Cesar Henrique Prescher
Estudo e projeto para o provimento seguro de umainfra-estrutura de rede sem fio 802.11
Sao Jose - SC
setembro / 2009
Cesar Henrique Prescher
Estudo e projeto para o provimento seguro de umainfra-estrutura de rede sem fio 802.11
Monografia apresentada a Coordenacao doCurso Superior de Tecnologia em Sistemasde Telecomunicacoes do Instituto Federal deSanta Catarina para a obtencao do diploma deTecnologo em Sistemas de Telecomunicacoes.
Orientador:
Prof. Emerson Ribeiro de Mello, Dr.
Coorientadores:
Prof. Ederson Torresini, M. SC.Prof. Jorge H. B. Casagrande, M. Eng.
CURSO SUPERIOR DE TECNOLOGIA EM SISTEMAS DE TELECOMUNICACOES
INSTITUTO FEDERAL DE SANTA CATARINA
Sao Jose - SC
setembro / 2009
Monografia sob o tıtulo “Estudo e projeto para o provimento seguro de uma infra-estrutura
de rede sem fio 802.11”, defendida por Cesar Henrique Prescher e aprovada em 17 de setembro
de 2009, em Sao Jose, Santa Catarina, pela banca examinadora assim constituıda:
Prof. Emerson Ribeiro de Mello, Dr.Orientador
Prof. Odilson Tadeu Valle, M. Eng.IFSC - Campus Sao Jose
Prof. Marcelo Maia Sobral, M. SC.IFSC - Campus Sao Jose
Comece fazendo o que e necessario, depois o que e possıvel,
e de repente voce estara fazendo o impossıvel.
Sao Francisco de Assis
Agradecimentos
Presto meus sinceros agradecimentos a todos aqueles que, de qualquer forma, me ajudaram
a concluir este trabalho. Nao so com relacao a auxılio de estudos, indicacoes de livros ou
fontes para consulta dos conteudos envolvidos, mas tambem com relacao ao apoio moral e ate
financeiro que recebi.
Dedico este projeto primeiramente a Priscila, minha companheira e mulher que amo, por
ter me apoiado, pelas dicas de escrita, por ajudar a focar-me no projeto e por estar ao meu lado
sempre. Aos meus pais, Edson e Silena, avos, tios, primos e primas, pela forca nos momentos
ruins que atravessei neste ano final de faculdade.
Aos meus amigos mais que especiais, Deise e Renata, que considero como irmas, Cleiber,
Humberto, Neto, Neri, Ramiro e todos os “Danados”, pelos momentos de descontracao, chur-
rascos, jogos de sinuca e futebol, e que tambem me ajudaram nao so neste perıodo de projeto
mas por todo o decorrer do curso.
Aos professores Emerson, pela valorosa orientacao deste projeto, Ederson, pelo indis-
pensavel auxılio neste projeto e pela coorientacao do mesmo, e ao Casagrande, pela coorientacao
e indicacoes.
Por ultimo, agradeco a Deus por me manter no caminho certo e com confianca de que tudo
acabaria bem e que este projeto se concluiria com sucesso.
Resumo
Este trabalho apresenta uma forma de implementacao segura de redes sem fio 802.11 usu-fruindo de mecanismos para garantir a confidencialidade dos dados trocados e para a autenticacaoindividual de usuarios. Foram realizados estudos para determinar os mecanismos de segurancamais adequados para instituicoes cuja base de usuarios esteja em constante modificacao e quepermitam ao administrador identificar possıveis abusos da rede. Alem disso, tambem foram es-tudados metodos para predicao de cobertura que, comparados com testes de campo, forneceramum esboco para instalacao dos pontos de acesso.
Abstract
This work presents a way to implement a safe 802.11 wireless network infrastructure thatuses security mechanisms to allow data transfer confidentiality and individual user authenti-cation. A study was conducted to find out suitable security mechanisms to institutions thathave a dynamic user database and that gives to system administrator a way to identify abuseattempts by users. In addiction to, this work presents a study about coverage prediction thatwas combined to real experiments to determine the correct place to install the access point.
Sumario
Lista de Figuras
1 Introducao p. 13
1.1 Organizacao do texto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 14
2 Redes sem fio 802.11 p. 16
2.1 Associacao a rede por sistema aberto . . . . . . . . . . . . . . . . . . . . . . p. 18
2.2 Mecanismos de seguranca para transmissao de dados em redes sem fio . . . . p. 19
2.2.1 Wired Equivalent Protocol (WEP) . . . . . . . . . . . . . . . . . . . p. 19
2.2.2 Wi-Fi Protected Access (WPA) . . . . . . . . . . . . . . . . . . . . . p. 21
2.2.3 Wi-Fi Protected Access - versao 2 (WPA2) . . . . . . . . . . . . . . p. 24
2.3 Formas de autenticacao de usuario nas redes sem fio . . . . . . . . . . . . . . p. 24
2.3.1 Autenticacao por chave compartilhada . . . . . . . . . . . . . . . . . p. 25
2.3.2 Autenticacao individual . . . . . . . . . . . . . . . . . . . . . . . . p. 26
3 Propagacao de sinal nas redes sem fio 802.11 p. 31
3.1 Propagacao em ambientes abertos . . . . . . . . . . . . . . . . . . . . . . . p. 31
3.1.1 Perda no espaco livre . . . . . . . . . . . . . . . . . . . . . . . . . . p. 32
3.1.2 Reflexao e Refracao do sinal . . . . . . . . . . . . . . . . . . . . . . p. 32
3.1.3 Difracao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 33
3.1.4 Desvanecimento . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 33
3.2 Propagacao em ambientes fechados . . . . . . . . . . . . . . . . . . . . . . p. 34
3.2.1 Multiplos caminhos . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 34
3.2.2 Dispersao temporal . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 35
3.2.3 Desvanecimento (Fading) . . . . . . . . . . . . . . . . . . . . . . . p. 36
3.2.4 Atenuacao da transmissao ao atravessar obstaculos . . . . . . . . . . p. 36
3.2.5 Ambiente dinamico . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 36
3.3 Antenas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 37
4 Modelos de Predicao de cobertura em ambientes fechados p. 40
4.1 Modelos Empıricos (SANCHES, 2005) . . . . . . . . . . . . . . . . . . . . p. 40
4.1.1 Modelo One Slope . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 42
4.1.2 Modelo Multi-Wall . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 43
4.1.3 ITU-R Recomendacao P.1238 . . . . . . . . . . . . . . . . . . . . . p. 44
4.2 Modelos Determinısticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 45
5 Implementacao do servico WIFI-IFSC p. 48
5.1 Configuracoes do servidor de autenticacao . . . . . . . . . . . . . . . . . . . p. 50
5.1.1 Registro de acessos . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 52
5.2 Implementacao da predicao de cobertura . . . . . . . . . . . . . . . . . . . . p. 52
5.3 Conclusoes do Capıtulo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 55
6 Conclusoes p. 58
6.1 Trabalhos futuros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 59
Apendice A -- Extensible Authentication Protocol (EAP) p. 61
A.1 EAP MD5-Challenge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 61
A.2 EAP-Transport Layer Security (EAP-TLS) . . . . . . . . . . . . . . . . . . . p. 62
A.3 EAP-RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 62
Apendice B -- Servidor FreeRADIUS p. 64
Apendice C -- Lightweight Directory Access Protocol (LDAP) p. 67
Anexo A -- Cenarios de teste para implantacao da rede WIFI-IFSC p. 69
A.0.1 Cenario 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 69
A.0.2 Cenario 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 73
A.0.3 Cenario 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 73
A.0.4 Cenario 4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 75
Anexo B -- Configuracao dos servidores para funcionamento da rede WIFI-IFSC p. 83
B.1 Configuracao do Servidor LDAP . . . . . . . . . . . . . . . . . . . . . . . . p. 83
B.1.1 Arquivo /etc/ldap/slapd.conf . . . . . . . . . . . . . . . . . . . p. 84
B.1.2 Arquivo ldap.conf . . . . . . . . . . . . . . . . . . . . . . . . . . p. 84
B.1.3 Arquivo /etc/phpldapadmin/config.php . . . . . . . . . . . . . p. 85
B.2 Servidor SAMBA e WINBIND . . . . . . . . . . . . . . . . . . . . . . . . . p. 85
B.2.1 Arquivo /etc/samba/smb.conf . . . . . . . . . . . . . . . . . . . p. 85
B.2.2 Configuracao do phpldapadmin . . . . . . . . . . . . . . . . . . . . p. 87
B.3 Configuracao do FreeRADIUS . . . . . . . . . . . . . . . . . . . . . . . . . p. 87
Anexo C -- Configuracao do cliente para acessar a Rede WIFI-IFSC p. 89
C.1 Configuracao de cliente Ubuntu . . . . . . . . . . . . . . . . . . . . . . . . p. 89
C.2 Configuracao de cliente Windows XP . . . . . . . . . . . . . . . . . . . . . . p. 91
Lista de Abreviaturas p. 97
Referencias Bibliograficas p. 99
Lista de Figuras
2.1 Acesso a rede sem fio sem autenticacao de usuario. . . . . . . . . . . . . . . p. 19
2.2 Funcionamento da cifragem do protocolo WEP. . . . . . . . . . . . . . . . . p. 20
2.3 Exemplo de troca de mensagens no inıcio de um acesso utilizando WPA. . . . p. 23
2.4 Acesso a rede sem fio com autenticacao por meio de chave compartilhada. . . p. 26
2.5 Estrutura do EAPOL para redes do padrao ethernet(CONGDON et al., 2003). p. 27
2.6 Acesso atraves do padrao 802.1x . . . . . . . . . . . . . . . . . . . . . . . . p. 29
3.1 Exemplo de reflexao de sinal. . . . . . . . . . . . . . . . . . . . . . . . . . . p. 32
3.2 Uso da difracao em prol da transmissao de sinais, (BERGAMO, 2007). . . . p. 33
3.3 Efeitos da propagacao de multi percurso. . . . . . . . . . . . . . . . . . . . . p. 35
3.4 Tabela de atenuacao de 5 e 2,4 GHz em diversos materiais, (SANCHES, 2005). p. 37
3.5 Antena omnidirecional e sua propagacao de sinal (VIVASEMFIO, 2008). . . p. 38
3.6 Antena setorial e sua propagacao de sinal (VIVASEMFIO, 2008). . . . . . . p. 38
4.1 Alguns valores convencionados de n, (NAJNUDEL, 2004). . . . . . . . . . . p. 41
4.2 Exemplo de predicao de cobertura usando modelo One Slope, (SANCHES,
2005). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 42
4.3 Exemplo de predicao de cobertura usando modelo Multi-Wall, (SANCHES,
2005). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 44
4.4 Exemplo de predicao de cobertura a partir do conceito de optica geometrica. . p. 46
5.1 Cenario final de funcionamento do sistema WIFI-IFSC quanto a integracao
dos servicos para autenticacao de usuarios. . . . . . . . . . . . . . . . . . . . p. 49
5.2 Planilha com modelos empıricos de predicao de cobertura. . . . . . . . . . . p. 53
5.3 Exemplo de uso do comando iwconfig no laptop para verificacao de recebi-
mento de sinal do ponto de acesso. . . . . . . . . . . . . . . . . . . . . . . . p. 53
5.4 Planilha de comparacao entre os modelos empıricos e resultados reais obtidos
em testes de campo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 55
5.5 Indicacao de instalacao dos Pontos de Acesso na instituicao. . . . . . . . . . p. 56
A.1 Troca de mensagens EAP entre cliente e ponto de acesso (autenticador) . . . p. 63
B.1 Formato do pacote RADIUS (RIGNEY et al., 2000). . . . . . . . . . . . . . p. 64
B.2 Troca de mensagens RADIUS entre autenticador de clientes e servidor RA-
DIUS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 65
C.1 Exemplo de hierarquia da base de dados LDAP para um usuario. . . . . . . . p. 68
A.1 Primeiro Cenario de testes utilizado. . . . . . . . . . . . . . . . . . . . . . . p. 69
A.2 Configuracao de um usuario de testes no FreeRADIUS no arquivo users. . . p. 70
A.3 Uso do comando radtest para teste de autenticacao de usuario no FreeRA-
DIUS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 70
A.4 Resposta do servidor FreeRADIUS a um teste bem sucedido de autenticacao
vindo do comando radtest. . . . . . . . . . . . . . . . . . . . . . . . . . . p. 71
A.5 Resposta do servidor FreeRADIUS a um teste bem sucedido de autenticacao
vindo de um cliente na rede sem fio. . . . . . . . . . . . . . . . . . . . . . . p. 72
A.6 Segundo Cenario de testes utilizado. . . . . . . . . . . . . . . . . . . . . . . p. 73
A.7 Alteracoes no arquivo radiusd.conf para que consulte a base LDAP. . . . . p. 74
A.8 Alteracoes no arquivo users para que consulte a base LDAP. . . . . . . . . . p. 74
A.9 Alteracoes no arquivo attrmap. . . . . . . . . . . . . . . . . . . . . . . . . p. 74
A.10 Terceiro Cenario de testes utilizado. . . . . . . . . . . . . . . . . . . . . . . p. 74
A.11 Resposta de falha de autenticacao do FreeRADIUS no terceiro cenario. . . . p. 76
A.12 Configuracao do arquivo eap.conf. . . . . . . . . . . . . . . . . . . . . . . p. 77
A.13 Configuracao dos principais parametros do arquivo radiusd.conf para fun-
cionamento da rede sem fio. . . . . . . . . . . . . . . . . . . . . . . . . . . p. 78
A.14 Exemplo de parametros de um certificado do RADIUS. . . . . . . . . . . . . p. 78
A.15 Exemplo de configuracao do arquivo clients.conf. . . . . . . . . . . . . . p. 79
A.16 Configuracao do arquivo users. . . . . . . . . . . . . . . . . . . . . . . . . p. 79
A.17 Cliente se autenticando com sucesso no FreeRADIUS. . . . . . . . . . . . . p. 80
A.18 Alteracoes no arquivo radiusd.conf para que os logs de acesso possam ser
armazenados e consultados. . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 81
A.19 Exemplo de log de autenticacao de usuario. . . . . . . . . . . . . . . . . . . p. 82
A.20 Exemplo de log de atribuicao de IP a usuario pelo servidor DHCP. . . . . . . p. 82
B.1 Configuracao do arquivo slapd.conf. . . . . . . . . . . . . . . . . . . . . . p. 84
B.2 Configuracao do arquivo ldap.conf. . . . . . . . . . . . . . . . . . . . . . p. 85
B.3 Configuracao do arquivo /etc/phpldapadmin/config.php. . . . . . . . . p. 85
B.4 Configuracao do arquivo smb.conf. . . . . . . . . . . . . . . . . . . . . . . p. 86
C.1 Escolha da rede sem fio a qual se deseja conectar. . . . . . . . . . . . . . . . p. 90
C.2 Configuracao dos parametros de acesso da rede sem fio escolhida. . . . . . . p. 90
C.3 Abrindo conexoes de rede sem fio para editar. . . . . . . . . . . . . . . . . . p. 92
C.4 Escolha da rede a qual se deseja configurar. . . . . . . . . . . . . . . . . . . p. 92
C.5 Inıcio da edicao da rede sem fio. . . . . . . . . . . . . . . . . . . . . . . . . p. 93
C.6 Configuracao dos padroes de acesso da rede. . . . . . . . . . . . . . . . . . . p. 94
C.7 Configuracao para uso da autenticacao 802.1x. . . . . . . . . . . . . . . . . . p. 95
C.8 Configuracoes acerca de uso de certificados. . . . . . . . . . . . . . . . . . . p. 95
C.9 Informacao para nao usar o mesmo Login e Senha do seu computador para
acessar a rede sem fio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . p. 96
C.10 Tentativa de conexao com a rede sem fio. . . . . . . . . . . . . . . . . . . . p. 96
13
1 Introducao
Hoje o Instituto Federal de Santa Catarina (IFSC) campus Sao Jose nao possui um servico
de redes sem fio disponıvel para alunos, professores, servidores e visitantes. Os pontos de
acesso ja existentes utilizam configuracao de senha compartilhada e nao integrada a rede da
instituicao. Alem disso, e crescente o numero de pessoas que adquirem equipamentos que
possibilitam o acesso sem fio a redes Wireless Fidelity (WiFi) na instituicao.
Sabe-se que a propagacao do sinal gerado pelos equipamentos da tecnologia 802.11 sofre
influencias do ambiente no qual estao inseridos. Tais ambientes sao classificados como exter-
nos e internos e para atender cada tipo de ambiente deve-se utilizar equipamentos especıficos.
por exemplo, antenas unidirecionais com alto ganho sao ideais para cobrir grandes areas em
ambientes abertos. Porem, tais antenas talvez nao sejam adequadas em ambientes como de um
escritorio.
Ja em ambientes internos, caso do IFSC, nao so existe um grande numero de obstaculos que
dificultam a propagacao do sinal emitido pelas antenas dos pontos de acesso, obrigando calculos
eficientes de predicao de cobertura e testes de campo para que se determine a disposicao dos
equipamentos e se atinja uma instalacao que atenda as necessidades de uso da instituicao.
Para a disponibilizacao do servico de rede sem fio tambem devem ser levados em con-
sideracao requisitos de seguranca. E desejado que somente usuarios autenticados e autoriza-
dos possam fazer uso do servico. E desejavel tambem, que os usuarios possam utilizar dos
mesmos nomes de usuario e senha ja utilizados para outros servicos da instituicao, facilitando
administracao da rede, memorizacao por parte dos usuarios e tornando o repasse de senha para
pessoas alheias mais improvavel.
Outro ponto e garantir a confidencialidade na rede, aplicando protocolos de seguranca para
que as informacoes dos usuarios estejam protegidas contra intercepcao de terceiros ao trafegar
pelo meio sem fio. Isso porque diferente das redes cabeadas, que contem mecanismos como
switches para direcionamento de pacotes somente ao usuario devido, no meio sem fio qualquer
pessoa pode passar a captar dados dados alheios que trafegam no ar caso nao haja mecanismos
1.1 Organizacao do texto 14
de seguranca aplicada.
E necessario tambem, prover o maximo de registros possıveis acerca do uso da rede para
possibilitar que o administrador execute auditorias na rede. Com o objetivo de evitar abusos por
parte de usuarios maliciosos, como por exemplo, acesso a sıtios indevidos, consumo excessivo
da largura de banda e praticas inadequadas, que possam prejudicar outros usuarios da rede.
Este trabalho tem o objetivo de implementar um servico de rede sem fio que proporcione
cobertura total atraves de seus pontos de acesso e com alto nıvel de seguranca aos usuarios,
utilizando os melhores mecanismos para isso. Da mesma forma, pretende-se que os usuarios
nao precisem memorizar mais um nome de usuario e senha para usar o servico, pois deseja-se
que a rede sem fio seja integrada com a atual infra-estrutura de rede, permitindo aos usuarios
da rede sem fio o acesso a servicos como impressoras, servidor de e-mail, de arquivos e etc,
deixando a conexao mais transparente e segura para o usuario e mais facil de administrar para
a instituicao.
1.1 Organizacao do texto
O texto esta organizado da seguinte forma:
• Capıtulo 2 - Redes sem fio 802.11: descreve o funcionamento das redes sem fio 802.11
e seus diferentes padroes e protocolos de seguranca;
• Capıtulo 3 - Propagacao de sinal nas redes sem fio 802.11: neste capıtulo e descrita
como se comporta a propagacao de sinais transmitidos no meio sem fio e as diferentes
caracterısticas que influenciam a propagacao de sinal, podendo ser destrutiva ou constru-
tiva;
• Capıtulo 4 - Modelos de Predicao de cobertura em ambientes fechados: mostra os
diferentes modelos de calculos para se obter uma predicao de cobertura em ambientes
fechados, correspondente ao ambiente existente no IFSC, e os parametros que levam em
consideracao;
• Capıtulo 5 - Implementacao do servico WIFI-IFSC: descreve como foi implementado
o servico de rede sem fio na instituicao de acordo com os estudos dos capıtulos anteriores;
• Capıtulo 6 - Conclusoes: apresenta as conclusoes do documento;
• Apendice A - Extensible Authentication Protocol (EAP): descreve este protocolo que e
necessario para a implementacao da seguranca na autenticacao da rede sem fio;
1.1 Organizacao do texto 15
• Apendice B - Servidor FreeRADIUS: descreve o servico que possibilitou a autenticacao
individual de usuarios e a integracao com o LDAP da instituicao;
• Apendice C - Lightweight Directory Access Protocol (LDAP): descreve o funciona-
mento da base de dados utilizada para armazenamento de usuarios no IFSC;
• Anexo A - Cenarios de teste para implantacao da rede WIFI-IFSC: apresenta os
demais cenarios de teste implementados ate que se chegasse no cenario final desejado
para implementacao do servico;
• Anexo B - Configuracao dos servidores para funcionamento da rede WIFI-IFSC: de-
monstra como configurar os servicos utilizados no projeto para realizar a implementacao
de uma rede sem fio semelhante em outra instituicao de ensino;
• Anexo C - Configuracao do cliente para acessar a Rede WIFI-IFSC: descreve as
configuracoes necessarias por parte dos clientes para acessarem rede sem fio implemen-
tada.
