Home

Projecto de um Hotspot, com uso controlado, para uma rede de

Contents

1. Layer 3 Switch Ada Data Center Sa aa f a nf Say wd Accounting File Email Web Server Server Server PrintServer Server Figura 2 12 Topologia empresarial sem VLANs A imagem anterior pretende resumir de forma esquem tica a simplifica o da rede Existem tamb m outras caracter sticas que se podem associar rede como por exemplo a redu o de calor gerado pelos diversos equipamentos que n o s contribui para a diminui o da factura energ tica como tamb m diminui a necessidade de criar sistemas de refrigera o Outra vantagem da nova topologia em rela o anterior consiste na possibilidade de haver or amento para a implementa o de servi os redundantes que se torna bastante importante nos dias de hoje numa empresa A implementa o de VLAN na rede pode ser realizada atrav s de VLAN est ticas ou 19 Apresenta o de Redes VLAN din micas Ambas as possibilidades tem as suas vantagens e desvantagens tendo em conta a flexibilidade A VLAN est tica defini se por atribuir a cada porta do switch uma VLAN Qualquer computador que se liga a essa porta passa a pertencer a essa VLAN independentemente do IP que tenha atribu do IP de outra rede Esta VLAN tem como principal vantagem a facilidade de implementa o Por outro lado limita o utilizador que est em constante mudan a dentro de um edif cio pois apenas se pode ligar a tomadas da sua rede que podem n o existir para o ponto a que se
2. Unsecured wireless network Wi Fi Optimus Clix Novis Related Tasks Unsecured wireless network ThomsonBAlACC di Learn about wireless networking ve Change the order of preferred networks Security enabled wireless network WPA alll gt Change advanced Arcadia settings a nd Security enabled wireless network antl mcrest_norte Security enabled wireless network alll cat g Security enabled wireless network WPA alll nel Figura 2 21 Redes wireless dispon veis no NorteShopping As redes PT WIFI e Wi Fi Optimus Clix Novis s o redes que tem como finalidade permitir que o utilizador aceda Internet atrav s do seu computador pessoal mediante uma quantia monet ria O primeiro acesso pertence ao Grupo Portugal Telecom e o segundo pertence Novis Em ambos os casos o acesso similar As redes encontram se desprotegidas permitindo que o cliente se ligue contudo n o poss vel aceder Internet sem antes o cliente se autenticar Este um caso similar ao da UPtec ou seja o sistema detecta que o cliente n o est autenticado e reencaminha para a p gina de login 31 Apresenta o de Redes Go oi Favorites 2 et p f oon pti pt 2cPURL 4 88 xx 2 cooaie Portugal Pl 3 E Get More Add ons suggested Sites Re O poste Tose PT WiFi Leve a Internet Consigo E Promocode
3. DESC Periodo de estadia EQUALITY caselgnoreMatch SUBSTR caselgnoreSubstringsMatch ORDERING caselgnoreOrderingMatch SYNTAX 1 3 6 1 4 1 1466 115 121 1 44200 Observacoes attributetype 1 3 6 1 4 1 33536 1 1 109 NAME observacoes DESC Observacoes EQUALITY caselgnoreMatch SUBSTR caselgnoreSubstringsMatch ORDERING caselgnoreOrderingMatch SYNTAX 1 3 6 1 4 1 1466 115 121 1 151024 HHH Object classes HHHH objectclass 1 3 6 1 4 1 33536 1 2 100 NAME hotspot DESC User from hotspot SUP top AUXILIAR MUST uid MAY nomeUtilizador empresaUtilizador motivoDeslocacao servicos nomeResponsavel numeroFuncionario emailResponsavel periodoEstadia observacoes userPassword Nao usado Apenas para testes 81 Configura es objectclass 1 3 6 1 4 1 33536 1 2 101 NAME hotspot2 DESC User from hotspot SUP organizationalPerson STRUCTURAL MUST sn cn MAY nomeUtilizador empresaUtilizador motivoDeslocacao servicos nomeResponsavel numeroFuncionario emailResponsavel periodoEstadia observacoes uid userPassword B 2 Estrutura de utilizador em LDIF dn uid teste345 ou hotspot dc inescporto dc pt objectClass hotspot objectClass top objectClass radiusprofile objectClass pwdPolicy uid teste345 nomeUtilizador Antonio Cunha Barbosa motivoDeslocacao Estagio Curricular empresaUtilizador FEUP nomeResponsavel Joao Neves emailRespo
4. 2 rr 4 3 Software necess rio o o oo o e e a 43 1 DHCP vi eea e ke Hee DE ee ewe Bw dida RADIUS 2445442449 BAS EAS HAS OREM RSE OES 4 3 3 LDAP 0 00 A 4 3 4 Basededados 0000000 ee eee 4 3 5 Servidor HTTP 0 0 0 0 0 0 02 0 0 008 4 3 6 Servidore mail 0 0 00 0000 00000848 4 4 Softwaredehotspot 0 00022 eee eee AS Conclus es 2 6 264 444 8 Yi RR oS PERS SRE SRE LATA A Resolu o efectiva 5 1 Altera es efectuadas 44 wah God nd Eh Md aoe MS 5 2 ede CHADA x oy eo amp dm e GR GO HKG AGRE MOC RE 5 3 Interac o dos utilizadores pee wk eR SS ERS ESS ESS 5 3 1 Administrador sam 268 oe eR PGR ERPS EES duda RKesponsavel lt 2 i 4 44448 44444644454 2544444 85 5 3 3 UtliZa dOf noo ec ha eK a DE Rg SOS 54 Dados Wocados s espe ee ee ee EE E EERE DEE ERE DES 5 4 1 Formul rio essa 44 bo bb oe oe EE ERE RS 5 4 2 E mail recebido pelo administrador 5 4 3 E mail de confirma o do acesso 2 2 ee ee 5 4 4 E mail de rejei o do acesso 1 2 2 2 2 0 0000 2 5 5 PMMA sis patee psi LE ENS ADA RA ASS 5 6 Gest o do sistema 64 ei ee RGR PERSE REDRT ERE dA E A 5 6 1 Cria o de credenciais 44s 4 dae 4 oe oe ee Pow ee os 5 6 2 Automatiza o de bloqueio daconta 5 7 Manual do utilizador sc essas eo oe wed ee he ee os 5 8 Conclus es 64 464 eb GREE HRSA RED a DAR EA RAR E RS 5 8 1 Vantagens da solu o esc
5. Login u Compra de Vouchers n O que o Wi Fi n Onde utilizar Encontrar HOTSPOTS perto de si Pesquisa R pida de Hotspots Local ou Palavra El Qutras formas de encontrar HOTSPOTS n Ades o Assinaturas internet m vel f c digo 8 Germ ctessesa Entrar Roaming AE ep Rosming v g Como Utilizar Onde Utilizar _ Wi Fi Box Servi os XN Precisa de aceder a Internet Fora de Casa saiba mals banda larga tmn Fa a parte da maior fora de casa rede de Hotspots do Pais Adira j Ainda mais r pida pelo mesmo pre o Ta a ii banda larga ERR Done 3 O internet Figura 2 22 P gina de autentica o do hotspot da PT WIFI GO E memanen P Google Portugal ex E Get More Add ons suggested sites oi Favorites ever a n CI mh pag Safety Toos PRECISA DE AJUDA LIGUE 707 10 00 11 3 CLD N EE Horspors equipamentos conicura es raqs WORTESHOPPING SierraCentres networks SierraCentres com rasas BEM VINDO AO HOTSPOT DO NORTESHOPPING Este servi o permite lhe aceder Internet de banda larga com a mesma comodidade como se estivesse em casa ou no escrit rio Para usar o servi o Wi Fi neste Hotspot apenas precisa de ter o equipamento adequado e os dados de acesso que lhe foram fornecidos pelo seu operador ou que receber ap s a sub
6. Internet Assim em cada rede privada apenas necess rio um IP designado por IP P blico Quando um computador da rede privada tenta aceder Internet este dever encaminhar o tr fego pela gateway da rede A gateway que tem a tecnologia NAT ir substituir o endere o privado pelo seu endere o p blico e por um porto atribu do arbitrariamente Depois a informa o do IP privado ser guardada com o respectivo porto no sentido de fazer a correspond ncia dos pacotes que entram na gateway vindo da rede externa fazendo a respectiva correspond ncia com a m quina da rede interna Assim com esta tecnologia poss vel ligar cerca de 65536 2 9 computadores de uma rede privada apenas com um endere o p blico o que permite retardar o esgotamento total de endere os que se prev que ocorra no fim de 2011 Esta tecnologia pode ser vista como uma seguran a extra uma vez que esconde para o exterior qual o IP que realizou o pedido pois a tabela que permite fazer a correspond ncia entre o IP e o porto apenas vis vel para o equipamento de NAT A limita o desta tecnologia para al m do limite m ximo de apenas reconhecer protocolos TCP e UDP que permite correr a maior parte dos servi os que os utilizadores fazem uso mas limita ou impossibilita a execu o de outros 2 4 3 Proxy Um proxy um servidor que atende a pedidos efectuados pelos clientes e reencaminha os pedidos agindo por interposta pessoa Um cliente
7. Se o seu browser n o permite popups por favor n o feche esta janela Use outra janela do browser para navegar de forma a n o perder o bot o de logout Se a fechar por algum motivo o logout ser feito de forma autom tica por detec o de inactividade Alternativamente pode usar o endere o http exit noniussoftware com Logout Powered by WirelessGEST Copyright 2007 Nonius Software http 192 168 180 1 3990 logoff Internet far 100 tt e Figura 2 16 P gina de ap s ter realizado o login na rede Nesta p gina indicado que foi efectuado login com sucesso e passa a ser poss vel navegar na Internet Para al m disso tamb m aberto um pop up onde apresentado um link para a pessoa poder realizar logout quando pretender sendo o link o que se apresenta no canto inferior esquerdo Esta mesma p gina indica que caso a pessoa n o fa a logout o mesmo ser realizado pelo sistema de forma a garantir a seguran a de acesso rede 2 5 3 Cidade do Porto Com o intuito de atrair pessoas a cidade do Porto passou a disponibilizar gratuitamente o acesso Internet em diversos pontos da cidade A rede que se encontra dispon vel ao p blico denomina se Wifi Porto Digital e caracteriza se por ser uma rede aberta O ponto de captura desta rede foi a Avenida dos Aliados Nessa mesma altura era poss vel obter mais tr s redes wireless mas n o estavam relacionadas com o projecto Porto Digital 26 Apresenta o
8. a est em primeiro lugar pode acontecer situa es de o servidor DHCP n o atribuir IP s a computadores que n o tenham o seu MAC address previamente registado Como tal o utilizador precisa que o seu MAC address esteja registado no servidor e precisa tamb m que essa informa o apenas esteja dispon vel durante o tempo que o utilizador pode usufruir Uma das formas de garantir isso com recurso ao servidor LDAP Normalmente os daemons DHCP guardam a informa o em ficheiros de configura o Contudo com a utiliza o de sripts poss vel reconstruir esses mesmos ficheiros mas preenchendo os mesmos com informa o constante no LDAP Assim torna se necess rio criar uma sub rvore apenas para objectos DHCP mas com o campo seeAlso poss vel indicar a quem pertence o MAC address indicado Com este caso seriam necess rios dois scripts adicionais um para adicionar o MAC address ao servidor LDAP e outro para retirar o mesmo Torna se tamb m necess rio que o servidor DHCP reinicie para que possam correr as novas altera es 72 Conclus es e Trabalho futuro 6 4 5 Interface administrador Apesar de n o estar directamente ligado com a experi ncia do utilizador o administrador faz parte da rede e como tal n o pode ser esquecido Quando as credenciais s o criadas no servidor LDAP o mesmo necessita de passar por diversos passos uma vez que as interfaces apresentam o direct rio como um todo Uma das formas de
9. eduroam Learn about wireless Security enabled wireless network WPA alll networking settings Figura 2 13 Redes wireless dispon veis na FEUP 22 Apresenta o de Redes A rede eduroam Education Roaming uma rede europeia criada entre diversas universidades e centros de investiga o para disponibilizar um servi o de mobilidade entre os diversos campus universit rios Assim passa a ser poss vel que um membro de uma dada institui o possa utilizar a infra estrutura de outra institui o sem a necessidade de obter novas credenciais Esta rede encontra se encriptada sendo a sua autentica o realizada atrav s do protocolo de RADIUS Os tipos de autentica o podem diferenciar de institui o para institui o mas normalmente usado o EAP MSCHAPv2 ou o TTLS As credenciais usadas s o geralmente o username e a password da institui o de origem Durante o processo de autentica o necess rio indicar qual o realm do utilizador isto preciso que o utilizador indique qual a institui o a que pertence para al m do seu nome de utilizador Normalmente o login apresenta se na forma de teste Ofe up pt Esta informa o tem como objectivo identificar a que servidor de RADIUS dever ser encaminhado o pedido de autentica o No caso Portugu s quando um utilizador tenta autenticar se na rede eduroam sem qualquer realm ser tratado pelo pr prio servidor Quando o utilizad
10. o deixa de ser poss vel guardar outras informa es sendo para isso necess rio preencher o campo Observa es que n o de preenchimento obrigat rio O campo Servi os dispon veis preenchido pelo administrador tendo apenas o respons vel que escolher aquele que mais se adapta s caracter sticas do utilizador Este factor n o decisivo pois o administrador poder escolher outro tipo de servi os caso verifique que aos mesmos n o poss vel atribuir aquele utilizador Ap s o respons vel clicar no bot o de submeter este ir ver um ecr a confirmar que a opera o foi bem sucedida o que significa que o e mail para o administrador foi enviado sem qualquer problema Ant nio Cunha Barbosa FEUP Est gio Acesso Web e e mail Noao Neves 1234 joao neves Dinescporto pt Inicio 25 M Fevereiro 2009 v on mom v Fim 29 Junho w 2009 x 23h 45m m Enviar Limpar 53 Resolu o efectiva Acesso ao Hotspot Todos os campos s o de preenchimento obrigat rio excepto Observa es Mensagem enviada com sucesso Message from webpage A Mensagem enviada com sucesso Figura 5 3 Mensagem do formul rio a indicar que foi enviado com sucesso 5 4 2 E mail recebido pelo administrador O adminis
11. que foi desenhado para funcionar em sistemas embebidos como o WRAP ALIX ou placas da Soekris No entanto poss vel instalar o mesmo em sistemas operativos Linux Permite criar contas para utilizadores atrav s de gera o autom tica de login e password e imprimir esses dados Permite tamb m definir limites de tempo de banda e restringir o login a determinadas datas atrav s de uma interface Web O sistema encontra se parado desde o dia 1 de Janeiro de 2008 sendo apenas poss vel encontrar suporte atrav s de um grupo de discuss o que n o tem qualquer actividade recente Caf09 3 2 6 FirstSpot O software FirstSpot encontra se na vers o 6 e pertence famosa empresa PatronSoft Trata se de um sistema de gest o de hotspot baseado em Windows e permite a gest o centralizada de utilizadores Possui diversas funcionalidades tais como a cria o de utilizadores de forma autom tica utilizadores an nimos m ltiplos logins e tamb m suporta o protocolo RADIUS Para al m disso permite ao utilizador associar um MAC address ap s este ter se autenticado a primeira vez deixando de ser necess rio realizar login sempre que o utilizador se liga rede Fir09b Este software tal como os outros permite aplicar restri es em termos de banda utilizada tal como o tempo que o utilizador tem acesso rede Tamb m poss vel configurar uma firewall para permitir negar o acesso a certos servi os ou p ginas da Internet O sistema pago s
12. Force Internet Message Access Protocol Internet Message Access Protocol SSL Instituto de Engenharia de Sistemas e Computadores do Porto Internet Protocol Internet Protocol version 4 Internet Protocol version 6 Internet Service Provider Local Area Network Lightweight Directory Access Protocol LDAP Data Interchange Format Media Access Control address MAN MDS MGCP MIEIC MPLS NAT P2P PEAP PHP PKI POP3 POP3S PSK PSTN QoS RADIUS RFC SCI SFTP SGBD SIP SMTP SMTPS SNMP SQL SSH SSID SSL TLS TTLS VPN VLAN VoIP WAN WCCP WEP WPA ABREVIATURAS E SIMBOLOS Metropolitan Area Network Message Digest algorithm 5 Media Gateway Control Protocol Mestrado Integrado de Engenharia Inform tica e Computa o MultiProtocol Label Switching Network Address Translation Peer to Peer Protected Extensible Authentication Protocol PHP Hypertext Preprocessor Public Key Infrastructure Post Office Protocol 3 Post Office Protocol 3 SSL Pre Shared Key Public Switched Telephone Network Quality of Service Remote Authentication Dial In User Service Request for Comments Servi o de Comunica es e Inform tica Secure File Transfer Protocol Sistemas de Gest o de Bases de Dados Session Initiation Protocol Simple Mail Transfer Protocol Simple Mail Transfer Protocol Secured Simple Network Management Protocol Structured Query Language Secure Shell Protocol Service Set Identifier Secure Sockets Layer Transport Lay
13. Internet Um endere o p blico vis vel para o exterior e normalmente atribu do por um ISP Internet Service Provider ou caso a empresa j opere desde os princ pios da Internet e tenha requisitado ao instituto IANA Internet Assigned Numbers Authority uma gama de endere os p blicos Um endere o privado apenas vis vel na sua rede local sendo atribu do pela pr pria empresa Quer isto dizer que num endere o p blico a empresa n o tem qualquer possibilidade de alterar o IP apenas dentro da sua gama sendo que num endere o privado torna se poss vel realizar esta altera o Para o utilizador que se liga a rede estes endere os s o atribu dos por um servidor DHCP Dynamic Host Configuration Protocol que informa o cliente das defini es necess rias para aceder a rede Para um computador com endere o privado poder comunicar com a Internet necessita que na empresa esteja implementada a tecnologia NAT Como j foi referido apenas os servi os que usam os protocolos TCP e UDP podem comunicar com o exterior Para contornar este problema necess rio que o computador tenha um IP p blico de forma a funcionar correctamente A VPN um dos servi os que funciona com IP privado mas n o permite que seja para todos os utilizadores Por exemplo no caso de dois utilizadores que tentam aceder a redes VPN diferentes n o existe qualquer problema No entanto quando esses mesmos utilizadores tentam aceder mesma rede apenas um
14. Resolu o efectiva necess rios para automatizar o processo de bloquear e desbloquear a conta do utilizador 5 6 1 Cria o de credenciais Para que os dados sejam guardados em LDAP necess rio que os mesmos se encontrem no formato LDIF LDAP Data Interchange Format O LDAP permite que os dados sejam adicionados de duas formas atrav s do sidapadd que permite inserir dados com o servidor LDAP parado e atrav s do Idapadd que permite inserir dados com o servidor a funcionar Para melhorar a interac o do administrador com o sistema foi realizada pesquisa sobre a exist ncia de ferramentas com interface gr fica Existem diversos pacotes de software mas s alguns foram testados n o sendo poss vel indicar qual o melhor pois todos s o bastante semelhantes na forma de funcionamento tendo sido escolhida a aplica o mais intuitiva No Apache Directory Studio que funciona em Windows e Linux necess rio criar uma liga o ao servidor LDAP e estabelecer a mesma Uma vez estabelecida a liga o poss vel visualizar todos os n s da rvore LDAP al Apache Directory Studio Bax File Edit Navigate LDAP Window Help ES e Bi Py ioe ES E Schema Editor E K a E LDAP Browser O Com Entry Editor 52 Oo BE Outline Q S B B DN ou schema amp hE gt 1 ou schema x a ou l Attribute Description Value objectClass 2 objectClass organizationalUnit structural objectClass
15. Suggested Sites https 1192 168 176 1 WGManager htdocs registo p ee gt B 3 Pager Safety Tools PortoDigital POS Conecimento Programa Operacional Sociedad Local de Origem Autorizo a utiliza o destes dados Done O Internet far 100 n Figura 2 19 P gina de registo do hotspot Ap s a conclus o do registo somos redireccionados para uma p gina final a indicar que foi realizado com sucesso o login na rede Para al m disso apresentado o link necess rio para efectuar o logout e parar a contagem e tamb m aberta uma pop up a indicar o tempo restante de utiliza o Na imagem seguinte poss vel ver as informa es sobre o link e o tempo restante em falta 29 Apresenta o de Redes Acesso Internet de banda larga do PortoDigital Login com sucesso Windows Internet Explorer Wee Jo EE http 192 168 176 1 WGManager otlogir scces a 176 18uamport 3990 0 0E 35 C8 4 se 88 lles P Google Portug Pi oly Favorites 3 Get More Add ons Suggested Sites B5 gt l acesso internet de ban x ossa M D Poe Safety gt Tose O PortoDigital POS Conecimento mone Programa Operacional Sociodads Acesso Internet de banda larga do PortoDigital Login com sucesso Se o seu browser n o permite popups por favor n o feche esta janela U
