UNIVERSIDADE CATÓLICA DE GOIÁS DEPARTAMENTO DE COMPUTAÇÃO GRADUAÇÃO EM ENGENHARIA DE COMPUTAÇÃO

Tamanho: px
Começar a partir da página:

Download "UNIVERSIDADE CATÓLICA DE GOIÁS DEPARTAMENTO DE COMPUTAÇÃO GRADUAÇÃO EM ENGENHARIA DE COMPUTAÇÃO"

Transcrição

1 UNIVERSIDADE CATÓLICA DE GOIÁS DEPARTAMENTO DE COMPUTAÇÃO GRADUAÇÃO EM ENGENHARIA DE COMPUTAÇÃO SEGURANÇA EM REDES SEM FIO USANDO VPN RÉGIS CONDE ALVES DE LIMA RENAN ALÉM SILVA

2 II NOVEMBRO 2007 UNIVERSIDADE CATÓLICA DE GOIÁS DEPARTAMENTO DE COMPUTAÇÃO GRADUAÇÃO EM ENGENHARIA DE COMPUTAÇÃO SEGURANÇA EM REDES SEM FIO USANDO VPN Trabalho de Projeto Final de Curso I e II apresentado por Régis Conde Alves de Lima e Renan Além Silva à Universidade Católica de Goiás, como requisito parcial para obtenção do título de Bacharel em Engenharia de Computação, aprovado em.../.../2007 pela banca examinadora: Professor: Wilmar Oliveira de Queiroz, Msc. Professor: Rodrigo Pinto Lemos, Dr. Professor: Ulisses Rodrigues Afonseca

3 III SEGURANÇA EM REDES SEM FIO USANDO VPN RÉGIS CONDE ALVES DE LIMA e RENAN ALÉM SILVA Trabalho de Projeto Final de Curso apresentado por Régis Conde Alves de Lima e Renan Além Silva à Universidade Católica de Goiás, como parte dos requisitos para obtenção do título de Bacharel em Engenharia de Computação. Professor: Wilmar Oliveira de Queiroz, Msc Orientador Professor: Jeová Martins Ribeiro, Esp Coordenador de Projeto Final de Curso

4 IV DEDICATÓRIA Eu Régis, dedico este trabalho a todos os meus familiares, em especial ao meus pais Sérgio e Vera, que sempre estiveram ao meu lado, e não mediram esforços para que eu pudesse chegar ao final dessa jornada; aos meus Tios Paulo e Cristina, pela grande confiança depositada em mim, proporcionando-me a oportunidade de dar mais um passo importante na minha vida, onde me acolherem com todo o amor e carinho; à minha Tia Antônia que sempre acreditou no meu potencial apoiando-me sempre; a todos os meus familiares que de uma forma ou de outra contribuíram para que eu pudesse realizar esse sonho; Eu Renan, dedico este trabalho primeiramente a Deus, pelo seu amor e sua onipresença, a todos familiares especialmente a Srª Celeida Araújo de Mendonça, minha mãe querida que eu amo muito, que sempre fez tudo o possível para que eu chegasse onde cheguei; à minha amada tia-mãe Iêda Araújo de Mendonça, um espelho de pessoa, por ter me ajudado sempre que solicitada e contribuído com a minha educação; à minha amada vómãe Vanir Araújo de Mendonça, por ter- me acolhido em sua casa e me educado da melhor forma possível; à meu pai Marcos Além da Silva, que mesmo não podendo presenciar esse momento esteve sempre em meus pensamentos e no meu coração; À Flávia Cristina pelo carinho, amor, e por seu companheirismo.

5 V AGRADECIMENTOS Eu Régis, agradeço a todos os meus familiares, pelo carinho, apoio e toda a confiança depositada em minha pessoa, abrindo as portas para que eu pudesse realizar esse sonho de me tornar Bacharel em Engenharia de Computação. Ao nosso Professor Orientador Wilmar Oliveira de Queiroz, principalmente pelo voto de confiança que nos foi dado, pela paciência e orientação. Aos grandes amigos que fiz no decorrer do curso, pela força que sempre me deram quando precisei. Eu Renan agradeço primeiramente a Deus pelo dom da vida, e por sempre está ao meu lado. Aos meus familiares pela educação, carinho, afeto e companheirismo nas horas de dificuldade, à minha noiva pela força, companheirismo e compreensão nas horas de ausência. Ao Professor Wilmar Oliveira de Queiroz, orientador acadêmico, pelo apoio e confiança em mim depositada. Aos colegas que sempre acreditaram em nossos esforços, ajudando na realização deste, em especial ao Sr Antonio Pereira de Souza.