16
2 Redes sem fio 802.11
A ideia de transmitir dados por redes sem fio ja tem mais de 100 anos. Em 1894 Nicolas
Tesla efetuou a primeira transmissao sem fio e, segundo (TANEMBAUM, 2001), em 1901,
Gugliermo Marconi criou um telegrafo sem fio que enviava informacoes de codigo morse de
um navio para uma estacao em terra. As informacoes eram binarias, mesma ideia das redes
usadas hoje, mas funcionando de uma maneira muito mais simples naquela epoca.
Quando surgiram os primeiros computadores portateis, desejava-se acessar a rede sem a
necessidade de fios, ja que seu computador portatil tinha a finalidade de mobilidade. A par-
tir disso, diversas empresas iniciaram pesquisas com o objetivo de proporcionar esse tipo de
servico. Inicialmente pensava-se em criar mecanismos para que os computadores, atraves de
emissoes de ondas de radio, pudessem formar uma rede entre si, o que se conhece por rede sem
infra-estrutura, porem, na epoca o principal problema era formar uma padronizacao entre as
diferentes propostas criadas por fabricantes distintos.
Segundo (TANEMBAUM, 2001), a industria se viu diante da necessidade de um padrao
unico para redes sem fio e a Institute of Electrical and Electronic Engineers (IEEE), orgao res-
ponsavel por conceber o padrao 802.11 (GAST, 2002), tambem pelo nome de Wireless Local
Area Network (WLAN) e apelidado mais tarde pelo nome de WiFi, uma referencia ao High Fi-
delity (HiFi). Foram definidas para este padrao, duas formas de operacao para as redes sem fio:
estruturada, composta por elementos centralizadores, conhecidos como pontos de acesso e por
estacoes; e ad-hoc, na qual nao existem elementos centralizadores e os clientes se comunicam
diretamente uns com os outros.
As primeiras implementacoes do 802.11 apresentaram alguns problemas iniciais que de-
viam ser analisados antes de ser homologados. Diferentemente das redes com fios, como
por exemplo redes ethernet (PLUMMER, 1982), ficava aguardando ate que a rede estivesse
sem transmissoes ocupando o canal para entao enviar os dados. Havia problemas quanto aos
obstaculos que pudessem refletir o sinal de radio enviado de um ponto de acesso a um cliente
ou vice-versa. Havia problemas quando um cliente saia da cobertura de um ponto de acesso e
2 Redes sem fio 802.11 17
entrava sob a cobertura de outro, sendo necessario fazer o procedimento de handoff 1 como nos
celulares.
O padrao original tambem define o protocolo de acesso multiplo com deteccao de portadora
(Carrier Sense Multiple Access With Collision Avoidance (CSMA/CA)2) para acesso. Isso faz
com que parte da velocidade do sistema seja reduzida para dar mais qualidade em momentos
de transmissao por ambientes adversos. Resumidamente, CSMA/CA e um protocolo nao deter-
minıstico de controle de acesso ao meio no qual um no, antes de transmitir um dado, verifica
se o meio de transmissao, neste caso a faixa de radio frequencia, esta livre para que a trans-
missao ocorra sem choques e a consequente perda de informacao. A partir de 1997, o comite do
IEEE divulga os padroes 802.11, que tem sua maior diferenciacao no PHY (MAC inalterado),
frequencias de operacao e distancias de alcance, e que serao descritos a seguir:
• Padrao IEEE 802.11a (O’HARA; CALHOUN; KEMPF, 2005)
Este padrao usa 52 subportadoras (Orthogonal Frequency Division Multiplexing (OFDM)3)
e pode atingir taxas de transmissao de 54Mbps no alcance de 30 metros de cobertura e
tendo menor taxa de transmissao apos essa distancia. Trabalha com 12 canais nao sobre-
postos, oito para redes sem fio em ambientes fechados e quatro para enlaces de redes sem
fio em espacos abertos. Em comparacao aos outros padroes ela e mais cara porem, pode
ser considerada mais confiavel por receber menos interferencia de outras redes sem fio
proximas por trabalhar com a frequencia de 5GHz.
• Padrao IEEE 802.11b (O’HARA; CALHOUN; KEMPF, 2005)
Padrao que usa a frequencia de 2.4GHz dividida em 13 canais. Sua taxa de transmissao
varia com a distancia, a maior podendo chegar a 11Mbps diminuindo, a partir de 70
metros, chegando em media a 1Mbps. O alcance varia, de 180 metros em espacos abertos
e 110 metros em espacos fechados.
Tem como desvantagem a possibilidade de interferencia oriunda de equipamentos que
funcionam na mesma frequencia, como microondas, telefones sem fio, equipamentos blu-
etooth e outras redes sem fio. Porem, sua grande vantagem esta no custo com relacao a
tecnologia 802.11a, ja que utiliza a faixa de frequencias nao licenciada em todo mundo.
• Padrao IEEE 802.11g (GAST, 2002)
1Momento em que o aparelho do cliente deixa de usar o sinal de uma torre de transmissao porque esta ficandofraco para usar de outra que esta com sinal mais forte.
2Protocolo em que o cliente escuta o meio de transmissao antes de enviar seus pacotes afim de evitar colisoes eperdas de dados.
3Multiplexacao por divisao de frequencia que usa frequencias ortogonais umas as outras.
2.1 Associacao a rede por sistema aberto 18
Este padrao e uma mescla entre os padroes 802.11a e 802.11b, e transmitido na frequencia
de 2,4GHz, dividida em 13 canais de 22MHz cada, e pode chegar a taxas de transmissao
de 54Mbps e usa OFDM. E totalmente compatıvel com a rede 802.11b, permitindo que
usuarios das duas redes acessem o mesmo transmissor ao mesmo tempo.
• Padrao 802.11n (GAST, 2002)
Segundo (ARRUDA, 2008), este padrao tem por objetivo aperfeicoar as transmissoes
em redes sem fio para transmissoes multimıdia, opera nas faixas de 2.4GHz e 5GHz, e
trabalha com sistema Multiple Input, Multiple Output (MIMO)4, proporcionando taxas
de ate 300Mbps e alcance de ate 400 metros em ambientes fechados.
• Padrao 802.11i (EDNEY; ARBAUGH, 2002)
Padrao voltado para a seguranca, visa o estudo e avaliacao do padrao de autenticacao de
usuarios IEEE 802.1x(CONGDON et al., 2003), ver secao 2.3.2, e dos seguintes proto-
colos de seguranca:
1. Wired Equivalent Protocol (WEP), secao 2.2.1;
2. Wi-Fi Protected Access (WPA), secao 2.2.2;
3. Wi-Fi Protected Access - versao 2 (WPA2), secao 2.2.3.
Um grande avanco neste padrao e sua flexibilidade para extensoes, isso quer dizer que
quando uma tecnica de seguranca e dada como obsoleta ou tem alguma falha descoberta,
o padrao permite a agregacao de uma nova tecnica de seguranca sem a necessidade de
substituicao de hardware.
Nas secoes a seguir, serao descritas as diferentes maneiras de se associar a rede, tambem
serao apresentados os protocolos de seguranca de acesso ao meio sem fio, que foram citados no
padrao 802.11i anteriormente.
2.1 Associacao a rede por sistema aberto
Na autenticacao por sistema aberto qualquer cliente pode solicitar associacao ao Ponto
de Acesso desejado e, sem nenhum tipo de autenticacao, e liberada a conexao a rede para o
solicitante. A figura 2.1 demonstra a troca de mensagens em uma associacao de um cliente a
uma rede sem fio sem autenticacao:
4Significa entradas e saıdas multiplas para otimizar ganho de emissao e recepcao de dados.
2.2 Mecanismos de seguranca para transmissao de dados em redes sem fio 19
• Mensagem 1: Cliente detecta a transmissao por parte do ponto de acesso e solicita
associacao a rede;
• Mensagem 2: O ponto de acesso responde dando ou nao a permissao para acesso a rede.
Figura 2.1: Acesso a rede sem fio sem autenticacao de usuario.
Neste caso, a rede fica exposta e vulneravel a qualquer escuta ou invasao maliciosa. Para
que as redes sem fio ficassem melhor protegidas, iniciaram-se estudos para provimento de
autenticacao de usuario, fazendo com que somente pessoas autorizadas usufruıssem do servico
fornecido. Assim como estudos quanto a confidencialidade das informacoes que trafegam nessa
rede.
Na proxima secao, serao apresentadas as propostas de mecanismos de seguranca pra redes
sem fio 802.11.
2.2 Mecanismos de seguranca para transmissao de dados emredes sem fio
O padrao 802.11i, criado pelo IEEE, teve como principal motivacao, a criacao de mecanis-
mos que deixassem as redes sem fio tao seguras como as redes cabeadas. A Primeira proposta
foi o WEP em 1999, seguido dos modelos WPA e WPA2 que serao descritos nas secoes a seguir.
2.2.1 WEP
O Wired Equivalent Protocol (WEP)(THALER; ABOBA, 2008) foi o primeiro protocolo
criado para prover a confidencialidade dos dados que trafegam no meio, que sao trocados entre
2.2 Mecanismos de seguranca para transmissao de dados em redes sem fio 20
clientes e/ou equipamentos, evitando que fossem acessados por qualquer outro usuario se nao os
que a eles fossem enderecadas as mensagens. Alem disso, ele surge com a capacidade tambem
de prover a autenticacao de usuarios na rede, por meio de uma senha compartilhada entre o
ponto de acesso e seus clientes, ou entre clientes e sua rede ad-hoc.
Figura 2.2: Funcionamento da cifragem do protocolo WEP.
Cada quadro, antes de ser transmitido, e cifrado com uma chave estatica que pode ter 40 ou
104 bits de tamanho. Essa chave se concatena com uma outra chave, que desta vez e dinamica,
tem 24 bits e que leva o nome de Initialization Vector (IV). Apos a concatenacao, entra o
segundo passo, que e a passagem desse quadro por um algoritmo de cifragem chamado de
Rivest Cipher 4 (RC4)(MOUSA; HAMAD, 2006) e assim e formada uma sequencia de bits
(Keystream). Esta sequencia e passada por uma funcao XOR, tornando-se um quadro dividido
em duas partes, a primeira e o dado que sera cifrado e a segunda sao bits que serao comparados
no receptor para verificar a integridade dos dados, conhecido tambem pelo nome de checksum.
Por fim e gerado um quadro, sendo que uma primeira parte contem os dados cifrados e a outra
o IV, que sera usado na recepcao para identificar a autenticidade do quadro, veja a figura 2.2.
O WEP se apresentou, na epoca de sua criacao, como a alternativa que deixaria o acesso a
redes sem fio tao seguro quando ao acesso com fios, porem o tempo mostrou as fragilidades por
tras do WEP. Um de seus problemas consiste na colisao de IVs, porque o algoritmo RC4, usado
na cifragem, gera uma mensagem cifrada de mesmo tamanho da mensagem original, facilitando
a descoberta do tamanho da mensagem original. Esse mesmo problema ocorre na utilizacao da
chave compartilhada para a geracao da sequencia de bits, o protocolo usa o IV, que e um numero
2.2 Mecanismos de seguranca para transmissao de dados em redes sem fio 21
iniciado com zero e incrementado a cada quadro enviado pelo Ponto de Acesso. Para garantir
que cada pacote seja cifrado com uma sequencia de bits diferente, o IV e concatenado com a
chave.
Mesmo assim, como o tamanho dos IVs sao de 24bits, sabe-se , segundo (BRAGA, 2006),
que o mesmo IV se repete a cada 224 pacotes, mais ou menos 17 milhoes de pacotes trans-
mitidos, o que pode significar um tempo de 5 horas em uma rede de 54Mbps. Alem disso,
fabricantes fazem configuracoes que geram IVs aleatoriamente, podendo causar colisoes com
mais frequencia. A maioria das ferramentas de quebra de privacidade do WEP se da pelo co-
nhecimento da sequencia de passos do RC4 para cifrar os quadros, deixando possıvel descobrir
suas chaves atraves de analises matematicas com base nos primeiros bytes da transmissao.
2.2.2 WPA
O Wi-Fi Protected Access (WPA)(WI-FI ALLIANCE, 2003) surgiu como uma alternativa
do WEP, mostrando-se menos vulneravel aos problemas de seguranca apresentados pelo WEP
em seus cabecalhos, que usavam o Initialization Vector (IV). Uma de suas principais mudancas
e a utilizacao de um protocolo de cifragem, chamado de Temporal Key Integrity Protocol (TKIP)
e sua hierarquia de chaves. Outra mudanca e que agora o protocolo, alem de poder ter uma
senha compartilhada para acesso a rede como o WEP, o que e conhecido como Wi-Fi Protected
Access - Pre-shared key (WPA-PSK), ver secao 2.3.1, tambem pode operar sobre o padrao
IEEE 802.1x (CONGDON et al., 2003), permitindo a autenticacao com senhas privadas a cada
usuario do servico, o que e conhecido tambem como WPA-EAP.
O WPA-PSK que, segundo (BOWMAN, 2003), e um modelo WPA que nao utiliza um
servidor de autenticacao. Este modelo funciona no uso de chaves cifradas que sao mudadas
automaticamente e autenticadas entre os dispositivos periodicamente ou depois de um certo
numero de pacotes trasferidos entre eles, o que e chamado de intervalo de chaveamento.
Por nao usar um servidor de autenticacao para usuarios diferenciados, o WPA-PSK faz uso
de uma senha compartilhada, ver secao 2.3.1, que deve ter entre 8 e 63 caracteres, podendo
incluir caracteres especiais ou espacos e diferenciacoes de maiusculas e minusculas, reforcando
a seguranca quanto a quebra de senha.
O nome Wi-Fi Protected Access - Extensible Authentication Protocol (WPA-EAP) e dado
porque as informacoes passam a usar o protocolo Extensible Authentication Protocol (EAP), ver
apendice A, para troca de mensagens entre o cliente (suplicante) e um servidor de autenticacao
para permitir ou nao a associacao atraves do autenticador (ponto de acesso). Para isso, como
2.2 Mecanismos de seguranca para transmissao de dados em redes sem fio 22
comentado na secao 2.3.2, o ponto de acesso e apenas uma ponte entre a troca de informacoes
entre cliente e servidor de autenticacao que contera dentro de si todos os dados de clientes.
Protocolo TKIP
O Temporal Key Integrity Protocol (TKIP) usa uma chave de 128 bits e substitui a chave
estatica do WEP por uma chave dinamica que e gerada e distribuıda por um servidor de au-
tenticacao no caso de WAP-EAP ou pelo autenticador no caso de WPA-PSK. O protocolo usa
tambem um hierarquia de chaves, para remover a previsibilidade que intrusos exploravam para
quebrar as chaves do WEP.
O Message Integrity Check (MIC), que tambem e conhecido como Michel, e o algoritmo
de cifragem utilizado pelo TKIP e e responsavel por prevenir o ataque e captura de pacotes,
alterando e revisando cada um deles. O MIC prove uma funcao matematica no transmissor
e receptor, em que cada um deles processa e compara os dados. Se os dados nao conferem,
o dado e assumido como adulterado e o pacote e descartado. Ele e uma chave de checagem
que e inclusa em todos os quadros transmitidos que previne ataques sobre o CRC32, que era o
mecanismo de checagem do WEP.
Tambem houve mudancas quanto ao Initialization Vector (IV). Agora tem 52 bits, e nao
mais 24 como no WEP. Outra diferenca e que o IV nao e mais gerado de forma aleatoria,
agora ele e gerado pelo Time Sequence Counter (TSC) que faz com que os quadros cheguem
ao destino em ordem de envio, evitando ataques de repeticao de quadros, que eram comuns no
WEP.
O WEP, como afirmado na secao 2.2.1, faz uso de uma unica chave compartilhada para
cifrar dados e autenticar estacoes. Ja o WPA usa de duas hierarquias de chaves. A Pairwise
Key, usada para comunicacao entre pontos de acessos e clientes, usando modo ponto a ponto,
fazendo com que a chave deva ser apenas conhecida pelas duas partes da comunicacao. E a
Group Key, que usada para difusao (broadcast) ou difusao seletiva (multicast).
A hierarquia de chaves serve para que a chave principal (Pairwise Master Key (PMK)), a
senha que e criada no servidor de autenticacao ou no ponto de acesso nunca trafegue pelo meio,
evitando a possibilidade de interceptacao da mesma. A partir dessa chave principal sao criadas
outras chaves, que irao trafegar na rede para que se efetue a autenticacao.
Quando se inicia a troca de mensagens para autenticacao na rede, e criada uma chave cifrada
baseada na PMK, com o nome de NONCE. Essas mensagens NONCE serao trocadas entre
cliente e autenticador. Somente se ambos os lados tiverem a PMK correta, a chave e aberta e a
2.2 Mecanismos de seguranca para transmissao de dados em redes sem fio 23
comunicacao pode iniciar.
A partir disto, sao geradas as Pairwise Transient Key ou Pairwise Temporal Keys (PTKs),
para garantir a seguranca no processo de handshake5. E as chaves que servirao para a cifragem
e verificacao de integridade dos dados (checksum) durante a transmissao de dados pelo meio,
tendo os nomes de Data Encryption Key e Data Integrity Key.
Figura 2.3: Exemplo de troca de mensagens no inıcio de um acesso utilizando WPA.
A figura 2.3 demonstra um exemplo de tentativa de autenticacao de um cliente com o Ponto
de acesso por meio do WPA, e suas mensagens serao descritas a seguir:
• Mensagem 1: Contem o ANONCE, mensagem NONCE criada pelo ponto de acesso e
que e enviada para permitir que o cliente crie suas chaves de cifragem e checksum, ela e
criada com base na senha de acesso configurada no autenticador;
• Mensagem 2: Envio do SNONCE, mensagem NONCE criada pelo cliente, ja com check-
sum, e com MIC criada. Com essa verificacao fica comprovado que o cliente conhece a
chave principal correta e esta enviando uma chave tambem baseada na senha para que o
autenticador a decifre e constate que e a mesma configurada em sua base de dados.
• Mensagem 3: Aviso do ponto de acesso de que esta pronto para iniciar a cifragem dos
dados, isso e importante para que iniciem a cifragem somente depois de ambos terem
criado suas respectivas chaves.5Momento em que os elementos que iniciarao a transmissao de dados acordam os parametros da transmissao,
como canal, velocidade e outras caracterısticas necessarias.
2.3 Formas de autenticacao de usuario nas redes sem fio 24
• Mensagem 4: Cliente responde com uma mensagem de conhecimento e confirmacao de
recebimento (Acknowledge (ACK)) e finaliza o checksum. A partir deste momento todas
as mensagens que forem trocadas entre os elementos serao cifradas e a troca de pacotes
pode iniciar.
2.2.3 WPA2
O Wi-Fi Protected Access - versao 2 (WPA2)(WI-FI ALLIANCE, 2003) e a versao que
implementa todos os elementos de seguranca desejados pelo padrao do IEEE 802.11i, isso por-
que o WPA foi lancado antes que o padrao de seguranca estivesse totalmente definido e, por
isso, foi necessario o lancamento da versao 2 para se chegar a um esquema de autenticacao e
confidencialidade considerado completo.
Apesar de se poder usar opcionalmente o TKIP, o WPA2 tem disponıvel um novo protocolo
de comunicacao, chamado Counter Mode with Cipher Block Chaining Message Authentication
Code Protocol (CCMP), que faz uso do algoritmo Advanced Encryption Standard (AES) para
cifragem dos dados.
Quanto as chaves de seguranca, o WPA2 usa das mesmas hierarquias de chaves que o WPA,
porem usa a mesma chave para cifragem e verificacao de integridade dos dados, o que muda um
pouco a hierarquia. Na hierarquia Pairwise Key o PMK se subdivide em Data Encryption/Inte-
grity Key de 128 bits, EAPOL-Key Encryption Key de 128 bits e Message Integrity Check (MIC)
de 128 bits. Ja na hierarquia Group Key, se subdivide em Group Encryption/Integrity Key de
128 bits.
O AES combina uma chave Data Encryption/Integrity Key e um bloco de dados de 128 bits,
gerando um outro bloco de 128 bits totalmente distinto do original. O CCMP e responsavel pela
divisao dos quadros em blocos de tamanhos iguais, 128 bits, para que o AES possa efetuar a
cifragem dos blocos. Outra funcao do CCMP e a insercao de um MIC no dado que sera enviado
e seja facilitada a verificacao de erros durante a transmissao.
2.3 Formas de autenticacao de usuario nas redes sem fio
Na secao anterior foram mostradas formas para garantir a confidencialidade dos dados
que trafegam pelo meio sem fio a fim de evitar quebras de sigilo de informacoes vindas de
usuarios maliciosos. Porem, como tambem ja foi explicitado na secao 2.1, essa nao era a unica
preocupacao dos administradores das redes sem fio.