16. a informa o sens vel em risco merecem aten o O problema actual consiste em n o ser poss vel definir para cada utilizador um conjunto de servi os que poder utilizar e por um per odo de tempo estritamente necess rio Actualmente os utilizadores usufruem de servi os que n o necessitam ou no caso em que a rede seja mais restritiva poder n o ser poss vel aceder a servi os que se tornam indispens veis para uma navega o correcta como por exemplo a bloqueio das portas de e mail Introdu o O projecto traduz se em duas fases A primeira ter como prop sito procurar informa o sobre ferramentas j existentes no mercado A segunda fase ser utilizada para implementar a solu o escolhida de forma a verificar que a mesma corresponde aos objectivos propostos A solu o final dever permitir ao administrador da rede criar o utilizador definir quais OS servi os que o mesmo dever ter acesso e o tempo pelo qual poder aceder rede n o sendo necess rio qualquer ac o posterior no sentido de dar ou retirar permiss es ao utilizador A solu o a implementar dever ser gen rica isto dever permitir que a mesma solu o se adapte a diversos tipos de empresa e diversos tipos de utilizadores n o tendo como objectivo principal a correc o de uma infraestrutura de rede de uma empresa em particular 1 3 Motiva o e Objectivos Ao longo do curso fui adquirindo um especial gosto pela rea de redes
17. a solu o inspirada na rede eduroam e seja desenvolvido um novo protocolo de autentica o mais seguro e sem estas limita es de configura es mais automatizado 66 Capitulo 6 Conclusoes e Trabalho futuro Este capitulo pretende apresentar algumas conclus es que foram retiradas do projecto bem como dar uma opini o pessoal sobre a forma como decorreu o est gio e as mais valias retiradas do mesmo Sendo este um projecto de quatro meses onde necess rio incluir tempo para pesquisar informa o e elaborar os documentos necess rios do projecto torna se dif cil n o apresentar melhoramentos Estes melhoramentos s o divididos em duas partes uma referente a um conjunto de software que melhora a seguran a e qualidade da rede e outra parte onde s o apresentadas algumas ideias para permitir a expans o do projecto 6 1 Satisfa o dos objectivos Tendo o projecto sido desenvolvido segundo os objectivos propostos poss vel afirmar que os mesmos foram atingidos Como a proposta de trabalho implicava que o projecto fosse o mais flex vel poss vel foi criada uma solu o facilmente expansiva a outros objectivos ou requisitos da empresa onde se implemente a solu o O facto de terem sido usados protocolos standard e aplica es de software aberto permite que esta seja integrada na rede da empresa e seja poss vel adaptar os equipamentos de rede nova solu o Um dos objectivos implicava que o utilizador aced
18. com o intuito de criar algo que ainda n o desenvolvido n o de descurar a possibilidade de num futuro pr ximo a exist ncia de um software que j permita implementar esta solu o numa ferramenta integrada e que desta forma aumente a seguran a das redes wireless 6 2 Relato da minha experi ncia Este trabalho permitiu para mim aumentar os conhecimentos adquiridos ao longo do curso bem como adquirir experi ncia em diversas ferramentas O facto de no curso existir algumas cadeiras de redes n o permite ao estudante obter a pr tica e os conhecimentos necess rios para se evoluir nesta rea sendo bastante importante a realiza o deste tipo de est gio no decorrer do curso Outro facto importante trata se de o mesmo ter sido realizado no INESC Porto o que permitiu estar integrado no mundo real observando e evidenciar as dificuldades dos utilizadores e os problemas que surgem na rede Sendo um instituto com alguma dimens o permitiu tomar conhecimento sobre como foi planeada a rede para os utilizadores actuais e futuros tendo em conta a chegada de novos utilizadores tamb m de salientar as diversas dificuldades que foram ocorrendo ao longo do curso nomeadamente na instala o de diversos programas pois a documenta o existente n o se encontrava completa Uma das falhas mais encontradas em programas de desenvolvimento aberto a documenta o n o acompanhar a evolu o do programa e existir mudan as radicais nas v ria
19. de computadores no qual obtive diversos conhecimentos nomeadamente atrav s das disciplinas optativas que frequentei sobre esta tem tica A realiza o do projecto nesta rea vem permitir reunir ainda mais conhecimentos e experi ncia sobre as diversas tecnologias com que contactei ao longo do curso Por outro lado possibilita o acesso a tecnologias completamente desconhecidas O objectivo deste projecto traduz se na adapta o de uma ou mais ferramentas j existentes no mercado de forma a solucionar um problema existente nas redes empresariais Este problema consiste mais concretamente na possibilidade de os diversos utilizadores que acedem rede wireless apresentarem necessidades diferentes Como exemplo de uma situa o destas temos a possibilidade de algu m se deslocar a uma institui o no intuito de realizar um est gio normalmente com uma dura o de meses quando em simult neo outra pessoa se desloca mesma institui o mas com o intuito de uma reuni o onde a dura o se expressa em horas Verifica se que as necessidades de servi os s o diferentes para cada indiv duo o que torna necess rio diferenci los enquanto utilizadores da rede O sistema dever tamb m ser capaz de possibilitar ao utilizador o acesso a equipamentos que se encontram dentro da pr pria rede como o caso de um auditor de contas que necessita de ter acesso aos servidores de contabilidade mas n o necessita de estar na mesma rede que o de
20. de Redes ae Wireless Network Connection Network Tasks Choose a wireless network Refresh network list Click an item in the list below to connect to a wireless network in range or to get more 2 Set up a wireless network iFi il Connected for a home e Related Tasks SpeedTouch3CD18D iD Learn about wireless Security enabled wireless network all networking dmsi wifi te Change Be preferre E Security enabled wireless network WPA alll Op Change advanced Residencial dos Aliados Guarany settings Unsecured wireless network all Figura 2 17 Redes wireless dispon veis na Avenida dos Aliados Ap s realizar a liga o a rede e abrir um browser o mesmo redireccionado para uma p gina de entrada tal como acontece na rede UPtec Nesta p gina pedido que o cliente efectue login e s o apresentadas as instru es de acesso Caso o utilizador clique no bot o login passa a dispor do tempo de uma hora no qual pode aceder a qualquer tipo de servi o Finda essa hora o utilizador ter que esperar uma hora para poder aceder novamente rede Esta medida utilizada para diminuir o abuso da rede wireless por parte dos utilizadores 27 Apresenta o de Redes Acesso Internet de banda larga do PortoDigital Windows Internet Explorer SAX a uamport 39908challenge 4cac22c752a0c677349ba2b0c8c01 167 amp userur Bnasid wir
21. exemplo poss vel verificar que os computadores se encontram ligados aos APs e que estes se interligam entre si Esta topologia n o pode ser usada em empresas de alguma dimens o pois n o permite uma maior expans o devido necessidade que os AP t m de estarem pr ximos uns dos outros como tamb m n o garante uma velocidade elevada e constante com exist ncia de interfer ncias Outra das limita es trata se de n o permitir a mobilidade dos utilizadores sem perder a conectividade pois cada equipamento port til se encontra autenticado apenas num AP sendo totalmente desconhecido por outros AP s Contudo em certos equipamentos que disponibilizam o protocolo RADIUS Remote Authentication Dial In User Service poss vel definir que um deles seja o autenticador e que os outros APs n o autentiquem mas reencaminhem os pedidos para esse AP permitindo ao utilizador mover se sem perder a conectividade Normalmente a rede wireless adicionada rede f sica j existente permitindo criar uma maior liberdade de escolha ao utilizador Por exemplo quando o utilizador se encontra no seu posto de trabalho pode estar ligado atrav s do cabo para obter uma maior qualidade de servi o mas quando o utilizador se pretende mover dentro da empresa pode utilizar a rede wireless para n o perder a conectividade como tamb m pode aceder rede no novo local onde se encontra durante uma reuni o Nesta topologia os AP s passam a estar i
22. foram desenvolvidas algumas tecnologias e t cnicas para minorar falhas de seguran a de forma a tornar transparente este processo para o utilizador normal 2 4 1 Firewall A firewall a tecnologia mais comum e usada nas redes A firewall consiste num programa que analisa todos os pacotes de dados que entram e saem da rede e atrav s de um conjunto de regras previamente criado permite ou inibe a passagem desses pacotes Essas regras podem ser alteradas de acordo com as necessidades da empresa devendo contudo permitir o tr fego que estritamente necess rio para o funcionamento dos sistemas da empresa Inicialmente a firewall era implementada na fronteira gateway da rede privada com a rede p blica como o exemplo a seguir o demonstra aa Internet F e k a P o E tg Server Web server Figura 2 6 Exemplo de uma rede de com firewall 13 Apresenta o de Redes Ao longo dos anos as empresas t m apostado cada vez mais em implementar firewall entre as diversas redes e at nos pr prios computadores no sentido de aumentar a seguran a da rede permitindo criar um filtro ainda mais restrito para cada computador 2 4 2 NAT A tecnologia NAT Network Address Translation nasceu para colmatar a limita o da gama de endere os da rede IPv4 Internet Protocol version 4 que com o crescente n mero de computadores se tornava cada vez mais pr ximo do limite m ximo de computadores que se podia ligar
23. que guardada num servidor VMPS no qual ter o de existir tantas entradas quantas placas de rede existam na empresa 20 Apresenta o de Redes 2 4 6 Tipos de autentica o wireless O padr o IEEE 802 1x um padr o do IEEE Institute of Eelctrical and Electronics Engineers que define mecanismos para autentica o na segunda camada de rede atrav s do RADIUS Sch09 O 802 1x permite que seja utilizado o protocolo EAP Extensible Authentication Protocol o qual permite que possam ser usados os seguintes m todos de autentica o e EAP TLS A seguran a do protocolo TLS Transport Layer Security acenta sobre o SSL Secure Sockets Layer Este utiliza a criptografia PKI Public Key Infrastructure para proteger a comunica o entre o autenticador e o servidor de autentica o A autentica o assente sobre a forma de certificados previamente instalado no lado do cliente podendo o certificado do cliente ser substitu do por um smart cards permitindo aumentar a seguran a da rede pois torna se necess rio retirar o cart o do utilizador para conseguir aceder a rede e EAP TTLS O TTLS Tunneled Transport Layer Security uma extens o do protocolo TLS que amplamente usado e suporta todos os sistemas operativos Contudo no Windows ainda n o existe um suporte de ra z sendo necess ria a instala o do programa SecureW2 Apenas preciso que exista um certificado por parte do servidor deixando de ser necess rio
24. que tem permiss es de impress o 71 Conclus es e Trabalho futuro 6 4 2 Integra o com Active Directory Este projecto apenas foi pensado para permitir a atribui o de permiss es de acesso a rede a utilizadores tempor rios atrav s da rede wireless Pode tamb m dar se o caso de a empresa possuir um espa o com computadores que s o utilizados pelos seus funcion rios apenas quando l est o como o caso de empresas de auditores ou vendedores ambulantes Normalmente neste tipo de espa os os utilizadores n o t m um computador pr definido utilizando aquele que se encontra livre enquanto que o seu perfil se encontra guardado num computador central que permite aceder de qualquer m quina A implementa o de um servidor com AD Active Directory permite que os utilizadores acedam aos equipamentos com o mesmo login A integra o do AD com o LDAP vem tamb m permitir que os utilizadores tempor rios possam aceder a rede wireless como tamb m a estes mesmo computadores 6 4 3 SSID guest O SSID guest normalmente conhecido por uma rede aberta que apenas cont m instru es de acesso rede Apesar de n o ser uma verdadeira inova o n o deixa de ser til uma empresa poder disponibilizar uma rede destas para permitir que o utilizador aceda s instru es dos diversos sistemas operativos em diversas l nguas como tamb m de certificados de acesso 6 4 4 Integra o DHCP com LDAP Em certas empresas onde a seguran
25. several areas taking into account the needs of businesses preparing them to face any challenge proposed il Agradecimentos Quero agradecer a todos aqueles que contribu ram para o sucesso do projecto atrav s de todo o incentivo apoio e disponibilidade demonstrado nomeadamente o Professor Jo o Neves meu orientador de est gio Gostaria tamb m de agradecer equipa do SCI do INESC Porto local onde realizei o est gio pois demonstraram serem pessoas bastante colaboradoras e competentes na rea em que se inserem Por fim gostaria de agradecer aos meus pais e minha namorada pelo apoio e persist ncia pois sem eles n o teria realizado o est gio Ant nio Barbosa iii Conte do 1 Introdu o 2 1 1 Contexto Enquadramento 02 00 0000 1 2 Projecto s serani ee be ESSE EY ERY ED SESS EEE ESS 1 3 Motiva o e Objectivos 2 02 02 eee eee 14 Estrutura da Disserta o 2 22s bebe eee EES EE HEE Apresentacao de Redes 2A Rede LAN O s suas gua do au bo oe ous eb gy hoy bg by bs 2 2 Rede Wireless so 244 24 oe ede ee EERE SAGE HESS 2 3 Topologia usada nas empresas 0 0 0000000 2 3 1 Topologia inicial ccccccclll a 2 3 2 Topologia entre sede e filiais oaoa aa a 2 3 3 Rede wireless ooa aa a 2 4 Aspectos de seguran a uu ma E ea we a 241 Firewall sc esoe ee a csa De RHE SSE See ees Eases 2A2 MA e 4 ed ok ee ea e a ae be ee SEA Glad S A ees 24 3 Po
26. sub rvore com apenas um n vel de n s de rede 2 3 2 Topologia entre sede e filiais Com a utiliza o da Internet foi poss vel criar novas estruturas empresariais Como mencionado anteriormente as empresas decidiram centrar a informa o toda num s distante e possibilitar que est longe o acesso a esta informa o A decis o de guardar os dados num s local permite rentabilizar melhor os equipamentos e diminuir os custos de aquisi o e manuten o Os locais remotos normalmente s o filias da empresa onde habitualmente a sua estrutura inform tica n o elevada pois o n mero de utilizadores n o requer muitos n veis na topologia de rede Apresenta o de Redes i N Sx a z S Ba Server Web server Database server Email server Figura 2 3 Topologia que liga a sede as filiais No exemplo apenas demonstrado que a sede cont m servidores contudo poss vel haver m quinas cliente mas apenas n o foram representados H v rias formas de ligar as filiais sede sendo a mais comum a VPN Virtual Private Network 2 3 3 Rede wireless Como explicado anteriormente as redes wireless n o s o mais do que redes normais apenas sem a utiliza o de fios Um exemplo muito simples de uma rede o seguinte a u Web server E 2 9 a da o Database server a Email server Figura 2 4 Exemplo de uma rede totalmente wireless 10 Apresenta o de Redes Neste
27. top abstract ou schema e DIT 2 Root DSE 3 6 cn apachedns i cn apachemeta O cn autofs cn collective 3 cn corba cn core i cn cosine H cn dhcp cn inetorgperson i cn java cm krbSkde O cnemozila enenis cn other cn samba cn schemaModificatio me fal gt Figura 5 8 Visualiza o de todos os n s no servidor LDAP Para o caso de testes foi estabelecida uma sub rvore organizationalUnit com o nome de hotspot Ao clicar sobre essa sub rvore temos acesso a v rias op es sendo uma delas a New Entry 57 Resolu o efectiva aj Apache Directory Studio Jo X Fie Edit Navigate LDAP Window Help ri Bigr or FY E Schema Editor gt 23 LDAP Browser O Gat Entry Editor 52 E B outline a Q ie S DN ou schema smalse a 7 ou l x x Attribute Description Value objectClass 2 A DIT objectClass organizationalUnit structural 7 Root DSE 3 objectClass top abstract ou schema amp pussrhema RN C New Entry A New Search Ctrl H P New Bookmark new Batch Operation fale Go to DN e RE RE RE ER ER RR E EDS EDO EDO EDS EDS EDS EDS EDO EDO EDO EDS EDO EDO EDO EDO EDO EDH Up F4 B Copy Entry DN Ctrl C f X Delete Entry Delete Move Entry Rename Entry F2 Advanced a Filter Children Figura 5 9 Menu para in
28. wireless preferred networks encontrada Qp Change advanced settings Connect up Wireless Network Connection x Windows was unable to find a certificate to log you on to the network hotspot Wireless Network Co Figura 5 11 Rede hotspot dispon vel para o utilizador Ap s esta fase o utilizador dever clicar no bal o apresentado para aceder as propriedades da placa wireless A imagem seguinte apresenta as redes que o utilizador j teve acesso Para configurar a rede necess rio aceder a propriedades da mesma 60 Resolu o efectiva lt b Wireless Network Connection Properties x General Wireless Networks Advanced Use Windows to configure my wireless network settings Available networks To connect to disconnect from or find out more information about wireless networks in range click the button below View Wireless Networks Preferred networks Automatically connect to available networks in the order listed below A hotspot Automatic Move up E Clique aqui para editar as configura es Learn about setting up wireless network configuration Figura 5 12 Aceder as propriedades da rede hotspot Ao clicar no bot o vai surgir uma nova janela com tr s separadores O primeiro separador respeitante a encripta o usada na rede Dever ficar definido a autentica o da rede como WPA e a encripta o d
29. 32 4 1 Rede a desenvolver o a Da CA a A 46 5 1 Rede desenvolvida ona a 51 5 2 Exemplo de preenchimento de formul rio de acesso ao hotspot 53 5 3 Mensagem do formul rio a indicar que foi enviado com sucesso 54 5 4 Mensagem do formul rio que o administrador recebe 54 5 5 Mensagem que o respons vel recebe a confirmar o pedido 55 5 6 Mensagem que o respons vel recebe a negar o pedido 355 5 7 Fluxograma de como os actores interagem entre si o oo ooa 56 5 8 Visualiza o de todos os n s no servidor LDAP 37 5 9 Menu para inser o de utilizadores 2 2 ee ee 58 5 10 Exemplo de dados guardados em LDAP 59 5 11 Rede hotspot dispon vel para o utilizador o oo aaa 60 vii LISTA DE FIGURAS 5 12 Aceder as propriedades da rede hotspot 04 61 5 13 Propriedades da rede wireless hotspot Separador Association 61 5 14 Propriedades da rede wireless hotspot Separador Authentication 62 5 15 Propriedades da rede wireless hotspot Protected EAP Properties 63 5 16 Introdu o das credenciais na rede 00 63 5 17 Confirma o de acessoarede 1 2 2 2 2 022 ee eee 64 Vili Lista de Tabelas 2 1 Exemplo de entradas num servidor VMPS 20 A 1 Tabela comparativa RADIUS Autentica o 24 76 A 2 Tabela comparativa RADIUS Armazena
30. 44200 Motivo da deslocacao 3 3 29 Printable String attributetype 1 3 6 1 4 1 33536 1 1 103 NAME motivoDeslocacao DESC Motivo da deslocacao EQUALITY caselgnoreMatch SUBSTR caselgnoreSubstringsMatch ORDERING caselgnoreOrderingMatch SYNTAX 1 3 6 1 4 1 1466 115 121 1 44200 Servicos pretendidos 3 3 29 Printable String attributetype 1 3 6 1 4 1 33536 1 1 104 NAME servicos DESC Servicos pretendidos EQUALITY caselgnoreMatch SUBSTR caselgnoreSubstringsMatch ORDERING caselgnoreOrderingMatch SYNTAX 1 3 6 1 4 1 1466 115 121 1 44200 Nome do responsavel 3 3 29 Printable String attributetype 1 3 6 1 4 1 33536 1 1 105 NAME nomeResponsavel DESC Nome do responsavel EQUALITY caselgnoreMatch SUBSTR caselgnoreSubstringsMatch ORDERING caselgnoreOrderingMatch SYNTAX 1 3 6 1 4 1 1466 115 121 1 44200 Numero funcionario responsavel attributetype 1 3 6 1 4 1 33536 1 1 106 NAME numeroFuncionario 80 Configura es DESC Numero funcionario responsavel SYNTAX 1 3 6 1 4 1 1466 115 121 1 27 E mail do responsavel 3 3 29 Printable String attributetype 1 3 6 1 4 1 33536 1 1 107 NAME emailResponsavel DESC E mail do responsavel EQUALITY caselgnoreIASMatch SUBSTR caselgnoreIA5SubstringsMatch SYNTAX 1 3 6 1 4 1 1466 115 121 1 26200 Periodo de estadia 3 3 29 Printable String attributetype 1 3 6 1 4 1 33536 1 1 108 NAME periodoEstadia