6 VI RESUMO Este estudo visa apresentar aspectos da evolução das redes de computadores e, em especial, a tecnologia de redes sem fio, assim como suas configurações, topologias, aplicações e suas falhas, além de aprofundar em questões relacionadas à segurança das mesmas. A fim de garantir a autenticação do usuário, criptografia e autenticidade dos dados fez-se um estudo dos protocolos da VPN, tais como o PPTP, L2TP e o IPSec. Além do estudo sobre VPN, apresentam-se outros métodos de promover a segurança na utilização de redes sem fio, como firewall, servidores de autenticação e criptografia. Uma implementação de VPN em uma rede local sem fio, utilizando o Windows Server 2003 como servidor de VPN e Windows XP Professional como cliente é apresentada como uma solução para garantir a segurança na comunicação entre cliente e servidor. Palavras chaves: Redes sem fio, Aplicações, Autenticidade, Firewall e IPSec. VPN, Autenticação, Criptografia,

7 VII ABSTRACT This present research aims showing the aspects of network evolution, special the technology of the wireless as well as its configurations, topologies, applications and its imperfections, besides going deeps questions related to the security of the same ones. It was done a study of the protocols VPN, such as PPTP, L2TP and IPSec, in order to guarantee the user authentication, the cryptography and authenticity of the data. Beyond the study on VPN, there is other method to promote the security in the use of the wireless, such as firewall, authentication servers, cryptography. It is presented as solution to guarantee the security between the client and serving an implementation of the VPN in a wireless local network, using Windows Server 2003 as serving of the VPN and Windows XP Professional in the costumer. Words keys: Wireless, Applications, VPN, Authentication, Criptografia, Authenticity, Firewall and IPSec.

8 VIII SEGURANÇA EM REDES SEM FIO USANDO VPN SUMÁRIO SEGURANÇA EM REDES SEM FIO...I USANDO VPN...I NOVEMBRO...II SEGURANÇA EM REDES SEM FIO...II USANDO VPN...II SEGURANÇA EM REDES SEM FIO...III USANDO VPN...III...III Professor: Wilmar Oliveira de Queiroz, Msc Professor: Jeová Martins Ribeiro, Esp...III Orientador Coordenador de Projeto Final de Curso...III DEDICATÓRIA...IV ABSTRACT...VII SEGURANÇA EM REDES SEM FIO...VIII USANDO VPN...VIII LISTA DE FIGURAS...XII LISTA DE ABREVIAÇÕES...XV SEGURANÇA EM REDES SEM FIO...XVII USANDO VPN...XVII INTRODUÇÃO...XVII SEGURANÇA EM REDES SEM FIO...XIX USANDO VPN...XIX REDES DE COMPUTADORES...XIX Topologias de redes de computadores...xix 2.2 Tipos de Rede...XX 2.3 Redes Cabeadas...XXI O Par Trançado...XXI Tipos...XXI Os cabos coaxiais...xxi Tipos...XXII Os cabos de fibra óptica...xxii Tipos...XXII 2.4 Classificações de Rede...XXII SEGURANÇA EM REDES SEM FIO...XXIV USANDO VPN...XXIV REDES SEM FIO...XXIV Características dos meios de comunicação...xxv

9 IX Wireless...XXV Vantagens...XXVI Desvantagens...XXVI InfraRed...XXVII Vantagens...XXVII Desvantagens...XXVII Bluetooth...XXVII Vantagens...XXVIII Desvantagens...XXVIII Wi-MAX...XXVIII Protocolos...XXVIII Técnicas de Transmissão...XXX Spread Spectrum...XXX Direct Sequence Spread Spectrum (DSSS)...XXX Frequency-Hopping Spread-Spectrum (FHSS)...XXX Orthogonal Frequency Division Multiplexing/Modulation (OFDM)...XXXI Carrier Sense Multiple Access with Collision Avoidance (CSMA/CA)..XXXI e suas variações...xxxi O Ponto de Acesso (PA)...XXXIII Principais funções do PAs...XXXIV Tipos de antenas...xxxv Extended Service Set Identifier (ESSID)...XXXVIII SEGURANÇA EM REDES SEM FIO...XL USANDO VPN...XL SEGURANÇA...XL 4.1 Definição de Segurança...XLI 4.2 Principais meios para promover a segurança...xli 4.3 Principais problemas acarretados pela falta de segurança...xlii Tipos de ataque...xlii Problema de segurança física...xliv Problemas de configuração do PA...XLIV Envio de sinal...xlv Negação de Serviços (Denial of Service DoS)...XLV Mapeamento do ambiente...xlvii 4.4 Tipos de Defesa...XLVII Firewall...XLVIII Filtros de pacotes estáticos...xlviii Firewalls com estado...xlix Firewalls Proxy...XLIX Criptografia...XLIX WEP...LI WPA...LIV Processo de criptografia e descriptografia do WPA...LVI WPA2...LVIII Função hash...lviii Assinatura Digital...LVIII Certificado Digital...LIX Autenticação...LX