2.3 Formas de autenticacao de usuario nas redes sem fio 25
A outra preocupacao era com relacao a permitir que somente usuarios autorizados fossem
permitidos a associar-se a rede. Foram propostas duas formas para autenticar usuarios em uma
rede sem fio:
• Autenticacao por meio de chave compartilhada;
• Autenticacao por chave individual, conhecida por IEEE 802.1x, que necessita do auxılio
de um servidor de autenticacao e que sera descrito na secao 2.3.2.
2.3.1 Autenticacao por chave compartilhada
No esquema de autenticacao por chave compartilhada, uma senha e configurada no proprio
ponto de acesso, cabendo a ele autorizar ou nao a associacao do cliente a rede, apos troca de
mensagens para confirmacao dos dados do usuario, fazendo uso dos protocolos WEP, WPA ou
WPA2. Para ser autenticado na rede, o cliente devera saber a senha de acesso, caso contrario,
sua autenticacao sera negada e nao podera acessar a rede.
A figura 2.4, demonstra os passos para adesao de um cliente a um ponto de acesso e suas
mensagens serao descritas a seguir:
• Mensagem 1: Solicita autenticacao do cliente ao ponto de acesso;
• Mensagem 2: Resposta do ponto de acesso, enviando um desafio,
juntamente com ANONCE;
• Mensagem 3: Cliente, se souber a senha, decifra o ANONCE e responde com SNONCE
ao ponto de acesso, o que afirma que o cliente conhece a senha, lembrando que esta
mensagem tambem e cifrada;
• Mensagem 4: Ponto de acesso confirma ou nao a autenticacao do usuario se as mensa-
gens anteriores foram trocadas corretamente.
O uso de senha compartilhada com uso de protocolos de seguranca, como WEP, WPA-
PSK ou WPA2-PSK, visam prover a confidencialidade dos dados que trafegam no meio sem
fio, porem, a senha compartilhada e vista como uma fraqueza na implementacao de redes. O
motivo e o proprio compartilhamento da senha, inicialmente somente as pessoas que devem
acessar a senha possuem mas, pode ser divulgada ou repassada a pessoas que nao deveriam ter
acesso, comprometendo o uso da rede. Mesmo que a senha seja trocada, o problema logo se
repete, tornando o uso de senha compartilhada um problema para os administradores de rede.
2.3 Formas de autenticacao de usuario nas redes sem fio 26
Figura 2.4: Acesso a rede sem fio com autenticacao por meio de chave compartilhada.
2.3.2 Autenticacao individual
O acesso a rede sem fio sem qualquer tipo de autenticacao nao proporciona nenhum tipo de
seguranca para a rede e se torna inviavel quando se deseja ter algum controle sobre acesso dos
usuarios a rede. O uso de senha compartilhada prove um uso mais seguro da rede, permitindo
autenticacao de usuarios e, com o WPA2, chegou-se a um esquema que visa assegurar a con-
fidencialidade das informacoes cifrando os dados que trafegavam pela rede reforcando pontos
onde os protocolos anteriores demonstraram fraquezas.
A fim de tornar o acesso a rede mais restrito, controlado e de facil administracao, o IEEE
criou o padrao para autenticacao e seguranca 802.1X(CONGDON et al., 2003), que pode ser
aplicado tando em redes sem fio como redes cabeadas. Este padrao pode tornar a autenticacao
de usuarios individual, criando para cada usuario uma senha que sera usada para autentica-lo na
rede. Desta maneira, o administrador tem mais controle sobre a rede e seus usuarios, podendo
efetuar auditorias e verificacoes de abuso, isso tambem faz com que os usuarios nao repassem
seus dados pessoais a terceiros para que acessem a rede, diminuindo o acesso de pessoas nao
autorizadas.
O padrao IEEE 802.1x oferece uma plataforma (framework) efetiva de autenticacao e con-
trole de trafego de usuarios para uma rede protegida. O 802.1x utiliza o protocolo EAP, ver
anexo A, em ambas os tipos de redes, com fio e sem fio, e suporta diversos tipos de metodos de
autenticacao como certificados, senhas compartilhadas e outros.
Em sua arquitetura, o 802.1x possui tres componentes chave:
1. Suplicante (Supplicant): Usuario ou cliente que deseja efetuar a autenticacao;
2.3 Formas de autenticacao de usuario nas redes sem fio 27
2. Servidor de Autenticacao: Tipicamente o Remote Authentication Dial in User Service
(RADIUS) mas podendo ser qualquer outro;
3. Autenticador: Dispositivo entre suplicante e servidor de autenticacao, podendo ser um
ponto de acesso por exemplo.
A chave de protocolo no 802.1x e chamado de EAP over LANs (EAPOL) e e atualmente
definido para uso em redes como redes sem fio, com fios ou Token Ring6. O protocolo EAPOL
do padrao 802.1x prove uma autenticacao de usuario eficaz, independentemente do uso de cifra-
gem em redes sem fio. Se configurado para implementar troca de chaves dinamicas, o servidor
de autenticacao pode retornar as chaves de sessao para o autenticador juntamente com a men-
sagem de permissao de acesso. O autenticador usa a sessao de chaves para construir, assinar e
cifrar uma ”chave-EAP” (EAP-Key) que e enviada para o cliente imediatamente apos o envio da
mensagem de sucesso. O cliente pode usar o conteudo da chave para definir a chave de cifragem
a ser utilizada.
O 802.1x EAPOL e um mecanismo de entrega e, segundo (CONGDON et al., 2003), nao
fornece os mecanismos de autenticacao real. Por isso e necessaria a escolha de um tipo EAP, ver
sessao A, como EAP Transport Layer Security (EAP-TLS) ou EAP Tunneled Transport Layer
Security (EAP-TTLS), que definira como a autenticacao ocorrera. O tipo EAP fica no servidor
de autenticacao, dentro do sistema operacional ou aplicativo de software nos dispositivos do
cliente. O ponto de acesso age como uma ponte ou passagem para as mensagens 802.1x, sendo
assim, o ponto de acesso nao precisa ter suporte ao tipo EAP.
A figura 2.5 representa a estrutura do protocolo EAPOL do padrao 802.1x para autenticacoes
em Local Area Networks (LANs) ou WLANs no formato de quadro EAPOL para redes 802.37:
Figura 2.5: Estrutura do EAPOL para redes do padrao ethernet(CONGDON et al., 2003).
• Port Access Entity (PAE) Ethernet type: Contem o valor atribuıdo do tipo de rede;
• Protocol Version: Informa a versao do protocolo EAPOL;
• Packet type: Determina o tipo de pacote, ver secao A, podendo ser EAP-packet, EAPOL-
Start, EAPOL-Key, EAPOL-Logoff ou EAPOL-Encapsulated-ASF-Alert;6Redes em anel utilizadas para redes dedicadas de comunicacao de dados7Padrao Ethernet
2.3 Formas de autenticacao de usuario nas redes sem fio 28
• Packet body length: Define o numero de octetos que formam o pacote;
• Packet Body: Este campo esta presente quando o pacote e do tipo EAP-packet, EAPOL-
Start, EAPOL-Key ou EAPOL-Logoff.
Para que o 802.1x disponibilize a plataforma de autenticacao de usuarios de redes sem fio,
uma pequena mudanca e feita para definir uma ”porta de rede” dentro do 802.11. O IEEE de-
cidiu que uma associacao entre um cliente e um ponto de acesso seria considerado como uma
porta logica, para interpretar a ligacao com o 802.1x. A associacao no 802.11 deve ser concluıda
antes do inıcio de negociacao no 802.1x, isso porque a ligacao entre o cliente e o servidor de
autenticacao deve estar ativa para que troquem mensagens. Antes de uma autenticacao bem su-
cedida, o ponto de acesso descarta todo o trafego que nao pertence a uma tentativa de associacao
por meio do padrao 802.1x, apos a autenticacao ter sucesso, o ponto de acesso remove o filtro e
permite que o trafego possa fluir normalmente.
Os protocolos de acesso para garantir confidencialidade podem ser WPA ou WPA2, porem,
o ponto de acesso nao tera mais a senha configurada dentro de si, ele passa a consultar um
servidor de autenticacao que fara a comparacao dos dados de usuario e repassara a autorizacao
ou nao para o ponto de acesso liberar o acesso a rede.
O servidor de autenticacao mais conhecido para esse tipo de servico e o Remote Authenti-
cation Dial in User Service (RADIUS)(RIGNEY et al., 2000), ver apendice B, a maioria dos
pontos de acesso existentes no mercado provem suporte ao padrao 802.1x e consulta. Esse
servidor pode conter a base de usuarios configurada dentro de seus arquivos ou pode consultar
um arquivo externo, como um simples .txt, um banco de dados mais elaborado ou um outro
servidor, como um SAMBA8, ou Lightweight Directory Access Protocol (LDAP), ver apendice
C, por exemplo.
A integracao do servidor de autenticacao com uma base de dados externa ou um outro
servidor cria a vantagem de poder aproveitar os mesmos dados de usuarios utilizam em um
domınio da rede cabeada, ou um servico de autenticacao qualquer, para fazer uso da rede sem
fio, facilitando a manutencao de usuarios, memorizacao de senha e controle de acessos por parte
do administrador.
Para efetuar a comunicacao entre cliente, ponto de acesso e servidor de autenticacao, o
padrao 802.1x, segundo (GAST, 2002), faz uso do Extensible Authentication Protocol (EAP),
ver apendice A, para suporte a comunicacao entre cliente e ponto de acesso. Do ponto de acesso
ate o servidor de autenticacao, as mensagens EAP sao encapsuladas em mensagens RADIUS8http://www.samba.org
2.3 Formas de autenticacao de usuario nas redes sem fio 29
Figura 2.6: Acesso atraves do padrao 802.1x
2.3 Formas de autenticacao de usuario nas redes sem fio 30
para que sejam verificadas e processadas. A figura 2.6 exemplifica uma conexao por parte de
um cliente nesta arquitetura e suas mensagens serao descritas a seguir:
• Mensagem 1: Apos as primeiras mensagens trocadas de tentativa de conexao entre cli-
ente e ponto de acesso, ver secao 2.2.2, o cliente envia a mensagem EAPOL-Start, infor-
mando que todas as mensagens a partir de agora serao cifradas e que aguarda o desafio
por parte do ponto de acesso;
• Mensagem 2: Solicitacao dos dados do cliente por parte do ponto de acesso;
• Mensagem 3: Cliente encaminha seu nome de usuario para ponto de acesso, que encap-
sula o pacote em uma mensagem RADIUS e encaminha para o servidor de autenticacao;
• Mensagem 4: Servidor de autenticacao informa que recebeu a solicitacao do usuario e
pede que seja informada a senha, note que ao chegar no ponto de acesso, a mensagem e
desencapsulada do pacote RADIUS e e enviada em formato EAP para o cliente;
• Mensagem 5: Cliente encaminha a senha para autenticacao, novamente a mensagem e
encapsulada em formato RADIUS pelo ponto de acesso e encaminhada ao servidor. Ao
chegar no servidor, caso o RADIUS consulte uma base de dados externa, ele repassa a
solicitacao de autenticacao e aguarda a resposta;
• Mensagem 6: Resposta do servidor de autenticacao informando se a autenticacao foi
feita com sucesso ou se foi negada;
• Mensagem 7: Fim da autenticacao cifrada e inicia-se o uso da rede pelo cliente em caso
de sucesso;
• Mensagem 8: Encerramento da conexao por parte do usuario.
Obs.: Para informacoes mais especıficas das mensagens EAP ou RADIUS, ver apendices
A e B respectivamente.
31
3 Propagacao de sinal nas redes sem fio802.11
A propagacao de sinais eletromagneticos que, segundo (SANCHES, 2005), e mais conhe-
cida como transmissao de ondas de radio, e o modo de transmissao das tecnologias de redes
sem fio 802.11. Transmitir ondas de radio requer diversos estudos acerca dos efeitos causa-
dos pelo meio de transmissao como: difracao, quando um sinal muda de direcao ao tocar uma
extremidade de um obstaculo; reflexao, quando um sinal muda de direcao ao ser refletido pela
superfıcie de um obstaculo; e refracao, quando o sinal muda de direcao ao penetrar um obstaculo
ou efetuar uma mudanca de meio de propagacao.
Esses problemas podem ocorrer tanto em ambientes externos, caracterizados por enlaces de
grande distancia e areas abertas de grande escala. Como um grande campus de uma universi-
dade que utilizaria varios pontos de acesso com enlaces diretos entre os predios da instituicao
ou ate mesmo predios separados por grandes distancias que desejam obter um enlace sem fio.
Ou em ambientes fechados, que sao caracterizados por areas menores e fechadas. Ambientes
internos como empresas, shoppings, aeroportos, residencias e instituicoes de ensino menores.
Neste capıtulo serao descritos os ambientes nos quais sao implementadas as redes sem fio e
tambem as principais caracterısticas que influenciam na propagacao de sinal e que podem gerar
perdas ou ate mesmo ganho de sinal nesses diferentes ambientes.
3.1 Propagacao em ambientes abertos
Segundo (SANCHES, 2005), ambientes abertos sao caracterizados pela propagacao de si-
nais em enlaces de longa distancia, como redes de celular, transmissoes de emissoras de radio
ou televisao assim como na transmissao de dados. Para esse tipo de ambiente, levam-se em
consideracao algumas caracterısticas que podem influenciar no sinal e que serao descritas nas
secoes a seguir.
3.1 Propagacao em ambientes abertos 32
3.1.1 Perda no espaco livre
Considera-se por espaco livre, quando nao existe qualquer obstaculo entre o transmissor
e o receptor da transmissao, deixando a perda de sinal acontecer somente por causa do espa-
lhamento do sinal no meio. A medida que a onda se afasta da antena transmissora, ela perde
energia com o aumento da distancia ate sua chegada ao receptor. Isso ocorre porque quando
a onda se espalha no meio, a energia tambem se espalha uniformemente como bolha, cuja su-
perfıcie cresce em funcao do quadrado da distancia entre o centro e a borda. Isto gera perda
de energia na recepcao, e influenciada por fatores como potencia de transmissao, frequencia do
sinal e distancia entre transmissor e receptor.
3.1.2 Reflexao e Refracao do sinal
Fenomeno que ocorrem quando a onda eletromagnetica que carrega os dados transmitidos
encontra um obstaculo com dimensoes mais espessas do que seu proprio comprimento de onda.
A onda pode mudar de meio, fazendo com que parte da energia se perca para tentar atravessar
o meio e outra parte retorna ao meio anterior, num angulo diferente do angulo de incidencia,
como representado na figura 3.1.
Figura 3.1: Exemplo de reflexao de sinal.
Os casos mais comuns sao quando o sinal passa por obstrucoes como paredes, pisos, mor-
ros e ate mesmo no solo, o que e muito comum segundo (BERGAMO, 2007). Algumas ca-
racterısticas da reflexao devem ser sempre consideradas, como a nao variacao da velocidade,
comprimento e frequencia da onda, porem, a fase pode ou nao variar.
A refracao de sinal ocorre quando o sinal transmitido encontra um obstaculo e, como repre-
3.1 Propagacao em ambientes abertos 33
sentado na figura 3.1, parte do sinal e refletido para o mesmo meio mas parte tenta atravessar
o obstaculo, mudado sua direcao. E um tipo de perda que acontece comumente quando o sinal
transmitido atravessa paredes, vidros, arvores, anteparos de metal entre outros obstaculos que
possam vir a estar no caminho do sinal.
3.1.3 Difracao
A difracao permite que transmissor e receptor troquem ondas eletromagneticas mesmo que
nao haja espaco livre direto entre eles, podendo estar separados por um ou mais obstaculos.
Quando a frente de onda toca um obstaculo as ondas eletromagneticas podem contornar obsta-
culos atraves de suas extremidades. Uma zona de sombra e criada na base do obstaculo, porem,
o sinal difratado, mesmo atenuado, pode ainda ter informacao para passar ao receptor.
A difracao tambem e uma caracterıstica presente em transmissoes de sinais por meios com
muitos obstaculos, a figura 3.2 ilustra o uso de uma transmissao por radio difusao que usa as
montanhas, ponto B, que estao no caminho do sinal para auxiliar a chegada do sinal transmitido,
ponto A, ate o receptor, ponto C, tudo isso atraves da difracao do sinal.
Figura 3.2: Uso da difracao em prol da transmissao de sinais, (BERGAMO, 2007).
3.1.4 Desvanecimento
Tambem conhecido como Fading, o desvanecimento e atenuacao de sinal que soma a
variacao do sinal na recepcao e a alteracao de amplitude no percurso. Isso pode causar efei-
tos destrutivos ou ate mesmo beneficos no espectro do sinal. Em virtude destas caracterısticas
que podem ocorrer em conjunto, divide-se a definicao de desvanecimento em dois tipos para
melhor estuda-lo, desvanecimento plano e seletivo.
O desvanecimento plano e causado por duas causas ambientais gerais, a primeira delas e
a absorcao, causada pela atenuacao e dissipacao do sinal por motivo de chuva, neve ou outros
3.2 Propagacao em ambientes fechados 34
gases. Porem, a atenuacao causada pela absorcao e mınima para as frequencias usadas em redes
sem fio.
A segunda causa ambiental e a atenuacao por obstaculos que possam comprometer a frente
de onda, causando perdas de sinal, muito parecido com a refracao, uma onda pode tomar dife-
rentes caminhos ao encontrar algum tipo de obstaculo.
Ja o desvanecimento seletivo pode ser causado pelo desvanecimento devido a dutos, um
fenomeno de inversao termica na atmosfera que, ocorrendo em paralelo ao solo a dezenas de
quilometros de altura, pode canalizar o sinal neste duto “prendendo” parte dele la, causando
perdas na recepcao ou ate mesmo causando ganho na recepcao em alguns casos. Em ambientes
fechados pode acontecer em corredores, que acabam simulando tuneis em que o sinal pode
percorrer todo o percurso obtendo menos perda do que um sinal propagado no espaco livre ja
que as constantes reflexoes durante o percurso evitam espalhamento do sinal.
3.2 Propagacao em ambientes fechados
Um ambiente fechado, como em empresas, escolas, hospitais, aeroportos, shoppings e re-
sidencias, possui inumeros tipos de obstaculos, com diferentes caracterısticas que podem influ-
enciar a propagacao de ondas eletromagneticas. Alem de levar em consideracao as perdas por
reflexao, refracao e dispersao, para se estudar a propagacao de sinais em ambientes fechados
deve-se estudar a grande flutuacao de sinal dentro dos ambientes.
A seguir serao descritas as principais caracterısticas que influenciam as transmissoes de
radio nos ambientes fechados, que causam perdas ou ganhos de sinal na recepcao.
3.2.1 Multiplos caminhos
Este fenomeno ocorre, segundo (SANCHES, 2005) e (BERGAMO, 2007) quando existem
diferentes caminhos disponıveis para que um sinal saia do transmissor e chegue ao receptor.
Esses caminhos sao criados porque o sinal tenta atravessar diferentes obstaculos distribuıdos
pelo meio, como ilustrado na figura 3.3, que fazem com que o sinal seja refletido e difratado
pelos obstaculos, tomando diferentes direcoes.
Contudo, a soma vetorial de todos os sinais incidentes no receptor, vindos dos multiplos
caminhos podem gerar ganho ou perdas no sinal original dependendo da fase em que cheguem
com relacao ao sinal direto. Esse tipo de efeito e a principal caracterıstica em um canal de trans-
missao terrestre, o que inclui uma transmissao usada numa rede sem fio 802.11 em ambientes
3.2 Propagacao em ambientes fechados 35
Figura 3.3: Efeitos da propagacao de multi percurso.
fechados.
3.2.2 Dispersao temporal
A dispersao temporal, tambem conhecida por delay spread, surge em virtude dos multiplos
caminhos. O sinal transmitido pode chegar varias vezes no receptor em tempos diferentes, isso
porque percorreram caminhos diferentes. Em virtude disso as “versoes” do sinal ou replicas
criadas causam um espalhamento temporal desse sinal.
A dispersao temporal serve para quantificar o efeito dos multiplos caminhos, dizendo o
intervalo de tempo em que reflexoes com energia significativa chegaram ao receptor. Esse
fenomeno possibilita tambem que exista desvanecimento seletivo e algum tipo de interferencia
no sinal.
Por perceberem que sistemas de comunicacoes com taxas elevadas de transmissao sao
muito sensıveis a propagacao por multiplos percursos, em virtude dos atrasos dos sinais in-
diretos, algumas medidas foram tomadas por fabricantes para resolver este problema.
• Pontos de acesso fazendo uso da diversidade de espaco, usando duas ou mais antenas
espacadas fisicamente entre si, que recebem o mesmo sinal mas que enviam ao receptor
apenas o sinal de maior intensidade;
• Uso de um circuito de bloco chamado Receptor RAKE, que transformam sinais vindos de
multi percursos apenas em somas construtivas;
• Aplicacao de equalizadores de decisao e avaliacao, que corrige o canal de radio dinami-
camente, de acordo com a caracterıstica de impulso e resposta de um canal de radio ideal,
para os efeitos de propagacao por multiplos caminhos.