31. 9 4 3 5 Servidor HTTP O servidor HTTP apenas tem como funcionalidade apresentar a p gina web que ser utilizada para os clientes efectuarem login no sistema Como o sistema de hotspot escolhido necessita do m dulo de PHP PHP Hypertext Preprocessor torna se importante a sua instala o Como necess rio existir alguma forma de os utilizadores pedirem ao administrador da rede credenciais v lidas vai ser criado um simples formul rio tamb m em PHP Quando o formul rio submetido pelo utilizador este vai criar um e mail e enviar a informa o preenchida para o administrador da rede Como os requisitos de servidor web n o eram elevados foi escolhido o Apache por ser um software simples e robusto e por ter sido implementado durante as aulas de redes 48 Proposta de Resolu o 4 3 6 Servidor e mail O servidor de e mail apenas necess rio para efectuar a troca de informa o entre os utilizadores e o administrador da rede quando o formul rio submetido e quando o administrador responde ao utilizador Apesar de o software escolhido ter sido o sendmail j instalado de origem do CentOS poss vel utilizar o servidor da pr pria empresa bastando para tal mudar os par metros necess rios no formul rio 4 4 Software de hotspot Para a gest o de uma rede wireless do tipo hotspot necess ria a exist ncia de algum software que realize a gest o dos utilizadores Essa gest o passa por armazenar os dados dos
32. ADIUS Ferramentas de log Todos os programas permitem guardar os dados de utiliza o contudo alguns deles tamb m possuem ferramentas para mostrar os dados analiticamente A forma de apresenta o dos dados pode ser realizada em tabelas ou em gr ficos Nesta tabela quando se indica que o programa permite mostrar a informa o em gr ficos o mesmo permite que a informa o seja dispon vel em tabelas No caso do Microsoft IAS os dados s o guardados em SQL server e a informa o pode ser tratada como uma base de dados normal A 7 Outras funcionalidades CSSA Navis Radiator Free IAS GNU Dicion rios fabricantes Sim Sim Sim Sim SNMP N o Sim Sim Sim Sim DHCP N o Sim Sim Windows Sim DNS Sim Sim Windows LDAP integrado N o Nao N o N o Windows Nao Possui cliente teste Sim Sim Sim Sim Sim BD integrada Sim Sim Sim Sim Sim Taxa o VoIP Sim N o Sim Tabela A 7 Tabela comparativa RADIUS Outras funcionalidades Como o Microsoft IAS apenas funciona em Windows Server as funcionalidades de DHCP DNS e LDAP Active Directory s o efectuadas pelo sistema operativo 78 Anexo B Configuracoes O ponto mais importante deste projecto centra se na informa o que guardada no servidor LDAP Ao criar o utilizador eram necess rios v rios objectos e repetir atributos para a informa o ficar toda guardada Para uma melhor gest o do ponto de vista administrativo foi necess rio criar atributos e objectos espec ficos para
33. FACULDADE DE ENGENHARIA DA UNIVERSIDADE DO PORTO Projecto de um Hotspot com uso controlado para uma rede de empresa Ant nio Cunha Barbosa Relat rio de Projecto Disserta o Mestrado Integrado em Engenharia Inform tica e Computa o Orientador Jo o Manuel Couto das Neves Professor Auxiliar Convidado 29 de Junho de 2009 Projecto de um Hotspot com uso controlado para uma rede de empresa Ant nio Cunha Barbosa Relat rio de Projecto Disserta o Mestrado Integrado em Engenharia Inform tica e Computa o Aprovado em provas p blicas pelo j ri Presidente Jo o Ant nio Correia Lopes Professor Auxiliar da FEUP Arguente Jos Gerardo Vieira Rocha Professor Auxiliar da Universidade do Minho Vogal Jo o Manuel Couto das Neves Professor Auxiliar Convidado da FEUP 17 de Julho de 2009 Resumo O presente relat rio vem descrever as ac es que foram tomadas no desenvolvimento do projecto intitulado Projecto de um Hotspot com uso controlado para uma rede de empresa Este projecto consiste em desenvolver servi os para uma rede wireless que permita gerir acessos a utilizadores tempor rios contemplando solu es existentes no mercado Neste est gio pretendia se a cria o de um sistema simples robusto e seguro de gerir utilizadores tempor rios permitindo definir os servi os que cada um tinha direito e limitar o tempo de acesso aos recursos A solu o a ser desenvolvida deveria ser o mai
34. TP SFTP O FTP File Transfer Protocol um protocolo que permite a troca de ficheiros entre um cliente e um servidor Tal como acontece no HTTP existe uma vers o do FTP que implementado sobre SSH Secure Shell Protocol denominado por SFTP Secured File Transfer Protocol Do lado do servidor utilizado a porta 21 para escutar os pedidos dos clientes no qual o cliente indicar qual a porta por onde quer receber os dados um valor aleat rio acima do valor 1024 Ap s esta comunica o o servidor come a a enviar os dados atrav s da porta 20 para a porta especificada pelo cliente Por sua vez o SFTP utiliza a porta 22 para efectuar a comunica o autentica o e transfer ncia de ficheiros e IMAP IMAPS POP3 POP3S SMTP SMTPS Os protocolos mencionadas s o normalmente utilizados para aceder ao e mail atrav s de um cliente de e mail Todavia n o obrigat rio utilizar todos os protocolos ao mesmo tempo para ser poss vel utilizar o servi o correctamente Cada um dos tr s protocolos possui uma vers o mais segura com o intuito de aumentar a seguran a dos dados que s o transferidos entre o cliente e o servidor Em tra o simples o POP3 permite descarregar o e mail do servidor para o cliente Este utiliza a porta 110 na vers o normal e a porta 995 na vers o segura O protocolo SMTP Simple Mail Transfer Protocol um padr o para o envio de e mail atrav s da Internet ou seja envio de dados do cliente para o servido
35. Xchange poss vel efectuar chamadas de VoIP de duas formas diferentes atrav s de software denominados softphone que utilizam o equipamento de som de um computador para efectuar a chamada ou atrav s de telefones espec ficos para este protocolo denominados por hardphones Estes ltimos podem integrar as 44 Proposta de Resolu o funcionalidades de VoIP e de telefonia normal permitindo ao utilizador ou a uma central caso a empresa possua escolher qual a forma mais barata de efectuar essas comunica es tec09a A vantagem na rede wireless prende se com a possibilidade de o utilizador poder comunicar com a sua empresa de forma gratuita ou de poder efectuar confer ncias remotas e VPN A VPN uma rede de comunica es privada normalmente para interligar empresas que constitu da sobre a Internet Como os dados que circulam na Internet n o s o seguros a VPN vem permitir a cria o de t neis de comunica o e possibilitar que esses mesmos dados circulem de forma encriptada Actualmente a VPN permite ao cliente utilizar todos os servi os da sua rede empresarial n o estando presente na mesma isto o administrador da rede apenas precisa de dispor dos servi os na sua rede pois o utilizador pode ligar se remotamente a essa mesma rede e usufruir desses mesmos servi os Tec09b 4 1 2 IP P blico vs IP Privado A diferen a entre IP s p blicos e privados apenas se realiza na forma como s o vis veis para a
36. a dist ncia a que os computadores se encontram entre si podendo ser MAN Metropolitan Area Network ou WAN Wide Area Network Cada vez mais as empresas apoiam a sua estrutura e funcionamento em sistemas de informa o Os sistemas de informa o tendem a reunir a diversa informa o que se encontra nos diversos departamentos da empresa e faz uso das capacidades das redes de computadores para distribuir e conseguir disseminar essa mesma informa o j tratada Apresenta o de Redes por outros departamentos Contudo esses departamento poder o ser locais como podem encontrar se em diferentes cidades e dessa forma necessitam da Internet para transmitir a informa o Uma das arquitecturas mais usadas em redes a arquitectura cliente servidor onde a informa o se centra em um ou mais servidores conhecido por server farm ou server cluster e os utilizadores acedem a essa informa o atrav s dos seus computadores de trabalho tipicamente atrav s de browsers ou aplica es especificas A utiliza o da Internet permite centrar a informa o toda na sede ao mesmo tempo que utilizada nas diversas filiais 2 2 Rede wireless A rede wireless parte integrante da rede LAN sendo os seus requisitos e capacidades ligeiramente diferentes da rede por cabo A principal diferen a reside na forma como os dados s o transmitidos atrav s de onda r dio e nas potencialidades propostas a mobilidade do utilizador sem perder conectiv
37. a dispon veis atrav s de grupo de utilizadores deixando de ser necess rio definir um a um Uma das diferen as em rela o aos outros sistemas hotspot trata se de ser poss vel adaptar as p ginas de acesso diferentes consoante o ponto de acesso em que o utilizador se autentica isto se o utilizador se autentica num AP que se encontra no 1 andar recebe uma p gina de autentica o diferente do utilizador que pretende autenticar se num AP do 3 andar Este software tamb m funciona como gateway o que permite criar restri es ao n vel da firewall e impedir que os utilizadores acedam a determinados sites ou servi os Esta empresa disp e tamb m de uma solu o RADIUS n o gratuita que a implementada neste produto Hot09 O armazenamento da informa o dos utilizadores pode ser realizado atrav s de diversas formas Uma delas com recurso ao protocolo LDAP Ap s alguma pesquisa reuniu se informa o sobre alguns destes sistemas existentes tendo em comum grandes empresas que os desenvolvem e o facto de funcionarem em Linux 38 Problema existente e Estado da Arte 3 3 Servidores LDAP 3 3 1 OpenLDAP O projecto OpenLDAP um projecto que nasceu em 1998 sendo um clone de um projecto j iniciado pela Universidade de Michigan Em Abril de 2006 houve uma reestrutura o da equipa que passou a contar com um grupo de tr s membros na equipa base e outros elementos para a implementa o de funcionalidades e testes Con
38. ador Todas as actividades abusivas ou ilegais que o utilizador realize ser o da responsabilidade do mesmo perante a empresa 5 3 3 Utilizador Ser a pessoa que se desloca empresa a convite de algu m e que pretende aceder a rede 5 4 Dados trocados Esta sec o pretende demonstrar quais s o as informa es que circulam entre os diversos actores Primeiramente necess rio que o respons vel efectue o pedido de liga o e para tal dever preencher um formul rio com a informa o que se l encontra Depois o administrador indica a sua posi o transmitindo as credenciais e outras informa es relevantes ou caso rejeite o pedido dever tamb m indicar essa informa o ao respons vel 5 4 1 Formul rio O formul rio de acesso ser semelhante ao seguinte 52 Acesso ao Hotspot Resolu o efectiva Todos os campos s o de preenchimento obrigat rio excepto Observa es Nome do utilizador Empresa do utilizador Motivo desloca o Servi os pretendidos Nome do respons vel N funcion rio respons vel Email do respons vel Periodo de estadia Observa es Figura 5 2 Exemplo de preenchimento de formul rio de acesso ao hotspot Quando o projecto foi lan ado n o havia a indica o sobre que o tipo de informa o que se pretendia guardar A forma como este formul rio est preenchido pretende retratar a informa o que se julga pertinente No entanto n
39. ares livres e como tal o seu custo nulo Para uma melhor compreens o da informa o recolhida foram criadas diversas tabelas que se encontram divididas desde suporte a protocolos de informa o locais para armazenar os dados sistemas operativos suportados ferramentas de configura o pol ticas de seguran a ferramentas de an lise e por fim a possibilidade de apresentar outras ferramentas Para simplificar a informa o na tabela os nomes dos programas foram encolhidos mas segue a mesma ordem que foi apresentada acima Nas tabelas poss vel encontrar espa os em branco Este facto deve se a n o se conseguir apurar se o software suporta ou n o a funcionalidade A 1 Autentica o CSSA Navis Radiator Free IAS GNU CHAP Sim Sim Sim Sim Sim PEAP Sim Sim Sim Sim Sim Sim EAP TLS Sim Sim Sim Sim Sim Sim EAP TTLS Sim Sim Sim Sim Sim EAP MD5 Challenge Sim Sim Sim Sim Sim EAP PSK Sim Sim Sim EAP GTC Sim Sim Sim MS CHAP Sim Sim Sim Sim Sim Sim MS CHAP2 Sim Sim Sim Sim Sim Sim PAP Sim Sim Sim Sim Sim Tabela A 1 Tabela comparativa RADIUS Autentica o 76 RADIUS A 2 Armazenamento da informa o CSSA Navis Radiator Free IAS GNU Ficheiro texto Sim Sim Sim Sim Sim Kerberos N o N o Sim Sim plugin LDAP Sim Sim Sim Sim Sim Sim Proxy server Sim Sim Sim Sim Sim SQL Sim Sim Sim Sim SQL server Sim TACACS Sim N o Sim N o Unix Sim Sim Sim Sim Sim Tabela A 2 Tabela comparativa RADIUS Armazenamento da in
40. ca com um dom nio por defeito example com e para colocar as configura es correctas foi necess rio despender algum tempo isto n o t o intuitivo como os dois anteriores 3 4 Conclus es do Estado da Arte Para al m destes sistemas de gest o de hotspot foram vistos outros que na grande maioria eram varia es de outros sistemas ou n o possu am vantagens extras sobre os apresentados de salientar que as vers es que trabalham em Windows e possuem gest o pr pria apresentam uma interface rica em funcionalidades de forma a possibilitar a melhor ferramenta de gest o ao administrador Contudo estas solu es s o pagas o que n o vai de encontro com o pretendido no projecto As vers es de software aberto funcionam plenamente em Linux e apresentam se capazes de responder aos requisitos pretendidos Apesar de algumas solu es n o apresentarem interface gr fica n o deixa de ser poss vel configurar a rede pretendida Contudo fica a nota que existem diversas solu es mas que o seu desenvolvimento j n o acontece por decis o dos seus criadores Outro factor importante a qualidade da documenta o ser bastante inferior a habitual noutros programas por se encontrar incompleta ou desactualizada De entre as solu es vistas a decis o de escolher o CoovaChilli sucessor do ChilliSpot deveu se ao facto de ser uma solu o de software livre poss vel de instalar em qualquer vers o Linux e implementar as funciona
41. corporate network This project pretends to develop services for a wireless network that allows manage users access temporary reminding solutions on the market The stage was realized in order to create a simple robust and safe to handle temporary users allowing to define the services that each had a right and limiting the time of access to resources The solution to be developed should be as generic as possible in order to adapt it to achieve taking into account the needs of the company where you want to implement For a better understanding of the problem there was a small study of wireless networks implemented in known locations in the city of Oporto After this study it has been developed a plan on the best approach to resolve this issue Over time the objectives and the most important requirements were becoming more clear which contributed to the final solution This solution is built through the authentication of the RADIUS protocol and user data are saved through the LDAP protocol The separation of services is done through the implementation of VLANs that are assigned dynamically to the user The stage had a duration of four months and ran at INESC Porto allowing local access to all equipment necessary for establishing the network and perform all tests required The choice of the site also have enabled a more accurate about a business environment The project was successful evidence that FEUP to train individuals capable of acting in
42. ctiva VLAN Isto permite que v rios utilizadores acedam ao mesmo SSID quando na pr tica se encontram em redes diferentes Desta forma torna tamb m poss vel ao administrador atribuir VLANs que j existam implementadas na rede empresarial 5 3 Interac o dos utilizadores Um aspecto importante e que n o foi mencionado trata se de como vai ser efectuada a troca de informa o entre os diversos actores do sistema Nesta rede v o existir tr s 51 Resolu o efectiva tipos de actores Cada um tem um papel e responsabilidades diferentes Para uma melhor compreens o ser dada uma breve explica o sobre cada um 5 3 1 Administrador O administrador ser desempenhado pelo administrador da rede ou por qualquer outra pessoa que a empresa indique para realizar a gest o Tem como papel principal adicionar ou remover utilizadores bem como garantir o funcionamento de toda a estrutura 5 3 2 Respons vel O respons vel dever ser algu m que trabalhe na empresa ou que se encontre directamente relacionado com a mesma Este far a ponte entre o administrador e o utilizador pois ir pedir as credenciais de acesso ao administrador e entregar as mesmas ao utilizador ap s terem sido criadas Este papel nasceu da necessidade de garantir que os pedidos de rede efectuados sejam leg timos Este elemento aquele que convida o utilizador a deslocar se empresa e que tamb m dever estar atento s actividades do utiliz
43. deles o primeiro que efectuar a liga o conseguir obter conectividade pois o servidor VPN da empresa remota interpreta que o mesmo cliente a tentar estabelecer a comunica o McL09 45 Proposta de Resolu o Outro servi o que apresenta algumas limita es o VoIP Este servi o para funcionar necessita obrigatoriamente de possuir IP p blico isto n o funciona atrav s de NAT Uma das formas de contornar este problema atrav s da implementa o de uma central VoIP onde o utilizador n o comunica directamente com outro cliente VoIP mas sim atrav s da central A central necessita de IP p blico para funcionar e realizar a ponte para todos os clientes da rede privada 4 2 Redea criar Para iniciar este projecto foi necess rio planear qual a configura o da rede a implementar Apenas ser usada como testes pois n o poder representar uma rede real Esta solu o pretende tamb m representar parte da rede wireless que foi especificada em exemplos anteriores ee ss a8 Figura 4 1 Rede a desenvolver Para constituir esta rede ser o utilizados equipamentos da Cisco O AP ser o modelo Aironet 1130 AG Series sendo o switch um Cisco Catalyst 2950 Series de 24 portas 10 100 Mbit s O servidor ser um computador normal onde ser instalado todo o software necess rio para poder autenticar os clientes wireless Apenas se encontra representado um pois o n mero de clientes que vai existir para testes n o n
44. desloca A VLAN din mica caracteriza se por permitir uma maior flexibilidade bem como uma maior complexidade Neste caso n o atribuida uma VLAN a cada porta mas passa a existir um servidor central que ter que guardar a informa o sobre cada computador Um servidor deste g nero denomina se por VMPS VLAN Management Policy Server que guarda numa tabela a informa o de cada MAC Address Media Access Control address e a VLAN associada Assim sempre que um cliente se ligue a uma tomada o switch que gere a tomada pergunta ao servidor VMPS qual a VLAN que deve atribuir Se a entrada existir o servidor informa o switch e este atribui a VLAN ao cliente A complexidade reside na necessidade de o servidor ter conhecimento pr vio de todos os MAC address da empresa o que a ser implementado numa rede de grande dimens o requer muito trabalho e esfor o Outro facto que cada vez que um computador se liga a uma porta o switch vai interrogar o servidor gerando tr fego na rede Se os clientes trocarem frequentemente de lugar produz tr fego a ponto de degradar a qualidade da rede Entrada VLAN MAC address 1 2 5D FF 68 DE 22 0A 2 4 5A 09 DF FF 41 12 3 4 1A B4 4F CC 35 32 4 12 8E E3 FA C8 B2 63 5 4 F2 3D A9 00 37 42 6 4 C4 72 36 FF A2 61 7 12 5B 90 03 BB BC 25 8 12 B9 42 27 A3 7F 1F 9 2 DD 0D 26 52 78 35 10 2 C4 42 25 1F DA 94 Tabela 2 1 Exemplo de entradas num servidor VMPS Nesta tabela pretende se ilustrar a informa o