10 X Autenticação Two-Party Autentication...LX Trusted Third-Party Authentication...LXII SEGURANÇA EM REDES SEM FIO...LXIV USANDO VPN...LXIV VPN...LXIV Elementos de uma VPN...LXVII Tunelamento VPN...LXVII Tipos de Tunelamento e de Túneis...LXVIII Metodologia básica da VPN...LXIX Protocolos para VPN...LXIX PPP (Point-to-Point)...LXX Autenticação em PPP...LXXI Password Authentication Protocol (PAP): Esse método de autenticação foi o primeiro a ser implementado para permitir a conexão de clientes remotos. O nome do usuário e a senha são enviados sem criptografia do cliente para o servidor. Este protocolo não proporciona privacidade uma vez que o nome do usuário e a senha são transmitidos sem uso de criptografia. O servidor não tem controle sobre o número de tentativas de autenticações enviadas pelo cliente, o que é uma vulnerabilidade para ataques de força bruta; [3]...LXXI Challenge Handshake Authentication Protocol (CHAP): Método de autenticação iniciado pelo servidor, que envia um desafio para o cliente de forma aleatória dentro de um conjunto preestabelecido de desafios e respostas. O cliente utiliza uma função hash para devolver a resposta ao servidor, que irá validar a resposta no banco de desafios e resposta, e autoriza ou não o acesso. Permite o controle do número de respostas válidas e inválidas, que ajuda a identificar um possível invasor usando de força bruta para tenta acessar o servidor. Os desafios propostos pelo servidor podem mudar aleatóriamente, evitando assim ataques de replay, em que o invasor tenta se autenticar usando uma resposta de um desafio lançado anteriormente pelo servidor;...lxxi Extensible Authentication Protocol (EAP): Protocolo de autenticação que suporta vários mecanismos de autenticação. O EAP é um protocolo de negociação de protocolos de autenticação que ocorre em duas fases, primeiramente a fase de controle de link na qual o servidor envia para o cliente uma sugestão do método de autenticação, onde o cliente aceita ou não a sugestão do servidor, passando então para a segunda fase em que o servidor envia um pedido de autenticação ao cliente que responde ao servidor e o mesmo notifica o usuário se aceita ou não a autenticação dele...lxxii PPTP (Point-to-Point Tunneling Protocol)...LXXII L2F (Layer Two Forwarding Protocol)...LXXV L2TP (Layer Two Tunneling Protocol)...LXXV MPLS (Multiprotocol Label Switching)...LXXVI IPSec...LXXVII SA (Security Association)...LXXVIII Manipulação de Pacotes de Dados...LXXIX AH (Authentication Header)...LXXX ESP (Encapsulation Security Payload)...LXXXII SPD (Security Policy Database)...LXXXIV Gerenciamento de Chaves...LXXXV Implementações do IPSec...LXXXVI

11 XI Análise da Topologia para VPNs...LXXXVII VPN em frente ao Firewall...LXXXVIII VPN atrás do Firewall...LXXXIX VPN e Firewall integrado...xc Gateway VPN em paralelo ao Firewall...XCI Gateway VPN numa interface do Firewall...XCII SEGURANÇA EM REDES SEM FIO...XCIV USANDO VPN...XCIV 6.1 Objetivo...XCIV 6.2 Configurações dos Equipamentos...XCV 6.3 Cenários...XCV Cenário 1 (Sem VPN e sem Criptografia)...XCVI Comentários...XCVI Testes Realizados...XCVII Cenário 2 (Sem VPN e com Criptografia WEP 128 bits)...xcviii Testes Realizados...XCVIII Cenário 3 (Sem VPN e com Criptografia WPA)...XCIX Testes Realizados...XCIX Cenário 4 (Com VPN e protocolo IPSec)...XCIX Testes Realizados...C SEGURANÇA EM REDES SEM FIO...CIV USANDO VPN...CIV CONCLUSÃO...CIV SEGURANÇA EM REDES SEM FIO...CVI USANDO VPN...CVI REFERÊNCIAS BIBLIOGRÁFICAS...CVI SEGURANÇA EM REDES SEM FIO...CVIII USANDO VPN...CVIII ANEXO 1...CVIII ROTEADOR D-LINK DI CVIII SEGURANÇA EM REDES SEM FIO...CXII USANDO VPN...CXII ANEXO 2...CXII CONFIGURAÇÃO DO CLIENTE VPN...CXII SEGURANÇA EM REDES SEM FIO...CXXVI USANDO VPN...CXXVI ANEXO 3...CXXVI CONFIGURAÇÃO DO SERVIDOR VPN...CXXVI SEGURANÇA EM REDES SEM FIO...CXLV USANDO VPN...CXLV ANEXO 4...CXLV FUNCIONAMENTO DA VPN...CXLV

