15
1. Introdução....................................................................................................................Pág. 16
2. Revisão de literatura....................................................................................................Pág. 17
2.1. Redes de Computadores............................................................................................Pág. 17
2.1.1. O Modelo OSI........................................................................................................Pág. 17
a) A Camada Física............................................................................................................Pág. 18
b) A camada de Enlace......................................................................................................Pág. 18
c) A camada de Rede.........................................................................................................Pág. 19
........................................................................................................................................................
........................................................................................................................................................
........................................................................................................................................................
........................................................................................................................................................
........................................................................................................................................................
........................................................................................................................................................
........................................................................................................................................................
d) A camada de Transporte................................................................................................Pág. 19
e) A camada de Sessão.......................................................................................................Pág. 19
f) A camada de Apresentação............................................................................................Pág. 20
g) A camada de Aplicação.................................................................................................Pág. 20
2.1.2. Linhas de Comunicação.........................................................................................Pág. 20
a) Ligações Ponto a Ponto..................................................................................................Pág. 20
........................................................................................................................................................
........................................................................................................................................................
........................................................................................................................................................
b) Ligações Multiponto......................................................................................................Pág. 21
c) Modos de transmissão de dados.....................................................................................Pág. 21
2.1.3. Topologias de rede.................................................................................................Pág. 22
a) Topologia em estrela......................................................................................................Pág. 23
........................................................................................................................................................
........................................................................................................................................................
........................................................................................................................................................
b) Topologia em anel.........................................................................................................Pág. 23
c) Topologia em barramento..............................................................................................Pág. 24
2.1.4. Tipos de Rede........................................................................................................Pág. 24
a) Rede LAN......................................................................................................................Pág. 24
........................................................................................................................................................
........................................................................................................................................................
b) Rede MAN.....................................................................................................................Pág. 24
c) Rede WAN.....................................................................................................................Pág. 24
2.2. Redes Sem Fio..........................................................................................................Pág. 25
2.2.1. Padrões atuais de Redes Sem Fios.........................................................................Pág. 25
a) Padrão 802.11b..............................................................................................................Pág. 25
b) Padrão 802.11a .............................................................................................................Pág. 26
c) Padrão 802.11g .............................................................................................................Pág. 26
d) Padrão 802.11e .............................................................................................................Pág. 27
e) Padrão 802.11f ..............................................................................................................Pág. 27
f) Padrão 802.11i ...............................................................................................................Pág. 27
g) Padrão 802.11n .............................................................................................................Pág. 28
2.2.2. Redes de Computadores.........................................................................................Pág. 28
a) Topologia estruturada....................................................................................................Pág. 28
b) Topologia ad hoc ..........................................................................................................Pág. 28
2.3. Segurança em Redes Sem Fio...................................................................................Pág. 28
2.3.1. Política de Segurança.............................................................................................Pág. 29
2.3.2. Criptografia............................................................................................................Pág. 29
a) WEP – Wired Equivalent Privacity...............................................................................Pág. 29
b) WPA – Wi-Fi Protected Access....................................................................................Pág. 30
c) WPA2 – Wi-Fi Protected Access 2................................................................................Pág. 30
2.3.3. Endereçamento Mac...............................................................................................Pág. 30
2.3.4. Firewall..................................................................................................................Pág. 30
2.3.5. Proxy......................................................................................................................Pág. 30
2.3.6. Riscos e ameaças....................................................................................................Pág. 31
a) Problemas de segurança física.......................................................................................Pág. 31
b) Configurações de fábrica...............................................................................................Pág. 31
c) Envio e recepção do sinal..............................................................................................Pág. 31
d) Negação de serviço........................................................................................................Pág. 31
e) Equipamentos sem fio em ambientes cabeados.............................................................Pág. 32
2.3.7. Métodos de defesa..................................................................................................Pág. 32
a) Configurações do concentrador.....................................................................................Pág. 32
b) Desabilitar o acesso ao concentrador via rede sem fio..................................................Pág. 32
c) Configurações dos clientes............................................................................................Pág. 32
2.4. Mikrotik....................................................................................................................Pág. 32
2.4.1. Principais Características do Mikrotik...................................................................Pág. 33
3. Justificativa..................................................................................................................Pág. 34
4. Objetivos......................................................................................................................Pág. 35
4.1. Objetivos Gerais..........................................................................................................Pág. 35
4.2. Objetivos Específicos..................................................................................................Pág. 35
5. Materiais e Métodos.....................................................................................................Pág. 36
5.1. Projeto lógico..............................................................................................................Pág. 36
5.1.1. Especificação da rede existente.............................................................................Pág. 36
5.1.2. Requisitos de segurança.........................................................................................Pág. 36
5.2. Recursos de hardware.................................................................................................Pág. 36
5.3. Recursos de software..................................................................................................Pág. 38
5.4. Recursos humanos......................................................................................................Pág. 38
5.5. Cronograma.................................................................................................................Pág. 39
5.6. Projeto físico...............................................................................................................Pág. 40
6. Resultados e Discussão................................................................................................Pág. 42
6.1. Instalação do Mikrotik e configurações iniciais.........................................................Pág. 42
6.2. Winbox........................................................................................................................Pág. 42
6.3. Conexão com a Internet..............................................................................................Pág. 44
6.4. Proxy...........................................................................................................................Pág. 47
6.5. Controle de banda.......................................................................................................Pág. 50
6.6. Controle de acesso......................................................................................................Pág. 50
6.7. Configuração Wireless................................................................................................Pág. 53
7. Conclusão.....................................................................................................................Pág. 56
8. Sugestão para Trabalhos Futuros.................................................................................Pág. 57
9. Referência Bibliográfica..............................................................................................Pág. 58
10
LISTA DE ILUSTRAÇÕES
FIGURA 1 – Como funciona a comunicação entre as camadas do modelo OSI.............Pág. 17
FIGURA 2 – Ligações ponto a ponto..............................................................................Pág. 21
FIGURA 3 – Ligações multiponto...................................................................................Pág. 21
FIGURA 4 – Comunicação simplex, half-duplex e full-duplex.......................................Pág. 22
FIGURA 5 – Topologia em estrela...................................................................................Pág. 23
FIGURA 6 – Topologia em anel......................................................................................Pág. 23
FIGURA 7 – Topologia em barramento...........................................................................Pág. 24
FIGURA 8 – Especificação da rede existente...................................................................Pág. 36
FIGURA 9 – Servidor Mikrotik.......................................................................................Pág. 37
FIGURA 10 – Placa de rede Wireless..............................................................................Pág. 37
FIGURA 11 – Notebooks clientes da rede.......................................................................Pág. 38
FIGURA 12 – Login Mikrotik..........................................................................................Pág. 40
FIGURA 13 – Interface Mirkotik.....................................................................................Pág. 40
FIGURA 14 – Interface Winbox......................................................................................Pág. 41
FIGURA 15 – Configuração de IPs..................................................................................Pág. 42
FIGURA 16 – Tela de identificação do Winbox..............................................................Pág. 42
FIGURA 17 – Tela de acesso Winbox..............................................................................Pág. 43
FIGURA 18 – Alteração da senha padrão........................................................................Pág. 43
FIGURA 19 – Configuração do IP...................................................................................Pág. 44
FIGURA 20 – Configuração da Bridge............................................................................Pág. 44
FIGURA 21 – Configuração do Gateway.........................................................................Pág. 45
FIGURA 22 – Configuração do DNS...............................................................................Pág. 45
11
FIGURA 23 – Teste de conectividade com a internet......................................................Pág. 46
FIGURA 24 – Configuração NAT....................................................................................Pág. 46
FIGURA 25 – Criação de servidor DHCP........................................................................Pág. 47
FIGURA 26 – Configuração do Web Proxy ....................................................................Pág. 48
FIGURA 27 – Seleção do Tamanho da memória Cache..................................................Pág. 48
FIGURA 28 – Redirecionamento de porta.......................................................................Pág. 49
FIGURA 29 – Bloqueio de site.........................................................................................Pág. 49
FIGURA 30 – Controle de banda ....................................................................................Pág. 50
FIGURA 31 – Configuração do Hotspot..........................................................................Pág. 51
FIGURA 32 – Cadastro de usuários no Hotspot...............................................................Pág. 51
FIGURA 33 – Tela inicial do Navegador com controle de acesso...................................Pág. 52
FIGURA 34 – Tela inicial após login...............................................................................Pág. 52
FIGURA 35 – Configuração Wireless..............................................................................Pág. 53
FIGURA 36 – Configuração da chave WPA....................................................................Pág. 54
FIGURA 37 – Ativando a chave para a rede....................................................................Pág. 54
FIGURA 38 – Conectando com a chave WPA.................................................................Pág. 55
FIGURA 39 – Conexão bem sucedida na rede.................................................................Pág. 55
QUADRO 1 – Associação entre canal e respectiva frequência........................................Pág. 27
12
LISTA DE ABREVIATURAS, SIGLAS E SÍMBOLOS
4G Quarta geração de telefonia móvel
AES Advanced Encryption Standard
AP Access Point
BGP Border Gateway Protocol
CCMP Counter Mode CBC MAC Protocol
CFP Contention Free Period
CRC Controle de redundância cíclico
DFWMAC Distributed Foundation Wireless Medium Access Control
DHCP Dynamic Host Configuration Protocol
DNS Domain Name System
EAP Extensible Authentication Protocol.