45. dministrador definir quais os tipos de servi os que cada utilizador deveria ter acesso como tamb m n o permitia a cria o de VLANS Isto iria obrigar os utilizadores a terem todos acesso ao mesmo conjunto de servi os O cap tulo seguinte pretende retratar qual foi realmente o sistema desenvolvido e tamb m as mudan as necess rias pela substitui o do sistema de hotspot 49 Capitulo 5 Resolucao efectiva Ap s a implementa o da rede inicialmente proposta foi verificado que a mesma n o correspondia a todos os objectivos propostos e n o resolvia alguns dos problemas evidenciados Como tal foi necess rio efectuar algumas mudan as que naturalmente traz vantagens e desvantagens Esta nova solu o permite tamb m uma maior expans o da rede pois o tra ado original ficava muito dependente do desenvolvimento de funcionalidades de um s software As altera es ser o explicadas seguidamente 5 1 Altera es efectuadas O software de Hotspot escolhido apresentava diversas funcionalidades mas mesmo assim foi necess rio retirar o mesmo do projecto Apesar de efectuar a autentica o por RADIUS n o era poss vel utilizar outra infraestrutura de RADIUS pois n o era compat vel Outra situa o levantada foi a limita o na forma como os endere os IP eram atribu dos n o era poss vel definir mais do que uma gama de endere os e essa mesma gama tinha uma dimens o semelhante s classes C Apesar de n o ser rest
46. e a valida o n o era local factor bastante importante para manter a seguran a dos utilizadores 2ho09 3 2 2 ZoneCD Este programa indicado como uma das refer ncias nos sistemas de hotspot disponibiliza uma vers o adaptada da distribui o linux Morphix CD onde inclui diverso software pr configurado para a cria o de um hotspot Existem duas vers es uma gratuita e outra paga A vers o gratuita tem como base o projecto NoCat e a autentica o realizada atrav s do site da empresa A vers o paga assenta num projecto mais recente denominado por wifidog sendo que a vers o mais cara permite realizar a autentica o localmente bem como gerir diversos relat rios de utiliza o Em Mar o de 2009 deixou de ser poss vel obter a vers o gratuita mantendo se contudo a autentica o v lida para os sistemas que se encontravam a funcionar por um per odo de tempo n o definido Zon09 3 2 3 Softvision Explorer O Softvision Explorer uma solu o para a gest o de hotspots e cyber caf s A autentica o realizada atrav s de credenciais no caso de hotspots como tamb m atrav s de smart cards no caso de cyber caf s A profissional a nica que permite criar hotspots permite que os dados dos utilizadores sejam guardados em MySQL como tamb m realizar configura es ao n vel da firewall ou limite de utiliza o por parte dos clientes wireless Inclui tamb m uma ferramenta pr pria de gest o de utilizadores e
47. e essas pessoas tenham um conjunto de credenciais v lidas para poderem aceder O que se pode suceder o administrador criar acessos para todas as pessoas e posteriormente retirar o acesso das mesmas Isto implica que o administrador perca grande parte do tempo a gerir estes utilizadores Outro facto que estes mesmos utilizadores passariam a ter acesso a servi os que n o deveriam Como tal para limitar estes casos a empresa poderia criar uma rede alternativa onde houvesse uma chave nica para todos os utilizadores tempor rios mantendo se na mesma a rede atr s indicada Esta poderia ter um conjunto enorme de restri es pois o seu objectivo fornecer Internet a um utilizador por um conjunto de horas Contudo esta solu o n o se revela a mais eficaz pois pode dar se o caso de o utilizador necessitar de aceder rede da sua empresa de origem atrav s de VPN e a mesma estar bloqueada Outro caso importante que pode ocorrer dois utilizadores diferentes tentarem aceder a mesma rede VPN o que implica que apenas o primeiro iria ter acesso Para contornar esta situa o seria necess rio que os utilizadores tivessem um IP p blico Assim torna se importante para uma empresa possuir uma rede onde seja poss vel gerir os utilizadores tempor rios atribuindo servi os diferentes Os utilizadores apenas devem ter acesso dentro do per odo especificado desde o dia X at ao dia Y e aos servi os que necessita isto dois utilizador
48. ecessita de colocar redund ncia de servi o ou mecanismos de falhas O software a ser instalado ser descrito a seguir sendo indicado qual o programa que ser instalado e as configura es gerais para o seu funcionamento 4 3 Software necess rio Para colocar a rede em funcionamento necess ria a implementa o de algum software desde fornecer IP aos clientes at realizar a autentica o dos mesmos E importante salientar que existem outros programas que podem ser instalados 46 Proposta de Resolu o principalmente para garantir uma maior seguran a dos dados que circulam entre os diversos sistemas Esta informa o ser explicada no cap tulo sobre melhoramentos do projecto 4 3 1 DHCP O protocolo DHCP atribui de forma din mica endere os IP aos computadores da rede Estes endere os podem ser atribu dos de forma manual ou autom tica O programa a utilizar chama se DHCP daemon que permite de forma r pida configurar a rede Os endere os manuais ser o atribu dos aos equipamentos que constituem a rede pois a sua MAC address n o se altera e s o equipamentos que t m mobilidade Os clientes tempor rios t m um endere o autom tica que definido atrav s de uma pool O servi o DHCP permite tamb m informar os computadores qual a gateway da rede e os servidores DNS Domain Name System que no caso ser usado o servi o DNS do INESC Porto 4 3 2 RADIUS RADIUS um protocolo AAA Authentication Authorizatio
49. el atrav s de queries SQL Structured Query Language apresentar diversos tipos de relat rios Outra das vantagens a quantidade de dados que podem ser armazenado num sistema SGBD ser muito maior que em ficheiros 6 4 Outros melhoramentos Nesta parte pretende se demonstrar algumas ideias que poderiam dar mais recursos aos utilizadores tempor rios Contudo n o deixa de ser poss vel aplicar estas mesmas ideias na rede j existe para os trabalhadores das empresas poderem tamb m usufruir das mesmas melhorias 6 4 1 Permiss es de impress o Uma das ac es que um utilizador pode realizar no computador imprimir Normalmente esta ac o encontra se desactivada para pessoas de fora sendo apenas atribu da quando requerido pelas mesmas ou por superiores devido aos custos que comportam Como o actual sistema faz uso do protocolo RADIUS poss vel dar permiss es a um utilizador tempor rio e atribuir os custos Para tal necess rio que as impressoras comuniquem com o RADIUS para determinar se devem ou n o imprimir trabalhos de determinado utilizador Os custos seriam reportados atrav s do Accounting do RADIUS e imputados ao respons vel do utilizador Desta forma surgiriam vantagens pois deixaria de ser preciso que o utilizador trouxesse j imprimido determinado documento pois poderia at n o ser preciso como tamb m deixaria de ser preciso que os documentos tivessem de ser transferidos para outro computador
50. elessgest hotspot mac 00 0E 35 CB 46 82 4 4 X Google Portua Pj oly Favorites bz Get More Add ons Suggested Sites Acesso Internet de banda larga do PortoDigital A de Pager Safety Tools E PortoDigital POS Conecimento mone Programa Operacional Sociedade do Acesso a Internet de banda larga do PortoDigital Efectue o login login Para criar um acesso permanente Registe se aqui Instru es de acesso a Tin i ee Aim Utiliza o Casual concedido o livre acesso Internet pelo Porto Digital durante 1 hora Quando o tempo se esgotar ocorrer um per odo de car ncia de 1 hora antes de ser possivel novo acesso Para evitar o per odo de car ncia dever registar se no Porto Digital Utiliza o Regular Utilizadores Registados E concedido o livre acesso Internet pelo Porto Digital durante 4 horas em m ltiplas sess es no per odo de 1 semana Se este limite for atingido antes de finalizado o per odo de 1 semana ser o aplicadas medidas para reduzir o tr fego e a largura de banda ao utilizador A cada semana o limite de tempo renovado e as medidas referidas levantadas Os limites aplicados ap s as 4 horas s o Banda 64 kbps Upload Download Tr fego 2G Bytes Upload Download x O Internet fg gt 100 Figura 2 18 P gina de autentica o do hotspot da UPTec No entando poss vel ao utilizador ter um acesso mais prolongado bastando para is
51. en rios poss veis O primeiro cen rio que se a empresa tivesse um grande conjunto de utilizadores o sistema de reiniciar o processo de cada vez que inserido um utilizador poderia conduzir a quebras do servi o pois os utilizadores n o se podem autenticar durante esse per odo de tempo Outro cen rio poss vel seria acabar com o limite em termos de horas contando apenas os dias que o utilizador precisa bastando para tal que o servi o reinicie uma vez por dia Contudo caso um utilizador se deslocasse a uma empresa e s deveria ter acesso entre as 12h e as 14h passaria a ter acesso durante o dia todo Outro caso o pedido para o utilizador chegar s 9h ao administrador para permitir que o utilizador tivesse acesso entre as 20h e as 22h e a hora marcada para reiniciar o processo ser posterior a este hor rio Relativamente aos IP s o CoovaChilli n o permitia que fosse usado um servidor DHCP externo apesar de ser poss vel atribuir endere os f sicos atrav s da MAC Address Para al m disso permitia limitar a gama de endere os dispon veis ao contr rio do ChilliSpot que n o permitia reduzir o n mero de endere os dispon veis Os endere os IP fixos tamb m s o guardados em ficheiros de texto acarretando as mesmas limita es que a gest o dos utilizadores Outro problema referia se a n o ser poss vel efectuar uma distin o de servi os para cada tipo de utilizador ou seja apenas era poss vel definir um conjun
52. endo um dos mais caros a par do MikroTik 37 Problema existente e Estado da Arte 3 2 7 ChilliSpot O programa ChilliSpot um portal software livre que permite a autentica o de clientes atrav s de uma interface Web Os utilizadores s o controlados atrav s de um servidor RADIUS que a pr pria solu o implementa A adi o de utilizadores realizada atrav s de ficheiros de configura o pr prios A cada utilizador poss vel definir par metros como o tempo de login limite de tr fego ou a largura de banda dispon vel Implementa tamb m alguns atributos do protocolo RADIUS Chi09 A ltima vers o deste software foi disponibilizada em Setembro de 2006 sendo actualmente continuada atrav s da vers o CoovaChilli Este software nasceu de um entusiasta e actualmente apresenta caracter sticas bastante semelhantes ao programa original tendo sido efectuadas algumas correc es de seguran a Coo09 3 2 8 Antamedia Hotspot A empresa Antamedia apresenta diversos programas de gest o de redes sendo um deles o Antamedia Hotspot Este um sistema que funciona em Windows e n o precisa de hardware espec fico Apresenta uma interface simples para realizar a gest o da rede como tamb m dos utilizadores Os utilizadores podem aceder rede atrav s de contas pr pagas ou p s pagas sendo poss vel impor limites de utiliza o quer tempo tr fego ou per odo em que pode realizar login Permite tamb m criar limites de band
53. er Security Tunneled Transport Layer Security Virtual Private Network Virtual Local Area Network Voice over Internet Protocol Wide Area Network Web Cache Coordination Protocol Wired Equivalent Privacy Wi Fi Protected Access xi Capitulo 1 Introducao Neste projecto procura se obter uma solu o capaz e robusta de gerir o acesso a rede wireless por parte dos utilizadores que n o fazem parte da institui o Estes caracterizam se por serem utilizadores tempor rios pois o seu per odo de perman ncia nas instala es reduzido e como tal o acesso rede dever ser apenas por um per odo restrito Outro ponto importante a desenvolver no projecto o controlo de servi os dispon veis ao utilizador de forma a permitir que apenas tenha acesso aos servi os de rede que necessita O projecto assentou em duas fases A primeira fase consistiu em procurar solu es que satisfizessem os objectivos ou que de alguma forma permitissem atingir os mesmos resultados atrav s da integra o de v rias solu es A segunda fase concentrou se numa vertente mais pr tica do projecto que consistia na sua implementa o permitindo verificar se as escolhas efectuadas satisfaziam ou n o o pretendido Desde o in cio que existiam algumas ideias pr concebidas quer na escolha da plataforma operacional a utilizar como tamb m de algumas aplica es na sua maioria programas de software livre que permitiam atingir os objectivos propostos as
54. es diferentes acederem mesma rede apresentarem per odos diferentes de acesso e ser poss vel definir um utilizador com capacidade para aceder rede da sua empresa por VPN ao passo que o outro n o tenha essa possibilidade Mais importante ainda o acesso ser efectuado de forma autom tica isto o administrador tenha apenas de definir as credenciais do utilizador mas o bloqueio do mesmo ser efectuado pelo sistema na data indicada 3 2 Estado da Arte Como se pretendia criar um hotspot foi necess rio realizar a pesquisa de solu es existentes no mercado e quais as funcionalidades que ofereciam Apesar de um dos aspectos mais importantes ser o custo do software foram analisadas algumas aplica es 35 Problema existente e Estado da Arte pagas pois o seu valor poderia compensar as vantagens que trazia para a rede empresarial Alguns destes sistemas n o foram poss veis de testar mas ser o salientadas as vantagens dos mesmos 3 2 1 2hotspot Este programa funciona apenas em Windows sendo a sua instala o bastante simples e habitual ao estilo deste sistema operativo No entanto o programa n o funcionou correctamente na rede do INESC Porto pois requeria uma liga o ao site da empresa para validar os logins dos utilizadores Como n o havia a op o de definir o proxy n o foi poss vel ir mais al m Contudo este software n o cumpria os requisitos pretendidos pois funcionava em Windows n o havendo vers o em Linux
55. esse rede sem a necessidade de instala o de qualquer tipo de software espec fico Este facto permite n o s ao utilizador aceder rede wireless mais rapidamente como tamb m contribui para um maior n vel de confian a dos utilizadores Contudo apesar de o n vel de configura o ser bastante simples requer ainda alguns passos pr vios para poder aceder rede Este facto ocorre devido ao sistema operativo Windows colocar como op o por defeito a autentica o por smart card ou certificado Esta situa o n o no entanto algo incomum pois para que os 67 Conclus es e Trabalho futuro utilizadores acedam a outras redes com o mesmo tipo de autentica o como por exemplo a rede eduroam necessitam de utilizar as mesmas configura es Com a evolu o das redes wireless e o surgimento de novos protocolos poss vel que o sistema operativo Windows passe a suportar outros protocolos como o EAP TTLS que possibilita ao utilizador introduzir apenas as suas credenciais Ali s o principal factor de n o ter sido usado este protocolo deve se mesmo necessidade de instala o do SecureW2 por parte dos utilizadores nos seus equipamentos N o demais salientar a evolu o que os projectos de hotspot t m tido estes ltimos anos e a quantidade de locais onde j poss vel utilizar este tipo de rede Cada vez mais as empresas direccionam os projectos de software tendo em conta as necessidades das empresas e sempre
56. este cap tulo tamb m inclu da a forma como as redes wireless se integram nas redes f sicas j criadas O cap tulo tr s pretende demonstrar qual o problema existente a n vel das redes wireless e o porqu da necessidade deste projecto ser aplicado numa rede empresarial quer atrav s de uma explica o detalhada como tamb m de exemplos de redes que se encontram a funcionar Os dois cap tulos seguintes t m como objectivo explicar como foi proposto resolver o problema mencionado no cap tulo tr s e como efectivamente resolvido Esta separa o de dados deve se ao facto de inicialmente a forma de resolu o do problema n o se apresentar adequada e conter diversas falhas que n o permitiam atingir os objectivos propostos Ap s a explica o de como o projecto foi implementado ser o tamb m discutidas as vantagens e desvantagens da solu o encontrada para a resolu o do problema Caso este projecto seja para implementa o pr tica necess ria a instala o de algum software adicional para garantir maior seguran a rede e melhor experi ncia de utiliza o por parte dos utilizadores Sendo um projecto bastante gen rico poss vel expandir as s4as funcionalidades aproveitando recursos j dispon veis e criando novas solu es Assim o cap tulo sobre trabalho futuro encontra se dividido em software adicional e outras funcionalidades para uma melhor percep o das ideias Por fim o ltimo cap tulo pretende da
57. este passo o sistema indica que o login foi realizado com sucesso e o utilizador poder aceder a rede Caso as credenciais estivessem erradas ou fora do per odo de tempo que o utilizador poderia aceder rede o sistema apenas indicaria que as credenciais fornecidas n o eram v lidas 63 Resolu o efectiva Wireless Network Connection is now connected Connected to hotspot Signal Strength Excellent Figura 5 17 Confirma o de acesso a rede 5 8 Conclus es A solu o final difere ligeiramente da solu o inicial pois a mesma n o cumpria correctamente com os objectivos propostos Como tal esta implementa o traz vantagens e desvantagens para as partes envolvidas sendo necess rio a sua especifica o 5 8 1 Vantagens da solu o escolhida Como j foi referido o software inicialmente proposto seria com a implementa o do ChilliSpot Contudo ap s a sua implementa o foi poss vel verificar que n o correspondia s necessidades e expectativas pretendidas Primeiro esta vers o j n o era desenvolvida tendo dando origem ao CoovaChilli e a outras variantes sem grande express o Depois o CoovaChilli nasceu gra as a um entusiasta que efectuou diversas correc es de bugs e implementou algumas funcionalidades que achava em falta Apesar de continuar a ser poss vel implementar em Linux o seu desenvolvimento e apoio centra se na implementa o em OpenWRT e na cria o de hotspots send
58. este projecto A informa o seguinte pretende apresentar o ficheiro completo que j foi mencionado no relat rio Para uma melhor compreens o da informa o que guardada no LDAP tamb m apresentado um exemplo de um utilizador tempor rio da rede wireless Outras configura es necess rias para executar os programas foram colocadas de parte pois n o apresentam informa o extra B 1 Ficheiro hotspot schema OpenLDAP hotSpot schema This work is part of Antonio Barbosa Project Copyright 2009 Antonio Barbosa Project All rights reserved Version 0 5 Date 2009 06 01 OID allocate to INESC Porto 1 3 6 1 4 1 33536 OID allocate to hotspot 1 3 6 1 4 1 33536 1 OID allocate to attributeTypes hotspot 1 3 6 1 4 1 33536 1 1 OID allocate to objectClasses hotspot 1 3 6 1 4 1 33536 1 2 RFC 4517 HHH Attribute types FTA Nome do utilizador 3 3 29 Printable String attributetype 1 3 6 1 4 1 33536 1 1 101 NAME nomeUtilizador DESC Nome do utilizador EQUALITY caselgnoreMatch 79 Configura es SUBSTR caselgnoreSubstringsMatch ORDERING caselgnoreOrderingMatch SYNTAX 1 3 6 1 4 1 1466 115 121 1 44200 Empresa do utilizador 3 3 29 Printable String attributetype 1 3 6 1 4 1 33536 1 1 102 NAME empresaUtilizador DESC Empresa do utilizador EQUALITY caselgnoreMatch SUBSTR caselgnoreSubstringsMatch ORDERING caselgnoreOrderingMatch SYNTAX 1 3 6 1 4 1 1466 115 121 1