12 XII LISTA DE FIGURAS Figura 1 Classificação de Redes sem Fio...XXIII Figura 2 Representação do Sistema de Distribuição...XXXV Figura 3 Access Point com duas antenas padrão...xxxvi Figura 4 - Antena Yagi...XXXVI Figura 5 - Antenas Ominidireconais...XXXVI Figura 6 - Mini-parabolica de potência entre 24 ou 28 dbi...xxxvii Figura 7 - Ponto de Acesso operando em modo Root...XXXVII Figura 8 - Ponto de Acesso operando em modo Repetidor...XXXVIII Figura 9 - Ponto de Acesso operando em modo Ponte...XXXVIII Figura 10 - Interceptação dos dados transmitidos...xlii Figura 11 - Falsificação dos dados e transmissão...xliii Figura 12 - Fabricação das Mensagens...XLIII Figura 13 - Posicionamento do Ponto de Acesso...XLV Figura 14 - Processo de criptografia do WPA...LVI Figura 15 - Processo de descriptografia do WPA...LVII Figura 16 - Autenticação Kerberos...LXIII Figura 17 - VPN dial-up, podendo ser de host/host...lxv Figura 18 - VPN conectando redes diferentes...lxvi Figura 19 - Usando VPN o funcionário remoto acessa a rede...lxvi Figura 20 - Datagrama IP utilizado no protocolo PPTP...LXXIV Figura 21 - Protocolo AH...LXXX Figura 22 - Modo Transporte do protocolo AH...LXXXI Figura 23 - Modo Túnel do protocolo AH...LXXXII Figura 24 - Campos do Protocolo ESP...LXXXIII Figura 25 - Gateway VPN em frente ao Firewall...LXXXIX Figura 26 - Gateway VPN atrás do Firewall...XC Figura 27 - Gateway VPN integrado ao Firewall...XCI Figura 28 - Gateway VPN em paralelo com o Firewall...XCII Figura 29 - Gateway VPN ao lado do Firewall...XCIV Figura 30 - Roteador D-Link DI XCV

13 XIII Figura 31 Configuração de rede sem fio estruturada...xcvi Figura 32 - Configuração cenário 1...XCVII Figura 33 - Dados capturados pelo interceptador...xcviii Figura 34 - Detalhes da conexão VPN no cliente...c Figura 35 - VPN conectada...ci Figura 36 - Dados não legíveis...cii Figura 37 - Dados capturados dentro da VPN...CII Figura 38 - Começando a Implementação...CXII Figura 39 - Segundo passo "Todos os Programas"...CXIII Figura 40 - Acessórios...CXIII Figura 41 - Comunicações...CXIV Figura 42 - Assistência para novas Conexões...CXIV Figura 43 - Assistente para novas conexões...cxv Figura 44 - Tipo de conexões de rede...cxv Figura 45 - Conexão de rede...cxvi Figura 46 - Nome da conexão...cxvi Figura 47 - Rede pública (não discar)...cxvii Figura 48 - IP do servidor VPN...CXVII Figura 49 - Conclusão da conexão...cxviii Figura 50 - Ícone da conexão na área de trabalho...cxviii Figura 51 - Nome do usuário e Senha que serão preenchido posteriormente...cxix Figura 52 - IP do servidor Escolhido...CXIX Figura 53 - Opções da conexão VPN...CXX Figura 54 - Configurações avançadas de segurança...cxx Figura 55 - Escolha de Criptografia de segurança máxima...cxxi Figura 56 - Configuração do IPSec...CXXII Figura 57 - Inserção da chave do IPSec...CXXII Figura 58 - Tipo de VPN...CXXIII Figura 59 - Opção avançadas de firewall...cxxiii Figura 60 - Desabilitando o firewall...cxxiv Figura 61 - Finalizando as configurações da VPN...CXXIV Figura 62 - Usuário e Senha...CXXV Figura 63 - Tela Inicial do Windows Server CXXVI Figura 64 - Ferramentas Administrativas...CXXVII Figura 65 - Roteamento e acesso remoto...cxxvii Figura 66 - Acesso Remoto Ativado...CXXVIII Figura 67 Adicionando um servidor de acesso remoto...cxxviii Figura 68 - Escolha do Servidor...CXXIX Figura 69 - Servidor de acesso remoto instalado...cxxix Figura 70 - Configurando o acesso remoto...cxxx Figura 71 - Tela Inicial das Configurações...CXXX Figura 72 - Escolha do tipo de Servidor...CXXXI Figura 73 - Escolha da interface de conexão...cxxxi Figura 74 - Opção para criar pool de IP...CXXXII Figura 75 - Atribuindo IP...CXXXII Figura 76 - Determinando IP inicial e IP final da rede interna...cxxxiii Figura 77 - Atribuição de IP realizadas...cxxxiii Figura 78 - Configurar serviços de Nome e Endereço...CXXXIV Figura 79 - Não utilizar servidor RADIUS...CXXXIV