GB GigaByte
GHz Gigahertz
HD Hard Disk
HTTP Protocolo de transferência de Hipertexto.
IAPP Inter-Access Point Protocol
IEEE Instituto de Engenheiros Eletricistas e Eletrônicos.
IPX/SPX Protocolo proprietário da Novell que opera na camada de rede
ISO International Standards Organization.
ISP Internet Service Provider
LAN Local Area Network
MAC Medium Access Control
MAN Metropolitan Area Network
Mbps Megabit por Segundo
Mhz Megahertz
MIMO-OFDM Multiple Imput, Multiple Out OFDM
NAT Network Address Translation
OFDM Orthogonal Frequency-Division multiplexing
OSI Open Systems Interconections
OSPF Open Shortest Path First
PDU Protocol Data Unit
13
Qos Qualidade de Serviço
RC4 Algoritmo de Criptografia de Fluxo
RFID Radio-Frequency Identification
RIP Routing Information Protocol
SSID Service Set Identifier
TCC Trabalho de Conclusão de Curso
TCP/IP Conjunto de protocolos de comunicação entre computadores em rede
TKIP Temporal Key Integrity Protocol
VRRP Virtual Router Redundancy Protocol
WAN Wide Area Network
WDS Wireless Distribution System
WEP Wired Equivalent Privacy
WIFI Wireless Fidelity
WiMAX Worldwide Interoperability for Microwave Access/Interoperabilidade
Mundial para Acesso de Micro-ondas.
WPA Wi-Fi Protected Access.
WWiSE World Wide Spectrum Efficiency.
XOR Ou exclusivo
14
RESUMO
SILVA, Moara Nascimento; ROTONDARO, Rômulo Raimundo de Andrade. Segurança em rede wireless através da ferramenta Mikrotik RoterOS. 2012. 58 p. (Trabalho de Conclusão de Curso – Graduação em Ciência da Computação). Universidade Vale do Rio Verde – UNINCOR – Três Corações – MG*
As redes sem fio a cada dia tem se incorporado mais no cotidiano das pessoas. Esse tipo de tecnologia é muito prática e facilita a utilização das redes pelo fato de romper com as barreiras físicas. Porém, com essa facilidade de acesso vem também a facilidade de invasão de tais redes, sendo então necessária uma maior preocupação com o quesito de segurança. O projeto tem por finalidade explorar maneiras de implantar através do Mikrotik RouterOs uma maior segurança no gerenciamento de redes wireless, com ferramentas de controle de acesso, Proxy, bloqueio de sites, chaves de segurança, entre outros.
Palavras-chave: Segurança; Mikrotik RouterOS.
______________________________________________*Orientador: Prof. Paulo Roberto Mendes – UNINCOR.
15
ABSTRACT
SILVA, Moara Nascimento; ROTONDARO, Rômulo Raimundo de Andrade. Wireless Network Secutity through the Mikrotik RouterOS tool. 2012. 58 p. (Conclusion Course Work – Graduation in Computer Science). Universidade Vale do Rio Verde – UNINCOR – Três Corações – MG*
The wireless networks each day has embedded more in people’s everyday life. This type of technology is very practical and facilitates the network’s use because breaks the physical barriers. However, with this ease of access comes also the ease of invasion of such networks, being then required a greater concern for the safety question. The project is intended to explore ways to deploy through the Mikrotik RouterOS more security in wireless networks managing with access control tools, Proxy, website blocking, security keys, among others.
Keywords: Security; Mikrotik RouteOS.
______________________________________________*Guidance: Prof. Paulo Roberto Mendes – UNINCOR.
16
17
1. INTRODUÇÃO
As redes sem fio ou Wireless, vêm cada dia mais se tornando popular para todos os
usuários, desde usuários iniciantes, até os mais avançados. Esse recurso se tornou acessível à
empresas, faculdades, hotéis, aeroportos, praças de grandes cidades, shop e entre outros
lugares públicos e até mesmo para o uso residencial, já que proporciona uma facilidade para o
usuário. Comparada as redes cabeadas traz vantagens em relação a mobilidade e flexibilidade
de troca de pontos de acesso, sem a necessidade de emaranhado de cabos.
As redes sem fio nos dias de hoje, tem tido um papel vantajoso na sua utilização,
principalmente em lugares como conferências, aeroportos, cafés, hotéis, escritórios,
convenções, entre outras. Onde podemos acessar qualquer informação em tempo real, através
de qualquer equipamento que possua uma tecnologia WIFI.
Com isso, usuários domésticos e até administradores de redes adotam essa nova
tecnologia, sem mesmo compreender os riscos e as medidas de segurança recomendáveis,
pois apesar de todas essas vantagens, a maior preocupação com as redes sem fio e sua
segurança. Pois seu sinal e transmitido no ar, através de sinais de rádio. Por isso devemos
tomar algumas medidas de segurança, um fator importante e a distância, pois dependendo do
equipamento, seu sinal pode alcançar uma área muito grande, assim então, qualquer pessoa
que esteja nessa área com um equipamento, pode interceptar seu sinal.
O objetivo deste trabalho é mostrar aos usuários alguns meios de segurança que devem
ser tomados na utilização dessa tecnologia, para prevenção de ataques na rede. O objetivo
principal do TCC e mostrar o funcionamento do MIKROTIK como uma ferramenta de
segurança. Utilizando como Firewall, Proxy, Hotspot e Roteador, para trazer uma maior
segurança à rede e também utilizá-lo para monitorar o trafego da rede, controlando banda,
bloquear acesso a sites, controle de usuários que utilizaram a rede e criptografia.
18
2. REVISÃO DE LITERATURA
2.1 - Redes de Computadores
“[...] um conjunto de computadores autônomos interconectados por uma única
tecnologia” (TANENBAUM , 2003, p. 18).
Uma rede de computadores é formada, segundo Soares, Lemos e Colcher (1995), por
um conjunto de módulos processadores capazes de compartilhar recursos através da troca de
informações. Esses módulos são interligados por um sistema de comunicação.
O objetivo básico de uma rede de computadores, de acordo com Tarouco (1984), é
permitir que tarefas executadas em determinado centro tenham acesso a dados e utilizem com
interatividade programas que estejam sendo executados em outros computadores que estejam
conectados na rede.
2.1.1 - O Modelo OSI
[...] Esse modelo se baseia em uma proposta desenvolvida pela ISO (International Standards Organization) como um primeiro passo em direção a padronização internacional dos protocolos empregados nas diversas camadas (Day e Zimmermann, 1983). Ele foi revisto em 1995 (Day, 1995). O modelo é chamado Modelo de Referência ISO OSI (Open Systems Interconnection), pois ele trata da interconexão de sistemas abertos — ou seja, sistemas que estão abertos a comunicação com outros sistemas [...] (TANENBAUM , 2003, p. 47).
FIGURA 1 - Como funciona a comunicação entre as camadas do modelo OSIFonte: TORRES, Gabriel. – “ Redes de Computadores Curso Completo”
19
O modelo de referência OSI por si só não define a arquitetura de uma rede, ressaltam
Soares, Lemos e Colcher (1995). Ele apenas define a função de cada camada, sem especificar
com exatidão os serviços e protocolos de cada uma delas. Porém a ISO produz continuamente
documentos que definem serviços e protocolos de cada uma das camadas do seu modelo de
referência, que são fabricados com padrões internacionais distintos.