59. forma o A indica o de plugin indica que este software n o suporta de origem guardar os dados com o Kerberos mas que atrav s de uma ferramenta extra poss vel ter esta funcionalidade Relativamente ao Microsoft IAS apenas suporta o servidor de base de dados SQL server A 3 Sistema operativo CSSA Navis Radiator Free IAS GNU Linux Sim Sim Sim Sim N o Sim Windows Sim Sim Sim Sim Sim Nao Tabela A 3 Tabela comparativa RADIUS Sistema operativo A4 Gest o sistema CSSA Navis Radiator Free IAS GNU Suporte simult neo de protocolos Sim Sim Sim Configura o utilizadores Sim Sim Sim Sim Sim Sim Detec o de inactividade Sim Sim Sim Sim Sim Sim Tempo de sess o Sim Sim Sim Sim Sim Sim Atribui o IP por utilizador Sim Sim Sim Sim Sim Sim SSL certs para LDAP Sim N o Sim Sim Sim Tabela A 4 Tabela comparativa RADIUS Gest o sistema A S Gest o de seguran a CSSA Navis Radiator Free IAS GNU Limite tempo Sim Sim Sim Sim Sim Restri o em dias marcados Sim Sim Sim Sim Sim Restri o de apenas login Sim Sim Filtro de pacotes RADIUS Sim Sim Sim Tabela A 5 Tabela comparativa RADIUS Gest o Seguran a 77 RADIUS A 6 Ferramentas de log CSSA Navis Radiator Free IAS GNU Informa o Tabela Gr fico Gr fico Sim SQLserver Sim Monitoriza o Sim Sim Sim Sim Sim Defini es de logging Sim Sim Sim Sim Sim Sim Notifica o por e mail N o Sim Sim Tabela A 6 Tabela comparativa R
60. gital caso o pretendam usar 2 5 2 UPtec A UPtec Parque de Ci ncia e Tecnologia da Universidade do Porto a incubadora tecnol gica da Universidade do Porto a qual disponibiliza um espa o de valoriza o 23 Apresenta o de Redes m tua de compet ncias entre os universit rios e o meio empresarial Neste espa o um dos servi os dispon veis o acesso Internet atrav s da rede wireless Assim poss vel encontrar a rede eduroam e a rede UPTec Contudo s o visualizadas outras redes neste local que n o fazem parte da institui o em causa encontrando se em entidades vizinhas e Wireless Network Connection Necker taa Choose a wireless network Refresh network list Click an item in the list below to connect to a wireless network in range or to get more information 2 Set up a wi to eduroam Not connected for a home Related Tasks p Thomson15F294 di Learn about wireless amp Security enabled wireless network WPA all networking p FEUPCIQS 9 3 te Change the order of e il preferred networks amp Security enabled wireless network all gt Change advanced Bates settings Unsecured wireless network wlll ZON EC9C ss amp Security enabled wireless network alll bluemater h 4 Security enabled wireless network alll Figura 2 14 Redes wireless disponiveis na UPTec A rede UPTec n o se encontra encriptada permitindo que
61. hotos amp Stationery Calibir 127 B F U Ar E VE E Sos Caro Jo o Neves O pedido de acesso realizado para o utilizador Ant nio Cunha Barbosa foi autorizado As credenciais de acesso a rede s o Username sckcnpwx Password SrObhR1p Mais informo que dever fornecer as credenciais acima indicadas ao utilizador bem como o manual de acesso a rede que segue em anexo Qualquer informa o que pretenda poder entrar em contacto comigo atrav s do meu email O administrador de rede Ant nio Barbosa Figura 5 5 Mensagem que o respons vel recebe a confirmar o pedido Tanto as credencias como o manual dever o ser entregues ao utilizador pelo respons vel de forma a este poder aceder rede wireless 5 4 4 E mail de rejei o do acesso Como tamb m poss vel que o administrador rejeite a possibilidade de criar a conta ao utilizador por diversos motivos tamb m necess rio informar o respons vel LU Bee joao nevesQinescporto pt sci inescporto pt Subject Resposta ao pedido de acesso ao hotspot AB Format E Add photos m Stationery Calibri 127 B F U A amp oD FE E f o e Caro Jo o Neves O pedido de acesso realizado para o utilizador Ant nio Cunha Barbosa n o foi autorizado Qualquer informa o que pretenda poder entrar em contacto comigo atrav s do meu email O administrador de rede Ant nio Barbosa Figura 5 6 Mensagem que o respons vel recebe a negar o pedid
62. idade Para fazer uso destas vantagens necess rio que os diversos equipamentos wireless estejam ligados entre si por cabo permitindo que esta rede se integre perfeitamente na rede por cabo j implementada e at aumentar as capacidades da mesma Dessa forma um utilizador pode estar ligado por cabo no seu local de trabalho mas quando se pretende deslocar para outra parte do mesmo faz uso das capacidades do wireless para n o perder a conectividade Outra das vantagens das redes wireless a possibilidade de expandir a rede empresarial sem a necessidade de efectuar grandes investimentos de infra estruturas pois deixa de ser necess rio a cria o de um ponto de acesso para cada utilizador e passa a ser apenas preciso um ponto de acesso para cada AP Access Point Em m dia cada AP permite ligar cerca de 32 utilizadores sendo que os mesmos necessitam de estar pr ximos fisicamente Contudo as redes wireless apresentam algumas desvantagens Uma das principais desvantagens traduz se na t pica baixa velocidade de transmiss o em rela o rede por cabo por outro lado encontra se mais suscept vel de interfer ncias Estas podem dever se ao excessivo n mero de clientes centrados numa s zona no entanto podem ocorrer por factores externos como por exemplo um micro ondas que emite onda electromagn ticas na mesma frequ ncia Outra desvantagem consiste na transmiss o dos dados ser efectuada emitindo o sinal para diversos sentidos
63. lidades do protocolo RADIUS Os aspectos de seguran a ficariam a cargo da firewall Iptables que iria permitir restringir o acesso a determinados servi os Apesar de n o ser um requisito do projecto a implementa o de um proxy transparente iria permitir impedir o utilizador de aceder a determinados p ginas Web 40 Problema existente e Estado da Arte Das solu es de LDAP o servidor OpenLDAP aquele que re ne melhores caracter sticas pois o que se torna o mais mold vel a empresa Outro facto importante este ser j bastante mais conhecido e ser actualmente implementado num conjunto diverso de empresas para armazenar a informa o 41 Capitulo 4 Proposta de Resolucao Este capitulo foi criado devido necessidade de explicar qual a proposta de resolu o para o problema deste projecto Ap s uns testes iniciais sobre a resolu o proposta foi verificado que a mesma n o correspondia aos objectivos propostos e problemas avan ados Assim foi necess rio redesenhar a solu o final No cap tulo seguinte ser apresentada a proposta final como tamb m as vantagens e desvantagens sobre a proposta inicial Uma das partes mais importantes do projecto assenta sobre permitir ou inibir servi os para os utilizadores Todavia necess rio primeiramente saber qual a import ncia dos mesmos para a sua navega o 4 1 Servi os de rede Na lista de servi os seguidamente nomeados apenas s o indicados os mais im
64. liga se ao servidor proxy e requisita um determinado servi o e caso este se encontre em cache ir entregar imediatamente ao cliente Caso n o se encontre o proxy ir buscar os dados pela vez do cliente e ir entregar os mesmos ao cliente guardando uma c pia desses dados em cache Uma das principais vantagens aumentar a velocidade de navega o dos utilizadores pois caso um segundo cliente pretenda obter os dados que anteriormente j foram requisitos apenas ser necess rio realizar a transfer ncia do proxy para o cliente Outra vantagem a redu o do uso da banda de acesso Internet e de reduzir o tr fego gerado permitindo uma maior gest o 14 Apresenta o de Redes Como os pedidos dos cliente s o efectuados pelo proxy na pr tica quem se encontra fora da rede desconhece qual o equipamento que est a realizar o pedido podendo ser considerado uma medida de seguran a Outra funcionalidade importante do proxy de limitar o acesso dos utilizadores a determinados sites que podem consumir demasiada largura de banda a rede como tamb m a sites onde o conte do presente nos mesmos pode ser considerado malicioso Neste tipo de software tamb m poss vel verificar e gerar relat rios sobre o tr fego que cada computador utiliza Para al m disso permite implementar filtros para limitar o acesso a determinados utilizadores caso n o v de encontro com a pol tica da empresa como por exemplo o YouTube e Inte
65. ly 24 24 02 2k SSEPERSERSE REAP ERE AP ES 2AA DMA sa br a REARS OOO Oe ee eee 245 VLAN 22 ckacd eek ee de ea SSeS TRA CREB 2 4 6 Tipos de autentica o wireless 04 2 Exemplos de redes wireless 2 sce eee eee eee EEE RES Ea 293A PEUP 5 260 ss be RS oR ee Ee ERED OSS eS oS 2 WG yaw op oe i a ee Be ee ee ee EY Be 2 5 3 Cidade do Porto 224041424088 4444584584634 452 2 5 4 NorteShopping ass usam sm E a Problema existente e Estado da Arte dd Des gt 2a othe eed tada dida g s SEBS ESS 3 2 SACOM os e Go Do doce HR He RES KR RE RR ROS Del QhOIpOls seria eh eH ESE SSE SH SSeS 322 DOER s gk oe Be oe he OEY ey oe ee oe Pe eS 3 2 3 Softvision Explorer 00 000 4 324 MikOTIK spa oh aa ARE SR en ee Ee oe ee 3 2 5 CafeRadius sede cade dee a Sede OREeRSE CRESS S20 FIrStSpot cose aes arg oe eaa ow EE eb he ew es 3 2 7 ChilliSpot i c eked aerikadwesedeticaveae eases 3 2 8 Antamedia Hotspot saw sm ew es Sak ee Owe ee SOS iv CONTEUDO 3 3 Servidores LDAP 2 2 3 3 1 OpenLDAP spa ses ee amp o s E eee Se RES OS ES OS 3 3 2 389 Directory Server es ps Boe ee ses ERE ERE ER EES 3 3 3 ApachEDS 24442844444 94088 4H EEESESSEREESS 3 4 Conclus es do Estado da Arte 2 2 0 ee Proposta de Resolucao Hl Servi sderedes 225 44 24 eee terida ti dredi Edieta 4 1 1 Servi os existentes 2444 Ge ms HS RR ERR Aa 4 1 2 IP P blico vs IP Privado 002 0000 42 Redeacriar
66. meio Partindo ent o do principio que os tr s departamentos tem elementos nos tr s andares torna se necess rio que existam tr s redes por andar As empresas tamb m possuem um data center local esse que centra a informa o da empresa e que no exemplo seguinte se encontra no r s do ch o Fir09a A imagem seguinte pretende resumir um pouco a descri o do problema Sid Main Switch Router I HE S a Data Center Network g a Ey ms Backbone Accounting File Email Web Print Server Server Server Server Server Figura 2 11 Topologia empresarial sem VLANs 18 Apresenta o de Redes Como poss vel verificar para implementar esta rede necess rio que existam tr s switches por andar para ligar cada rede e um switch para ligar a rede dos servidores data center Como as redes para comunicar entre si necessitam de um equipamento de n vel 3 necess ria a implementa o de um router que no exemplo vai ficar instalado no mesmo andar dos servidores Com o desenvolvimento da VLAN deixaria de ser necess rio 10 switches para criar toda a rede passando a serem necess rios apenas 3 switches um por andar mantendo na mesma o router para interliga o das redes Desta solu o surgiriam algumas vantagens tais como deixar de ser necess rio comprar equipamento com tanta frequ ncia e passar a ser preciso apenas um cabo por cada andar e n o tr s como a solu o inicial apresentava Backbone
67. mento da informa o FI A 3 Tabela comparativa RADIUS Sistema operativo TI A 4 Tabela comparativa RADIUS Gest o sistema 77 A 5 Tabela comparativa RADIUS Gest o Seguran a 77 A 6 Tabela comparativa RADIUS Ferramentas delog 78 A 7 Tabela comparativa RADIUS Outras funcionalidades 78 1X Abreviaturas e Simbolos AAA ACL AD AP CHAP DHCP DMZ DNS EAP EAP GTC EAP MD5 EAP MSCHAP EAP PSK EAP TLS EAP TTLS eduroam FCCN FEUP FTP HTTP HTTPS IANA IAX IEEE IETF IMAP IMAPS INESC Porto IP IPv4 IPv6 ISP LAN LDAP LDIF MAC address Authentication Authorization Accounting Access Control List Active Directory Access Point Challenge Handshake Authentication Protocol Dynamic Host Configuration Protocol DeMilitared Zone Domain Name System Extensible Authentication Protocol Extensible Authentication Protocol Generic Token Card EAP Message Digest algorithm 5 Microsoft PPP CHAP Extensions EAP Pre Shared Key EAP Transport Layer Security EAP Tunneled Transport Layer Security Education Roaming Funda o para a Computa o Cient fica Nacional Faculdade de Engenharia da Universidade do Porto File Transfer Protocol Hypertext Transfer Protocol Hypertext Transfer Protocol Secure Internet Assigned Numbers Authority Inter Asterisk eXchange Institute of Eelctrical and Electronics Engineers Internet Engineering Task
68. minimizar esta situa o seria a cria o de formul rios em PHP onde bastaria clicar na op o que se pretende realizar preencher a informa o necess rio e esse mesmo formul rio realizaria os passos todos No caso de adicionar um utilizador o formul rio deveria ser capaz de adicionar o mesmo ao servidor LDAP criar o ficheiro de texto em LDIF o ficheiro de script em Perl e adicionar o mesmo ao cronotab tudo isto com uma s opera o 13 Refer ncias 2h009 Caf09 Car03 Chi09 Coo09 Cor09 Exp09 Fir09a Fir09b Git09 Has02 Hot09 McL09 Mik09 Sch09 2hotspot 2hotspot homepage Mar o 2009 http www 2hotspot com CafeRadius Caferadius homepage Mar o 2009 http www caferadius com Gerald Carter LDAP System Administration O Reilly Media March 2003 Chillispot Chillispot homepage Mar o 2009 http www chillispot Incas CoovaChilli Coovachilli homepage Mar o 2009 http coova org wiki index php CoovaChilli Oracle Corporation Oracle berkeley db product family Abril 2009 http www oracle com technology products berkeley db index html Softvision Explorer Softvision explorer homepage Mar o 2009 http www Cyber cafe software com Firewall cx Designing vlans a comparison with old networks Maio 2009 http www firewall cx vlans designing intro php FirstSpot Firstspot homepage Mar o 2009 ntt
69. n Accounting que providencia de forma central o acesso e controlo de computadores que se ligam a rede O servidor de RADIUS permite autenticar os utilizadores ou equipamentos antes de lhe garantir o acesso rede definir quais os servi os que tem acesso e por fim permite contabilizar a utiliza o desses servi os para fins estat sticos ou de factura o Neste protocolo poss vel definir diversas caracter sticas quer j implementadas pelo IETF Internet Engineering Task Force como tamb m caracter sticas adicionadas e criadas pelos fabricantes de equipamentos que interagem com o RADIUS Contudo uma das caracter sticas fundamentais s o as credenciais com que realizado o acesso rede Estas credenciais definem se na forma de username e password que forma usada no projecto ou atrav s de um certificado As credenciais de acesso podem ser guardadas de diversas formas sendo a mais primitiva atrav s de ficheiros de texto Para al m da possibilidade de guardar os dados em bases de dados de modelos relacionais mais genericamente conhecidos por SGBD Sistemas de Gest o de Bases de Dados os dados ser o guardados em LDAP sistema de direct rio Existem diversas empresas de desenvolvimento de software RADIUS e para escolher aquele que preenche os requisitos foi realizado um pequeno estudo que se encontra em anexo O software escolhido o FreeRadius Has02 47 Proposta de Resolu o 4 3 3 LDAP O LDAP um prot
70. n name and password and domain if any A imagem seguinte pretende retratar o resumo destas altera es 62 Resolu o efectiva Protected EAP Properties a When connecting validate server certificate A Connect to these servers Desmarque esta op o Escolha EAP MSCHAP v2 Trusted Root Certification Authorities AAA Certificate Services C ABA ECOM Root CA C Ac Ra z Certic mara 5 4 C Ac Raiz DNIE C ACEDICOM Root C A CERT ADVANCED CO acne am MM OP E 2 s or trusted iew servers Select Authentication Method Secured password EAP MSCHAP v2 x Enable Fast Reconnect Enable Quarantine checks Disconnect if server does not present cryptobinding TLY EAP MSCHAPv2 Properties X When connecting Desmarque esta op o g Automatically use my Windows logon name and password and domain if any Figura 5 15 Propriedades da rede wireless hotspot Protected EAP Properties Ap s confirmar todas as janelas o Windows ir tratar as altera es efectuadas e como tal dever surgir uma imagem como a janela seguinte onde o utilizador dever colocar o username e password que lhe foram atribu dos Enter Credentials Xi User name testel Password Logon domain Save this user name and password for future use Figura 5 16 Introdu o das credenciais na rede Ap s
71. nder guardar a informa o a ser utilizada pelo RADIUS Esta informa o poder ser por exemplo um endere o IP ou quantas vezes poss vel o mesmo login autenticar se ao mesmo tempo Por fim o objecto pwdPolicy pretende ser utilizado de forma a conseguir bloquear a conta do utilizador Para tal necess rio indicar qual a pol tica de passwords que aplicada ao utilizador se existir ou no caso de omiss o desta informa o aplicada a pol tica por defeito 58 Resolu o efectiva Ap s a conclus o da inser o do utilizador poss vel verificar se os mesmos est o correctos e em caso de necessidade alterar os mesmos bastando para tal seleccionar o campo a modificar A imagem seguinte um exemplo da informa o guardada amp Applications Places System 11 42 PM Q q Apache Directory Studio sx file Edit Navigate LDAP Window Help r3 als lo z3 tisuDar amp Entry Editor E3 D amp outime ale DN uid teste150 ou hotspot dc inescporto dc amp M B Y Guid teste1S0 ou no vj Attribute Description Value b servicos 1 P amp ou groups objectClass hotspot structural D motivoDeslocaca YV amp ou hotspot 9 objectClass top abstract D periodoEstadia 1 uid abarbosa uld teste150 b numeroFuncionar uid admin emailResponsavel joao neves inescporto pt D empresauisizado uid myhost empresaUtilizador FEUP gt susp uid mynost2 motivoDeslocacao Estagio Curricular b emalfes
72. no cliente deforma a criar um t nel encriptado para permitir a autentica o do cliente O cliente para se autenticar necessita de possuir um username e password e EAP PSK Este protocolo utiliza uma chave de sess o com uma chave pr partilhada Pre Shared Key e fornece um canal de comunica o protegido quando a autentica o realizada com sucesso por ambas as partes O protocolo encontra se documentado em RFC Request for Comments experimental e exige que no m nimo sejam realizadas quatro trocas de mensagens four way handshake e EAP MDS Este um protocolo que oferece uma seguran a m nima pois a fun o de hash MDS Message Digest algorithm 5 extremamente vulner vel a ataques de dicion rio e n o suporta a gera o de uma chave o que torna inadequado para ser usado como WEP Wired Equivalent Privacy din mico ou WPA Wi Fi Protected Access Diferencia se dos outros m todos EAP fornecendo apenas autentica o do ponto EAP para o servidor EAP mas n o com autentica o m tua e PEAP O padr o PEAP Protected Extensible Authentication Protocol foi criado pela Microsoft Cisco e RSA Security como um padr o aberto Encontra se amplamente divulgado e dispon vel em diversos produtos semelhante ao EAP TTLS requerendo apenas um certificado PKI do lado do servidor para criar um t nel TLS seguro para proteger a autentica o do usu rio A partir de Maio de 2005 21 Apresenta o de Redes passa a existi
73. nsavel joao neves inescporto pt numeroFuncionario 1234 observacoes Nada a apontar periodoEstadia 25 Fev 2009 a 29 Jun 2009 servicos Internet VPN FEUP Messenger userPassword dGVzdGU radiusServiceType Framed User radiusTunnelMediumType IEEE 802 radiusTunnelType VLAN radius TunnelPrivateGroupld 10 radiusSimultaneousUse 1 radiusExpiration Jul 17 2009 17 00 00 WEST pwdAttribute userPassword pwdCheckQuality 2 pwdAccountLockedTime 000001010000Z 82
74. nterligados entre si atrav s do cabo o que permite aumentar a velocidade de transfer ncia de dados comparativamente com o exemplo anterior bem como coloc los a uma dist ncia superior para permitir uma maior cobertura com o mesmo n mero de equipamentos 11 Apresenta o de Redes Internet Server Web server Database server Email server PARES AP PP qa o q a iy gt gt gt ECC Figura 2 5 Exemplo de uma rede de cabo conjugada com uma rede wireless Apesar de no exemplo os AP s estarem ligados ao mesmo switch em termos funcionais n o existe qualquer norma ou imperativo que assim obriga isto poss vel ligar um AP ao switch mais pr ximo fisicamente desde que o mesmo esteja ligado correctamente a rede Tipicamente o sistema de autentica o deixa de ser um AP passando a ser um servidor que executa essa fun o Esse computador poder fazer a autentica o dos computadores que se ligam por cabo como tamb m a autentica o dos utilizadores nas aplica es com o 12 Apresenta o de Redes recurso por exemplo ao LDAP Lightweight Directory Access Protocol E indispensavel que todos os AP s tenham o mesmo SSID pois s assim ser poss vel um utilizador estar ligado mesma rede passando por diversos AP s 2 4 Aspectos de seguran a Um dos aspectos mais importantes na rea de redes a seguran a dos dados que circulam entre os servidores e os clientes Como tal