3.2 Propagacao em ambientes fechados 36
3.2.3 Desvanecimento (Fading)
Em sistemas fechados desvanecimento e caracterizado como uma variacao instantanea na
intensidade do sinal que chega ao receptor. Isso se da em virtude do espalhamento temporal, que
traz a alteracao de amplitude de acordo com as varias componentes do espectro e que chegam
em tempos diferentes no receptor.
O desvanecimento em sistemas fechados pode ser separado em dois tipos: plano, quando as
interferencias ocorrem em todo o espectro de frequencia; e seletivo, se a interferencia ocorrer
em apenas uma faixa de frequencia do espectro. E um problema presente em todos os casos de
propagacao de sinal em ambientes fechados e deve-se levar em consideracao sempre que iniciar
os estudos para implantacao de uma rede sem fio.
3.2.4 Atenuacao da transmissao ao atravessar obstaculos
Em um sistema de rede sem fio situado num ambiente fechado, podem existir diversas estru-
turas internas e externas que contem uma variedade de obstaculos dos mais diversos materiais
e que causam, aos sinais transmitidos, diferentes nıveis de atenuacao.
Quando um sinal propagado entra em contato com um obstaculo, alem de sofrer difracao,
refracao, multiplos caminhos e outros fenomenos citados neste estudo, tambem sofre com uma
perda de amplitude (atenuacao) do sinal ao atravessar o obstaculo, mesmo porque o sinal, alem
de se espalhar em varias direcoes, tambem perde energia tentando atravessar os obstaculos.
A partir desta constatacao, fica extremamente difıcil ter uma nocao exata de como o sinal
se comportara nesse meio, ja que cada obstaculo formado por um diferente material tera um
coeficiente de atenuacao diferente. A figura 3.4 representa algumas convencoes de coeficientes
de atenuacao dos obstaculos mais comuns em ambientes fechados.
3.2.5 Ambiente dinamico
Da-se o nome de ambiente dinamico a uma caracterıstica presente na maioria dos ambientes
fechados. Essa caracterıstica e a possibilidade de existirem obstaculos moveis no meio, indo
para diferentes direcoes e causando diferentes nıveis de atenuacao de sinal. Essa caracterıstica
se da, principalmente, em virtude das pessoas que possam estar se movimentando dentro das
salas, corredores ou portas e janelas que podem estar abertas ou fechadas.
E por isso que, segundo (SANCHES, 2005), deve-se tomar cuidado ao fazer calculos para
3.3 Antenas 37
Figura 3.4: Tabela de atenuacao de 5 e 2,4 GHz em diversos materiais, (SANCHES, 2005).
ambientes fechados pois tem-se um grande numero de obstaculos que podem ser movidos e
modificar todas as caracterısticas do local em estudo.
3.3 Antenas
Sao diversos os tipos de antenas disponıveis no mercado para se implementar em instalacoes
de redes sem fio, porem, as mais conhecidas e utilizadas pelos pontos de acesso para redes
do padrao 802.11 podem der definidas como duas principais, Omnidirecionais ou Direcionais
(setoriais).
As antenas omnidirecionais, segundo (ESTEVES, 1987), sao indicadas quando os aparelhos
de transmissao estao no centro da regiao que se pretende cobrir, pois elas emanam o sinal
irradiado de maneira igual em todas as direcoes como um cırculo no plano horizontal, como
ilustrado na figura 3.5.
As antenas direcionais sao indicadas para cobrir apenas uma regiao especıfica, uma certa
area ou corredor, pois emanam seu sinal de maneira focada numa unica direcao, ilustrada na
figura 3.6, tendo a vantagem de chegar a uma distancia maior de cobertura do que o raio de
cobertura da omnidirecional por ter sua potencia centralizada a atender uma area especıfica.
Existem tambem antenas com funcoes de emissao diferenciadas, como a Isotropica, que
gera uma emissao de ondas eletromagneticas em todas as direcoes possıveis, como um globo.
Antenas Yagi, helicoidal e parabolica sao outros tipos de antenas que podem ser usadas em
redes sem fio, mas com mais usabilidade em redes de ambientes abertos.
Escolher a antena adequada para ter uma cobertura melhor da rede e fundamental quando
se pretende aproveitar da melhor forma possıvel a area que deseja-se atender e os equipamentos
3.3 Antenas 38
Figura 3.5: Antena omnidirecional e sua propagacao de sinal (VIVASEMFIO, 2008).
Figura 3.6: Antena setorial e sua propagacao de sinal (VIVASEMFIO, 2008).
que serao utilizados.
A frequencia e largura de banda para qual a antena foi fabricada para trabalhar em um
nıvel satisfatorio e uma preocupacao que deve ser tomada antes da instalacao. Tratando de
antenas que atenderao os padroes 802.11, devem receber frequencias de 2,4GHz e 5GHz. A
potencia e o ganho que essa antena gera ao iniciar as transmissoes e recepcoes tambem devem
ser analisados, porque indicam a distancia teorica a qual o sinal podera cobrir, alem de dar uma
ideia de quantos obstaculos podera atravessar no caminho ate um receptor.
Quando se deseja obter melhor cobertura em uma area especıfica, alem de usar a antena
setorial, pode-se aproveitar de outro procedimento que auxilia na cobertura da regiao que se
deseja obter melhor cobertura. Esse procedimento, segundo (BERGAMO, 2007), chama-se
“Tilt mecanico”, possui essa denominacao porque a antena e movimentada fisicamente para
que sua propagacao de sinal se direcione com mais precisao para a area que se deseja ter uma
melhor cobertura. Alem disso, esse procedimento pode ser usado para evitar interferencias
entre antenas que usam o mesmo canal de transmissao ou quando nao se deseja desperdicar
propagacao de sinal para fora dos limites da area que se deseja cobrir.
Escolher a antena adequada depende diretamente de fatores interligados com o ambiente
3.3 Antenas 39
que se deseja cobrir, sua topologia e os tipos de obstaculos que existem dentro desse ambiente
sao dados importantes para a escolha. Antes de instalar os equipamentos de transmissao que
possuem as antenas, deve-se fazer uma serie de calculos e testes, levando em consideracao,
alem dos modelos de antena utilizados, os fenomenos de interferencia no sinal transmitido que
foram descritos neste capıtulo. Para isso, existem os calculos de predicao de cobertura eque
serao descritos no capıtulo a seguir.
40
4 Modelos de Predicao de cobertura emambientes fechados
Os modelos de predicao de cobertura existem para que se obtenha uma instalacao de rede
sem fio que permita um uso eficaz e com a melhor area de cobertura possıvel, afim de atender a
todos os possıveis usuarios dessa rede.
Detalhes como reutilizacao de frequencias, evitar interferencias de aparelhos que utilizem
as mesmas frequencias, como telefones sem fio, aparelhos de microondas, alem de verificar a
melhor localizacao para os pontos de acesso, levando em consideracao tambem a propagacao
do sinal, estudada no capıtulo 3, sao importantes para se considerar nesse estudo. Na literatura
os modelos para predicao de cobertura sao separados em dois tipos, os empıricos (estatısticos)
e os determinısticos, e que serao explicados a seguir.
4.1 Modelos Empıricos (SANCHES, 2005)
As redes sem fio 802.11 utilizam frequencias altas, que possuem comprimento de onda
baixa, por exemplo 12,5cm para 2,4GHz ou 6cm para 5GHz, e que sofrem muitas variacoes em
um ambiente fechado, em virtude do grande numero de obstaculos dos mais diferentes materiais
e tamanhos, alem da possibilidade de movimentacao desses obstaculos dentro dos limites da
cobertura, como por exemplo pessoas caminhando.
Os modelos empıricos, segundo (SANCHES, 2005), determinam que para um planejamento
inicial de uma rede sem fio, deve-se apenas preocupar-se com o numero de clientes que se deseja
atender, a area que se deseja cobrir e verificar possıveis interferencias que possam ocorrer por
equipamentos que utilizem a mesma faixa de frequencia ou ate mesmo outras redes sem fio na
mesma regiao. Ou seja, nao se deve ter um grande volume de informacoes para se efetuar os
calculos, sendo apenas necessarias as caracterısticas gerais do ambiente que se deseja instalar a
rede.
4.1 Modelos Empıricos (SANCHES, 2005) 41
Essas caracterısticas gerais sao:
1. Comprimento de raio direto, referente a distancia entre transmissor e emissor;
2. Numero de paredes que serao atravessadas;
3. Materiais que compoem as paredes;
4. E a compensacao da atenuacao, usada para calibracao.
Por usar somente essas quatro caracterısticas principais, a predicao por cobertura empırica
se torna muito mais rapida. O que faz desnecessaria a necessidade de reservar tempo e recursos
analisando plantas do edifıcio e possıveis mudancas de obstaculos. Porem, vale lembrar que
isso pode trazer uma certa imprecisao na cobertura, o que e normal neste caso.
Para se ter uma melhor predicao diante de diferentes materiais, foi criado o parametro n,
distancia-potencia, isso porque percebeu-se que em muitos ambientes, a forca do sinal decresce
a uma potencia n com relacao a distancia. Este ındice n pode ser visto como a soma das di-
ferentes caracterısticas que podem afetar a propagacao, como reflexao, difracao ou atenuacao,
dentro de um ambiente fechado. A partir disso, foram propostos varios modelos para predicao
de sinais que usam uma tabela de fatores, ilustrada na figura 4.1, que afetam o ındice de perda
por trajeto, sempre tomando por base um valor inicial que corresponde ao do espaco livre, que
possui n = 2.
Figura 4.1: Alguns valores convencionados de n, (NAJNUDEL, 2004).
Os valores de n mostram diferentes variacoes de acordo com o ambiente em que se deseja
aplicar a propagacao de radio, isso porque existem diferentes obstaculos e materiais que os
formam, dependendo do ambiente estudado. Geralmente as variacoes em ambientes abertos sao
menores que nos fechados e ambientes fechados com corredores, que apresentam canalizacao,
possuem valores muito menores que para edifıcios metalicos.
4.1 Modelos Empıricos (SANCHES, 2005) 42
4.1.1 Modelo One Slope
Este modelo, segundo (SANCHES, 2005), apresenta uma dependencia linear entre a perda
de trajeto (dB) e a distancia logarıtmica, expressa pela equacao 4.1. Como pode-se verificar,
esse modelo depende somente da distancia do emissor ate o receptor e o gradiente n, deixando
esse modelo muito simples de se usar e aplicar.
L = L(d0)+10nlog(d) (4.1)
em que:
• L - Perda por propagacao em funcao da distancia (em dB);
• d - distancia entre a base e terminal em metros;
• L(d0) - perda de propagacao de referencia a um metro de distancia em dB e varia de
acordo com a frequencia utilizada para a rede implantada, por exemplo 40,2dB para
2,4GHZ (frequencia usada nos padroes 802.11b e 802.11g);
• n - gradiente potencia-distancia.
Na figura 4.2, esta ilustrado um exemplo de como a propagacao teoricamente seria de
acordo com os calculos em uma planta baixa de um ambiente qualquer. A esquerda da fi-
gura, parte mais escura, e o centro de propagacao e, conforme o sinal se propaga para a direita,
perde potencia por igual, desconsiderando os obstaculos existentes no meio, somente tomando
em consideracao a distancia do ponto de origem do sinal e o ponto onde o cliente esta.
Figura 4.2: Exemplo de predicao de cobertura usando modelo One Slope, (SANCHES, 2005).
Seu uso, segundo (SANCHES, 2005), esta mais voltado a ambientes onde o numero de
obstaculos e muito pequeno ou ate nulo, para que nao se tenha influencia de outras carac-
terısticas que nao sejam a potencia do sinal e a distancia entre emissor e receptor do sinal.
4.1 Modelos Empıricos (SANCHES, 2005) 43
4.1.2 Modelo Multi-Wall
Modelo tambem chamado de COST-231, segundo (OLIVEIRA; CAMPOS, 2003), utili-
zado para ambientes com multiplas paredes e mostra a perda durante o trajeto no espaco livre
somada com as atenuacoes de cada parede ou piso que se apresenta no caminho entre emissor
e receptor. Este modelo tambem leva em consideracao as paredes e pisos do local, conforme
segue a formula 4.2.
L = Ld0 +10nlog(d)+KF1 +M
∑i=1
Ai (4.2)
em que:
• L - perda por propagacao em funcao da distancia (dB);
• d - distancia entre emissor e receptor (metros);
• Ld0 - perda de propagacao de referencia a um metro de distancia (dB);
• n - gradiente de potencia-distancia;
• K - numero de pisos penetrados;
• F1 - fator de atenuacao entre pisos adjacentes (dB);
• M - numero de paredes entre emissor e receptor;
• Ai - fator de atenuacao nas paredes do “tipo i” 1 (dB).
Como pode-se perceber na equacao 4.2, ainda se usa neste modelo o gradiente n, como no
modelo One Slope, porem, ele se torna desnecessario na teoria e, para se fazer uma aproximacao
de resultado, pode-se usar a equacao 4.3 como substituicao, que considera a perda entre emis-
sor e receptor igual ao espaco livre e, por isso, nao se usa mais o gradiente n. Alem disso,
acrescenta-se as perdas por atravessar pisos. A partir dessas mudancas aplicadas, pode-se che-
gar a um modelo mais realista.
L = L f s(d)+N
∑i=1
KwiLwi +K f L f (4.3)
em que:
1Normalmente usa-se dois tipos de paredes nas formulas (pesadas e leves), porem, pode-se usar quantos tiposde paredes quiser.
4.1 Modelos Empıricos (SANCHES, 2005) 44
• L - perda por propagacao em funcao da distancia (dB);
• L f s(d) - perda por espaco livre entre emissor e receptor a distancia d (dB);
• Kwi - numero de paredes entre emissor e receptor do “tipo i”;
• Lwi - fator de atenuacao das paredes do “tipo i”;
• N - numero de tipos de paredes;
• K f - numero de pisos entre emissor e receptor;
• L f - fator de atenuacao entre pisos adjacentes (dB), que depende da frequencia usada na
rede implementada, por exemplo, 21dB na frequencia de 2,4GHz (frequencia usada nos
padroes 802.11b e 802.11g);
Como ilustrado na figura 4.3, considerando que o ponto de origem do sinal e o mesmo da
figura 4.2, o sinal considera agora as variaveis referentes as paredes presentes no ambiente e,
conforme os fenomenos de reflexao, difracao e dispersao, as salas possuem diferentes nıveis de
sinal, considerando que quanto mais clara e a cor na figura, menor a potencia de sinal recebida
na sala. Apesar de, como ja explicado anteriormente, os dados nao serem tao precisos como
uma predicao empırica, exigindo que medidas de campo sejam feitas em caso de se desejar alta
precisao da predicao.
Figura 4.3: Exemplo de predicao de cobertura usando modelo Multi-Wall, (SANCHES, 2005).
4.1.3 ITU-R Recomendacao P.1238
O modelo de recomendacao ITU-R P.1238(CONGDON et al., 1999) e bem generalizado
quanto ao local da predicao por requerer pouca informacao quanto ao trajeto ou local da instala-
cao. Ele considera, como explicitado na equacao 4.4, os pisos, afim de caracterizar a reutilizacao
de frequencia entre pisos distintos , os coeficientes de perda de potencia, ja que as distancias
4.2 Modelos Determinısticos 45
levam em conta a transmissao atraves de paredes e obstaculos, assim como outros fatores de
perda que podem ser encontrados em edifıcios.
Ltotal = 20log10 f +Nlog10d +L f (n)−28 (4.4)
em que:
• N - coeficiente de perda de potencia devido a distancia (dB) e varia de cordo com a
frequencia utilizada na rede ou do tipo de edifıcio. Por exemplo, em frequencias de 1,8
a 2GHz, o valor de (N) pode ser de 28 em edifıcios residenciais e de 30 em edifıcios
comerciais;
• f - frequencia (MHz);
• d - distancia de separacao (metros) entre emissor e receptor sendo d maior do que 1 metro;
• L f - fator de perda por penetracao no piso (dB) e que varia de acordo com a frequencia
utilizada. Por exemplo, em frequencias de 1,8 a 2GHz, o valor de L f pode ser de 4n para
edifıcios residenciais e de 15+4(n−1) para edifıcios comerciais;
• n - numero de pisos entre emissor e receptor, sendo (n≥ 1).
Um dado importante e que pode haver um limite de separacao previsto para varios pisos,
isso porque o sinal pode passar por outros trajetos externos para completar o enlace com perda
total menor que a esperada atraves dos calculos. Por isso, novamente e importante salientar que
quando deseja-se obter alta precisao da predicao de cobertura, o ideal e que se tome tambem
medidas reais e compara-las as teoricas.
4.2 Modelos Determinısticos
Os modelos determinısticos combinam elementos empıricos com o metodo eletromagnetico
da teoria uniforme da difracao. Esse modelo considera os raios diretos com uma so reflexao e
uma so difracao, podendo ser estendido a varias difracoes e reflexoes se desejado, o que pode
aumentar a precisao da cobertura significavelmente.
Como as redes sem fio utilizam frequencias altas, a propagacao e considerada semelhante
a da luz. Por tanto, assume-se que o raio vai diretamente do emissor ao receptor ou so pode ser
influenciado por reflexao, refratacao, difracao ou espalhamento, como consta na figura 4.4, o
que se conhece por conceito de optica geometrica.
4.2 Modelos Determinısticos 46
Figura 4.4: Exemplo de predicao de cobertura a partir do conceito de optica geometrica.
Nesta tecnica de optica geometrica devem-se ter duas caracterısticas muito bem defini-
das, a primeira e o de imagem, em que se usam as imagens de receptor com relacao a todas
as possıveis superfıcies onde haja reflexao de sinal e assim pode-se tracar os raios ate essas
possıveis imagens. Esse e um modelo interessante para predicao para redes ponto a ponto.
Outra acao e a de lancamento de raios, em que sao tracados raios uniformes em todas as
direcoes e que sao seguidos ate que cheguem ao receptor ou sua amplitude fique abaixo do limite
aceito para uma recepcao adequada. Essa medida e mais flexıvel que a de imagens porque os
raios difratados e dispersados podem ser examinados junto com as reflexoes, porem, necessita
de muito mais tempo para implementacao de testes, exigindo varias horas ate que se tenha uma
predicao adequada. Esse modelo e interessante para predicao de uma area em que se deseja
verificar a resposta de um canal aos impulsos.
O algoritmo de tracado de raios calcula todos os possıveis caminhos do emissor ao trans-
missor, baseando-se nas reflexoes das paredes, difracao, espalhamento e transmissao atraves
de varios materiais. Ao final de todo processo, somam-se todas as componentes de todos os
caminhos para se obter o nıvel de sinal que chega ao receptor.
Os modelos de predicao de cobertura determinısticos sao os modelos mais precisos para
quem deseja ter uma predicao detalhada antes de implementar sua rede sem fio, podendo ser
aplicados tanto em areas abertas como fechadas. Porem, e necessario que se tenha uma gama de
informacoes detalhadas do ambiente ao qual se deseja fazer a predicao, desde a planta baixa da
edificacao, caracterısticas das paredes, pisos, janelas, anteparos, corredores, escadas e qualquer
objeto que sirva de obstaculo para o sinal.
4.2 Modelos Determinısticos 47
Em virtude disso, esses modelos, apesar de serem mais precisos, sao muito mais complexos
e demorados de se executar e, se o usuario nao tiver detalhes suficientes ou nao dispor de tempo
para efetuar tais modelos de predicao indica que se usem modelos empıricos ou semi-empıricos
para suprir a necessidade.
48
5 Implementacao do servico WIFI-IFSC
Este capıtulo tem o objetivo de apresentar a implementacao do servico de rede sem fio
no Instituto Federal de Santa Catarina (IFSC), campus Sao Jose, de acordo com os estudos
obtidos nos capıtulos anteriores e apendices. Serao mostradas as escolhas dos mecanismos de
seguranca para autenticacao do usuario, confidencialidade dos dados que trafegam no meio sem
fio e da troca de informacoes entre usuario e ponto de acesso durante a transmissao de dados.
Os calculos de predicao de cobertura e instalacao dos servicos utilizados para o funcionamento
da rede tambem serao apresentados nas secoes a seguir.
A fim de garantir a confidencialidade dos dados que trafegam no meio sem fio, foi esco-
lhido como protocolo de seguranca o Wi-Fi Protected Access - versao 2 (WPA2) pois, segundo
(EDNEY; ARBAUGH, 2002), alem de ser a versao mais recente e moderna dos protocolos de
seguranca para redes sem fio, foi criado justamente contornar as fraquezas que existiam nos pro-
tocolos antecessores (WEP e WPA-TKIP), inibindo ataques de usuarios maliciosos que antes
exploravam as fraquezas dos protocolos para invadir a rede ou capturar mensagens alheias.