Porém, de acordo com Torres (2001), a maioria dos protocolos existentes atualmente,
como por exemplo o TCP/IP, o IPX/SPX e o NetBEUI não seguem o modelo OSI fielmente.
Ele se trata de um modelo de referência, extremamente didático que tem por finalidade
demonstrar como seria o funcionamento de um modelo ideal. O modelo OSI é composto por
sete camadas, que são:
a) Camada Física
Segundo Tanenbaum (2003) a camada física de uma rede consiste na transmissão de
bits por um canal de comunicação. Sendo assim, o projeto da rede deve garantir que o bit
enviado seja o mesmo recebido do outro lado. Para isso ocorrer, as questões mais comuns são
a voltagem a ser utilizada na representação de um bit 0 e um bit 1, a quantidade que um bit vai
durar em nanossegundos, a forma que a conexão será estabelecida e encerrada, a possibilidade
da transmissão ser realizada nos dois sentidos simultaneamente e quantos pinos o conector de
rede terá. As questões de projeto lidam em grande parte com interfaces mecânicas e com o
meio físico de transmissão que se situa abaixo da camada física.
“A função do nível físico é permitir o envio de uma cadeia de bits pela rede sem se
preocupar com o seu significado ou com a forma como esses bits são agrupados. Não é função
desse nível tratar de problemas tais como erros de transmissão”(SOARES; LEMOS;
COLCHER, 1995, p. 133).
b) Camada Enlace de Dados
Segundo Torres (2001), a camada de enlace pega os pacotes recebidos da camada de
rede, adiciona informações como o endereço das placas de origem e destino, dados de
controle, os dados em si e o CRC. Após esse processo, os dados são transformados em
quadros que são trafegados pela rede.
Entre as funções do nível de enlace, encontra-se a de criar e reconhecer os limites dos quadros. Basicamente quatro métodos são utilizados na delimitação dos quadros: contagem de caracter, transparência de bits e detecção de quadros pela violação de códigos de sinal no meio físico(SOARES; LEMOS; COLCHER, 1995, p. 133).
20
c) Camada de Rede
Segundo Tanenbaum (2003), esta camada é responsável por controlar a operação da
sub-rede. Deve-se determinar a maneira como os pacotes são roteados da origem até o
destino. As rotas podem ser baseadas em tabelas amarradas a rede e raramente alteradas.
Podem ser determinadas também no início de cada conversação e ser altamente dinâmicas,
para isso são determinadas a cada pacote com o objetivo de refletir a carga atual da rede.
“O objetivo do nível de rede é fornecer ao nível de transporte uma independência
quanto a considerações de chaveamento e roteamento associadas ao estabelecimento e
operação de uma conexão de rede” (SOARES; LEMOS; COLCHER, 1995, p. 134).
d) Camada de Transporte
“A camada de transporte é responsável por pegar os dados enviados pela camada de
sessão e dividi-los em pacotes que serão transmitidos pela rede, ou, melhor dizendo,
repassados na camada de rede” (TANENBAUM , 2003, p. 44).
Segundo Torres (2001), a camada de transporte separa as camadas de nível de
aplicação (camadas de sessão, apresentação e aplicação) das camadas de nível físico (camadas
física, de enlace e de rede). Nas camadas de nível físico, o que importa é a maneira que os
dados serão transmitidos pela rede. Já nas camadas de nível de aplicação, os dados contidos
nos pacotes e o envio ou recebimento destes para a aplicação responsável é a parte
fundamental no processo. Cabe à camada de transporte fazer a ligação entre os dois grupos.
e) Camada de Sessão
A camada de sessão permite que os usuários de diferentes máquinas estabeleçam sessões entre eles. Uma sessão oferece diversos serviços, inclusive o controle de diálogo (mantendo o controle de quem deve transmitir em cada momento), o gerenciamento de símbolos (impedindo que duas partes tentem executar a mesma operação critica ao mesmo tempo) e a sincronização (realizando a verificação periódica de transmissões longas para permitir que elas continuem a partir do ponto em que estavam ao ocorrer uma falha) (TANENBAUM, 2003, p. 47).
Segundo Soares, Lemos e Colcher (1995), o nível de sessão fornece mecanismos que
estruturam os circuitos oferecidos pelo nível de transporte. Os principais serviços oferecidos
por essa camada são: gerenciamento de token, controle de dialogo e gerenciamento de
atividades.
21
f) Camada de Apresentação
“[...] a camada de apresentação esta relacionada a sintaxe e a semântica das
informações transmitidas.[...] A camada de apresentação gerencia essas estruturas de dados
abstratas e permite a definição e o intercâmbio de estruturas de dados em nível mais alto”
(TANENBAUM, 2003, p. 47) .
De acordo com Torres (2001), a camada de apresentação converte o dado recebido
pela camada de aplicação em formato entendido pelo protocolo usado. A compressão de
dados captura os dados recebidos pela camada de aplicação e os comprime, sendo função da
camada de apresentação do receptor descomprimi-los. Isso facilita a transmissão dos dados, já
que os dados da camada de aplicação foram “encolhidos” e enviados para a camada de sessão.
g) Camada de Aplicação
“A camada de aplicação faz a interface entre o protocolo de comunicação e o
aplicativo que pediu ou receberá a informação através da rede” (TORRES, 2001, p. 42).
Segundo Tanenbaum (2003), é na camada de aplicação que se encontram os
protocolos necessários para os usuários, onde o mais utilizado é o HTTP, protocolo este que é
a base para a World Wide Web. Quando um navegador deseja uma página na Web, ele utiliza
o HTTP para enviar o nome da página desejada ao servidor. Então, o servidor transmite de
volta a página. As transferências de arquivos, correio eletrônico e transmissão de notícias pela
rede utilizam outros protocolos de aplicação.
2.1.2 – Linhas de comunicação
“Ao organizar os enlaces físicos num sistema de comunicação, confrontamo-nos com
diversas formas possíveis de utilização das linhas de transmissão. Em primeiro lugar, as
ligações físicas podem ser de dois tipos: ponto a ponto ou multiponto” (SOARES; LEMOS;
COLCHER, 1995, p. 17).
a) Ligações ponto a ponto
“Ligações ponto a ponto caracterizam-se pela presença de apenas dois pontos de
comunicação, um em cada extremidade do enlace ou ligação em questão[...]”(SOARES;
LEMOS; COLCHER, 1995, p. 17).
22
FIGURA 2 – Ligações ponto a ponto
Fonte: http://pt.wikinourau.org/bin/view/GrupoLinux/LicaoConceitosdeRedes http://fapers.hdfree.com.br/
_conteudo/_informatica/_modulo1/_sor/_sor03.html
b) Ligações Multiponto
“[...]Nas ligações multiponto observa-se a presença de três ou mais dispositivos de
comunicação com possibilidade de utilização do mesmo enlace” (SOARES; LEMOS;
COLCHER, 1995, p. 18).
FIGURA 3 – Ligações multiponto
Fonte: http://pt.wikinourau.org/bin/view/GrupoLinux/LicaoConceitosdeRedes http://fapers.hdfree.com.br/
_conteudo/_informatica/_modulo1/_sor/_sor03.html
Segundo Tarouco (1984), geralmente nas ligações multiponto existe uma estação na
rede que efetua o controle, o computador central. As demais estações são ditas subordinadas.
c) Modos de transmissão de dados
De acordo com Soares, Lemos e Colcher (1995), a classificação sobre comunicação de
enlace tem origem na forma de utilização do meio físico que conecta as estações. São elas:
Simplex – o enlace é utilizado apenas em um dos dois possíveis sentidos de
transmissão.
23
Half-Duplex – o enlace é utilizado nos dois possíveis sentidos de transmissão,
mas um por vez.
Full-duplex – o enlace é utilizado nos dois possíveis sentidos de transmissão
simultaneamente.