75. ntram a ser geridas e observar que consoante os requisitos pretendidos varia a forma como foram implementadas Os objectivos deste projecto foram atingidos com sucesso embora pense que alguns pontos poderiam ser melhorados Considero os conhecimentos adquiridos atrav s da informa o recolhida da utiliza o das diferentes tecnologias das diversas horas necess rias para a resolu o de d vidas bem como a implementa o da rede propriamente dita determinantes para mim enquanto estudante e futuro profissional O apoio das diversas pessoas que trabalham na rea e que me acompanharam ao longo destas semanas foi tamb m importante para o desenvolvimento e conclus o do meu projecto 1 1 Contexto Enquadramento Este trabalho insere se na rea de redes de computadores e um projecto oferecido pela FEUP Contudo o seu desenvolvimento teve lugar no INESC Porto Instituto de Engenharia de Sistemas e Computadores do Porto na unidade SCI Servi o de Comunica es e Inform tica no sentido de proporcionar melhores condi es de trabalho nomeadamente acesso Internet bem como a diversos equipamentos de rede que foram necess rios e que existem nesta unidade 1 2 Projecto Este projecto tem como intuito criar um hotspot numa empresa com uso controlado Nasce da necessidade de corrigir situa es de vulnerabilidade que ocorrem frequentemente numa rede empresarial que apesar de n o constitu rem uma amea a constante ou colocarem
76. o oS VLAN 1 as a E Figura 2 10 Topologia de duas redes com VLANs As VLANs apresentam as mesmas caracter sticas das redes normais pois os pacotes com destino a rede VLANI n o transitam para a VLAN2 Esta tecnologia apresenta a vantagem de diminui o de custos de implementa o de uma rede quer em equipamentos quer em cabos como tamb m permite criar redes mais pequenas diminuindo o dom nio de colis es Apesar de o equipamento ser o mesmo necess rio 17 Apresenta o de Redes que tenha implementada a camada l gica de nivel 3 pois s esta permite realizar troca de pacotes entre redes diferentes Normalmente a rede nas empresas encontra se dividida conforme os departamentos da mesma Desta forma garantido que o dom nio de colis o mais pequeno Para al m disso os dados de um departamento n o circulam por outros departamentos evitando colocar a informa o em risco Se pensarmos numa empresa que possui tr s departamentos dispersos por tr s andares seria poss vel atribuir um andar para cada departamento e assim s seria necess rio criar uma rede para cada andar para poder isolar as diferentes redes Contudo esta situa o n o acontece com frequ ncia pois podem existir elementos de departamentos diferentes que precisam de trabalhar proximamente como tamb m podem existir restri es de espa o como por exemplo um departamento ter a necessidade de ocupar um andar e
77. o Para o utilizador poder aceder rede o respons vel dever aceder novamente ao formul rio para realizar novo pedido 5 5 Fluxograma Para uma melhor interpreta o sobre a forma como os diversos actores interagem foi criado um fluxograma que contempla todas as possibilidades 55 Resolu o efectiva AS Inicio AO E A S Respons vel Preenchimento formulario AO a Criar credenciais Administrador Informar responsavel CE A S Pes Informar respons vel Administrador Informar utilizador Respons vel nee Acesso a rede Utilizador Figura 5 7 Fluxograma de como os actores interagem entre si Como poss vel ver no fluxograma o pedido de acesso rede iniciado com o respons vel a preencher e submeter o formul rio atr s indicado Caso o acesso seja negado por parte do administrador este dever informar o respons vel que toma a liberdade de submeter novo pedido ou de n o realizar qualquer ac o Quando o acesso permitido o administrador ter que criar as credenciais para o utilizador e informar o respons vel O respons vel informa o utilizador de quais as credenciais e informa es necess rias para aceder rede 5 6 Gest o do sistema Para a cria o das credenciais do utilizador necess rio que o administrador insira os dados referentes ao utilizador no servidor LDAP e tamb m que crie os scripts 56
78. o a sua gest o via homepage do CoovaChilli Como neste projecto a gest o deveria ser local a mesma implicava que fosse comprada Depois de ter sido implementado foi detectada a exist ncia de algumas limita es do software que n o se adequavam ao projecto A mais importante centrava se na forma como os utilizadores eram guardados O CoovaChilli requeria que os utilizadores fossem guardados em ficheiros de texto o que limitava um grande n mero de utilizadores como tamb m requeria que o servi o de hotspot fosse reiniciado cada vez que um utilizador fosse adicionado para que o daemon do processo lesse as altera es efectuadas Um dos objectivos do projecto trata se de o administrador de rede poder indicar quando o login do utilizador v lido e quando deixa de ser v lido O CoovaChilli n o implementava nenhuma destas duas caracter sticas Como tal era necess rio contornar a situa o Se por um lado era poss vel calcular o per odo de tempo em que a conta deixava de ser v lida atrav s da diferen a de tempo a implementa o de quando a conta passava a ser v lida era algo mais complicado Uma das formas poss veis seria com recurso ao crontab em que o utilizador seria adicionado ao sistema no dia e hora marcados No 64 Resolu o efectiva entanto como j foi indicado cada vez que um utilizador fosse adicionado ao sistema o daemon teria que ser reiniciado Se este sistema fosse mantido poderia causar erros em dois c
79. ocolo que deriva do modelo X 500 que n o mais do que um direct rio estruturado Este direct rio constitu do por n s que formam uma sub rvore que por sua vez constituem a rvore final Em cada n poss vel guardar diversa informa o n o havendo a necessidade de haver uma estrutura semelhante em n s vizinhos Devido forma como os dados s o guardados poss vel aceder rapidamente a informa o atrav s de pesquisa No entanto a adi o dessa mesma informa o bastante lenta o que torna til guardar informa o que n o constantemente alterada Outro facto importante trata se da maior parte das empresas j possuir um servidor LDAP o que possibilita guardar a informa o gerada numa sub rvore desse servidor O software escolhido foi o OpenLDAP que permite interligar com servidores de RADIUS Em anexo encontra se tamb m uma refer ncia sobre a pesquisa realizada Car03 4 3 4 Base de dados O LDAP necessita de um local pr prio para armazenar a informa o Uma das formas primeiramente usadas reca a sobre a forma de ficheiros de texto o qual se torna pouco eficiente medida que a quantidade de informa o aumenta Felizmente o OpenLDAP j permite guardar esta informa o sobre o BerkeleyDB que uma base de dados relacional Este forma de guardar os dados permite obter uma efici ncia superior em rela o a ficheiro de texto como tamb m em rela o a outras bases de dados relacional Cor0
80. olhida 5 8 2 Desvantagens da solu o escolhida Conclus es e Trabalho futuro 6 1 Satisfa o dos objectivos 24 45 eG es ESCREVER Oe SS 6 2 Relato da minha experi ncia cee ee ee esa 6 3 Software suplementar 2444444444444 2454 43 2438 428 6 3 1 OpenSSL 26268 2k KGRRERKEER KGS KER KS KES CONTEUDO 632 PO canas E e eg at oe Ree esas a gua SoS 0 3 3 DNS 3 2 oes s eee amp oe ee ee eS ee ES oe 634 SNMP gd ok ok ee Ee oe ee RE ER EEE ES DOS OS te42h 444444 6S ANE A DAE SAAE SE 6 3 6 Accounting em MySQL ccccccl 6 4 Outros melhoramentos 000002 ee eee 6 4 1 Permiss es de impress o 2 000002 ee ee 6 4 2 Integra o com Active Directory 6 4 3 SSID guest x oat RGR EK RAGE GREER DA 6 4 4 Integra o DHCP com LDAP 6 4 5 Interface administrador 0 2 00004 Refer ncias A RADIUS Al Autentica o 2 eete ese ese b ase eae bes Sao hae haxvea A 2 Armazenamento dainformagao0 2 2 A 3 Sistema operativo ccccccccclc ee A4 Ge st osist m eme Les ooo oe AS ES RAE WE E ee AS Gest o de seguran a isnconcinesasdasE RS a Ea dd A 6 Ferramentas de log cause nes wee Lee eee UPS A 7 Outras funcionalidades 2 2 0 02 000 a B Configura es B 1 Ficheiro hotspot schema B 2 Estrutura de utilizador em LDIF vi Lista de Figuras 2 1 Topologia hier rquica de umaem
81. or indica qual o realm e este n o for da sua rede o processo de autentica o para o servidor de RADIUS da FCCN Funda o para a Computa o Cient fica Nacional que far o encaminhamento para a institui o correcta A maioria dos utilizadores desta rede pertencem a esta institui o e como tal t m acesso a um conjunto de servi os que a faculdade lhes proporciona A cada utilizador atribu do um endere o privado que lhe permite efectuar a larga maioria das suas actividades Existe ainda um conjunto de utilizadores que pertencem a outras faculdades e que se ligam rede eduroam no sentido de ter acesso Internet Estes utilizadores s o externos tamb m designado por utilizadores em roaming e a eles atribu do um endere o p blico A quest o da diferen a de tipos de endere os prende se com a necessidade de facilitar ao utilizador a liga o VPN sua institui o de origem Esta quest o ser abordada no momento em que explicarei as diferen as entre endere os privado e p blico A outra rede a eduroam guest que uma rede aberta que apenas tem como finalidade permitir que os utilizadores acedam a informa o importante sobre como configurar a sua m quina para aceder a rede eduroam No caso da FEUP o manual de instru es bastante explicativo cobrindo um conjunto diverso de equipamentos que podem aceder rede e permitindo tamb m que os seus utilizadores fa am download do certificado di
82. or que se encontra na sua rede local e este que far o reencaminhamento para o computador na DMZ Desta forma deixa de haver a necessidade de controlar v rias liga es da rede local para a rede DMZ passam apenas a haver tantas quantos equipamentos existam na DMZ Git09 2 4 5 VLAN As VLANs Virtual Local Area Network permitem criar redes virtuais Esta tecnologia nasceu h v rios anos mas s recentemente que come ou a ser mais utilizada devido ao aumento do tamanho das redes LAN e tamb m pela necessidade de manter os 16 Apresenta o de Redes custos de implementa o mais baixos sem a necessidade de sacrificar a seguran a ou a performance da rede Antes da exist ncia das VLANs e sempre que se pretendia ligar duas redes diferentes era necess rio que os equipamentos da mesma rede tivessem ligados a switches diferentes como a figura seguinte o demonstra Ny DS a Pi A dd Pd i a j k A Pr i eee gt lt Rede 1 Rede 2 Figura 2 9 Topologia de duas redes sem VLANs Como normal nestas redes n o existe comunica o entre os equipamentos de redes diferentes pois teoricamente n o existe conectividade entre os switches mas mesmo que existisse seria necess rio um equipamento de n vel 3 para poder fazer o encaminhamento dos pacotes de uma rede para outra Com a cria o das VLANs esta topologia de rede pode ser desempenhada apenas com um equipament
83. os dados como TKIP Em princ pio n o necess rio nenhuma ac o do utilizador pois o sistema operativo j define estas op es hotspot properties Association Authentication Connection Network name SSID hot Connect even if this network is not broadcasting Seleccione Wireless network key WPA TKIP is network requires a key for the following Network Authent Data encryption ded for me automatically a computer to computer ad hoc network wirele points are not used Figura 5 13 Propriedades da rede wireless hotspot Separador Association 61 Resolu o efectiva O separador Authentication j exige do utilizador que o mesmo realize algumas altera es Como tal dever ser seleccionado o tipo EAP como Protected EAP PEAP e aceder as propriedades do mesmo hotspot properties DD Association Authentication Connection EAP type Protected EAP PEAP x Aceder as propriedades do PEAP Seleccionar EAP PEAP Figura 5 14 Propriedades da rede wireless hotspot Separador Authentication Nas propriedades do PEAP dever ser desmarcado a op o de Validate server certificate como tamb m dever estar seleccionado o m todo de autentica o Secured password EAP MSCHAP v2 Por fim necess rio aceder as op es de configura o do EAP MSCHAP v2 e desmarcar a op o Automatically use my Windows logo
84. p www patronsoft com firstspot Vivek Gite Linux demilitarized zone Mar o 2009 http www cyberciti biz fag linux demilitarized zone howto Jonathan Hassell RADIUS O Reilly Media October 2002 Antamedia Hotspot Antamedia hotspot homepage Mar o 2009 http www antamedia com William McLachlan Public private ip numbers Mar o 2009 http www wmld com tech privateipnums html MikroTik Mikrotik homepage Mar o 2009 http www mikrotik com Carla Schroder Wireless authentication and encryption with zeroshell linux Abril 2009 http www enterprisenetworkingplanet com netsecur article php 3744881 74 REFERENCIAS Sof09 Nonius Software Nonius software homepage Junho 2009 http www noniussoftware com Tec06 Javvin Technologies Network Protocols Handbook Javvin Technologies Marco 2006 tec09a techFAQ What is voip Abril 2009 http www tech faq com voip shtml Tec09b Microsoft TechNet What is vpn Abril 2009 http technet microsoft com en us library cc739294 WS 10 aspx Zon09 ZoneCD Zonecd homepage Mar o 2009 http www publicip net 15 Anexo A RADIUS De entre os diversos fabricantes de software RADIUS foi decidido apenas efectuar uma compara o conjunta entre o Cisco Systems Secure Access Control Server Navis Radius OSC Radiator FreeRadius Microsoft IAS e GNU Radius De entre os seis fabricantes apenas dois s o softw
85. partamento de contabilidade A cada administrador da rede apenas se torna necess rio que o mesmo defina a cada utilizador os acessos a que tem direito e qual o tempo necess rio isto ap s criar o utilizador n o dever ser necess rio mais nenhum passo para retirar permiss es ou bloquear a conta do utilizador Introdu o A solu o dever como j foi referido ser gen rica ou seja adaptar se rede j existente numa empresa e n o se prender a um caso particular Outro factor importante a possibilidade de mesma poder ser extens vel a outros requisitos como tamb m integrar se com o software j existente como por exemplo o reposit rio de autentica o A plataforma do sistema operativo dever ser o Linux n o havendo qualquer restri o espec fica a distribui o usada Os programas a serem usados dever o ser open source ou freeware no intuito de manter o custo da solu o nulo excluindo naturalmente o hardware necess rio 1 4 Estrutura da Disserta o O presente relat rio encontra se dividido em sete cap tulos acrescido dos anexos O cap tulo um corresponde introdu o onde apresentada uma breve explica o sobre o que o projecto e o que se pretende do mesmo Para uma melhor compreens o do projecto e de alguns aspectos do relat rio ser no cap tulo dois efectuada uma pequena explica o sobre redes de computadores e a evolu o que estas foram tendo ao longo dos ltimos anos N
86. pela Red Hat que actualmente todas os seus componentes s o software livre Trata se de um projecto que implementa um servidor LDAP como tamb m uma interface em Java Tamb m apresenta diversas funcionalidades como os dados serem guardados em Berkeley DB permitir a sincroniza o de dados entre diversos servidores como tamb m sincronizar dados com o Active Directory A sua interface bastante f cil de usar e permite definir diversas op es para grupos de utilizadores ou individualmente para cada conta Apesar de possuir bastantes requisitos o sistema n o permite ao administrador ferramentas para personalizar os dados que s o inseridos para cada utilizador Para al m disso n o foi poss vel aceder ao servidor com outro tipo de interface Contudo sendo 39 Problema existente e Estado da Arte um software livre poss vel alterar o c digo fonte para adaptar aos requisitos de cada empresa 3 3 3 ApacheDS A Apache Software Foundation desenvolveu tamb m um servidor LDAP totalmente escrito em Java Apresenta uma ferramenta para interceder como interface com o servidor denominado por Apache Directory Studio desenvolvido na mesma plataforma Ambas as ferramentas s o software livre O servidor j suporta diversas extens es para al m das mencionadas do protocolo LDAP como por exemplo o DHCP Kerberos Authentication Service ou mesmo Samba Tal como os anteriores permite adicionar novas funcionalidades Contudo o servidor arran
87. permite a obten o de diversas estat sticas Esta vers o tamb m inclui a gest o de chamadas atrav s do protocolo VoIP Voice over Internet Protocol Trata se de um software muito centrado na implementa o de hot is e restaurantes n o sendo necess rios grandes conhecimentos para a sua implementa o e gest o Exp09 36 Problema existente e Estado da Arte 3 2 4 MikroTik A empresa MikroTik um fabricante de solu es de hardware e de software O seu principal produto o sistema operativo designado por MikroTik RouterOS que baseado em linux um sistema que possibilita a implementa o em qualquer computador que funciona como gateway da rede permitindo a gest o de diversos pontos importantes da rede como a firewall routing MPLS MultiProtocol Label Switching acesso VPN ou a limita o de banda por QoS O sistema tamb m inclui a possibilidade de gerir rede wireless e hotspot O sistema pago e possui quatro variantes Para al m disso disp e de um m dulo gratuito e de uma demonstra o funcional Em ambos os casos n o foi poss vel testar a aplica o Apesar de o site indicar que compat vel com a maior parte do equipamento foram encontradas diversas queixas sobre o facto de este software s funcionar em equipamento espec fico da empresa Foram tamb m apresentados alguns erros que ainda n o foram corrigidos Mik09 3 2 5 CafeRadius O software CafeRadius um sistema aberto de gest o de hotspot
88. ponsave uid myhost3 nomeResponsavet Joao Neves gt obaervacces 1 uid smbcilent nomeutilizador Antonio Cunha Barbosa gt E nomeResponsave uid testel numeroFuncionario 1234 b nometitiizador 1 uid teste100 observacoes Nada a apontar D userPassword 2 uid teste150 periodoEstadia 25 Fev 2009 a 29 Jun 2009 D E objectClass 2 D amp ou policies servicos Internet VPN FEUP Messenger 39 Searches userPassword Plain text password UB Bookmarks Connectio u Servers O Modification Logs Search Logs 33 w e t 7 5 Progress ep amp a E E CONNECTION Ldap 127 0 0 1 389 al 7 DATE 2009 06 14T23 41 45 192 EE norte No operations to display 2 servidor admin E root tmp200 aj Apache Directory EB root tmp200 _ idapusers File Bro Starting Take Scree ND Figura 5 10 Exemplo de dados guardados em LDAP 5 6 2 Automatizacao de bloqueio da conta O utilizador ao ser criado tem a sua conta bloqueada desde o in cio Este bloqueio efectuado atrav s da coloca o de um valor no campo pwdAccountLockedTime para bloquear a conta Posteriormente necess rio criar um script para definir no cronotab a execu o de duas tarefas A primeira executada quando se inicia o per odo que o utilizador pode aceder a rede que consiste em alterar o valor do campo para a data actual A segunda tarefa encontra se agendada para executar no fim do per odo de acesso do utilizado