Outro importante item na seguranca da rede WIFI-IFSC e seu modelo de autenticacao de
usuario. A partir dos estudos da secao 2.3, ficou claro que para uma instituicao de ensino,
onde o fluxo de pessoas e muito grande e existe um numero consideravel de usuarios para a
rede sem fio, o uso de senha compartilhada nao e adequado para autenticar usuarios. A senha
compartilhada traz problemas de seguranca por permitir que seja passada facilmente a pessoas
nao autorizadas e tambem por dificultar o trabalho do administrador da rede no gerenciamento
de permissoes de usuarios ou na aplicacao de possıveis auditorias na rede em caso de abusos.
Por isso, a escolha mais adequada para autenticacao de usuarios e a do padrao 802.1x, ver
secao 2.3.2, que utiliza a autenticacao individual de usuarios, facilitando a administracao e ge-
renciamento da rede sem fio. Outra vantagem do uso deste padrao e o uso de um servidor de
autenticacao para efetuar a autenticacao de usuarios, pois centraliza todos os dados em um so
local, tirando a necessidade de configurar senhas nos pontos de acesso e tambem por permi-
tir que esse servidor busque as informacoes de usuarios em bancos de dados ja existentes na
5 Implementacao do servico WIFI-IFSC 49
instituicao. No caso especıfico deste projeto, o servidor de autenticacao instalado foi o Remote
Authentication Dial in User Service (RADIUS), ver apendice B.
A partir das escolhas efetuadas para configuracao da rede sem fio, uso do protocolo WPA2-
AES com autenticacao individual de usuarios pelo padrao 802.1x com servidor de autenticacao
no RADIUS, a etapa seguinte e a instalacao da mesma. Para o provimento da autenticacao indi-
vidual, utilizando a mesma base de dados ja existente na instituicao, foi necessaria a integracao
do RADIUS com a base de dados Lightweight Directory Access Protocol (LDAP), ver anexo C.
Para isso, o servico FreeRADIUS foi instalado e configurado para que consultasse a base LDAP
a cada tentativa de conexao de usuarios para autenticar-se a rede. Alguns cenarios de teste foram
efetuados com o objetivo de fazer com que o FreeRADIUS consultasse diretamente o LDAP,
ver anexo A, porem, em virtude de problemas referentes a troca de mensagens entre ambos, des-
critos pelo proprio FreeRADIUS, a solucao final para a instalacao dos servicos e a utilizacao do
servidor RADIUS consultando o SAMBA1, que por sua vez, repassa as solicitacoes ao LDAP,
ver figura 5.1.
Figura 5.1: Cenario final de funcionamento do sistema WIFI-IFSC quanto a integracao dosservicos para autenticacao de usuarios.
O LDAP nao pode receber os dados cifrados do FreeRADIUS para compara-los com os de
sua base. Isso porque ao receber a mensagem, o LDAP cifra novamente a mesma e compara
com sua base que esta cifrada, para garantir seguranca das informacoes de dados de sua base e,
por isso, exigindo que os dados recebidos estejam em texto puro. Implementando o SAMBA
com o servico WINBIND, o FreeRADIUS enviara sua solicitacao cifrada para o SAMBA que,
descifrara os dados e repassara ao LDAP em texto puro, de forma que seja compreendido e a
autenticacao possa prosseguir corretamente.
Segundo (VALLE, 2009), o SAMBA e um software criado para integrar as funcionalidades
entre o UNIX e Windows, como compartilhamento de pastas e impressoras. O que permite essa
integracao e o conjunto de protocolos Service Message Blocks (SMB) / CIFS, com plataformas
Windows, UNIX, Linux, IBM Systems e outros.
1http://www.samba.org
5.1 Configuracoes do servidor de autenticacao 50
O WINBIND e um componente da plataforma SAMBA com a funcao de emular a auten-
ticacao de domınio Windows em estacoes de trabalho UNIX, para que os usuarios do Windows
sejam vistos como usuarios UNIX automaticamente, assim como autenticacao em grupos de
trabalho ou servidores de autenticacao. As maquinas Windows possuem seu proprio formato de
mensagens de autenticacao, o que o WINBIND faz e emular essas mensagens no mundo UNIX
para que usuarios UNIX possam autenticar-se em um domınio ou se validar como um usuario
da rede Windows.
O principal motivo da obrigatoriedade do uso do WINBIND para integrar SAMBA e RA-
DIUS e que o comando de consulta do RADIUS ao SAMBA e o ntlm auth, ver linha 14 da
figura A.13, que e o comando de autenticacao particular do WINBIND.
Desta forma, a seguir serao apresentadas as configuracoes necessarias no servico FreeRA-
DIUS para o funcionamento da rede WIFI-IFSC.
5.1 Configuracoes do servidor de autenticacao
Para que a rede sem fio WIFI-IFSC funcione dentro dos parametros desejados, autenticando
usuarios individualmente como previsto no modelo 802.1x, ver secao 2.3.2, e comparando seus
dados na base LDAP da instituicao, o FreeRADIUS deve ser devidamente configurado para
receber as solicitacoes de autenticacao dos pontos de acesso, repassa-las ao SAMBA e enfim
envia-las ao LDAP.
Na figura A.13, sao apresentadas as principais mudancas do arquivo radiusd.conf, para
que o servidor de autenticacao funcione de acordo com os parametros desejados. Os principais
deles sao habilitar o uso de cifragem nas informacoes trocadas com os clientes, a habilitacao
do uso do protocolo EAP na autorizacao e autenticacao de usuarios, assim como o redireciona-
mento dos pedidos de autenticacao para o SAMBA e a habilitacao de registros de autenticacao
de usuarios para permitir auditorias na rede.
O padrao 802.1x, utiliza o protocolo EAP, ver apendice A, para as comunicacoes do meio
sem fio. Para isso, o arquivo eap.conf do RADIUS tambem deve ser configurado, como
ilustrado na figura A.12. E utilizado para conexoes com clientes sem fio o metodo Protec-
ted Extensible Authentication Protocol (PEAP)(STANLEY; WALKER; ABOBA, 2005), que
permite autenticacoes digitais incluindo certificados publicos. O PEAP faz uso de tuneis Trans-
port Layer Security (TLS) entre o cliente e o servidor para troca segura de mensagens de
autenticacao.
5.1 Configuracoes do servidor de autenticacao 51
Neste caso de uso, o PEAP usado e o de versao zero (PEAPv0), que faz uso do protocolo Mi-
crosoft Challenge Handshake Authentication Protocol - versao 2 (MSCHAPv2)(ZORN, 2000),
que serve para garantir a seguranca das mensagens iniciais trocadas entre usuario e servidor de
autenticacao, o handshake, para inıcio da autenticacao de usuario. Ou seja, no momento em
que o usuario solicita autenticacao ao servidor para que possa usar a rede, o protocolo PEAP
cria um tunel entre eles e o MSCHAPv2 garante a seguranca das informacoes de handshake,
ate que os parametros de seguranca de troca de informacoes entre usuario e autenticador sejam
definidas e a troca de credenciais possa ser iniciada.
Esses protocolos acima citados foram utilizados porque estavam padronizados nos arquivos
de configuracao do FreeRADIUS, ao escolher o uso do metodo de acesso PEAP, devem ser
habilitados os modulos TLS e TTLS, assim como o uso do MSCHAPv2, tudo isso no arquivo
eap.conf.
A criacao de certificados e necessaria para que se confirme a autenticidade da conexao
quando se inicia a conversacao entre cliente e servidor de autenticacao. O FreeRADIUS, ao ser
instalado, ja possui certificados em funcionamento, porem, sao certificados padrao que facilitam
a quebra de seguranca se nao forem alterados.
Para configurar os novos certificados, devem ser alterados os arquivos ca.cnf, campo
[certi f icate authority], ver figura A.14, server.cnf e client.cnf, nos campos [server] e
[client] respectivamente, esses campos sao alterados de acordo com as configuracoes de identi-
dade do certificado desejadas pelo administrador da rede, muito parecidos com os mostrados na
figura A.14. E importante lembrar que um certificado criado tambem tem as caracterısticas do
arquivo xpextensions, que contem os elementos requeridos para compatibilidade com clientes
Windows.
Para permitir que os pontos de acesso utilizem o FreeRADIUS como servidor de autenticacao,
e necessario configurar o arquivo clients.conf, ver figura A.15, este arquivo possui uma
lista de todos os clientes confiaveis do servidor e o RADIUS descartara qualquer tentativa de
autenticacao vinda de um ponto de acesso nao cadastrado neste arquivo. Cada modulo no ar-
quivo corresponde a um cliente do servidor e podem ser criados quantos forem necessarios.
O arquivo users, ver figura A.16, deve ter apenas a modificacao que permita o uso do
modelo de autenticacao EAP para usuarios, porem, esse arquivo tambem pode servir como base
de dados de usuarios, caso o administrador da rede prefira que o FreeRADIUS nao consulte
bases de dados externa mas sim uma base propria.
Com a configuracao destes arquivos, o servidor esta configurado para efetuar o recebi-
5.2 Implementacao da predicao de cobertura 52
mento de solicitacoes de autenticacao vindas dos pontos de acesso cadastrados e repassa-las ao
SAMBA, garantindo que somente usuarios autenticados utilizem a rede sem fio WIFI-IFSC. A
figura A.17 ilustra uma tentativa efetuada com sucesso de um cliente no servidor FreeRADIUS.
5.1.1 Registro de acessos
A fim de prover ao administrador da rede a possibilidade de efetuar auditorias da rede sem
fio, caso seja necessario encontrar usuarios que cometam abusos, conforme a polıtica de uso
existente na instituicao, pode-se configurar o FreeRADIUS para que armazene em arquivos
de log, mensagens como tentativas de conexao por usuario, conexoes efetuadas com sucesso,
conexoes com falha e outras mensagens trocadas entre servidor e cliente durante uma conexao.
As configuracoes necessarias, como ilustrado na figura A.18, sao efetuadas no arquivo
radiusd.conf, com isso, os logs ficarao disponıveis para consulta do administrador de acordo
com sua previa configuracao. Os registros contem os IPs dos pontos de acesso que autenticam
os usuarios no campo Client-IP-Address, o nome de usuario que se autenticou no campo User-
Name, e o endereco MAC do usuario no campo Calling-Station-Id, como exemplo da figura
A.19.
Porem, somente o registro do FreeRADIUS pode nao auxiliar o administrador, pois nao
repassa dados como quanto tempo o cliente acessou a rede ou qual o IP foi adquirido. Contudo,
acessando os registros de acesso do servidor Dynamic Host Configuration Protocol (DHCP), ver
figura A.20, pode ser localizado qual IP foi atribuıdo ao endereco MAC do usuario no campo
hardware ethernet e por quanto tempo esse IP ficou atribuıdo ao mesmo. Por fim, cruzando os
dados de usuario, endereco MAC, IP e tempo de uso, pode-se localizar o causador do abuso e
penaliza-lo de acordo com a polıtica de uso da instituicao.
5.2 Implementacao da predicao de cobertura
Conforme os estudos apresentados no capıtulo 4 e levando em consideracao as carac-
terısticas de ambientes fechados, apresentados no capıtulo 3, foram desenvolvidos estudos para
instalacao dos pontos de acesso na instituicao, visando a maior cobertura da estrutura com o
maior aproveitamento da propagacao do sinal emitido das antenas dos pontos de acesso.
Os modelos escolhidos para efetuar a predicao de cobertura foram os modelo empıricos,
por sua facilidade de compreensao e o fato de nao precisar um estudo aprofundado da planta
e possıveis obstaculos existentes na instituicao, o que dinamizou o tempo de pesquisa e imple-
5.2 Implementacao da predicao de cobertura 53
mentacao. Para testes dos modelos empıricos, foi utilizada uma planilha disponibilizada por
(SANCHES, 2005), ver figura 5.2. Nesta tabela as formulas apresentadas na secao 4.1 estao
todas inclusas e inserindo as caracterısticas basicas para teste, como numero de paredes, tipo de
parede, distancia entre ponto de acesso e cliente, tem-se um resultado de predicao de cobertura
para o ponto de teste.
Figura 5.2: Planilha com modelos empıricos de predicao de cobertura.
1 root@cesar-eeepc:~# iwconfig ath02 ath0 IEEE 802.11g ESSID:"WIFI-IFSC" Nickname:""3 Mode:Managed Frequency:2.437 GHz Access Point: 00-1E-58-A5-CD-FE4 Bit Rate:18 Mb/s Tx-Power:17 dBm Sensitivity=1/15 Retry:off RTS thr:off Fragment thr:off6 Encryption key:8ADC-A071-816F-8C41-DCB1-143B-76F4-759D Security mode:
restricted7 Power Management:off8 Link Quality=44/70 Signal level=-38 dBm Noise level=-82 dBm9 Rx invalid nwid:10590 Rx invalid crypt:0 Rx invalid frag:0
10 Tx excessive retries:0 Invalid misc:0 Missed beacon:0
Figura 5.3: Exemplo de uso do comando iwconfig no laptop para verificacao de recebimentode sinal do ponto de acesso.
Para comprovar os calculos de predicao da planilha, foi utilizado um laptop para testes e,
com o uso do comando iwconfig, ver figura 5.3, pode-se verificar no local de teste os seguintes
itens relevantes ao teste:
5.2 Implementacao da predicao de cobertura 54
• Mode:Managed Frequency: Frequencia usada pelo ponto de acesso naquele canal de
comunicacao, linha 3 da figura;
• Tx-Power: Potencia de transmissao do ponto de acesso, linha 4 da figura;
• Link Quality: Qualidade do sinal naquele ponto, linha 8 da figura;
• Signal level: Potencia do sinal recebido pelo usuario, linha 8 da figura;
• Noise level: Nıvel de ruıdo, linha 8 da figura.
Para comparar os dados dos testes de campo com os resultados obtidos na planilha de
predicao dos modelos empıricas e verificar se estao corretas, deve-se obter qual a perda de sinal
naquele ponto do teste de campo. Para isso e necessario seguir o exemplo da equacao 5.1.
Perda(dB) = (T xPower)− (SignalLevel) (5.1)
Para os testes, considerou-se a frequencia localizada nos testes de campo, correspondente
a 2462 MHz para transmissao de dados, um ındice de coeficiente n, ver secao 4.1, igual a 3,
que corresponde a um ambiente fechado com media obstrucao em virtude do grande numero de
vigas e pilastras de concreto espalhados pelo campus, paredes de tijolos com atenuacao de 6dB,
divisorias de madeira com atenuacao de 4dB e 21dB de atenuacao para piso adjacente, quando
o teste e referente a um ponto em piso diferente do ponto de acesso.
A figura 5.4 apresenta a indicacao de onze cenarios feitos para comparar os resultados
obtidos nos calculos de predicao de cobertura empıricos, modelos One Slope, ver secao 4.1.1, e
Multi-Wall, ver secao 4.1.2, e os testes de campo realizados com um laptop. Os dados inseridos
das comparacoes contem diferentes valores de distancia entre usuario e ponto de acesso, andares
atravessados pelo sinal, numero de paredes entre usuario ponto de acesso e tipo da parede.
O cenario 1, por exemplo, apresenta uma distancia de 10 metros entre ponto de acesso e
usuario, uma parede de concreto e uma divisoria de madeira como obstaculos. O resultado
obtido no modelo One Slope, que nao leva em consideracao os obstaculos, foi de 70,2dB. Ja o
modelo Multi-Wall, que leva em consideracao os obstaculos em sua formula, teve um resultado
de 80,2dB de perda. E, por ultimo, nos testes de campo, obteve-se um resultado de 80dB de
perda entre ponto de acesso e usuario.
Nos outros cenarios, a mudanca de distancia e numero de obstaculos foi alterada conforme
o local de testes real era feito para que as comparacoes fossem feitas. Um dado interessante e
que como o modelo One Slope nao leva em consideracao nenhum tipo de obstaculo, tomando
5.3 Conclusoes do Capıtulo 55
como dados para os calculos somente a distancia entre ponto de acesso e usuario, nao se pode
ter um valor consideravel quando se tem um cenario em que se consideram pisos penetrados
pelo sinal, caso dos cenarios 9, 10 e 11.
Figura 5.4: Planilha de comparacao entre os modelos empıricos e resultados reais obtidos emtestes de campo.
A partir dos resultados comparativos de calculos e comprovacoes em testes de campo,
constatou-se que o modelo Multi-Wall forneceu melhores resultados para testes de predicoes
de cobertura neste tipo de caso por chegar a valores muito proximos dos reais. Ja o modelo
One-Slope por nao levar em consideracao paredes ou pisos penetrados, e indicado somente
quando se tem espaco livre entre ponto de acesso e usuario.
Com os resultados comprovados, foi possıvel realizar um esboco com a sugestao de insta-
lacao da infra-estrutura da rede sem fio na instituicao, contendo numero de pontos de acesso
e localizacao de cada um, para prover a maior cobertura possıvel e aproveitando ao maximo o
sinal transmitido dos pontos de acesso sem zonas de sombra. O esboco esta ilustrado na figura
5.5 e foi encaminhado para a Coordenadoria de Informatica da instituicao para analise e, no
caso de aprovacao da sugestao, a instalacao se efetuaria.
Esse esboco com a indicacao dos possıveis locais para instalacao dos pontos de acesso
foram baseados com o uso real de um usuario autenticado na rede e utilizando a internet, a
medida que o acesso nao era mais possıvel, desconsiderava-se o local de teste e se testava um
ponto de acesso em outro local que cobrisse aquela area. De acordo com isso, teoricamente, ja
que nao se teve disponıvel a instalacao real para testes finais, nao existe areas de sombra para
atendimento dos usuarios do servico.
5.3 Conclusoes do Capıtulo
Neste capıtulo foi descrito uma proposta de implementacao do servico de redes sem fio
no Instituto Federal de Santa Catarina (IFSC) campus Sao Jose. De acordo com os estudos
efetuados nos capıtulos anteriores, pode-se escolher as melhores alternativas e configuracoes
5.3 Conclusoes do Capıtulo 56
Figura 5.5: Indicacao de instalacao dos Pontos de Acesso na instituicao.
5.3 Conclusoes do Capıtulo 57
para a instalacao dos pontos de acesso, servidor de autenticacao e protocolos de seguranca.
A instalacao de um servidor de autenticacao Remote Authentication Dial in User Ser-
vice (RADIUS), para a utilizar a autenticacao individual e integra-lo ao banco de dados do
Lightweight Directory Access Protocol (LDAP), proporcionou facilidade de administracao da
rede e de usuarios, aumentou a seguranca de acesso, facilitou a memorizacao de dados por parte
dos usuarios e, a partir de configuracoes mais especıficas, deixou disponıvel a possibilidade do
administrador efetuar auditorias sobre os logs de acesso dos usuarios, caso seja necessario lo-
calizar um usuario que tenha cometido abuso na rede.
Quanto a instalacao da infra-estrutura, optou-se pelo uso de calculos de predicao de co-
bertura empıricos, que tornou mais facil a compreensao dos mesmos. Com testes de campo,
pode-se comprovar a eficacia dos calculos e efetuar um esboco que contem uma indicacao dos
locais e quantidade de pontos de acesso necessarios para atender a toda a instituicao com a
melhor cobertura possıvel, sem desperdicar sinal ou deixar areas sem alcance.
58
6 Conclusoes
Este trabalho teve como objetivo apresentar uma forma de se implantar um servico de rede
sem fio em uma instituicao qualquer, com seguranca na autenticacao de usuarios e confidencia-
lidade do trafego de dados no meio sem fio. Tambem desejou-se, no caso especıfico do Instituto
Federal de Santa Catarina (IFSC) Campus Sao Jose, que a base de usuarios utilizada no servico
fosse a mesma ja utilizada para acesso a rede e demais servicos da instituicao.
Foram estudados os diferentes padroes de redes sem fio 802.11, assim como os protoco-
los de seguranca que fornecem confiabilidade no meio sem fio e metodos de autenticacao de
usuario na rede, metodos estes que podem ser com uso de senha compartilhada ou individual.
A partir dos estudos, comprovou-se que o uso mais adequado para uma rede segura e o proto-
colo Wi-Fi Protected Access - versao 2 (WPA2) usando cifragem Advanced Encryption Stan-
dard (AES) com autenticacao individual, segundo padrao IEEE 802.1x e utilizando o servidor
de autenticacao Remote Authentication Dial in User Service (RADIUS) que tem a possibili-
dade de consultar a base de dados Lightweight Directory Access Protocol (LDAP) ja existente
na instituicao e que deixa o servico de rede sem fio transparente para o usuario, pois ele usara o
mesmo nome de usuario e senha que ja esta habituado a utilizar.
Um fato interessante e que por se tratar se uma rede sem fio, e os dados serem todos cifrados
na autenticacao, a ligacao direta entre RADIUS e LDAP nao funcionou, percebeu-se isso porque
nos logs de tentativa de autenticacao o LDAP retornava senha invalida, mostrando a palavra
cifrada como senha enviada a ele, fazendo com que novos testes fossem feitos ate que se optasse
pelo uso do SAMBA com o servico de resolucao de nomes WINBIND, que possibilitou ao
RADIUS enviar as solicitacoes ao SAMBA que, por sua vez, as repassava para o LDAP. O uso
do WINBIND se fez necessario por que o comando de repasse de solicitacao de autenticacao
do RADIUS para o SAMBA e um comando de autenticacao do WINBIND, o ntlm auth.