FIGURA 4 – Comunicação simplex, half-duplex e full-duplex
Fonte: SOARES, Luiz Fernando G.; LEMOS, Guido; COLCHER, Sérgio. “Redes de Computadores: das LANs,
MANs e WANs às redes ATM”
2.1.3 - Topologias de Redes
“A topologia de uma rede de comunicação refere-se à forma como os enlaces físicos e
os nós de comutação estão organizados, determinando os caminhos físicos existentes e
utilizáveis entre quaisquer pares de estações conectadas a essa rede” (SOARES; LEMOS;
COLCHER, 1995, p. 17).
a) Topologia em estrela
24
De acordo com Soares, Lemos e Colcher (1995), na topologia em estrela cada nó é
interligado a um nó central, através do qual todas as mensagens devem passar. Nesse caso, o
nó central age como centro de controle da rede, interligando os demais.
FIGURA 5 – Topologia em estrela
Fonte: http://www.fazerfacil.com.br/rede/topologia.htm
b) Topologia em anel
Nessa configuração, muitas das estações remotas (terminais ou computadores) conectadas ao anel não se comunicam diretamente com o computador central anfitrião. Ao invés disso, os dados a serem transmitidos são passados pelas demais estações. Desse modo, a comunicação com um nodo não fica interrompida, caso haja uma queda de linha que atinja o nodo, pois sempre é possível atingi-lo pelo outro lado do anel (TAROUCO, 1984, p. 57).
As redes em anel teoricamente são capazes de transmitir e receber dados em qualquer
direção, segundo Soares, Lemos e Colcher (1995). Porém as configurações mais utilizadas são
unidirecionais, para tornar o projeto dos repetidores mais simples, pois assim sendo evitam o
problema de roteamento e asseguram a entrega da mensagem ao destino corretamente e em
sequência.
FIGURA 6 – Topologia em anel.
Fonte: http://www.fazerfacil.com.br/rede/topologia.htm
c) Topologia em barramento
25
Segundo Soares, Lemos e Colcher (1995), a topologia em barra consiste em estações
(nós) que se ligam ao mesmo meio de transmissão. Esse tipo de topologia é baseado em uma
configuração multiponto, ao contrário das topologias em anel e estrela, que são ponto a ponto.
Nas redes em barramento cada nó conectado à barra pode ouvir todas as informações
transmitidas, semelhante às transmissões de radiodifusão.
FIGURA 7 – Topologia em barramento
Fonte: http://www.fazerfacil.com.br/rede/topologia.htm
2.1.4 - Tipos de Redes
a) Rede LAN
Segundo Tanenbaum (2003) As redes LAN ou redes locais são redes contidas em um
edifício ou campus universitário com alcance de alguns quilômetros de extensão. Essas redes
são privadas e também amplamente usadas para conectar computadores pessoais e estações de
trabalho em escritórios e instalações industriais, permitindo a troca de informações e
compartilhamento de recursos.
b) Rede MAN
Uma rede metropolitana, ou MAN, abrange uma cidade. O exemplo mais conhecido de uma MAN é a rede de televisão a cabo disponível em muitas cidades. Esse sistema cresceu a partir de antigos sistemas de antenas comunitárias usadas em áreas com fraca recepção do sinal de televisão pelo ar.[...] Os desenvolvimentos recentes para acesso a Internet de alta velocidade sem fi o resultaram em outra MAN, que foi padronizada como IEEE 802” (TANENBAUM, 2003, p. 30).
c) Rede WAN
“Uma rede geograficamente distribuída, ou WAN, abrange uma grande área
geográfica, com frequência um pais ou continente. Ela contem um conjunto de maquinas cuja
finalidade e executar os programas (ou seja, as aplicações) do usuário” (TANENBAUM,
2003, p. 31).
2.2 - Redes Sem Fio
26
Segundo Moraes (2011) as redes sem fio são um sistema de dados flexível que pode
ser usado como uma alternativa a redes locais. A tecnologia wireless combina conectividade
de dados com a mobilidade de transmissão através de tecnologia de radiofrequência.
“Inúmeras tecnologias estão incluídas na categoria de redes sem fio. Estão incluídas
desde redes simples, como infravermelho[...], Bluetooth, WiMax, 4G, RFID e ZigBee;[...] o
padrão 802.11 (conhecido genericamente como Wi-Fi)” (RUFINO, 2011, p. 19).
2.2.1 - Padrões atuais de Redes Sem fios
O Institute of Eletrical and Eletronic Engineers (IEEE) formou um grupo de trabalho com o objetivo de definir padrões em uso de redes sem fio. Um desses grupos de trabalho foi denominado 802.11, que reúne uma série de especificações que basicamente define como deve ser a comunicaç~]ao entre um dispositivo cliente e um concentrador ou a comunicação entre dois dispositivos clientes.[...] A família 802.11 conta com as principais extensões (ou subpadrões) descritas na ordem que
foram especificadas (RUFINO, 2011, p. 27).O objetivo desse padrão, segundo Soares, lemos e Colcher (1995), é definir um nível
físico, para redes onde a transmissão ocorre através de frequência de rádio ou infravermelho e
um protocolo de controle de acesso ao meio, o Distribuited Foundation Wireless MAC, ou
DFWMAC.
a) Padrão 802.11b
Segundo Rufino (2011), esse padrão permite 11Mbps de velocidade de transmissão
máxima, mas pode comunicar-se a velocidades 5,5 Mbps, 2Mbps ou 1Mbps. Permite no
máximo 32 clientes conectados e opera numa frequência de 2,4 GHz. Em 1999 foi ratificado e
definiu padrões de interoperabilidade bastante parecidos aos de redes Ethernet. É ainda hoje o
padrão mais popular e com maior base instalada, com bastante produtos e ferramentas de
administração e segurança disponíveis.
Esse padrão baseia-se na comunicação ponto multiponto, em que um access point se comunica com uma antena omndirecional com um ou mais clientes da rede sem fio, que sejam localizadas no alcance desse access point. O 802.11 estabelece um alcance médio de 30 metros a 11Mbps e 90 metros a 1 Mbps. Fator que afeta diretamente a performance é o número total de usuários que utilizam determinado canal. (MORAES, 2011, p. 47).
Canal Frequência
1 2,412
2 2,417
3 2,422
4 2,427
5 2,432
6 2,437
7 2,442
8 2,447
9 2,452
10 2,457
11 2,462
12 2,467
13 2,472
14 2,484
27
QUADRO 1 – Associação entre canal e respectiva frequência
Fonte: RUFINO, Nelson Murilo de O.,“Segurança em Redes Sem Fio”.
b) Padrão 802.11a
“O padrão 802.11a foi aprovado em conjunto co mo 802.11b, permitindo a operação
de faixas de até 54 Mbps” (MORAES, 2011, p. 48).
Outra diferença do padrão 802.11b, segundo Rufino (2011), é a operação na faixa de 5
GHz, que possui pouca concorrência. Também possui um limite maior de clientes conectados,
64 e também uma chave WEP que pode em alguns casos chegar a 256 bits, e tem
compatibilidade com tamanhos menores. Porém, o principal problema relacionado à expansão
desse padrão é a incompatibilidade com a base instalada atual (802.11g), que usa faixas de
frequência diferentes.
Os dispositivos 802.11a são mais caros, difíceis de produzir e não são compatíveis com os 802.11b. Com a chegada dos dispositivos 802.11g, mais baratos e compatíveis houve uma redução significativa de mercado para os sistemas baseados em 802.11ª(MORAES, 2011, p. 49).
c) Padrão 802.11g
Segundo Rufino (2011), é um padrão mais recente que os anteriores e soluciona a
principal desvantagem do padrão 802.11b: utiliza a faixa de 5 GHz sem interoperação com o
802.11b. O padrão 802.11g opera em 2,4 GHz e permite que os padrões b e g coexistam no
mesmo ambiente. Ainda incorpora algumas vantagens do padrão 802.11a, como por exemplo,
a utilização da modulação OFDM e velocidade de cerca de 54Mb nominais.
“A compatibilidade com o IEEE 802,11b apresenta algumas desvantagens ao IEEE
802.11g. A existência de estações trabalhando com IEEE 802.11b acaba por reduzir
sensivelmente a velocidade de comunicação dos usuários a 802.11g” (MORAES, 2011, p.
50).
28
d) Padrão 802.11e
“O IEEE 802.11e, também conhecido como P802.11Ge, tem o objetivo de melhorar a
camada MAC (Médium Access Control) do IEEE 802.11 de forma a incorporar QoS
(Qualidade de Serviço)” (MORAES, 2011, p. 50).