89. portantes ou aqueles que os utilizadores utilizam com mais frequ ncia Existem outros servi os como agentes de backup que n o s o abordados mas que tamb m podem fazer parte da configura o da rede empresarial Uma quest o importante na utiliza o de certos servi os trata se de saber se o utilizador possui um IP p blico ou IP privado Ambos t m as suas vantagens e desvantagens embora o funcionamento de certos servi os possa ficar limitado quer na qualidade do servi o quer na quantidade de utilizadores que pretendem usufruir do mesmo 4 1 1 Servi os existentes Como indicado anteriormente a lista de servi os indicados n o fechada podendo o administrador de rede permitir o acesso a outro tipo de servi os No entanto apenas 42 Proposta de Resolu o pretende reunir os mais importantes Tec06 e HTTP HTTPS Genericamente o protocolo HTTP Hypertext Transfer Protocol utilizado para a transfer ncia de dados na forma de hipertexto Assume se hipertexto qualquer p gina Web normalmente poss vel de aceder por um browser O HTTPS Hypertext Transfer Protocol Secure a sua vers o segura pois implementado sobre cada SSL ou TLS Estes servi os usam a porta 80 e 443 HTTP e HTTPS respectivamente Por raz es de seguran a ou de a porta j se encontrar ocupada poss vel usar qualquer outra porta acima da 1024 tendo se convencionado o uso da porta 8080 mas nada obriga por utilizar outra porta e F
90. presa 8 2 2 Topologia hier rquica de uma empresa com adi o de mais um ramo 9 2 3 Topologia que liga a sede as filiais cccccccccc a 10 2 4 Exemplo de uma rede totalmente wireless 10 2 5 Exemplo de uma rede de cabo conjugada com uma rede wireless 12 2 6 Exemplo de uma rede de com firewall oaoa a 13 2 7 Exemplo de uma rede de com proxy server o oo a 15 2 8 Exemplo de uma rede decomumaDMZ 16 2 9 Topologia de duas redes sem VLANS 2 2 00004 17 2 10 Topologia de duas redes com VLANs 00 17 2 11 Topologia empresarial sem VLANs 00 18 2 12 Topologia empresarial sem VLANs 00 19 2 13 Redes wireless dispon veis na FEUP aoaaa aaa 22 2 14 Redes wireless dispon veis na UPTec oaoa a 24 2 15 P gina de autentica o do hotspot da UPTec 25 2 16 P gina de ap s ter realizado o login na rede 26 2 17 Redes wireless dispon veis na Avenida dos Aliados at 2 18 P gina de autentica o do hotspot da UPTec 28 2 19 Pagina de registo do hotspot 000 00005 29 2 20 P gina de autentica o do hotspot da UPTec 30 2 21 Redes wireless dispon veis no NorteShopping 3 2 22 P gina de autentica o do hotspot da PT WIFI 32 2 23 P gina de autentica o do hotspot da Wi Fi Optimus Clix Novis
91. qualquer utilizador se ligue a esta rede Todavia nenhum servi o se encontra dispon vel at o cliente tentar aceder a uma p gina web Como o sistema detecta que o cliente n o est autenticado a p gina pretendida ser redireccionada para a p gina de login como o exemplo a seguir 24 Apresenta o de Redes Acesso Internet de banda larga do UPTEC Windows Internet Explorer BAX SO B 192 168 180 1 e 2 83 65 x 2 soge Portu e F Favorites 3 E Get More Add ons Suggested Sites yy es Acesso Internet de banda larga do UPTEC s J mp Pager Safety Toosv E Incubadora de Base Tecnol gica da Universidade do Porto UPTEC Acesso a Internet de banda larga do UPTEC Efectue o login Utilizador Palavra Passe Instru es de acesso Sg rA Para aceder Internet de Banda Larga apenas necessita de introduzir os dados de acesso fornecidos Caso ainda n o tenha os referidos dados poder solicit los na recep o Powered by WirelessGEST Copyright 2007 Nonius Software Doe internet fy vy 100 Figura 2 15 P gina de autentica o do hotspot da UPTec Nesta p gina necess rio inserir as credenciais v lidas para poder aceder a Internet Neste caso em espec fico as credenciais s o as mesmas para todos os utilizadores da UPTec contudo era poss vel criar credenciais para cada um dos utilizadores Esta caracter stica de auten
92. que permite que certos endere os que necessitam de funcionar directamente n o sejam reencaminhados para o proxy 6 3 3 DNS Quando um browser tenta aceder a uma determinada p gina necessita primeiro de saber qual o IP onde se encontra alojado o mesmo Esta tradu o realizada com recurso a servidores DNS Normalmente as empresas j apresentam implementado um servidor pr prio mas no caso de se pretender isolar a rede de hotspot da restante rede necess ria a implementa o de um servidor DNS pr prio Este permite acelerar o tempo de resposta caso existe muitos utilizadores na rede 6 3 4 SNMP O protocolo SNMP Simple Network Management Protocol usado para realizar a gest o e monitoramento da rede e dos equipamentos que pertencem mesma Este foi desenvolvido pelo IEFT e faz parte do TCP IP Uma das principais vantagens seria de controlar todos os equipamentos AP switch servidores que se encontram a funcionar e em caso de erro poder alertar o administrador da rede para poder verificar a situa o e prestar um melhor servi o de rede ao utilizador 6 3 5 QoS A implementa o do QoS Quality of Service permite gerir melhor o tr fego dando uma maior prioridade a determinados servi os Normalmente os servi os de multim dia e VoIP necessitam de ter uma velocidade minima para garantir o m nimo de qualidade do servi o Esta velocidade m nima garantida dando prefer ncia aos dados destes servi os em de
93. r 2 sub tipos de PEAP que foram actualizados para o padr es do WPA e WPA2 passando a designar se EAP MSCHAPv2 e EAP GTC respectivamente e EAP MSCHAPv2 Este protocolo amplamente usado existindo diversas implementa es em produtos da Microsoft Cisco Apple e Linux O processo de autentica o realizado em 2 fases Numa primeira fase criado um canal seguro TLS entre o autenticador e o servidor e numa segunda fase criado uma autentica o EAP entre o cliente EAP e o autenticador A autentica o deste protocolo baseada em username e password e EAP GTC Protocolo criado pela Cisco como alternativa ao EAP MSCHAPv2 que realiza um desafio de texto ao servidor de autentica o e uma resposta que se assume ser gerada por um token de seguran a Este m todo n o protege os dados de autentica o 2 5 Exemplos de redes wireless Nesta sec o s o apresentados alguns exemplos de redes wireless existentes na cidade do Porto Estes exemplos t m como base demonstrar o que j existe implementado tendo em conta os servi os que oferecem e o tipo de utilizadores a que se destina 2 5 1 FEUP Na rede da FEUP poss vel observar duas redes diferentes fe Wireless Network Connection Network Tasks Choose a wireless network Refresh network list Click an item in the list below to connect to a wireless network in range or to get more 3 guest eduroam Sa Unsecured wireless network alil f Related Tasks i
94. r e entre os servidores Este utiliza a porta 25 para comunicar sendo que a vers o segura necessita que a porta 465 se encontre activa Por fim o protocolo IMAP Internet Message Access Protocol tem ganho cada vez mais popularidade pois o n mero de funcionalidades superior aos outros dois Este protocolo permite enviar e receber e mail necessitando apenas que esteja dispon vel a porta 143 na vers o normal e a porta 993 na vers o segura 43 Proposta de Resolu o e SSH O protocolo SSH permite realizar a troca de informa es entre dois equipamentos de rede de forma segura fazendo com que os dados circulem na rede de forma encriptada Actualmente o SSH associado a um programa que permite executar ac es em computadores remotos fazendo uso deste mesmo protocolo Este necessita da porta 22 tal como o SFTP utiliza pois na pr tica o protocolo FTP a funcionar dentro de um t nel SSH e P2P BitTorrent Skype Este protocolo utilizado para partilhar informa o entre computadores sem a necessidade de existir um servidor central ou uma liga o directa para um determinado computador Para al m disso estabelece uma liga o ponto a ponto com outro computador onde iniciada a transfer ncia de ficheiros Como poss vel realizar mais do que uma liga o ao mesmo tempo permite aumentar a velocidade de transfer ncia pois normalmente os utilizadores tem velocidades de download superiores ao upload Programas que
95. r e que dever repor o valor inicial No caso as scripts encontrando se em Perl onde se pretende que executa o comando ldapmodify Ap s estes passos o administrador deixa de estar preocupado com o desbloqueio e bloqueio da conta podendo dar antecipadamente ao utilizador as suas credenciais 59 Resolu o efectiva 5 7 Manual do utilizador Apesar de o sistema de autentica o utilizado permitir que seja acedido quer por utilizadores do Windows quer por utilizadores do Linux as instru es apresentadas apenas visam o sistema operativo Windows XP pois pretende se que sejam meramente indicativas O utilizador ao pesquisar as redes wireless existentes dever encontrar a rede tempor ria definida na empresa Neste caso a rede tem o nome de hotspot e para aceder a mesma dever o utilizador realizar duplo clique na mesma Ap s isso o sistema ir tentar aceder a rede com as credenciais do pr prio sistema operativo sendo que o mesmo ir falhar como demonstra a imagem seguinte Wireless Network Connection Network Tasks Choose a wireless network Refresh network list Click an item in the list below to connect to a wireless network in range or to get more information 2 Set up a wireless network hotspot Validating identity ve for a home or small office H f amp Security enabled wireless network WPA alll i Related Tasks i Learn about wireless networking Pr Change the order of Rede
96. r uma vis o geral sobre o que foi o projecto para mim enquanto estudante e quais as conclus es que tirei do mesmo oferecendo uma perspectiva pessoal sobre a tem tica abordada Capitulo 2 Apresentacao de Redes Neste capitulo ser realizada uma breve introdu o sobre alguns conceitos que existem na rede por cabo e na rede wireless Ser tamb m apresentado como genericamente a topologia das empresas tem vindo a aumentar e evoluir no sentido de demonstrar em que medida este projecto se integra numa rede empresarial bem como a sua import ncia Para completar esta informa o ser tamb m apresentado um conjunto de servi os que o utilizador tem actualmente ao seu dispor necess rios para uma melhor utiliza o na rede empresarial Por fim ser o demonstrados alguns exemplos de redes wireless j existentes nas empresas a forma como os utilizadores interagem com a rede e quais os servi os a que os mesmos tem acesso 2 1 Rede LAN Com o desenvolvimento dos computadores cada vez mais se tornou necess rio interligar os equipamentos de forma a aumentar a versatilidade e a troca de informa o Uma das formas utilizadas a rede cabo que ao longo dos anos tem aumentado em muito a sua capacidade de d bito e de fiabilidade Este conjunto de equipamentos que se encontram ligados entre si proximamente designa se por LAN Local Area Network A designa o desta interliga o de rede de computadores poder ser diferente consoante
97. ritivo em termos funcionais n o permitia atribuir um endere o p blico a um utilizador e a outro um endere o privado Existem tamb m outros pormenores que n o foram tidos em conta na solu o original que apesar de n o ser uma altera o necess rio que os mesmos se encontrem especificados 50 Resolu o efectiva 5 2 Rede criada A rede a ser desenvolvida em todo semelhante rede inicial A informa o extra adicionada refere se apenas a pormenores t cnicos que n o foram especificados na solu o original e que s o importantes para uma melhor compreens o de como o problema resolvido AND 468 15 192 168 1 50 i 192 168 14 30 VLAN 10 gt VLAN 11 w w L gt SS 192 168 10 10 192 168 20 10 Figura 5 1 Rede desenvolvida Para ser poss vel atribuir um conjunto de servi os distintos a utilizadores diferentes foi necess rio isolar os mesmos em VLANSs Neste caso n o criado apenas um perfil m dio para os utilizadores que acedem rede mas sim v rios perfis nos quais se tenta satisfazer a maioria dos utilizadores Como medida de seguran a os equipamentos ficam na VLAN1 que normalmente considerada a VLAN de gest o Esta rede nunca ser atribu da a nenhum utilizador excep o feita ao administrador da rede Ao ser criado o utilizador indicada qual a VLAN que possui os servi os de rede que foram requisitados Quando o utilizador efectua login na rede o switch atribui lhe a respe
98. rnet Proxy server Server Web server Figura 2 7 Exemplo de uma rede de com proxy server 2 4 4 DMZ A DMZ DeMilitared Zone um termo de origem militar que significa zona desmilitarizada Esta regi o representa uma rea sem limite definido que separa dois territ rios inimigos Partindo desta ideia e com o objectivo de aumentar a seguran a desenvolveu se uma t cnica bastante semelhante isto entre a rede confi vel rede local e a rede n o confi vel rede Internet cria se uma zona onde apenas estejam equipamentos que necessitam de comunicar com a rede interna e com a rede externa 15 Apresenta o de Redes Desta forma todas as m quinas da rede interna que queiram aceder ao exterior ter o que encaminhar o seu pedido para uma das m quinas que se encontram na DMZ e este que far o pedido ao exterior tornando assim a rede local menos exposta a ataques Internet Rede Local Database server Email server FTP server Print server Database server Email server Web server E Commerce server Figura 2 8 Exemplo de uma rede de com uma DMZ Normalmente os equipamentos que se encontram na DMZ nao substituem os equipamentos da rede local isto caso seja implementado um servidor de e mail na DMZ ter que haver um servidor de e mail na rede local Isto ocorre devido aos computadores das redes locais n o comunicarem directamente com os equipamentos da DMZ estes fazem o pedido ao servid
99. s gen rica poss vel de forma a conseguir adapt la tendo em conta as necessidades da empresa onde se pretende implementar Para uma melhor compreens o do problema foi realizado um pequeno estudo das redes wireless implementadas em locais conhecidos da cidade do Porto Ap s este estudo foi elaborado um plano sobre qual a melhor abordagem para solucionar esta quest o Ao longo do est gio os objectivos e requisitos mais importantes foram se tornando mais claros o que contribuiu para a solu o final Esta solu o constru da atrav s da autentica o do protocolo RADIUS e os dados dos utilizadores serem guardados atrav s do protocolo LDAP A distin o de servi os realizada atrav s da implementa o de VLANS que atribu da de forma din mica ao utilizador O est gio teve a dura o de quatro meses e decorreu no INESC Porto local que permitiu ter acesso a todos os equipamentos necess rios para a cria o da rede e realizar todos os testes necess rios A escolha do local possibilitou tamb m ter um conhecimento mais apurado sobre um ambiente empresarial O projecto foi bem sucedido o que prova que a FEUP consegue formar indiv duos capazes de actuar nas mais diversas reas tendo em conta as necessidades das empresas preparando os para enfrentar qualquer desafio proposto Abstract This report describe the actions that were taken in developing the project entitled Project of a Hotspot with controlled use for a
100. s vers es do software Este ltimo facto torna outro tipo de documenta o criada por entusiastas obsoleta Estas dificuldades apenas puderam ser superadas ap s a realiza o de muitas pesquisas e a perda de um elevado n mero de horas para a sua resolu o 68 Conclus es e Trabalho futuro 6 3 Software suplementar Como j referido os melhoramentos centram se em duas partes Nesta primeira apresentado um conjunto de ferramentas auxiares que permite aumentar a seguran a dos dados que circulam na rede como tamb m proporcionar ao utilizador uma melhor experi ncia de acesso a rede importante indicar que as empresas podem j ter algum deste software implementado o que apenas faz sentido instalar neste projecto se o objectivo for mesmo ter uma rede separada da rede actual 6 3 1 OpenSSL O OpenSSL um projecto de software livre que implementa protocolos criptograficos nomeadamente o SSL v2 v3 e o TLS vl A implementa o deste software visa a necessidade de proteger a forma como os dados circulam entre o servidor RADIUS e LDAP Sendo o servidor o mesmo s existe perigo quando o computador for invadido Caso n o seja o mesmo servidor os dados v o circular na rede de forma aberta e suscept vel de qualquer programa de captura de pacotes obter essa informa o Este software estabelece um t nel seguro entre os dois programas e a informa o passa a circular encriptada na rede apesar de manter os dados tran
101. scri o de uma das sess es dispon veis O servi o Wi Fi taxado com base no tarif rio definido por cada operador Servi o tamb m dispon vel para Clientes Vodafone atrav s do operador Optimus OPTIMUS q e novis Se n o Cliente Optimus Clix ou Novis clique aqui Para utilizar o servi o Wi Fi confirme que tem as fun es de cookies e javascript ctivos no seu browser B Custo a partir da rede fixa 0 12 min Custo a partir da rede m vel 0 30 min Todos os valores incluem IVA taxa legal em vigor Done 100 Internet ar Figura 2 23 P gina de autentica o do hotspot da Wi Fi Optimus Clix Novis 32 Apresenta o de Redes Apesar de n o ter sido poss vel realizar login em ambas as redes pois em nenhuma delas tinha conta foi poss vel verificar que na rede PT WIFI era poss vel aceder a todas as p ginas que perten am ao dom nio sapo pt dom nio este que pertence ao mesmo grupo Neste cap tulo foi poss vel apresentar alguns dos conceitos e ideias gerais sobre as redes de computadores assim como a recente evolu o que tiveram e em que medida a rede wireless se insere no mbito das redes Os aspectos de seguran a apresentados s o fundamentais e cada vez mais importante t los em considera o As redes wireless ao integrarem as redes de cabo vem aumentar as potencialidades dos utilizadores aumentando tamb m a probabilidade de ocorrerem falhas de
102. se outra janela do browser para navegar de forma a n o perder o bot o de logout Se a fechar por algum motivo o logout ser feito de forma autom tica por detec o de inactividade Alternativamente pode usar o endere o http exit noniussoftware com Logout Para criar um acesso permanente Registe se aqui Powered by WirelessGEST Copyright 2007 Nonius Software Done 7 O Internet fg gt 100 c Figura 2 20 P gina de autentica o do hotspot da UPTec Nesta ltima imagem poss vel verificar que a empresa que desenvolveu este sistema a mesma que desenvolveu o sistema de hotspot para a rede UPtec A Nonius Software uma empresa fabricante de equipamentos de telecomunica es e cria o de solu es para gest o de acesso Internet Trata se de uma empresa portuguesa sediada na UPtec e que criou o produto WirelessGEST Sof09 2 5 4 NorteShopping No centro comercial NorteShopping poss vel aceder a rede wireless na zona da restaura o Nesta rea apesar de surgirem diversas redes os utilizadores apenas t m acesso a duas delas sendo as restantes de lojas que se encontram nas imedia es e naturalmente s o privadas 30 Apresenta o de Redes R Wireless Network Connection Network Take Choose a wireless network Refresh network list Click an item in the list below to connect to a wireless network in range or to get more 23 Set up a wirele for a home network
103. seguran a Por ltimo a apresenta o de algumas redes wireless vem demonstrar que esta tecnologia j se encontra bastante difundida e que pode ter diversos tipos de funcionamentos de acordo com as necessidades dos utilizadores e a pol tica da empresa em quest o 33 Capitulo 3 Problema existente e Estado da Arte Neste cap tulo ser o explicados em detalhe os problemas associados gest o de utilizadores tempor rios na rede wireless como tamb m os servi os que se encontram dispon veis para os utilizadores Para uma melhor compreens o do problema a eliminar ser realizada refer ncia s redes wireless descritas no cap tulo anterior 3 1 Descri o Uma das principais falhas encontradas nas rede wireless a falta de moldagem do tipo de acesso rede de acordo com cada utilizador isto permitir ou negar servi os de rede tendo em conta a pessoa que se autentica Actualmente criado um perfil m dio de utilizador onde se tenta preencher as necessidades dos utilizadores salvaguardando a pol tica da empresa garantindo a seguran a da rede Com esta medida encontra se dispon vel para certos utilizadores um conjunto de servi os que estes n o necessitam como existe para outros utilizadores servi os que se encontram barrados e s o importantes para a sua actividade Na rede da UPtec existe uma grande heterogeneidade de utilizadores desde pessoal administrativo at funcion rios das empresas incubadas Como