Tambem foram estudadas as teorias relativas a propagacao de sinal no meio sem fio, sinal
transmitido das antenas e como elas se comportam em ambientes abertos e fechados. Metodos
para calculos de predicao de cobertura empıricos e determinısticos tambem foram abordados,
6.1 Trabalhos futuros 59
detalhando os parametros levados em consideracao em suas formulas, suas vantagens e desvan-
tagens de uso, afim de encontrar o mais adequado para se aplicar no trabalho.
Foi escolhido o modelo de calculo empırico Multi-Wall para se ter uma primeira nocao de
como deveriam ficar dispostos os equipamentos nas instalacoes da instituicao por apresentar
os melhores resultados e porcentagem de erros aceitavel. Juntamente com os testes reais de
propagacao dos sinais emitidos dos pontos de acesso em varios locais da instituicao, confirmou-
se ou alterou-se a ideia inicial de onde ficariam instalados os pontos de acesso.
Com isso, foi elaborada uma indicacao, repassada a coordenadoria de informatica da insti-
tuicao, contendo a quantidade de equipamentos necessarios e os locais indicados para instalacao
desses equipamentos para que a rede tenha uma cobertura completa da instituicao com a me-
nor perda de sinal ou zonas de sombra ou sobreposicao, tendo como prioridade locais como
biblioteca, auditorio e salas de estudos.
Um outro objetivo que desejava-se alcancar era o de disponibilizar um programa que efe-
tuasse a auditoria da rede sem fio, a fim de localizar possıveis abusos e que permitisse o admi-
nistrador da rede penalizar os usuarios maliciosos de acordo com a polıtica de uso existente na
instituicao. Porem, nao se conseguiu implementar esta etapa, contudo, foram disponibilizados
no FreeRADIUS os registros de usuarios que autenticam-se na rede sem fio, possibilitando ao
administrador, cruzando dados com o servidor DHCP da rede, localizar usuarios maliciosos que
venham a cometer abusos.
Tambem nao foi atingida a meta de desenvolver um esquema de hotspot, onde usuarios de
fora e que visitam a instituicao, possam utilizar da rede autenticando-se no browser, mas usando
um usuario comum e com o uso da rede limitados, mais restrita e com menos benefıcios.
Contudo, os pontos de acesso instalados permitem que se criem chamados Multi-SSID, que
possibilitam criar uma outra conexao de rede sem fio no mesmo ponto de acesso sem desconfi-
gurar a rede WIFI-IFSC, o que permite configura-los em eventos para que os visitantes acessem
a rede atraves de acesso com senha compartilhada ou ate mesmo sem senha com largura de
banda limitada e ate mesmo em uma Virtual Local Area Network (VLAN) diferente.
6.1 Trabalhos futuros
Ficam como indicacoes para trabalhos futuros os seguintes temas:
• A implementacao de servicos de auditoria na rede sem fio WIFI-IFSC;
6.1 Trabalhos futuros 60
• Configuracao de VLANs na rede para melhor administracao do servico e aumentar a
seguranca da mesma;
• Implementacao dos hotspots para o uso dos usuarios visitantes que se autenticariam em
uma pagina web;
• Projeto voltado ao estudo e reestruturacao da cobertura do servico, estudando a possibili-
dade de troca de antenas ou equipamentos;
• Pesquisa de uma nova configuracao do servico de autenticacao, permitindo a consulta
direta do FreeRADIUS com LDAP.
61
APENDICE A -- Extensible AuthenticationProtocol (EAP)
O Extensible Authentication Protocol (EAP)(ABOBA et al., 2004)(STANLEY; WALKER;
ABOBA, 2005), possibilita autenticacao remota de usuarios em um dado mecanismo de auten-
ticacao que deve ser negociado entre cliente e autenticador em cada caso. Esse autenticador
pode ser o servidor de autenticacao Remote Authentication Dial in User Service (RADIUS),
ver apendice B. Outro fato muito importante e que tanto cliente quanto autenticador devem ter
suporte ao protocolo para que os dois possam usar a estrutura de mensagens do esquema EAP,
conhecido como “tipo EAP”.
Este protocolo permite que o cliente remoto e autenticador troquem mensagens ilimitadas,
essas mensagens sao trocas de pedidos e respostas enviadas de um para o outro. Esses pedidos
e respostas de autenticacao podem ter varios nıveis e a medida que o cliente vai respondendo
questionamentos do autenticador, o nıvel vai subindo ate que a autenticacao se de por completa
e o usuario seja autenticado com sucesso.
O EAP oferece suporte a qualquer arquitetura que utilize seu protocolo, porem, segundo
(MICROSOFT, 2009b), tanto cliente quanto autenticadores devem ter o mesmo modulo EAP
instalado para que o suporte funcione adequadamente.
A.1 EAP MD5-Challenge
Este e um tipo EAP a qual toda implementacao com uso de EAP deve ter suporte, segundo
(ABOBA et al., 2004), e responsavel por fazer o handshake de forma protegida, usando men-
sagens EAP. Por possuir tais caracterısticas, esse tipo EAP e muito usado em autenticacao de
clientes que possuem usuario e senha para sistemas seguros ou ate mesmo para testar interope-
rabilidade de esquemas EAP.
A.2 EAP-Transport Layer Security (EAP-TLS) 62
A.2 EAP-Transport Layer Security (EAP-TLS)
Esse tipo e usado para seguranca na camada de transporte e aplicado em ambientes baseados
em seguranca por certificados. A troca de mensagens usando EAP-TLS (ABOBA; SIMON,
1999) gera uma autenticacao para os dois lados, onde metodo de cifragem e chaves de cifragem
sao acordadas entre autenticador e cliente, provendo um metodo seguro para a autenticacao.
Segundo (MICROSOFT, 2009b), somente servidores que executam roteamento de acesso
remoto, que sejam configurados para usar RADIUS e que sejam membros de um domınio terao
suporte do EAP-TLS. Ja servidores de acesso remoto que sao executados de forma autonoma
ou que sejam membros de um grupo de trabalho nao oferecem suporte ao EAP-TLS.
A.3 EAP-RADIUS
Na verdade, EAP-RADIUS (ABOBA; CALHOUN, 2003) nao e um tipo de EAP mas e ca-
racterizado dessa forma por permitir a passagem de mensagens EAP por um servidor RADIUS,
a fim de proporcionar a conversacao e troca de pacotes entre cliente e servidor com mais
seguranca, ja que estarao encapsuladas dentro de mensagens RADIUS. O que passa a acon-
tecer, por tanto, e que o cliente final envia sua solicitacao de acesso ao ponto de acesso, sem a
necessidade de ter suporte a RADIUS e deixa as conversacoes RADIUS entre ponto de acesso
e servidor, como consta na figura B.2.
O EAP-RADIUS e visto somente quando se tem um ambiente que usa o RADIUS como
servidor de autenticacao, sua principal vantagem e que os diferentes tipos EAP nao precisam
estar instalados em cada servidor de acesso remoto, ja que cabe ao RADIUS o suporte aos tipos
EAP.
E comum encontrar uma topologia de configuracao EAP-RADIUS onde um ponto de acesso
ou servidor de acesso executa o roteamento de acesso remoto usando EAP e acessa um servidor
RADIUS para autenticacao. Por tanto, quando um cliente tenta acesso, ele troca mensagens
com o ponto de acesso ou servidor de acesso que, por sua vez, empacotam as mensagens EAP
em mensagens RADIUS e as encaminham para o servidor RADIUS, sendo o processo inverso
tambem realizado desta forma. Ou seja, o servidor de acesso ou ponto de acesso sao simples-
mente um dispositivo de passagem das mensagens entre RADIUS e cliente.
A seguir serao descritas as principais mensagens EAP trocadas entre cliente e ponto de
acesso durante a autenticacao de usuario, ver figura A.1.
A.3 EAP-RADIUS 63
Figura A.1: Troca de mensagens EAP entre cliente e ponto de acesso (autenticador)
• Mensagem 1: EAPOL-Start, aviso do cliente para o ponto de acesso informando que a
autenticacao sera iniciada em EAP, com cifragem atraves do protocolo de seguranca pre
definido, ver secao 2.2;
• Mensagem 2: EAP-Request/Identity, solicitacao por parte do ponto de acesso ao cliente,
pedindo a identidade do usuario, o chamado Login;
• Mensagem 3: EAP-Response/Identity, resposta a solicitacao de Login, em que o cliente
envia o seu nome de usuario ao ponto de acesso. A partir deste momento, ate a mensagem
6, as mensagens enviadas e recebidas serao encapsuladas em mensagens do tipo RADIUS,
ver apendice B, para serem enviadas e recebidas do servidor RADIUS;
• Mensagem 4: EAP-Request, solicitacao da senha do usuario;
• Mensagem 5: EAP-Response, envio da senha do cliente;
• Mensagem 6: EAP-Success/Deny, autorizacao ou nao do cliente;
• Mensagem 7: EAPOL-Key, ponto de acesso informa que a autenticacao cifrada terminou.
• Mensagem 8: EAP-Logoff, informa o encerramento da conexao por parte do cliente.
64
APENDICE B -- Servidor FreeRADIUS
O FreeRADIUS e uma implementacao de codigo aberto do Remote Authentication Dial
in User Service (RADIUS)(RIGNEY et al., 2000), foi inicialmente desenvolvido pela empresa
Livingston, considerado de simples implementacao era usado para acesso de clientes de co-
nexoes discadas para Autorizacao, Autenticacao e Contabilizacao (Authentication, Authoriza-
tion and Accounting (AAA))(RIGNEY, 2000)) e que hoje ja e encontrado em Virtual Private
Networks (VPN)1 e redes sem fio 802.11x, ver capıtulo 2, para autenticacao dos clientes junto
a rede.
A autenticacao baseia-se na comparacao das informacoes originadas pelo cliente, contendo
nome de usuario e senha, com sua base de dados. Apos o processo de autenticacao o servidor
encaminha uma mensagem ao cliente informando o resultado, “autenticado” ou “recusado” ao
cliente. Essa comparacao pode ser feita numa base de dados propria, inserida em seus proprios
arquivos, ou em consultas externas de arquivos de texto ou bases de dados de outros servicos,
como Lightweight Directory Access Protocol (LDAP), ver apendice C, e MySQL2.
O RADIUS transporta seu protocolo em um pacote que tem como base 5 campos que serao
descritos abaixo e na figura B.1
Figura B.1: Formato do pacote RADIUS (RIGNEY et al., 2000).
1Redes privativas de dados2http://www.mysql.com
Apendice B -- Servidor FreeRADIUS 65
• Code: Identificador de tipo de pacote do RADIUS, seu tamanho e de 8 bits e se ele chega
vazio no servidor e descartado sem aviso;
• Identifier: Auxiliador de emparelhamento de pedidos e respostas, tamanho de 8 bits;
• Length: Informa o tamanho total do pacote, tamanho de 16 bits;
• Authenticator: Com 128 bits, esse campo autentica a resposta do servidor RADIUS e e
usado no algoritmo que decodifica a senha;
• Attributes: Campo que contem as informacoes e mensagens em si, seu tamanho e flexıvel.
Figura B.2: Troca de mensagens RADIUS entre autenticador de clientes e servidor RADIUS.
As mensagens enviadas pelos pacotes RADIUS sao determinadas como (RIGNEY et al.,
2000) e (RIGNEY, 2000), podem ser vistas na figura B.2 e serao descritas a seguir:
• Mensagens 1 e 3: Access-Request, requisicao de acesso enviado pelo cliente ao servidor;
• Mensagem 2: Access-Challenge, resposta automatica, enviada do servidor ao cliente
dizendo que a requisicao de acesso foi recebida e sera analisada;
Apendice B -- Servidor FreeRADIUS 66
• Mensagem 4: Access-Accept ou textitAccess-Reject, aceitacao ou rejeicao de acesso por
parte do servidor RADIUS para o cliente;
• Mensagem 5: Accounting-Request, mensagem que repassa as especificacoes de estatıstica
de conexao por parte do cliente para o servidor apos a aceitacao de conexao;
• Mensagem 6: Accounting-Response, resposta de confirmacao de recebimento correto da
mensagem de Accounting-Request.
Normalmente, segundo (HASSEL, 2002), quando se faz uma autenticacao no FreeRA-
DIUS, o cliente envia seu nome de usuario e senha, o RADIUS compara nos bancos de da-
dos configurados e repassa a resposta, autorizando ou nao o acesso a rede, porem, quando a
integracao com redes 802.11x acontece, as mensagens passam a ter, juntamente ao protocolo
do RADIUS, mensagens de (Extensible Authentication Protocol (EAP)), ver apendice A, ou
seja, EAP-RADIUS. Isso porque agora passa a existir o cliente final, que faz a solicitacao ao
ponto de acesso e que repassa a solicitacao ao servidor RADIUS, sendo assim, o ponto de acesso
e o cliente RADIUS e o cliente final nao dependera de suporte RADIUS.
Os principais arquivos de configuracao do FreeRADIUS sao:
• radiusd.conf : Arquivo de configuracoes gerais em que se escolhe o tipo de autenticacao,
base de dados usada pra tal e outros atributos necessarios para funcionamento basico do
servidor;
• users.conf : Arquivo para configuracao de usuarios, se for desejado que exista uma base de
dados interna, e neste arquivo que nome de usuario e senha sao inseridos para comparacao,
caso seja usada outra base de dados, nesse arquivo sao inseridas linhas de comando infor-
mando tal acao;
• clients.conf : Arquivo para insercao dos clientes RADIUS, os pontos de acesso que usam
o servidor RADIUS para consulta devem estar todos neste arquivo, com seu apelido e
senha (secret) para acesso ao servidor;
• eap.conf : Arquivo para suporte ao protocolo EAP;
• ldap.attrmap: Arquivo que auxilia a conversacao entre RADIUS e LDAP, ele tem as
“traducoes” de atributos equivalentes entre os dois sistemas como, por exemplo user-
Password no RADIUS e User-Password no LDAP.
67
APENDICE C -- Lightweight Directory AccessProtocol (LDAP)
O Lightweight Directory Access Protocol (LDAP)(WAHL; HOWES; KILLE, 2007) e uma
implementacao do servico de diretorios X.500(WAHL, 1997) e, segundo (VALLE, 2009), e um
protocolo que roda sobre TCP/IP e que e desenvolvido pelo Internet Engineering Task Force
(IETF) desde 1998 e que serve para acessar servicos de diretorio. Esses diretorios armazenam
informacoes como um banco de dados, porem, de forma hierarquica, afim de facilitar a leitura
dos dados.
Trata-se de uma base de dados simples, organizada em modelo arvore, com nıveis e sub-
nıveis como galhos e suas ramificacoes. E chamado por servico de diretorios, por possuir uma
estrutura parecida com a organizacao de diretorios de um dispositivo de armazenamento. Sua
base de dados tem uma estrutura simples, mas que permite alta performance, disponibilidade
em grandes volumes de consultas simples e especialmente otimizada para leituras, consultas e
buscas.
Por obter esse tipo de estrutura, o LDAP pode centralizar a pesquisa de autenticacao de
usuarios de varios servidores diferentes, como servidores de e-mail, acesso a arquivos e/ou
diretorios, Remote Authentication Dial in User Service (RADIUS), ver apendice B, e outros.
Com essa facilidade um usuario pode ter apenas um nome de usuario (login) e senha para
diversos servicos disponibilizados na rede.
As informacoes armazenadas no LDAP sao baseados em “entradas”, que e um conjunto de
atributos e que possui um identificador unico, Distinguished Name (DN). Cada um dos atributos
que compoem o DN podem ter um ou mais valores, como por exemplo:
• common name (cn), que armazena o nome do usuario;
• mail, para endereco de e-mail;
• domain component (dc), componentes de domınio ao qual pertence o usuario.
Apendice C -- Lightweight Directory Access Protocol (LDAP) 68
Figura C.1: Exemplo de hierarquia da base de dados LDAP para um usuario.
O DN e uma sequencia hierarquica completa dos atributos de um determinado objeto arma-
zenado na base de dados do LDAP, seguindo no nıvel mais baixos para o mais alto. O exemplo
da figura C.1 demonstra um exemplo de uma hierarquia de base LDAP onde:
• c, correspondente ao paıs (country);
• o, correspondente a organizacao (organization);
• ou, correspondente ao grupo;
• uid, correspondente ao usuario.
E, este usuario, que esta presente nesta hierarquia tem, por exemplo, os valores cn como
Cesar Henrique Prescher, mail como [email protected] e que segue os para-
metros do domınio sj.ifsc.edu.br que e representado no LDAP como dc=sj, dc=ifsc,
dc=edu, dc=br.
69
ANEXO A -- Cenarios de teste para implantacao darede WIFI-IFSC
Este anexo tem por objetivo mostrar os cenarios de teste criados para a tentativa de funci-
onamento do servico de rede sem fio WIFI-IFSC. Estes cenarios foram como etapas no desen-
volvimento do cenario final, descrito no capıtulo 5 e que esta em funcionamento na instituicao.
A.0.1 Cenario 1
O primeiro cenario montado, ilustrado na figura A.1, tem o objetivo de verificar o funcio-
namento da autenticacao no Remote Authentication Dial in User Service (RADIUS). Para isso,
o ponto de acesso foi configurado com protocolo de seguranca Wi-Fi Protected Access - versao
2 (WPA2), protocolo de cifragem Advanced Encryption Standard (AES) e com o IP do servidor
RADIUS como servidor de autenticacao de usuarios.
Figura A.1: Primeiro Cenario de testes utilizado.
Para a realizacao deste primeiro cenario, sao necessarias alteracoes nos arquivos de confi-
guracao do servidor de autenticacao RADIUS:
• radiusd.conf, ver figura A.13, desconsiderando apenas a linha 14, que habilita o RA-
DIUS a repassar a solicitacao ao SAMBA/WINBIND, pois o objetivo e somente verificar
o funcionamento entre ponto de acesso e FreeRADIUS.
Anexo A -- Cenarios de teste para implantacao da rede WIFI-IFSC 70
• eap.conf, ver figura A.12, para habilitar o Extensible Authentication Protocol (EAP),
com tipo Protected Extensible Authentication Protocol (PEAP), linha 3, e Microsoft Chal-
lenge Handshake Authentication Protocol - versao 2 (MSCHAPv2), linhas 32 a 34, assim
como os modulos Transport Layer Security (TLS) e Tunneled Transport Layer Secu-
rity (TTLS);
• clients.conf, ver figura A.15, para inserir os IPs e nomes dos pontos de acesso que
terao permissao de acessar servidor e efetuar as autenticacoes de usuario;
• users, ver figura A.2, para habilitar o uso do protocolo EAP na autenticacao de usuarios
e, diferente do cenario final, foi inserido neste arquivo um usuario e senha de teste para
que o proprio FreeRADIUS efetue o processo completo de autenticacao e comparacao de
credenciais do usuario.
1 ...2 ## inserc~ao do usuario de teste ##3 user_teste Auth-Type := Local, User-Password == "senha_user"4
5 ## habilitac~ao do uso do protocolo EAP na autenticac~ao de usuarios #6 DEFAULT Auth-Type = EAP7 ...
Figura A.2: Configuracao de um usuario de testes no FreeRADIUS no arquivo users.
Para testar a autenticacao simples de usuario, o FreeRADIUS permite que sejam feitos
testes com o comando radtest, como exemplificado na figura A.3, ele permite que seja testado
somente a autenticacao do RADIUS atraves de linha de comando antes de testar diretamente
um pedido de autenticacao enviado por um ponto de acesso. Como resposta, se bem sucedida
do teste, o FreeRADIUS apresenta uma resposta equivalente a da figura A.4, note na linha 22
que a senha esta sem qualquer tipo de cifragem.
1 radtest user_teste senha_user localhost 0 senha123
Figura A.3: Uso do comando radtest para teste de autenticacao de usuario no FreeRADIUS.
Com o sucesso do teste em linha de comando, foi testada a autenticacao de um cliente de
laptop, passando a solicitacao ao ponto de acesso, que repassa os dados para o FreeRADIUS,
obtendo a resposta ilustrada na figura A.5, note na linha 12, que desta vez, a senha esta cifrada
e o FreeRADIUS utiliza dos protocolos de seguranca PEAP na comunicacao.
Anexo A -- Cenarios de teste para implantacao da rede WIFI-IFSC 71
1 rad_recv: Access-Request packet from host 127.0.0.1:37163, id=179, length=622 User-Name = "user_teste"3 User-Password = "senha_user"4 NAS-IP-Address = 255.255.255.2555 NAS-Port = 06 Processing the authorize section of radiusd.conf7 modcall: entering group authorize for request 08 rlm_realm: No ’@’ in User-Name = "user_teste", looking up realm NULL9 rlm_realm: No such realm "NULL"
10 modcall[authorize]: module "suffix" returns noop for request 011 rlm_eap: No EAP-Message, not doing EAP12 modcall[authorize]: module "eap" returns noop for request 013 users: Matched entry user_teste at line 7814 modcall[authorize]: module "files" returns ok for request 015 modcall[authorize]: module "pap" returns updated for request 016 modcall: leaving group authorize (returns updated) for request 017 rad_check_password: Found Auth-Type pap18 auth: type "PAP"19 Processing the authenticate section of radiusd.conf20 modcall: entering group PAP for request 021 rlm_pap: login attempt with password senha22 rlm_pap: Using clear text password "senha_user".23 rlm_pap: User authenticated successfully24 modcall[authenticate]: module "pap" returns ok for request 025 modcall: leaving group PAP (returns ok) for request 026 Sending Access-Accept of id 179 to 127.0.0.1 port 3716327 Finished request 028 Going to the next request29 --- Walking the entire request list ---30 Waking up in 6 seconds...31 --- Walking the entire request list ---32 Cleaning up request 0 ID 179 with timestamp 4a32a27f33 Nothing to do. Sleeping until we see a request.