Segundo Moraes (2011), esse padrão incrementa a coordenação de trafego, conhecida
como Point Coordenation Function, que permite que os access points implemtem períodos de
contenção de tráfego chamados CFP (Contention Free Period).
e) Padrão 802.11f
É conhecido também, de acordo com Moraes (2011), como P802.11 TGf e seu
objetivo é desenvolver requisitos para IAPP (Inter-Acces Point Protocol), incluindo aspectos
operacionais e de gerenciamento. A ideia principal desse padrão é criar um subset mínimo que
permitam a interoperação de access points entre si, podendo ser gerenciados de forma
centralizada. Esse padrão não especifica a comunicação entre access point para roaming e
balanceamento de carga, ele padroniza o processo de troca de informação entre dois access
points durante o período de transição de uma estação de um access point para outro.
f) Padrão 802.11i
“[...] esse padrão diz respeito a mecanismos de autenticação e privacidade e pode ser
implementado em vários de seus aspectos aos protocolos existentes[...]” (RUFINO, 2011, p.
29).
Segundo Moraes (2011), as redes wireless que possuem esse padrão baseiam sua
segurança em alguns mecanismos fracos, e a maioria das redes não utilizam esses
mecanismos. Os padrões de segurança do padrão 802.11i são: SSID (utilizado para identificar
a rede e necessário para acessar o access point), WEP (usado para criptografia de dados) e
WPA (criptografia que elimina as vulnerabilidades do WEP).
g) Padrão 802.11n
Também conhecido como World Wide Spectrum Efficiency (WWiSE), esse padrão tem como foco principal o aumento da velocidade (cerca de 100 a 500 Mbps). Paralelamente, deseja-se um aumento da área de cobertura. Em relação aos padrões atuais há poucas mudanças. A mais significativa delas diz respeito a uma modificação de OFDM, conhecida como Multiple Imput, Multiple Out OFDM (MIMO-OFDM. Outra característica desse padrão é a compatibilidade retroativa com os padrões vigentes atualmente. O 802.11n pode trabalhar com canais de 40 Mhz e, também, manter compatibilidade com os 20 Mhz atuais, mas, nesse caso, as velocidades máximas oscilam em torno de 135 Mbps [...] (RUFINO, 2011, p. 30).
29
2.2.2 - Topologias Rede Wireless
a) Topologia estruturada
Na topologia estruturada de acordo com Moraes (2011), as estações são controladas
por um ponto de acesso e dispostas em uma célula, cujos limites são definidos pelo alcance
desse ponto. Essa arquitetura apresenta topologia fixa definida pelo posicionamento do ponto
de acesso, este responsável por alocar os recursos e gerenciar o consumo de energia das
estações.
b) Topologia ad hoc
Segundo Moraes (2011), a topologia Ad hoc apresenta vários dispositivos móveis
interconectados entre si, sem uma topologia predefinida, pois os participantes podem alterar a
topologia da rede ao se mover. Nessa topologia não existe um ponto central de controle, sendo
os serviços oferecidos pelos próprios participantes.
Funciona de forma a prescindir de um ponto central de conexão. Os equipamentos conectam-se diretamente uns aos outros, e maneira mais ou menos análoga às antigas redes feitas com cabo coaxial, onde um único cabo interligava vários equipamentos e permitia a comunicação de um ponto com qualquer outro da rede (RUFINO, 2011, p. 25).
2.3 - Segurança em redes sem fio
Segundo Soares, Lemos e Colcher (1995), a segurança é a necessidade de proteção
contra o acesso e manipulação de informações confidenciais por pessoas ou elementos não
autorizados e a utilização não autorizada do computador e de seus periféricos.
[...]a segurança se preocupa em garantir que pessoas mal-intencionadas não leiam ou, pior ainda, modifiquem secretamente mensagens enviadas a outros destinatários. Outra preocupação da segurança são as pessoas que tentam ter acesso a serviços remotos que elas não estão autorizadas a usar. Ela também lida com meios para saber se uma mensagem supostamente verdadeira e um trote. A segurança trata de situações em que mensagens legitimas são capturadas e reproduzidas, alem de lidar com pessoas que tentam negar o fato de terem enviado determinadas mensagens (TANENBAUM, 2003, p.420).
2.3.1 - Politica de Segurança
“Política de Segurança define diretrizes quanto ao uso das informações no ambiente corporativo.[...] Uma política de segurança não deve ser uma lista de ameaças, equipamentos e pessoas específicas. Ela deve ser genérica e variar pouco com o tempo. Deve ser definida por um grupo de objetivos similares” (MORAES, 2011, p. 115).
Segundo Soares, Lemos e Colcher (1995), política de segurança é um conjunto de leis,
regras e práticas que regulam como uma organização protege e gerencia suas informações.Ela
deve incluir regras detalhadas definindo como as informações devem ser manipulados ao
30
longo de seu ciclo de vida. A implementação de uma política de segurança baseia-se na
aplicação de regras que limitam o acesso de uma entidade às informações e recursos, com
base na comparação do seu nível de autorização relativo a essa informação. Assim, pela
política de segurança é definido o que é e o que não é permitido em termos de segurança.
2.3.2 - Criptografia
“Criptografia é a ciência que utiliza algoritmos matemáticos para
criptografar/encriptar (cripto=esconder) dados numa forma aparentemente não legível (texto
cifrado) e recuperá-los (decriptografá-lo)[...]” (MORAES, 2011, p. 123).
A criptografia surgiu, segundo Soares, Lemos e Colcher (1995), da necessidade de
enviar informações sensíveis por meios de comunicação não confiáveis, onde não é possível
garantir que um intruso não irá interceptar o fluxo de dados para ler ou modificar os dados.
Sendo assim, o dado original é modificado por um processo de codificação definido por um
método de criptografia. Esse dado é transmitido e no seu destino o método de criptografia é
aplicado para descodificar o dado e transformá-lo novamente no formato original.
a) WEP – Wired Equivalent Privacity
“[...]em redes sem fio basta ter um bom meio de receber o sinal, ou seja, a captura da
informação pode ser feita de forma completamente passiva. Por essa razão, o protocolo
802.11 oferece possibilidades de cifração de dados.”(RUFINO, 2011, p. 35)
Segundo Moraes (2011), o WEP nasceu do padrão 820.11b para promover o mesmo
nível de confidencialidade que uma rede cabeada. O WEP trabalha com RC4 que é uma cifra
baseada em fluxo (40 bits de chave + 24 bits de vetor de inicialização). É um algoritmo que
usa uma mesma chave para encriptar e decriptar a informação PDU. Para cada transmissão o
texto passa por um XOR com fluxo aleatório baseado na chave criptográfica que produz o
texto cifrado. Para a decriptação o processo utilizado é o inverso.
b) WPA – Wi-Fi Protected Access
“O WPA foi criado pelo consórcio do WiFi em 2003 como uma forma de endereçar as
vulnerabilidades da WEP” (MORAES, 2011, p. 155).
Atua em duas áreas distintas: a primeira, que visa a substituir completamente o WEP, trata a cifração dos dados objetivando garantir a privacidade das informações trafegadas; a segunda foca a autenticação do usuário (área não coberta efetivamente pelo padrão WEP), utiliza padrões 802.1x e Extensible Authentication Protocol (EAP)[...] (RUFINO, 2011, p. 37).
c) WPA2 – Wi-Fi Protected Access 2
31
“[...] Fornece para o uso doméstico e de empresas um alto nível de proteção aos dados,
garantindo que apenas usuários autorizados tenham acesso às redes” (MORAES, 2011,
p.158).
Segundo Rufino (2011), com a homologação do padrão 802.11i, o protocolo CCMP
juntou-se ao WEP e TKIP, só que usa o algoritmo AES para cifrar os dados na forma de
blocos, e não byte a byte, contribuindo para aumentar a segurança da informação. Esse padrão
é o mais seguro atualmente, mas possui uma baixa perda de performance em equipamentos
simples.