104. ser o de utilizadores O programa pergunta se queremos criar um novo objecto de ra z ou atrav s de um template O template neste caso trata se de utilizar a estrutura de uma entrada anteriormente criada onde apenas se torna necess rio alterar os dados essenciais Escolhendo criar o objecto de ra z necess rio seleccionar o objecto hotspot radiusprofile e o objecto pwdPolicy Nenhum deles faz parte do standard do LDAP O objecto hotspot foi criado por forma a permitir guardar toda a informa o sobre o utilizador do hotspot toda a informa o constante no formul rio O objecto radiusprofile criado e gerido pela equipa respons vel pelo desenvolvimento do FreeRadius O objecto pwdPolicy uma implementa o criada pela IETF Internet Engineering Task Force como uma pol tica para palavras passe Em LDAP poss vel criar um n com a jun o de v rios objectos contudo ter de haver um e um s objecto que seja do tipo STRUCTURAL Como o objecto radiusprofile do tipo STRUCTURAL foi necess rio passar para o tipo AUXILIAR e colocar o objecto hotspot como principal Isto deve se necessidade de a rede obrigatoriamente precisar de um campo uid e userPassword e s no objecto hotspot existe os dois Os dados que se inserem no objecto hotspot s o transcri o completa do formul rio Apenas gerado username e password A gera o destes dados realizada atrav s de um programa externo O objecto radiusprofile prete
105. sim como baixar o valor de implementa o De certa forma proposto que a implementa o tivesse um custo zero excluindo naturalmente os equipamentos de rede Durante todo o projecto a fonte de informa o mais requisitada foi a Internet desde a procura de solu es at obten o dos manuais de instala o dos diversos programas Considero esta fonte de informa o uma mais valia pois permitiu resolver muitos dos diversos problemas que foram ocorrendo ao longo do projecto Contudo o conjunto de refer ncias apresentado n o representa a quantidade de p ginas que foram consultadas mas sim a qualidade e quantidade da informa o apresentada Outras p ginas consultadas principalmente f runs foram as respons veis pela resolu o de pequenos problemas mas que n o ser o referenciadas Introdu o A consulta de livros foi outra das fontes de informa o utilizada A sua procura ocorreu principalmente durante a instala o de certos programas pois reuniam em detalhe informa o que n o era apresentada nas p ginas consultadas na Internet ou que de alguma forma se encontrava dispersa Por ltimo a fonte de informa o mais importante consistiu na verifica o em terreno de como se encontram implementados os acesso wireless existentes nos locais mais conhecidos da cidade do Porto Esta fonte de informa o para al m de permitir obter um perfil m dio de utilizador permitiu tamb m saber como essas redes se enco
106. smitidos 6 3 2 Proxy J foram referidas quais as vantagens da implementa o de um proxy na rede de uma empresa No entanto pode suceder se o caso de o hotspot criado numa empresa ser utilizado por um conjunto elevado de pessoas e dessa forma torna se precioso implementar um proxy separado do proxy da empresa quer para responder mais rapidamente aos pedidos dos utilizadores quer para a gest o de acessos Para minimizar o n mero de configura es por parte dos utilizadores a implementa o de um proxy dever ficar de forma transparente para o utilizador Este facto pode ser conseguido atrav s de duas formas A primeira com recurso implementa o do mesmo gateway para todos os utilizadores e dessa forma ser instalado o proxy o tr fego era redireccionado atrav s do iptables Uma segunda hip tese seria atrav s do protocolo WCCP Web Cache Coordination Protocol que propriedade da Cisco Systems e que j se encontra na segunda vers o Este protocolo implementado em routers Cisco que analisam o tr fego da rede quando existe algum pacote que tenha de passar pelo proxy este redireccionado para ele As principais vantagens traduzem se no facto do utilizador n o necessitar de realizar configura es no seu sistema operativo nem precisar de saber que existe um proxy a correr dentro da empresa Outra quest o importante a possibilidade de cria o de 69 Conclus es e Trabalho futuro ACL Access Control List
107. so que se registe no site O utilizador passa a dispor de quatro horas semanais em sess es m ltiplas Quer isto dizer que desde que o cliente se registe at uma semana o cliente pode aceder Internet por diversas sess es desde que o somat rio do tempo n o ultrapasse as quatro horas Ao ultrapassar este limite passa a ser imposta uma medida de conten o que se traduz numa redu o da largura de banda e a contabiliza o do tr fego gerado upload e download Ap s uma semana de registo o utilizador pode registar se novamente passando a usufruir das mesmas quatro horas A p gina de registo bastante simples figura 2 19 e s o poucos os dados pedidos ao utilizador Apesar de ser pedido o e mail nada enviado para o mesmo a indicar que o registo foi efectuado com sucesso Entretanto se o mesmo utilizador tentar registar se novamente com o mesmo endere o de e mail num espa o de tempo inferior a uma semana o sistema indica que esse mesmo utilizador j se encontra registado e que n o poss vel novo registo 28 Apresenta o de Redes e https 192 168 176 1 WGManager htdocs registo php res success amp tuamip 192 168 176 1 amp uamport 3990 Windows Internet Explorer SAX IS e E https 192 168 176 1 WGMenagerfhtdocs registo phprres success amp uamip 192 163 176 1 uamport 3990 v Certificate Error A P Google Portugal Pi cle Favorites 9 5 Get More Add ons
108. tal n o existe uma restri o de servi os nem uma restri o de utiliza o o que pode conduzir a um abuso por parte dos utilizadores causando instabilidade de acesso aos outros utilizadores saturando a pr pria rede Como a autentica o da rede wireless igual para todos os utilizadores n o poss vel distinguir a quem que pertence determinado computador o que permite a um utilizador navegar na Internet de forma an nima Este facto tamb m n o possibilita distinguir os servi os dependendo do utilizador Neste caso seria necess rio atribuir um conjunto de credenciais a todos os utilizadores da 34 Problema existente e Estado da Arte rede Algumas empresas imp em ainda que o utilizador indique qual a MAC address do computador que vai aceder rede Com o nascimento das credenciais surge a necessidade de garantir que os utilizadores t m acesso rede apenas durante o per odo de tempo necess rio Este facto sendo tratado de forma manual implica um esfor o muito grande por parte do administrador da rede de forma a garantir que retirado o acesso aos utilizadores que j n o se encontram na empresa Uma situa o que pode ocorrer consiste no esquecimento do utilizador e este passar a ter acesso rede durante bastante tempo Nas empresas normal haver s uma rede wireless que permite acesso apenas aos seus funcion rios Contudo caso pretendam convidar algu m para uma reuni o torna se necess rio qu
109. tica o normalmente usada para hotspots pois simplifica do lado do cliente as configura es necess rias para aceder rede Outra das vantagens possibilitar que o cliente possa aceder a outras p ginas importantes sem estar autenticado como a p gina de compra de cr ditos ou na obten o de um username e password v lidos Nesta rede n o existe qualquer restri o de servi o havendo contudo uma limita o ao nivel da velocidade de acesso pois o padr o de redes utilizado norma 802 11b limitando a velocidade m xima de acesso a 11 Mbit s raz o a qual desconhe o se realizada propositadamente ou se devido a limita es de hardware baixo custo de implementa o Observando a barra de endere os da p gina de login poss vel evidenciar que o acesso controlado por um software de hotspot como por exemplo o ChilliSpot Ap s realizar se login o resultado o seguinte 25 Apresenta o de Redes Acesso Internet de banda larga do UPTEC Login com sucesso Windows Internet Explorer BAX 66 le p 192 168 180 1 anager hotsp hp res s y ix wiit j y P che Favorites dz EE Get More Add ons suggested Sites E z gt Acesso Internet de banda larga do UPTEC Login c s mm Pager Safety Toos dr Incubadora de Base Tecnol gica da Universidade do Porto UPTEC Acesso Internet de banda larga do UPTEC Login com sucesso
110. to de servi os tipo e aplic lo a todos os utilizadores algo que j acontece nas redes wireless e que n o se pretendia que acontecesse neste projecto Um sistema de hotspot necessita que o funcionamento da rede seja efectuado de modo aberto pois o utilizador s autenticado quando tenta aceder Internet e para tal j dever ter IP atribu do Este facto levanta alguns problemas de seguran a uma vez que torna poss vel algu m explorar alguma falha de seguran a do CoovaChilli Por ltimo um passo n o t o importante mas que n o deixa de ser necess rio numa rede empresarial que a redund ncia N o era poss vel ter mais do que um servidor a correr na mesma rede e que funcionasse ao mesmo tempo ou que entrasse em funcionamento quando outro servidor deixava de responder Assim tendo em contas estas limita es e o seu desenvolvimento ser realizado apenas por um grupo pequeno de pessoas tornava se importante procurar outra solu o mesmo que fosse necess rio sacrificar outros aspectos 5 8 2 Desvantagens da solu o escolhida A grande desvantagem da solu o final prende se com o facto de o utilizador final necessitar de configurar o acesso rede Apesar de as instru es a realizar serem simples 65 Resolu o efectiva n o na forma de caixa di logo onde pedido username e password e j se encontra a funcionar poss vel que este facto n o tenha sido reparado agora neste projecto visto que
111. trador recebe o seguinte e mail 2 hotspot inescporto pt hotspot inescporto pt Add contact 4 e o Antonio Barbosa cunha barbosa hotmail com Acesso ao hotspot Nome do utilizador Ant nio Cunha Barbosa Empresa do utilizador FEUP Motivo de desloca o Est gio Servi os pretendidos VLAN11 Web e e mail Nome do respons vel Jo o Neves N funcion rio respons vel 1234 Email respons vel joao neves inescporto pt Per odo de estadia 25 de Fevereiro de 2009 Oh 0m at 29 de Junho de 2009 23h 45m Observa es Figura 5 4 Mensagem do formul rio que o administrador recebe Esta informa o necess ria para o administrador criar a conta de utilizador e enviar as credenciais para o e mail do respons vel Salienta se ainda o facto de este e mail apresentar uma informa o que n o se encontrava dispon vel para o respons vel No campo de Servi os pretendidos foi adicionada a informa o de VLAN para o administrador n o ter de procurar essa informa o 5 4 3 E mail de confirma o do acesso Ap s criar a conta de utilizador necess rio informar o respons vel de quais as credenciais necess rias para aceder rede Na resposta fornecido um pequeno manual sobre como configurar 0 acesso 54 Resolu o efectiva Bce joao neves inescporto pt sci inescporto pt Subject Resposta ao pedido de acesso ao hotspot 19 4 manual acesso pdf 235 KB Ale Format E Add p
112. transmiss o essa que pode se interceptada por outra pessoa que esteja entre o cliente e o AP Para evitar esta situa o necess rio que os dados sejam transmitidos encriptados o que de certa forma aumenta a seguran a mas diminui o d bito Apresenta o de Redes de transmiss o Em rela o aos tipos de encripta o mais usados em redes wireless irei desenvolver em par grafos pr ximos Num mesmo local poss vel ter diversas redes wireless sendo distinguidas entre si pelos nomes que lhe s o atribu dos A forma de atribui o de nome a uma rede realizado atrav s do SSID Service Set Identifier que pode ser vis vel ou n o para o utilizador Os utilizadores para acederem a uma rede wireless necessitam que o seu equipamento disponha de uma placa de rede wireless que costuma ser bastante usual nos computadores port teis Tamb m necess rio que o AP tenha definido pelo menos um SSID Service Set Indentifier Um SSID um identificador de rede que permite ao utilizador ligar se a rede correcta 2 3 Topologia usada nas empresas Nesta sec o v o ser apresentados de forma gen rica alguns exemplos ilustrativos de topologias de redes de computadores nos quais poss vel verificar qual a evolu o que foram tendo nos ltimos anos sem entrar em grandes detalhes 2 3 1 Topologia inicial Existem diversos tipos de topologias mas a mais comum numa rede empresarial a topologia hier rquica onde todos os comp
113. trimento de outros que se podem atrasar O Qos um servi o que pode ser implementado no router de sa da da empresa pois tipicamente o local de estrangulamento visto que uma rede empresarial comunica toda no m nimo a 100 Mbit s embora ainda n o se encontrem acessos a Internet com a mesma velocidade Curiosamente um cons rcio sem fins lucrativos que desenvolve e estuda mecanismos avan ados para aplica es de rede denominado por Internet chegou conclus o que aumentando a banda dispon vel seriam obtidos mais resultados pr ticos do que implementando o QoS essencial lembrar que o aumento da banda dispon vel n o ocorre apenas com o aumento da velocidade de contrata o do servi o do ISP mas tamb m reduzindo o tr fego desnecess rio com recurso por exemplo ao proxy 70 Conclus es e Trabalho futuro 6 3 6 Accounting em MySQL O servidor de RADIUS possui mecanismos que permite efectuar o login de todos os clientes Contudo esta informa o centra se em ficheiros de texto O FreeRadius cria um ficheiro novo para cada cliente neste caso os clientes do RADIUS sao os AP s e para cada dia Este traz consigo ferramentas poderosas que permitem compilar essa informa o no que for requerido embora essa mesma informa o continue a encontrar se em ficheiros de texto A implementa o de um servidor MySQL permitia armazenar toda a informa o referente ao Accounting do RADIUS e dessa forma torna seria poss v
114. tudo existe uma comunidade ainda maior que permite criar funcionalidades e efectuar testes ao software O facto desta comunidade ser bastante grande e de o software livre demonstra confian a aos administradores de rede e faz com que seja um dos mais usados Trata se de um software com bastantes funcionalidades e recursos sendo uma delas a forma de como os dados s o guardados Actualmente permite que estes dados sejam guardados em bases de dados relacionais estando j optimizado para guardar em Berkeley DB O Berkeley DB uma ferramenta de software aberto que proporciona uma base de dados embebida para permitir que seja usada de forma r pida e sem a necessidade de configura o O OpenLDAP disponibiliza um grande conjunto de ferramentas encontrando se actualmente mais de vinte ferramentas implementadas de ra z e mais dez a ser testadas para a implementa o futura Estas ferramentas permitem que sejam implementadas pol ticas de palavras passe ferramentas de log sincroniza o de servidores LDAP entre outras possibilidades A configura o do servidor realizada atrav s de ficheiros de texto n o apresentando qualquer interface gr fica Para aceder aos dados do servidor poss vel usar diversas ferramentas que se encontram na Internet como por exemplo o LDAP Admin ou o phpLDAPadmin 3 3 2 389 Directory Server O projecto 389 Directory Server o projecto Fedora Directory Server mas renomeado um programa desenvolvido
115. utadores da empresas s o ligados seguindo uma estrutura do tipo rvore semelhante da figura seguinte Os ramos que est o mais pr ximos da ra z s o normalmente usados para fazer a interliga o de diferentes redes denominados de backbound e tem largura de banda superior aos ramos que se encontram mais pr ximos das folhas e que apenas interligam equipamentos da mesma rede Apresenta o de Redes Internet Server Web server Database server Email server Figura 2 1 Topologia hier rquica de uma empresa A figura 2 1 representa uma topologia onde s o utilizadas v rias redes no sentido de separar os equipamentos mais importantes servidores dos equipamentos que est o mais sujeitos a erros por parte dos utilizadores Assim para interligar equipamentos da mesma rede apenas necess rio que o equipamento esteja preparado para n vel 2 switch Para efectuar troca de pacotes entre as diferentes redes necess rio equipamento de n vel 3 router Esta topologia tem a vantagem de permitir adicionar ou remover n s sem a necessidade de serem efectuadas grandes altera es f sicas bastando que a nova estrutura que se pretende ligar apresente uma tipologia semelhante Apresenta o de Redes Internet s go ue ya ga 7 gt qui gt gt quis Ss as Server Web server Database server Email server Figura 2 2 Topologia hier rquica de uma empresa com adi o de mais um ramo Neste caso foi adicionada uma
116. utilizadores realizar a sua autentica o e a respectiva desautentica o da rede Entre os diversos programas procurados aquele que reunia as melhores funcionalidades pelo custo pretendido foi o CoovaChilli sendo os seus pontos fortes o facto de ser software livre e o seu desenvolvimento ainda ocorrer algo que n o acontece com outros sistemas 4 5 Conclus es Ap s implementar esta solu o foi detectado que a mesma n o correspondia as necessidades do projecto Apesar de facilitar a liga o por parte do utilizador pois apenas necessitava de abrir uma p gina web e introduzir as credencias por parte do administrador levantava alguns problemas de seguran a e performance na rede Um dos pontos limitativos encontrados a obrigatoriedade de a rede encontrar se aberta Isto permitia que qualquer pessoa liga se a rede apesar de n o ter acesso aos servi os dispon veis procura de pontos fracos Em certos locais como bancos um factor bastante importante Outra caracter stica do software de hotspot de guardar os dados dos utilizadores em ficheiros de texto Isto permite de forma simples e r pida definir quais os utilizadores que devem ter acesso a rede mas por outro lado n o permite comportar um elevado n mero de utilizadores Para al m disto estes dados s o carregados em mem ria apenas quando o programa iniciado o que obriga a reiniciar sempre que forem acrescentados novos utilizadores Por fim n o permitia ao a
117. utilizem este protocolo podem ser usados para partilhar informa o entre diversas pessoas e institui es tipicamente de pesquisa onde a quantidade de dados elevada como tamb m pode ser usado para efectuar comunica es de voz e video como o Skype Este protocolo pode tamb m ser utilizado para a partilha de ficheiros com direitos de autor e que n o da sua autoria vulgo pirataria o que n o vai de encontro s politicas das empresas e tamb m pela Lei Portuguesa Outro aspecto importante que a utiliza o intensiva deste tipo de programas conduz a uma degrada o elevada da rede reduzindo substancialmente a largura de banda para os restantes utilizadores e VoIP O VoIP n o bem um protocolo mas sim uma fam lia de tecnologias que deriva das comunica es por voz e que permite realizar chamadas atrav s do protocolo IP Internet Protocol Esta tecnologia tem como principal vantagem a redu o de custos pois a rede de voz acenta sobre a rede de dados j criada e muitas vezes sub aproveitada Geralmente as chamadas entre clientes VoIP s o gratuitas pois os dados circulam sempre na mesma rede e s o tratados como se fossem pacotes de dados As chamadas entre VoIP e PSTN Public Switched Telephone Network s o pagas mas sendo o custo inferior a uma chamada PSTN PSTN Alguns dos protocolos do VoIP s o o H 323 SIP Session Initiation Protocol MGCP Media Gateway Control Protocol H 248 Jingle ou IAX Inter Asterisk e

Download Pdf Manuals

Related Search

Related Contents

Détartrant sanitaire puissant. Elimine le tartre, le  Benutzerhandbuch  UGN-6080 AVL User Manual  Bedienungsanleitung  内部水源地 送水ポンプ更新工事 特記仕様書 四日市市上下水道局 平成    CA Manual 2010_v2.indd  ASUS X205TA User's Manual  Viking DDR2-SDRAM PC 5300 1024MB 240PIN  

Copyright © All rights reserved. Failed to retrieve file