Figura A.4: Resposta do servidor FreeRADIUS a um teste bem sucedido de autenticacaovindo do comando radtest.
Anexo A -- Cenarios de teste para implantacao da rede WIFI-IFSC 72
1 rad_recv: Access-Request packet from host 172.18.20.172:1026, id=9, length=2862 Message-Authenticator = 0x2aa34ede65a1d060ac7199930304f16d3 Service-Type = Framed-User4 User-Name = "user_teste"5 Framed-MTU = 14886 State = 0x8e3e702d7335b18eb6c09996568fb9fb7 Called-Station-Id = "00-1B-11-B4-DA-7D:WIFI-IFSC"8 Calling-Station-Id = "00-15-AF-78-0A-C3"9 NAS-Identifier = "D-Link Access Point"
10 NAS-Port-Type = Wireless-802.1111 Connect-Info = "CONNECT 54Mbps 802.11g"12 EAP-Message = 0x020900501900170301002031fb24c07965f46038681eb13 22ff4ddd3a35f7e432b98f7ac14d9c335f21474db1703010020c794627b8614 7af8638a9525ea7a442d48e22ff3fca8d3be8e469b4163314ca26615 NAS-IP-Address = 172.18.20.17216 NAS-Port = 117 NAS-Port-Id = "STA port # 1"18 Processing the authorize section of radiusd.conf19 ...20 rlm_eap_peap: EAPTLS_OK21 rlm_eap_peap: Session established. Decoding tunneled attributes.22 rlm_eap_peap: Received EAP-TLV response.23 rlm_eap_peap: Tunneled data is valid.24 rlm_eap_peap: Success25 rlm_eap: Freeing handler26 modcall[authenticate]: module "eap" returns ok for request 927 modcall: group authenticate returns ok for request 928 Login OK: [user_teste/<no User-Password attribute>] (from client WIFI-IFSC port
1 cli 00-15-AF-78-0A-C3)29 Sending Access-Accept of id 9 to 172.18.20.172:102630 MS-MPPE-Recv-Key =31 0x079094b1e78a1353ae8ff6c20e918e01331061a2eb2f3aa3d41110962853bccc32 MS-MPPE-Send-Key =33 0xd7a5796f29c9ec11fcdf15c4c7378a5dc7ffa2fb929c37f23ce7ffec9e8800d334 EAP-Message = 0x0309000435 Message-Authenticator = 0x0000000000000000000000000000000036 User-Name = "user_teste"37 Finished request 938 ...
Figura A.5: Resposta do servidor FreeRADIUS a um teste bem sucedido de autenticacaovindo de um cliente na rede sem fio.
Anexo A -- Cenarios de teste para implantacao da rede WIFI-IFSC 73
A.0.2 Cenario 2
O segundo cenario, ver figura A.6, visa a integracao direta do FreeRADIUS e Lightweight
Directory Access Protocol (LDAP), ver apendice C, para que sua base de dados sirva de base
para as autenticacoes no servidor RADIUS.
Figura A.6: Segundo Cenario de testes utilizado.
Para que essa configuracao funcione, inicialmente deve-se alterar as configuracoes dos se-
guintes arquivos do FreeRADIUS:
• radiusd.conf, ver listing A.7, para que sejam habilitado o modulo de consulta ao LDAP
e inseridos IP da base, domınio e outros parametros necessarios;
• users, ver A.8, alterando a autenticacao usuarios, para que va ao LDAP procurar os
dados;
• ldap.attrmap, ver A.9, trata-se do arquivo que serve como um dicionario, que “traduz”,
por assim dizer o que os campos do FreeRADIUS querem dizer no LDAP
Como no cenario anterior, para que seja efetuado um teste, e necessario executar o comando
radtest, porem, usando agora um usuario e senha contido no LDAP, veja configuracao do
LDAP no anexo B.1. Em caso de sucesso, a resposta sera muito parecida com a do listing A.4,
mas com informacoes de consulta ao LDAP entre as mensagens.
A.0.3 Cenario 3
Este terceiro cenario era o que se imaginava ser o ultimo cenario pois, como consta na figura
A.10, integra todos os elementos desejados para uma autenticacao de um cliente de uma rede
sem fio em um servidor RADIUS que utiliza como base de dados o LDAP. As configuracoes
permanecem as mesmas que no cenario anterior em todos os arquivos do FreeRADIUS.
Anexo A -- Cenarios de teste para implantacao da rede WIFI-IFSC 74
1 ...2 ## descomente/altere os dados para consulta a base LDAP ##3 ldap {4 server = "IP_do_SERVIDOR_que_contem_a_base_LDAP"5 basedn = "ou=users,dc=sj,dc=ifsc,dc=edu,dc=br"6 filter = "(uid=%{Stripped-User-Name:-%{User-Name}})"7 ...8 }9 ...
10 ## nos modulos abaixo, deixe apenas o LDAP disponıvel para verificac~oes ##11 authorize {12 ldap13 }14 authenticate {15 Auth-Type LDAP {16 ldap17 }18 }19 ...
Figura A.7: Alteracoes no arquivo radiusd.conf para que consulte a base LDAP.
1 ...2 ##retire/comente o usu~A¡rio de teste##3 #user_teste Auth-Type := Local, User-Password == "senha_user"4 ...5 ##altere a linha abaixo para utilizar o LDAP na autentica~A§~A£o de usu~A¡rios##6 DEFAULT Auth-Type = LDAP7 ...
Figura A.8: Alteracoes no arquivo users para que consulte a base LDAP.
1 ...2 ##insira as linhas3 checkItem User-Password userPassword4 replyItem Tunnel-Type radiusTunnelType5 replyItem Tunnel-Medium-Type radiusTunnelMediumType6 replyItem Tunnel-Private-Group-Id radiusTunnelPrivateGroupId7 ....
Figura A.9: Alteracoes no arquivo attrmap.
Figura A.10: Terceiro Cenario de testes utilizado.
Anexo A -- Cenarios de teste para implantacao da rede WIFI-IFSC 75
Os testes mostraram que a autenticacao nao funcionava, como consta na figura A.11, a
autenticacao sempre retornava com rejeicao. Apos pesquisas em sites de desenvolvimento1 e
nos proprios arquivos de configuracao do FreeRADIUS, em especial eap.conf e radiusd.conf,
foi descoberto que, quando usado protocolo EAP na tentativa de autenticacao, fica inviavel o
envio de dados para a base LDAP afim de fazer comparacao de dados.
O LDAP precisa receber os dados em texto puro, sem nenhum tipo de cifragem, para que a
propria base cifre os dados e compare com sua base. Ja o FreeRADIUS recebe os dados cifrados
do ponto de acesso e, sem nenhum tipo de tratamento a mensagem, repassa a solicitacao ao
LDAP, impossibilitando a autenticacao neste cenario.
Por este motivo, um quarto cenario se mostrou necessario e duas opcoes analisadas:
• Alterar os codigos de programacao do Ponto de Acesso, fazendo com que o mesmo repas-
sasse as mensagens ao FreeRADIUS em texto puro, porem, comprometendo a seguranca
dos dados no meio de transmissao;
• Usar o servidor SAMBA2 e seu servico de autenticacao de nomes, WINBIND, que per-
mitiria o funcionamento da rede sem nenhuma alteracao de programacao dos pontos de
acesso.
A.0.4 Cenario 4
Esta foi a segunda opcao, que manteria a alta seguranca do meio sem fio e permitiria a
autenticacao no FreeRADIUS usando o LDAP como base de consulta foi a escolhida para teste
e posteriormente foi a solucao implantada, como consta descrita no capıtulo 5 e com as figuras
de configuracoes a seguir.
Arquivos de configuracao
Registro de acessos
1http://www.freeradius.org2http://www.samba.org
Anexo A -- Cenarios de teste para implantacao da rede WIFI-IFSC 76
1 rad_recv: Access-Request packet from host 172.18.23.25:1047, id=1, length=1952 Message-Authenticator = 0x359fb927611da2664f5c9c32123818d73 Service-Type = Framed-User4 User-Name = "testecesar"5 Framed-MTU = 14886 Called-Station-Id = "00-1E-58-A5-CD-FE:WIFI-IFSC"7 Calling-Station-Id = "00-15-AF-78-0A-C3"8 NAS-Identifier = "D-Link Access Point"9 NAS-Port-Type = Wireless-802.11
10 Connect-Info = "CONNECT 54Mbps 802.11g"11 EAP-Message = 0x0201000d017072657363686572 ##senha em formato EAP
que o LDAP n~A£o reconhece##12 NAS-IP-Address = 172.18.23.2513 NAS-Port = 114 NAS-Port-Id = "STA port # 1"15 Processing the authorize section of radiusd.conf16 modcall: entering group authorize for request 117 modcall[authorize]: module "preprocess" returns ok for request 118 modcall[authorize]: module "mschap" returns noop for request 119 rlm_realm: No ’@’ in User-Name = "testecesar", looking up realm NULL20 rlm_realm: No such realm "NULL"21 modcall[authorize]: module "suffix" returns noop for request 122 users: Matched entry DEFAULT at line 15523 users: Matched entry DEFAULT at line 17724 modcall[authorize]: module "files" returns ok for request 125 rlm_ldap: - authorize26 rlm_ldap: performing user authorization for testecesar27 radius_xlat: ’(uid=testecesar)’28 radius_xlat: ’dc=sj,dc=ifsc,dc=edu,dc=br’29 rlm_ldap: ldap_get_conn: Checking Id: 030 rlm_ldap: ldap_get_conn: Got Id: 031 rlm_ldap: performing search in dc=sj,dc=ifsc,dc=edu,dc=br, with filter (uid=
testecesar)32 rlm_ldap: No default NMAS login sequence33 rlm_ldap: looking for check items in directory...34 rlm_ldap: looking for reply items in directory...35 rlm_ldap: user prescher authorized to use remote access36 rlm_ldap: ldap_release_conn: Release Id: 037 modcall[authorize]: module "ldap" returns ok for request 138 modcall: leaving group authorize (returns ok) for request 139 rad_check_password: Found Auth-Type System40 auth: type "System"41 Processing the authenticate section of radiusd.conf42 modcall: entering group authenticate for request 143 rlm_unix: Attribute "User-Password" is required for authentication.44 modcall[authenticate]: module "unix" returns invalid for request 145 modcall: leaving group authenticate (returns invalid) for request 146 auth: Failed to validate the user.
Figura A.11: Resposta de falha de autenticacao do FreeRADIUS no terceiro cenario.
Anexo A -- Cenarios de teste para implantacao da rede WIFI-IFSC 77
1 ...2 ## Habilitac~ao do uso do protocolo EAP protegido ##3 default_eap_type = peap4
5 ## habita envio da mensagem de desafio para o pedido de senha do cliente ##6 challenge = ‘‘Password: ’’7 ...8 ## modulo referente ao uso de TLS que efetuara a configurac~ao dos certificados
##9 tls {
10 private_key_password = whatever11 private_key_file = ${raddbdir}/certs/IFSC.pem # arquivo da chave do
certificado #12
13 certificate_file = ${raddbdir}/certs/IFSC.pem # arquivo docertificado #
14
15 CA_file = ${raddbdir}/certs/demoCA/cacert.pem16
17 dh_file = ${raddbdir}/certs/dh18 random_file = ${raddbdir}/certs/random19
20 fragment_size = 102421 }22
23 # modulo TTLS que configura a cifragem interna do protocolo EAP #24 ttls {25 default_eap_type = md526 copy_request_to_tunnel = no27
28 use_tunneled_reply = no29 }30
31 # modulo do EAP Protegido, que utiliza o MSCHAPv2 para seguranca da transmiss~aode dados #
32 peap {33
34 default_eap_type = mschapv235
36 }
Figura A.12: Configuracao do arquivo eap.conf.
Anexo A -- Cenarios de teste para implantacao da rede WIFI-IFSC 78
1 ...2 ##no modulo mschap :##3 # habilitando o uso do protocolo MS-CHAP, usado pelo EAP na seguranca das redes
sem fio #4
5 authtype = MS-CHAP6
7 use_mppe = yes8 ...9 require_encryption = yes
10 ...11 with_ntdomain_hack = yes12 ...13 # linha de comando que repassa a solicitac~ao de autenticac~ao ao WINBIND e SAMBA
#14 ntlm_auth = ‘‘/usr/bin/ntlm_auth --request-nt-key --username=%{Stripped -User-
Name:-%{User-Name:-None}} --challenge=%{mschap:Challenge:-00} -- nt-response=%{mschap:NT-Response:-00}
15 ...16 # modulo de autorizac~oes, permitindo funcionamento dos log e do uso do protocolo
EAP,para redes sem fio #17 authorize {18 ...19 auth_log20 eap21 ...22 }23 # modulo de autenticac~ao, permitindo o uso do protocolo EAP #24 authenticate {25 ...26 eap27 }28 ...29 # modulo pos-proxy, tambem habilitando o protocolo EAP para as redes sem fio #30 post-proxy {31 eap32 }
Figura A.13: Configuracao dos principais parametros do arquivo radiusd.conf parafuncionamento da rede sem fio.
1 ...2 [certificate_authority]3 countryName = BR4 stateOrProvinceName = Radius5 localityName = Sao_Jose6 organizationName = IFSC7 emailAddress = [email protected] commonName = "Certificado IFSC"9 ...
Figura A.14: Exemplo de parametros de um certificado do RADIUS.
Anexo A -- Cenarios de teste para implantacao da rede WIFI-IFSC 79
1 client 127.0.0.1 {2 secret = senha3 shortname = localhost4 nastype = other5 }6 client IP_do_Ponto_de_Acesso{7 secret = senha_do_Ponto_de_Acesso8 shortname = SSID_do_Ponto_de_Acesso9 nastype = other
10 }
Figura A.15: Exemplo de configuracao do arquivo clients.conf.
1 ## habilitac~ao a autenticac~ao EAP para usuarios ##2 DEFAULT Auth-Type = EAP3 ...4 ## deve-se comentar as linhas##5 #DEFAULT Service-Type == Framed-User6 # Framed-IP-Address = 255.255.255.254,7 # Framed-MTU = 576,8 # Service-Type = Framed-User,9 # Fall-Through = Yes
Figura A.16: Configuracao do arquivo users.
Anexo A -- Cenarios de teste para implantacao da rede WIFI-IFSC 80
1 rad_recv: Access-Request packet from host 172.18.20.172:1026, id=9, length=2862 Message-Authenticator = 0x2aa34ede65a1d060ac7166330304f16d3 Service-Type = Framed-User4 User-Name = "prescher"5 Framed-MTU = 14886 State = 0x8e3e702d7335b18eb6c02356568fb9fb7 Called-Station-Id = "00-1B-11-B4-DA-7D:WIFI-IFSC"8 Calling-Station-Id = "00-15-AF-78-0A-C3"9 NAS-Identifier = "D-Link Access Point"
10 NAS-Port-Type = Wireless-802.1111 Connect-Info = "CONNECT 54Mbps 802.11g"12 EAP-Message = 0x020900501900170301002031fb17c07965f46038681eb13 22ff4ddd3a35f7e432b98f7ac14d9c335f21474db1703010020c794627b8614 7af8638a9525ea7a442d48e22ff3fca8d3be8e469b4163314ca24415 NAS-IP-Address = 172.18.20.17216 NAS-Port = 117 NAS-Port-Id = "STA port # 1"18 Processing the authorize section of radiusd.conf19 ...20 rlm_eap_peap: EAPTLS_OK21 rlm_eap_peap: Session established. Decoding tunneled attributes.22 rlm_eap_peap: Received EAP-TLV response.23 rlm_eap_peap: Tunneled data is valid.24 rlm_eap_peap: Success25 rlm_eap: Freeing handler26 modcall[authenticate]: module "eap" returns ok for request 927 modcall: group authenticate returns ok for request 928 Login OK: [prescher/<no User-Password attribute>] (from client WIFI-IFSC port 1
cli 00-15-AF-78-0A-C3)29 Sending Access-Accept of id 9 to 172.18.20.172:102630 MS-MPPE-Recv-Key =31 0x079094b1e78a1353ae8ff6c20e918e01331061a2eb2f3aa3d41110962853beec32 MS-MPPE-Send-Key =33 0xd7a5796f29c9ec11fcdf15c4c7378a5dc7ffa2fb929c37f23ce7ffec9e5215d334 EAP-Message = 0x0309000435 Message-Authenticator = 0x0000000000000000000000000000000036 User-Name = "prescher"37 Finished request 938 ...
Figura A.17: Cliente se autenticando com sucesso no FreeRADIUS.
Anexo A -- Cenarios de teste para implantacao da rede WIFI-IFSC 81
1 ...2 # habilitac~ao dos logs de autenticac~ao #3 log_auth = yes4 ...5 # habilitac~ao do registro de logs com os dados completos do User-Name do pacote
de autenticac~ao,6 log_stripped_names = yes7 # toda tentativa mal sucedida sera guardada em log #8 log_auth_badpass = yes9 # toda autenticac~ao bem sucedida sera guardada em log #
10 log_auth_goodpass = yes11 ...12 # modulo referente ao detalhamento e armazenamento dos logs de acesso#13 detail auth_log {14 detailfile = ${radacctdir}/%{Client-IP-Address}/auth-detail-%Y%m%d15 detailperm = 060016 }17 # modulo de autorizac~oes, permitindo funcionamento dos log e do uso do protocolo
EAP,para redes sem fio #18 authorize {19 ...20 auth_log21 eap22 }23 # modulo de contas, permitindo detalhamento dos usuarios que se autenticam #24 accounting {25 detail26 ...27 }28 # modulo de pos-autenticac~ao, permitindo logs de mensagens trocadas entre
servidor e cliente #29 post-auth{30 reply_log31 }32 ...
Figura A.18: Alteracoes no arquivo radiusd.conf para que os logs de acesso possam serarmazenados e consultados.
Anexo A -- Cenarios de teste para implantacao da rede WIFI-IFSC 82
1 Packet-Type = Access-Request2 Wed Jun 17 17:09:43 20093 Message-Authenticator = 0x2aa34ede65a1d060ac7166330304f16d4 Service-Type = Framed-User5 User-Name = "prescher"6 Framed-MTU = 14887 State = 0x8e3e702d7335b18eb6c02356568fb9fb8 Called-Station-Id = "00-1B-11-B4-DA-7D:WIFI-IFSC"9 Calling-Station-Id = "00-15-AF-78-0A-C3"
10 NAS-Identifier = "D-Link Access Point"11 NAS-Port-Type = Wireless-802.1112 Connect-Info = "CONNECT 54Mbps 802.11g"13 EAP-Message = 0x020900501900170301002031fb17c07965f46038681eb14 22ff4ddd3a35f7e432b98f7ac14d9c335f21474db1703010020c794627b8615 7af8638a9525ea7a442d48e22ff3fca8d3be8e469b4163314ca24416 NAS-IP-Address = 172.18.20.17217 NAS-Port = 118 NAS-Port-Id = "STA port # 1"19 Client-IP-Address = 172.18.20.172
Figura A.19: Exemplo de log de autenticacao de usuario.
1 lease 172.18.22.27 {2 starts 4 2009/07/30 16:52:02;3 ends 5 2009/07/31 09:32:02;4 tstp 5 2009/07/31 09:32:02;5 binding state free;6 hardware ethernet 00:15:af:78:0a:c3;7 }
Figura A.20: Exemplo de log de atribuicao de IP a usuario pelo servidor DHCP.
83
ANEXO B -- Configuracao dos servidores parafuncionamento da rede WIFI-IFSC
Este anexo tem como objetivo demonstrar a configuracao de todos os servicos necessarios
para se obter a instalacao de uma rede sem fio, 802.11x com seguranca e que se autentica
por meio de autenticacao individual, padrao 802.1x, comparando seus dados com uma base
Lightweight Directory Access Protocol (LDAP).
O anexo trara a listagem de pacotes e arquivos adicionais que devem ser instalados no servi-
dor, assim como a configuracao destes arquivos, e importante salientar que toda a instalacao foi
feita em sistema operacional Linux - MANDRIVA 2008, que e o sistema operacional utilizado
pelo servidor do IFSC campus Sao Jose.