2.3.3 - Endereçamento Mac
[...]cada dispositivo deve ter um número único, definido pelo fabricante e controlado pelo Institute of Eletrical and Eletronics Engineers (IEEE)[...] Uma das formas de restringir o acesso a uma rede sem fio é mediante o cadastramento prévio dos dispositivos participantes. Como o endereço MAC define de forma única cada interface de rede, apenas os dispositivos cadastrados de antemão terão acesso permitido (RUFINO, 2011, p. 33-34).
2.3.4 - Firewall
Segundo Moraes (2011), o Firewall é utilizado para proteger o acesso da internet para
as redes sem fio em todo seu perímetro, impedindo que algum hacker consiga comprometer a
rede sem fio e acessar a rede corporativa da empresa.
“A utilização de barreiras de proteção fundamenta-se no fato de que normalmente a
segurança é inversamente proporcional à complexidade” (SOARES; LEMOS; COLCHER,
1995, p. 486).
2.3.5 - Proxy
Segundo Moraes (2011), proxy é um servidor que literalmente faz a intermediação da
comunicação de um equipamento na rede segura com um equipamento na rede externa.
Quando um determinado computador quer se comunicar com outro, todas as conexões devem
ser estabelecidas pelo Proxy, que é responsável pelo monitoramento e controle do tráfego.
2.3.6 - Riscos e Ameaças
Rufino (2011), cita um fato curioso em se tratando de redes sem fio: Ao mesmo tempo
que tais tecnologias tem menos limitações geográficas devido a ausência de cabos, os riscos
32
tem muito mais aspectos físicos envolvidos que outras tecnologias pois a área vigiada é maior,
já que com seu uso as fronteiras da rede ficam ampliadas.
a) Problemas de segurança física
De acordo com Rufino (2011), geralmente os administradores cuidam muito da
estrutura lógica e se esquecem da segurança física da rede. Se esse aspecto é importante nas
redes cabeadas, é realmente imprescindível cuidados com a segurança física nas redes sem
fio, já que a área de abrangência destas é bem maior.
b) Configurações de fábrica
Praticamente todos os equipamentos saem de fábrica com senhas de administração e endereço IP padrão. Caso esses não sejam trocados, poderão permitir a um atacante que se utilize delas em uma rede-alvo e tenha condições de identificar todas as configurações feitas, podendo até mesmo modificá-las (RUFINO, 2011, p.43)
c) Envio e recepção do sinal
[...] o posicionamento dos componentes pode ser determinante na qualidade da rede e
na sua segurança.[...] um concentrador colocado em uma parede enviará sinal tanto para
dentro quanto para fora deste[...]” (RUFINO, 2011, p.46).
d) Negação do serviço
Segundo Moraes (2011) a negação de serviço consiste em realizar uma inundação de
pacotes na rede, afetando a disponibilidade dos recursos desta. Outra forma de gerar esse tipo
de ataque é por um rádio que emite interferência na frequência da rede, prejudicando
diretamente os canais de comunicação.
“Trata-se de um tipo de ataque que não necessita de acesso ou invasão à rede alvo,
mas pode acarretar sérios transtornos dependendo da criticidade do ambiente
envolvido”(RUFINO, 2011, p. 47).
e) Equipamentos sem fio em ambientes cabeados
Segundo Rufino (2011), um administrador não se preocupa com monitoramento de
rede wireless em um ambiente somente de rede cabeada. Assim não é difícil imaginar
situações em que um equipamento com essa capacidade possa ser utilizado como ponte para
um atacante externo, como por exemplo, um notebook conectado à rede cabeada vira uma
porta aberta na rede para um terceiro, que pode facilmente realizar uma invasão nessa rede.
33
2.3.7 - Métodos de Defesas
“[...]técnicas de proteção e configurações que podem ser utilizadas para aumentar a
segurança nas redes Wi-Fi” (MORAES, 2011, p. 133).
a) Configurações do concentrador
O acesso ao concentrador é um ponto crítico na infraestrutura de um ambiente de rede e é fácil de perceber por que um acesso não autorizado a esse equipamento pode por em risco a segurança da rede, visto ser possível inviabilizar a comunicação com os clientes, por meio de desconfiguração, redirecionamento do tráfego par outro equipamento, retirada dos mecanismos de segurança e criptografia, permitir acesso à rede por equipamentos originalmente não autorizados, entre muitas outras possibilidades (RUFINO, 2011, p. 133).
b) Desabilitar acesso ao concentrador via rede sem fio
“Já que a maioria dos concentradores permite configuração via HTTP [...] é uma boa
prática desabilitar essas opções do dado da rede sem fio, para evitar que os pacotes com
usuário e senha sejam capturados por um possível atacante” (RUFINO, 2011, p. 138).
c) Configurações dos clientes
“Uma possibilidade interessante para aumentar as garantias de que a conexão será
feita com o concentrador (AP) correto é forçar a associação do IP com o endereço MAC do
concentrador. Dessa maneira, será possível evitar ataques em que haja um concentrador
clone” (RUFINO, 2011, p. 143).
2.4 – Mikrotik
O mikrotik é um routerOS , ou seja um sistema operacional desenvolvido para realizar a tarefa de um roteador. Desenvolvido pela MikroTikls empresa fundada em 1995 em Riga capital da Lativia região próximo à Rússia. A Mikrotik, nome comercial da empresa, desenvolve sistemas para solução em conectividade como ISP (Internet Service Provider), administração de rede e serviço de conexão sem fio (CABRAL, 2007, p. 25).
2.41 – Características do Mikrotik
Segundo Cabral (2007), as principais características do Mikrotik são:
Performance otimizada com o protocolo proprietário NSTREME
Alta disponibilidade com o protocolo VRRP
Possibilidade de agregar interfaces ( bonding )
Interface melhorada
Poucas exigências de recursos de hardware
34
Inúmeras novas funcionalidades
Qualidade de serviço avançado
Firewall "stateful"
Protocolo Spanning Tree em bridge com filtros.
Alta velocidade com 802.11a/b/g com criptografia WEP/WPA
WDS e APs Virtuais
Portal Captativo (Hotspot) com acesso Plug & Play
Roteamento com os protocolos RIP, OSPF e BGP
Acesso remoto com amigável aplicativo Windows - Winbox e administração Web
Administração por telnet, mac-telnet, ssh e console
Configuração e monitoramento em tempo real
3. JUSTIFICATIVA
Atualmente o avanço tecnológico tem atingido níveis jamais imaginados. Todos os
dias surgem novas tecnologias com o intuito de facilitar de alguma maneira o modo de vida
do homem moderno. Juntamente com a informática o crescimento das redes sem fio tem
como objetivo atender algumas necessidades como serviços celulares, transmissões de dados
entre outros, a fim de agilizar a comunicação entre as pessoas.
35
Sem dúvida o desenvolvimento das redes wireless foi de grande importância para a
informática, pois diferente do meio de transmissão cabeada, que por muitas vezes limita
fisicamente a transmissão de dados e comunicação entre dispositivos, a rede sem fio utiliza
um meio de transmissão simples e barato: o ar.
Como não existe como bloquear o sinal que é transmitido pelo ar, quando e utiliza
uma rede sem fio devem ser tomadas inúmeras medidas de segurança para que haja um
controle de quem acessa a mesma e de que os dados só serão transmitidos para aqueles que
interessam. Através deste projeto serão apresentados os riscos que possui a utilização de uma
rede sem fio e as maneiras de tornar essa comunicação segura.
4. OBJETIVOS
4.1 - Objetivo geral
Implementar medidas de segurança e métodos de segurança nos níveis lógicos e
físicos em uma rede sem fio local utilizando a ferramenta Mikrotik RouterOS.
4.2 - Objetivos específicos
36
Fazer um estudo visando a compreensão do funcionamento de uma rede wireless local
e como ocorre a transmissão de pacotes de dados por meio dessa rede.
Instalação do sistema MICROTIK, que faz o monitoramento de acesso em redes. Este
sistema será instalado na máquina que será utilizada como servidor.
Implementar controle de acesso utilizando o programa MICROTIK, utilizando o
controle por meio de login, e endereço de IP, tomando essas medidas para permitir o
acesso somente de pessoas autorizadas.
5 – MATERIAIS E MÉTODOS
5.1 - Projeto lógico
5.1.1 - Especificação da rede existente
A rede que será utilizada no projeto conta com um servidor, este recebe o sinal de
internet via cabo pela placa ethernet e este sinal é enviado para os computadores clientes via
wireless através de uma placa de rede sem fio, conforme é mostrado na Figura 11. Este sinal
que é enviado para os computadores clientes sofre algumas alterações como medidas de
37
segurança, como chave criptografada, controle de acesso, controle de sites e de banda entre
outros.
FIGURA 8 – Especificação da rede existente
Fonte: Os autores.
5.1.2 - Requisitos de Segurança
• Criptografia e Privacidade
– “dados cifrados não devem decifrados por pessoas não autorizadas”
• Autenticação e Controle de Acesso
– Identificar, Autenticar, Autorizar usuários, servidores, Aps
5.2 – Recursos de hardware
Servidor
o Processador Celeron 2,66Ghz
o 768 de memória
o HD de 20GB
o Sistema Operacional: MICROTIK
38
FIGURA 9 – Servidor Mikrotik
Fonte: Os autores.
Cabo de rede RJ-45 para conexão do servidor.
39
Placa de Rede Wreless
FIGURA 10 – Placa de rede Wireless
Fonte: Os autores.
2 Notebooks com, respectivamente
o Processador AMD Phenom II P920 Quad-Core 1,6GHz; Processador
Pentium Dual-Core T4500 2.3 GHz.
o 4 GB de memória; 3 GB de memória.
o HD 640GB; HD 500GB.
o Sistema Operacional: Windows Seven.
40
FIGURA 11 - Notebooks clientes da rede
Fonte: Os autores.
5.3 – Recursos de Software
Software: MICROTIK
5.4 – Recursos Humanos
Os alunos Moara Nascimento Silva e Rômulo Raimundo de Andrade Rotondaro,
envolvidos diretamente no desenvolvimento e apresentação do projeto.
Os professores Paulo Roberto Mendes e Iliana Sales, sendo o primeiro orientador
direto do projeto e o outro o professor que auxilia o desenvolvimento do escopo do
mesmo.
5.5 - Cronograma
41
5.6 - Projeto físico
O Mikrotik é um sistema operacional responsável por realizar o controle de acesso e roteamento em uma rede. Neste projeto, a rede wireless foi utilizada. Após a instalação do Mikrotik no servidor, a primeira tela a ser apresentada pelo sistema é a tela a seguir.
FIGURA 12 – Login MikrotikFonte: Os autores.
42
O primeiro acesso não necessita de usuário e senha. Esse requisito de segurança é configurado futuramente. O sistema Mikrotik é mostrado em forma de linha de comando, possui um sistema leve onde não é necessário recursos de hardware potentes para o bom funcionamento do sistema.
FIGURA 13 - Interface MirkotikFonte: Os autores.
O Mikrotik RouteOS também pode ser acessado remotamente, através de uma
interface que pode ser utilizada na plataforma Windows, o Winbox. Através dele todas as
configurações de controle de acesso e implantação de segurança podem ser realizados.
FIGURA 14 – Interface Winbox
43
Fonte: Os autores.
6. DISCUSSÃO E RESULTADOS
6.1 – Instalação do Mikrotik e configurações iniciais
O sistema Mirkotik RouterOs foi instalado no servidor através do CD de instalação.
Após este procedimento o sistema já funciona, porém possui apenas as configurações padrão.
O objetivo principal deste projeto é a implementação das configurações para que o roteamento
se torne possível, assim como as medidas de controle de acesso e segurança da rede.
Para essas configurações, foi utilizado um software de apoio ao Mikrotik, o Winbox,
que torna possível o acesso remoto ao servidor e facilita as configurações do mesmo por
possuir uma interface mais abrangente e fácil de se utilizar.
Porém, não é possível se comunicar remotamente com o servidor sem antes de
configurar as interfaces de rede por linha de comando, conforme mostrado na Figura 15.
FIGURA 15 – Configuração de IPs
44
6.2 – Winbox
Como foi citado no item anterior, o Mikrotik pode ser acessado através do Winbox,
software que acessa o mesmo remotamente. Ao configurar o IP através de linha de comando
no Mikrotik, este já se torna visível na tela inicial do Winbox, podendo ser acessado de duas
maneiras: pelo endereço IP do servidor ou pelo seu endereço MAC.
FIGURA 16 - Tela de identificação do Winbox
De acordo com a Figura 17, na tela inicial do Winbox são apresentados todos os
servidores Mikrotik que forem encontrados na rede, com endereços IP e MAC dos mesmos e
o nome do servidor, se este já estiver sido configurado. Ao selecionar o servidor, deve-se
colocar o usuário e senha para poder conectar-se ao mesmo.
45
FIGURA 17 – Tela de acesso Winbox.
A primeira medida de segurança a ser implementada no Winbox é a alteração da senha
padrão, de forma que, se outro computador possuindo a interface de acesso remoto estiver
conectado à rede não consiga ter acesso ao servidor, somente tendo acesso a ele seus
administradores.
FIGURA 18 – Alteração da senha padrão.
6.3 – Conexão com a Internet.
Uma das principais funções do Mikrotik é a distribuição da internet na rede, pois o
sinal é recebido diretamente no servidor e distribuído aos clientes. As configurações padrão
não permitem essa funcionalidade, sendo assim é necessário realizar essas configurações
manualmente. Para o seguinte projeto, foram utilizadas três placas de rede, sendo a primeira
para receber o sinal da internet, a segunda para transmitir o sinal via cabo e a terceira para
enviar o sinal Wireless. Foi necessário que cada placa recebesse um nome de interface e um
endereço de IP.
46
FIGURA 19 – Configuração do IP
É necessária a criação de uma interface bridge, já que o sinal pode ser transmitido
tanto por cabo quanto por wireless, e esta interface faz a ligação das interfaces Lan e
Wireless.
FIGURA 20 – Configuração da Bridge
Outro passo importante para a realização da conexão com a internet através do
servidor é a configuração da rota. Esta configuração implica em fornecer ao sistema o número
do Gateway e do DNS principal e secundário, todos fornecidos pela empresa provedora de
internet.
47
FIGURA 21– Configuração do Gateway
Assim como o número do Gateway, o número do DNS também deve ser configurado
de acordo com o provedor da internet que chega ao servidor. Esse número é facilmente
conseguido com o suporte do provedor do sinal da internet
FIGURA 22 – Configuração do DNS
Após a implementação realizada no sistema, já é possível estabelecer uma conexão
com a internet através do Mikrotik. Para verificar se a conectividade da internet, basta abrir o
terminal no winbox e realizar um teste ping em um site qualquer. Para verificação, neste
projeto foi utilizado o site www.google.com, como é mostrado na Figura 23.
48
FIGURA 23– Teste de conectividade com a internet.
Mesmo com o teste de conectividade demonstrando que há conexão com a internet,
ainda não é possível realizar o acesso pelo navegador. Para isso ainda é preciso realizar a
configuração NAT no Firewall.
FIGURA 24– Configuração NAT
O Mikrotik é um sistema operacional que, em uma rede funciona também como um
servidor. Para que o sinal da internet que chega ao servidor seja redistribuído para os
computadores da rede, é necessária a criação de um servidor DHCP, conforme mostra a
Figura 25.
FIGURA 25– Criação de servidor DHCP
A conexão com a internet depende de cada um desses métodos. A quantidade de
funcionalidades deste sistema é muito vasta, por isso é necessário uma grande atenção com
49
essa primeira etapa do processo de configuração do servidor, pois a conectividade com a
internet é um item fundamental para que o sistema funcione amplamente.
6.4 – Proxy
Outra funcionalidade muito importante do Mikrotik é o Proxy, um item de segurança
importantíssimo em uma rede, pois através dele é possível implementações como: bloqueio de
sites, armazenamento de páginas na memória cache, entre outros. O Proxy é uma ferramenta
de extrema importância, pois com ele, todos os dados que trafegam na rede são redirecionados
ao servidor, assim este pode selecionar que pode ser acessado ou não, realizando assim o
controle de sites. O sistema em questão possui funcionalidades que implementam regras para
o controle de sites, como pode ser visto na Figura 26.
FIGURA 26- Configuração do Web Proxy
Outro ponto importante do Proxy é o armazenamento das páginas na memória cache,
sendo que toda vez que uma página é acessada, seu conteúdo estático já está armazenado na
memória do servidor, tornando os acessos muito mais rápidos.