B.1 Configuracao do Servidor LDAP
Para o funcionamento do LDAP nesta implementacao, e necessario que todos os pacotes a
seguir estajam devidamente instalados:
• slapd, que e o proprio servico LDAP;
• phpldapadmin, gerenciador web do LDAP;
• ldap-utils, pacotes utilitarios para configuracao;
• samba-doc, necessario para interligacao com o samba.
Apos a verificacao e instalacao dos pacotes, deve-se criar o schema do Samba no LDAP,
pois e atraves dos schemas que o LDAP adiciona a seus processos o suporte aos demais progra-
mas que consultarao sua base de dados.
Para isso, e necessario entrar na pasta /usr/share/doc/samba-doc/examples/LDAP/,
descompactar o arquivo samba.schema.gz e copia-lo para a pasta /etc/ldap/schema/. Para
B.1 Configuracao do Servidor LDAP 84
que o servidor LDAP acesse esse arquivo quando iniciado, deve-se alterar seu arquivo de
configuracao (slapd.conf), na pasta /etc/ldap/, adicionando a linha de comando “include
/etc/ldap/schema/samba.schema” logo abaixo das demais linhas que tem “include” em seu
inıcio.
Na primeira vez em que se utiliza o LDAP, deve ser criada uma senha para de acesso,
para isso, e necessario executar o comando slappasswd, que pedira que o administrador digite
a senha e depois a confirme. A partir dessa senha digitada, o LDAP criara uma senha num
estilo diferente, {SSHA}hLLfSLt73/YwNYEJU/T7PAcLd0A0B0je, que deve ser copiada para
o campo rootpw do arquivo slapd.conf.
A seguir, segue a configuracao detalhada, contendo as linhas que devem ser modificadas,
dos arquivos referentes ao LDAP.
B.1.1 Arquivo /etc/ldap/slapd.conf
1 ...2 include /etc/ldap/schema/samba.schema3 ...4 suffix ‘‘dc=sj,dc=ifsc,dc=edu,dc=br’’5 rootdn ‘‘cn=admin,dc=sj,dc=ifsc,dc=edu,dc=br’’6 rootpw (senha gerada pelo slappasswd - {SSHA}....)7 ...8 access to attrs=userPassword,sambaNTPassword,sambaLMPassword,shadowLastChange9 by dn=‘‘cn=admin,dc=sj,dc=ifsc,dc=edu,dc=br’’ write
10 by dn=‘‘cn=integrador,dc=sj,dc=ifsc,dc=edu,dc=br’’ read11 by anonymous auth12 by self write13 by * none14
15 access to *16 by dn=‘‘cn=admin,dc=sj,dc=ifsc,dc=edu,dc=br’’ write17 by * read18
19 access to dn.base=‘‘’’ by * read
Figura B.1: Configuracao do arquivo slapd.conf.
B.1.2 Arquivo ldap.conf
Foi necessario, para fins de compatibilidade, criar um link para outro arquivo, em /etc/ldap-
.conf e executar o comando ln -s /etc/ldap/ldap.conf /etc/ldap.conf.
B.2 Servidor SAMBA e WINBIND 85
1 ...2 BASE dc=sj,dc=ifsc,dc=edu,dc=br3 URI ldap://127.0.0.14 ...
Figura B.2: Configuracao do arquivo ldap.conf.
B.1.3 Arquivo /etc/phpldapadmin/config.php
1 ...2 $ldapservers->SetValue($i,’server’,’base’,array(’dc=sj,dc=ifsc,dc=edu,dc=br’));3 ...4 $ldapservers->SetValue($i,’login’,’dn’,’cn=admin,dc=sj,dc=ifsc,dc=edu,dc=br’);5 ...6 $queries[$q][’base’] = ’dc=sj,dc=ifsc,dc=edu,dc=br’;7 ..
Figura B.3: Configuracao do arquivo /etc/phpldapadmin/config.php.
B.2 Servidor SAMBA e WINBIND
Deve-se verificar se os seguintes pacotes estao instalados, lembrando que o Winbind ficara
instalado e devera ser configurado nos mesmos arquivos de configuracao do SAMBA:
• samba, proprio servidor SAMBA;
• winbind, servico Winbind para efetuar a resolucao de nomes;
• smbldap-tools, arquivos de suporte para integracao entre SAMBA e LDAP.
Para que funcionem em conjunto, os dois servicos devem possuir a mesma senha, o motivo e
para que o LDAP veja o SAMBA como confiavel e autorize as consultas. Para mudar a senha do
SAMBA executa-se o comando smbpasswd -w senha do LDAP. Apos isso, as configuracoes
dos arquivos devem ser feitas.
B.2.1 Arquivo /etc/samba/smb.conf
Apos configurar o arquivo principal do SAMBA e WINBIND, e necessario criar o SID1,
necessario para que o LDAP identifique o SAMBA como cliente e o autorize a efetuar as con-
1numero de identificacao do domınio na rede Windows
B.2 Servidor SAMBA e WINBIND 86
1 [global]2 workgroup = UNED3 netbios name = DK4 server string = %h5 dns proxy = no6
7 security = user8 os level = 2559 local master = yes
10 domain master = yes11 preferred master = yes12 domain logons = yes13 admin users = administrador14
15 ##parte referente a conex~ao com LDAP##16 passdb backend = ldapsam:ldap://127.0.0.117 ldap admin dn = cn=admin,dc=sj,dc=ifsc,dc=edu,dc=br18 ldap suffix = dc=sj,cd=ifsc,dc=edu,dc=br19 ldap user suffix = ou=Usuarios20 ldap group suffix = ou=Grupos21 ldap machine suffix = ou=Computadores22 ldap passwd sync = yes23 unix password sync = no24
25 ##parte referente ao winbind##26 winbind separator = +27 winbind enum users = yes28 winbind enum groups = yes29 winbind use default domain = yes30 winbind trusted domains only = yes31
32 syslog = 033 log file = /var/log/samba/log.%m34 max log size = 1000
Figura B.4: Configuracao do arquivo smb.conf.
B.3 Configuracao do FreeRADIUS 87
sultas em sua base. Para cria-lo, executa-se o comando net getlocalsid, o SID aparecera
parecido com este exemplo: S-1-5-21-1803520230-1543781662-649387223.
B.2.2 Configuracao do phpldapadmin
Acessando atraves do browser o link http://localhost/phpldapadmin, o administrador
da rede deve criar seus grupos, domınio samba e usuarios dentro do LDAP. Os usuarios, uma
vez criados e associados aos seus grupos, podem ser referenciados pelo SAMBA. Assim, pode
ser utilizado um usuario para administrar a rede Windows, diferente do super-usuario root. Bas-
tando adicionar a linha admin users = administrador na secao [global] do smb.conf
para que o usuario administrador tenha poderes de administrador da rede Windows apos reini-
ciar o servico.
Com isso, a segunda integracao de servicos pode ser feita, agora entre SAMBA e WIN-
BIND, este ultimo que servira como interface para autenticar usuarios RADIUS no SAMBA e,
consequentemente LDAP. As ligacoes todas ficam assim:
[PontodeAcesso]⇔ [RADIUS]⇔ [Winbind]⇔ [Samba]⇔ [LDAP]
Com o comando net join -U administrador, o usuario administrador e assumido como
administrador da rede Windows e integra os servico WINBIND e SAMBA. Um detalhe impor-
tante a ser citado e que quando o WINBIND e iniciado e gerada a pasta
/var/cache/samba/winbindd privileged/ mas a permissao dessa pasta deve ser mudada
para que o RADIUS possa efetuar a consulta nele.
B.3 Configuracao do FreeRADIUS
Para a instalacao do servico FreeRADIUS, afim de prover uma rede sem fio com autenticacao
que consulte a base de dados do LDAP, e necessario instalar os seguintes pacotes no caso de
uso do Sistema operacional Mandriva (caso do IFSC - campus Sao Jose):
• freeradius, servico propriamente dito;
• libfreeradius1, bibliotecas necessarias para configuracoes.
Obs.: Tambem foi testada a instalacao no sistema operacional Ubuntu(ROSA, 2008).
B.3 Configuracao do FreeRADIUS 88
Apos feita a instalacao, deve-se configurar os arquivos do servidor para que o mesmo possa
receber as solicitacoes dos Pontos de Acesso e repassa-las ao SAMBA/WINBIND, que ira, por
sua vez, verificar a base do LDAP.
Obs.2: Para as configuracoes dos arquivos do FreeRADIUS, ver capıtulo 5.
89
ANEXO C -- Configuracao do cliente para acessar aRede WIFI-IFSC
Este anexo tem como objetivo apresentar as configuracoes necessarias para que os usuarios
possam acessar a rede WIFI-IFSC, instalada no campus Sao Jose. Algumas modificacoes ma-
nuais devem ser feitas nas configuracoes de conexao de rede do cliente para que a autenticacao
ocorra com sucesso, principalmente clientes Windows. Para qualquer sistema operacional, celu-
lar ou Ipod com suporte a Wireless Fidelity (WiFi), e importante que a configuracao da conexao
tenha como base a seguinte configuracao:
• Sistema WPA2 empresas ou WPA2-EAP;
• Metodo PEAP ou PEAPv0 (versao zero);
• Tipo de chave AES;
• Tipo de Phase2 MSCHAPv2;
A partir destas configuracoes, o Sistema operacional solicitara que sejam inseridos login
e senha do usuario que sao usados no IFSC para acessar a rede. Alguns sistemas tambem
solicitam o Domınio, neste caso deve ser utilizado o nome de domınio UNED.
Nas proximas secoes serao apresentados os “passo a passo” apresentados e disponibilizados
aos clientes da rede na Wiki da instituicao. Inicialmente foram feitos os passos para clientes
Ubuntu e Windows XP por corresponderem a maioria dos clientes da instituicao.
C.1 Configuracao de cliente Ubuntu
Para configurar a conexao de um cliente Ubuntu na rede WIFI-IFSC e necessario seguir os
procedimentos a seguir:
C.1 Configuracao de cliente Ubuntu 90
Figura C.1: Escolha da rede sem fio a qual se deseja conectar.
Figura C.2: Configuracao dos parametros de acesso da rede sem fio escolhida.
C.2 Configuracao de cliente Windows XP 91
Na barra de menu do Ubuntu, clicar sobre as conexoes de rede, o que fara aparecer as redes
sem fio disponıveis, ver figura C.1.
Apos isso, clicar sobre a rede WIFI-IFSC e, como ilustrado na figura C.2, selecionar as
opcoes:
• Seguranca da Rede sem Fios: WPA2 Empresas;
• Metodo EAP: PEAP ou PEAPv0;
• Tipo de chave: AES;
• Tipo de Phase2: MSCHAPv2;
• Identidade: Login da rede do IFSC;
• Senha: respectiva senha do usuario;
• Clicar em Conectar para que a tentativa de conexao seja efetuada.
C.2 Configuracao de cliente Windows XP
E importante lembrar que o acesso a rede funciona somente para clientes Windows com
suporte ao Wi-Fi Protected Access - versao 2 (WPA2). Clientes de Windows Service Pack 2
ou de versoes superiores ja possuem suporte para a conexao. Porem, se o usuario nao possuir
o suporte, e necessario que seja feita a atualizacao de suporte ao WPA2, instalando os paco-
tes KB893357 e KB917021, disponıveis no centro de atualizacoes da Microsoft(MICROSOFT,
2009a).
Para configurar a conexao de acesso a rede sem fio WIFI-IFSC, o cliente de sistema opera-
cional Windows XP deve seguir os seguintes passos:
No menu Iniciar do Windows, entrar no Painel de Controle e, em seguida clicar nas Co-
nexoes de Rede. Clicar com o botao direito do mouse em Conexao de Redes sem Fio e depois
em ver Redes sem fio disponıveis, como consta na figura C.3.
Nesta tela, aparecem todas as redes disponıveis para conexao sem fio, ver figura C.4, e
necessario clicar sobre a rede desejada, neste caso WIFI-IFSC e depois em Alterar definicoes
avancadas.
C.2 Configuracao de cliente Windows XP 92
Figura C.3: Abrindo conexoes de rede sem fio para editar.
Figura C.4: Escolha da rede a qual se deseja configurar.
C.2 Configuracao de cliente Windows XP 93
Na janela de definicoes avancadas, figura C.5, no separador Redes sem fios e preciso
verificar se a opcao Utilizar o Windows para configurar as definicoes da rede sem fios esta
ativa e, em Redes Preferidas, clicar em Adicionar.
Figura C.5: Inıcio da edicao da rede sem fio.
Em seguida, como ilustrado na figura C.6, inserir o nome da rede (WIFI-IFSC), no campo
Nome da rede (Service Set Identifier (SSID)). Depois disso, em Chave de rede sem fios
selecionar:
• Autenticacao de rede: WPA2;
• Encriptacao de dados: AES;
• Ativar o item A chave e fornecida automaticamente.
Como na figura C.7, clicar no separador Autenticacao e escolher as opcoes:
• Ativar autenticacao IEEE 802.1X para esta rede;
• Tipo de EAP: EAP protegido (PEAP);
C.2 Configuracao de cliente Windows XP 94
Figura C.6: Configuracao dos padroes de acesso da rede.
• Desativar Autenticar como computador quando a informacao de computador estiver
indisponıvel;
• E clicar em propriedades.
Nesta tela, figura C.8, desativar a opcao Validar certificado do servidor e, em Selecione
Protegido por palavra-passe:, escolher a opcao EAP-MSCHAP v2.
Apos isso, clicar em Configurar, onde deve ser desabilitada a opcao Utilizar automatica-
mente o nome de inicio de sessao e a palavra-chave do Windows (e domınio se existente),
como consta na figura C.9.
Clicar no Ok das duas janelas em aberto, ate que fique novamente janela de Propriedades de
Redes sem fio. Ao lado do Relogio da Area de trabalho, na barra de menu, aparecera a tentativa
de conexao a rede que pedira as credenciais, como ilustrado na figura C.10, sera necessario
clicar sobre o pedido para que abra a janela onde sao inseridos os dados do usuario, Login,
Senha e domınio (UNED), clicar em OK e efetuar a tentativa de conexao.
C.2 Configuracao de cliente Windows XP 95
Figura C.7: Configuracao para uso da autenticacao 802.1x.
Figura C.8: Configuracoes acerca de uso de certificados.
C.2 Configuracao de cliente Windows XP 96
Figura C.9: Informacao para nao usar o mesmo Login e Senha do seu computador para acessara rede sem fio.
Figura C.10: Tentativa de conexao com a rede sem fio.
97
Lista de Abreviaturas
AAA Authentication, Authorization and Accounting
ACK Acknowledge
AES Advanced Encryption Standard
CCMP Counter Mode with Cipher Block Chaining Message Authentication Code Protocol
CSMA/CA Carrier Sense Multiple Access With Collision Avoidance
DHCP Dynamic Host Configuration Protocol
EAP Extensible Authentication Protocol
EAPOL EAP over LANs
EAP-TLS EAP Transport Layer Security
EAP-TTLS EAP Tunneled Transport Layer Security
HiFi High Fidelity
IEEE Institute of Electrical and Electronic Engineers
IETF Internet Engineering Task Force
IFSC Instituto Federal de Santa Catarina
IV Initialization Vector
LAN Local Area Network
LDAP Lightweight Directory Access Protocol
MIC Message Integrity Check
MIMO Multiple Input, Multiple Output
MSCHAPv2 Microsoft Challenge Handshake Authentication Protocol - versao 2
98
OFDM Orthogonal Frequency Division Multiplexing
PAE Port Access Entity
PEAP Protected Extensible Authentication Protocol
PMK Pairwise Master Key
PTK Pairwise Transient Key ou Pairwise Temporal Key
RADIUS Remote Authentication Dial in User Service
RC4 Rivest Cipher 4
SMB Service Message Blocks
SSID Service Set Identifier
TLS Transport Layer Security
TTLS Tunneled Transport Layer Security
TKIP Temporal Key Integrity Protocol
TSC Time Sequence Counter
VLAN Virtual Local Area Network
VPN Virtual Private Networks
WEP Wired Equivalent Protocol
WiFi Wireless Fidelity
WPA Wi-Fi Protected Access
WPA-EAP Wi-Fi Protected Access - Extensible Authentication Protocol
WPA-PSK Wi-Fi Protected Access - Pre-shared key
WPA2 Wi-Fi Protected Access - versao 2
WLAN Wireless Local Area Network
99
Referencias Bibliograficas
ABOBA, B. et al. RFC 3748 - Extensible Authentication Protocol (EAP). Junho 2004.
ABOBA, B.; CALHOUN, P. RFC 3579 - RADIUS (Remote Authentication Dial In UserService) Support For Extensible Authentication Protocol (EAP). Setembro 2003.
ABOBA, B.; SIMON, D. RFC 2716 - PPP EAP TLS Authentication Protocol. Outubro 1999.
ARRUDA. Redes sem fio, padrao IEEE 802.11. Outubro 2008. Disponıvel em:<http://www.guiadohardware.com.br>.
BERGAMO, R. T. Introducao as Comunicacoes Moveis. 2007.
BOWMAN, B. Seguranca Sem Fio WPA para Redes Domesticas. Julho 2003.
BRAGA, R. D. Estudo e analise dos protocolos de seguranca em redes sem fio 802.11 e suasvulnerabilidades. Parque Tecnologico de Itaipu: Um estudo de caso. 2006.
CONGDON, P. et al. Rec. ITU-R P.1238-1 - Propagation data and prediction methods for theplanning of indoor radiocommunication systems and radio local area networks in frequencyrange 900MHz to 100GHz. 1999.
CONGDON, P. et al. RFC 3580 - IEEE 802.1X Remote Authentication Dial In User Service(RADIUS) Usage Guidelines. setembro 2003.
EDNEY, J.; ARBAUGH, W. A. Real 802.11 Security - Wi-Fi Protected Access and 802.11i . 2.ed. [S.l.]: Addison-Wesley, 2002.
ESTEVES, L. C. Antenas: teoria basica e aplicacoes. [S.l.]: McGraw-Hill, 1987.
GAST, M. S. 802.11 Wireless Networks - The Definitive Guide. 2. ed. [S.l.]: O’Reilly, 2002.
HASSEL, J. RADIUS - Securing Public Access to Private Resources. [S.l.]: O’Reilly, 2002.
MICROSOFT. Atualizacoes para Suporte WPA2. 2009. Disponıvel em:<http://www.microsoft.com/downloads/results.aspx>.
MICROSOFT. EAP. Fevereiro 2009. Disponıvel em: <http://technet.microsoft.com/pt-br/library/cc782851.aspx>.
MOUSA, A.; HAMAD, A. Evaluation of the RC4 Algorithm for Data Encryption. 2006.
NAJNUDEL, M. Estudo de propagacao em ambientes fechados para o planejamento deWLANs. 2004.
O’HARA, B.; CALHOUN, P.; KEMPF, J. RFC 3990 - Configuration and Provisioning forWireless Access Points (CAPWAP) Problem Statement. Fevereiro 2005.
Referencias Bibliograficas 100
OLIVEIRA, R. P. de; CAMPOS, R. L. Projeto de redes locais sem fio 802.11b - Analise delocalizacao. 2003.
PLUMMER, D. C. RFC 826 - Ethernet Address Resolution Protocol: Or Converting NetworkProtocol Addresses to 48.bit Ethernet Address for Transmission on Ethernet Hardware.Novembro 1982.
RIGNEY, C. RFC 2866 - RADIUS Accounting. Junho 2000.
RIGNEY, C. et al. RFC 2865 - Remote Authentication Dial In User Service (RADIUS). Junho2000.
ROSA, M. A. Instalacao do Freeradius com suporte a EAPTLS e PEAPTTLS MSCHAPv2 noUbuntu. setembro 2008. Disponıvel em: <http://www.vivaolinux.com.br/artigo/Instalacao-do-Freeradius-com-suporte-a-EAPTLS-e-PEAPTTLS-MSCHAPv2-no-Ubuntu?pagina=2>.
SANCHES, E. Criando Redes WLAN. [S.l.]: Erica, 2005.
STANLEY, D.; WALKER, J.; ABOBA, B. RFC 4017 - Extensible Authentication Protocol(EAP) Method Requirements for Wireless LANs. Marco 2005.
TANEMBAUM, A. S. Computer Networks. [S.l.]: Campus, 2001.
THALER, D.; ABOBA, B. RFC 5218 - What Makes for a Successful Protocol. Julho 2008.
VALLE, O. T. Linux, Basico, Gerencia, Seguranca e Monitoramento de Redes. 2009.
VIVASEMFIO. Antenas Inteligentes. Marco 2008. Disponıvel em:<http://www.vivasemfio.com/blog/category/antenas/>.
WAHL, M. RFC 2256 - A Summary of the X.500(96) User Schema for use with LDAPv3.Dezembro 1997.
WAHL, M.; HOWES, T.; KILLE, S. RFC 2251 - Lightweight Directory Access Protocol (v3).Dezembro 2007.
WI-FI ALLIANCE. Wi-Fi Protected Access: Strong, standards-based, interoperable securityfor today’s Wi-Fi networks. [S.l.], Abril 2003.
ZORN, G. RFC 2759 - Microsoft PPP CHAP Extensions, Version 2. January 2000.