50
FIGURA 27 – Seleção do Tamanho da memória Cache
O funcionamento de um web Proxy se baseia no redirecionamento da porta padrão
para uma porta no servidor, de modo que todas as requisições feitas pelos clientes passem
pelo servidor e este avalie esta requisição, bloqueando ou liberando esta requisição. No
Mikrotik, esse redirecionamento é feito para a porta 3128, como é mostrado na Figura 28.
FIGURA 28 – Redirecionamento de porta
51
Uma das maiores funcionalidades de um Web Proxy é o controle de acesso a alguns
sites. Para esse controle acontecer, a ferramenta Mikrotik permite a inclusão de regras para
bloqueio de sites, como endereço dos mesmos ou palavras-chave. Na figura 29 é apresentado
um exemplo de regra de bloqueio de site por palavra-chave, neste caso a palavra globo.
FIGURA 29 – Bloqueio de site (Bloqueio de todos os sites que contenham a palavra globo)
6.5 – Controle de Banda
Em uma rede que possui muitos usuários conectados, é imprescindível que se faça
uma limitação da banda que cada usuário poderá utilizar, pois se todos eles utilizarem sem
esse cuidado, a rede pode ficar seriamente sobrecarregada. O Mikrotik possui uma
funcionalidade para limitar a banda da internet que cada computador da rede pode utilizar.
FIGURA 30 – Controle de banda
52
6.6 – Controle de acesso
Uma das maiores vantagens de uma rede wireless é a mobilidade que ela proporciona
para os seus usuários, pois os equipamentos não ficam presos por cabos de transmissão de
dados, já que esta acontece através do ar. Porém isto também pode ser considerado uma
desvantagem, pois o meio de transmissão wireless sem medidas de segurança implementadas
não consegue controlar quem está fazendo uso da rede. Uma solução para esse problema é o
controle de acesso, pois assim somente usuários previamente cadastrados poderão usufruir da
rede. O Mikrotik possui um sistema de Hotspot para realizar esse controle.
FIGURA 31 – Configuração do Hotspot
Como importante meio de defesa em uma rede wireless, somente os usuários
previamente cadastrados podem tem acesso à mesma. No Winbox, é possível cadastrar
diversos usuários com seu nome e senha, a fim de que o Mikrotik possa autenticá-los toda vez
que este for acessar a internet.
53
FIGURA 32– Cadastro de usuários no Hotspot
Essa ferramenta de controle de acesso permite que somente usuários autorizados
consigam acessar a internet. Então toda vez que for aberto o navegador é exibida a tela de
autenticação de usuário, conforme é apresentado na Figura 33.
FIGURA 33 – Tela inicial do Navegador com controle de acesso
Após a autenticação através do nome de usuário e senha, o acesso à internet é liberado
e aparece na tela uma mensagem de boas vindas e informações sobre o acesso, como é
mostrado na Figura 34.
54
FIGURA 34 – Tela inicial após login
6.7 – Configuração Wireless
O servidor Mikrotik utilizado neste projeto contém uma placa wireless para enviar o
sinal para os demais dispositivos da rede. Para que os usuários da rede pudessem acessar o
servidor sem fio, foi necessária a criação de uma rede para esse servidor, com SSID e chave
WPA. A chave WPA é um outro quesito de segurança em rede wireless muito importante,
pois somente usuários que possuam a chave conseguem acessar a rede.
55
FIGURA 35 – Configuração Wireless
Um fator de segurança muito importante da rede wireless é a implantação de uma
chave de acesso, pois somente usuários que portem a mesma podem ter acesso à rede.
Atualmente, uma das chaves mais utilizadas é a WPA e a WPA2, pois esta possui maior
segurança que a chave WEP. Através do Winbox é possível a configuração dessas chaves para
garantir segurança no trafego dos dados na rede, como é mostrado na Figura 36.
FIGURA 36 – Configuração da chave WPA
56
Ao utilizar o Mikrotik RouterOS, não basta apenas a criação de uma chave WPA, é
preciso realizar a ativação da mesma. Então, após a especificação da chave é necessário ativá-
la, como é mostrado na Figura 37.
FIGURA 37 – Ativando a chave para a rede
Como mostra a Figura 38, quando é feita a configuração de chave WPA no Winbox,
os computadores clientes ao acessarem pela rede wireless do Mikrotik, são levados à tela de
digitação da chave de segurança e, se este possuir a chave, é possível se conectar à rede e à
internet, conforme mostrado na Figura 39.
Através das configurações realizadas no Mikroik neste projeto, é possível se obter uma
rede wireless segura para a transmissão de dados e também para uma navegação segura na
internet, podendo ter um controle sobre quem acessa e sobre o que é acessado através desta
rede.
57
FIGURA 38 – Conectando com a chave WPA
FIGURA 39– Conexão bem sucedida na rede.
7 – CONCLUSÃO
Através deste projeto foi possível visualizar a importância da implementação da
segurança em uma rede sem fio, através do estudo da mesma, de suas vulnerabilidades e das
medidas de segurança mais utilizadas.
Uma rede sem fio necessita especialmente de medidas de segurança eficazes já que seu
controle de acesso é mais difícil de ser feito, pois o meio de transmissão é o ar e, sem
ferramentas de segurança o acesso à rede e aos dados transmitidos através dela fica
praticamente irrestrito, permitindo que usuários maliciosos comprometam os dados e a rede
como um todo.
Dentre as inúmeras ferramentas que existem atualmente, a escolhida para este projeto
foi o sistema operacional Mikrotik RouterOS, que se mostrou eficiente quanto aos requisitos
esperados para a implementação de medidas de segurança e controle de acesso à uma rede
wireless. Como se trata de um sistema simples de se operar e configurar, com conhecimentos
básicos de rede se torna possível transformar essa ferramenta em um gerenciador de rede com
58
bons níveis de segurança e de controle de acesso aos usuários, tornando assim a rede em que
ele está implementado bastante confiável.
Algumas funcionalidades que foram implementadas através do Mikrotik são:
gerenciamento de acesso através de hotspot, controle de banda, Web Proxy, controle de sites,
chave de segurança, entre outras configurações pertinentes para o funcionamento das
funcionalidades descritas anteriormente. Com essas implementações realizadas, pode-se notar
um bom grau de segurança na rede wireless que foi projetada para este trabalho de conclusão
de curso.
8 – SUGESTÕES PARA TRABALHOS FUTUROS
Implementação de novos métodos de segurança com a uililização da ferramenta
Mikrotik RouterOs, já que esta apresenta uma vasta gama de possibilidades.
Estudo mais aprofundado da ferramenta utilizada no projeto e suas possíveis
atualizações.
Estudo da atuação da ferramenta em redes diferentes da apresentada no projeto e suas
possíveis funcionalidades diferentes.
Maior aprofundamento nas ferramentas de ataque e seu impacto nos mecanismos de
defesa do Mikrotik RouterOs e maneiras de corrigir possíveis falhas de segurança.
59
9 – REFERÊNCIAS BIBLIOGRÁFICAS
CABRAL, Túlio Ernandez. “Provedor Completo com Mikrotik - Tudo o que você
precisa”, Bahia, 2007.
MORAES, Alexandre Fernandes de. “Redes Sem Fio – Instalação, Configuração e
Segurança – Fundamentos”, 1a Ed. Rio de Janeiro: Editora Érica, 2011.
RUFINO, Nelson Murilo de O.,“Segurança em Redes Sem Fio”, 3ª. Ed. São Paulo:
Novatec, 2011.
SOARES, Luiz Fernando G.; LEMOS, Guido; COLCHER, Sérgio. “Redes de
Computadores: das LANs, MANs e WANs às redes ATM”, 2ª Ed, Rio de Janeiro: Ed.
Campus, 1995.
TANENBAUM, A. S. “Redes de Computadores”. 4ª Ed., Editora Campus (Elsevier), 2003.
60
TAROUCO, Liane Margarida Rockenbach, “Redes de Comunicação de dados”, 3ª Ed, Rio
de Janeiro: LTC – Livros técnicos e Científicos Editora S.A., 1984.
TORRES, Gabriel. “Redes de Computadores Curso Completo”. 1ª Ed., Rio de Janeiro:
Editora Axcel Books, 2001.
Top Related