14 XIV Figura 80 - Configuração do servidor completa...cxxxv Figura 81 - Mensagem de alerta DHCP...CXXXV Figura 82 - Interface de controle do servido de acesso remoto...cxxxvi Figura 83 - Atribuindo diretivas de acesso remoto...cxxxvi Figura 84 - Inicio da configuração das diretivas...cxxxvii Figura 85 - Nome da Diretiva...CXXXVII Figura 86 - Método de acesso desejado...cxxxviii Figura 87 - Adicionando usuário da conexão VPN...CXXXVIII Figura 88 - Selecionando Grupo de acesso a VPN...CXXXIX Figura 89 - Procurando grupo de acesso...cxxxix Figura 90 - Selecionando grupo VPN...CXL Figura 91 - Grupo de acesso escolhido...cxl Figura 92 - Retornando à tela de acesso...cxli Figura 93 - Escolhendo tipo de autenticação...cxli Figura 94 - Escolhendo criptografia...cxlii Figura 95 - Concluindo criação da diretiva...cxlii Figura 96 - Configurando propriedades do servidor...cxliii Figura 97 - Configurando propriedades...cxliii Figura 98 - Guia Segurança, adicionando chave IPSec...CXLIV Figura 99 - Interface de rede configurada...cxlv Figura Clientes de acesso remoto...cxlvi Figura Portas de acesso do servidor...cxlvi Figura Roteamento IP...CXLVII Figura Monitoramento IP...CXLVII Figura Rota estabelecida entre cliente e servidor...cxlviii Figura Agentes de retransmissão DHCP...CXLVIII Figura NAT/Firewall desabilitados para conexão selecionada...cxlix Figura Diretivas de Conexão IP...CXLIX Figura Interface de monitoramento IPSec...CL Figura Associação de Segurança...CL

15 XV LISTA DE ABREVIAÇÕES 3-DES AC AES AH AP SA BSA BSS CPD CSMA/CA DES DoS EAP ESP ESSID FHSS GPS GRE IBM ICMP IEEE IETF IKE IPSec IPv4 IPv6 ISA ISAKMP ISM ISP KDC L2F L2TP LAN LCP LDP LSP LSR MAN MD5 MIT MPLS MPPE Triple Data Encryption Standard Autoridade Certificadora Advanced Encryption Standard Authentication Header Access Point Security Association Basic Service Area Basic Service Set Central de Processamento de Dados Carrier Sense Multiple Access with Collision Avoidance Data Encryption Standard Denial of Service Extensible Authentication Protocol Encapsulating Security Payload Extended Service Set Identifier Frequency Hopping Spread Spectrum Global Positioning System Generic Routing Encapsulation International Business Machines Internet Control Message Protocol Institute of Electrical and Electronics Engineers Internet Engineering Task Force Internet Key Exchange Protocol IP Secure Internet Protocol version 4 Internet Protocol version 6 Industry Standard Architecture Internet Security Association and Key Management Protocol Instrumentation, Scientific & Medical Internet Service Provider Kerberos Key Distribution Center Layer Two Forwarding Protocol Layer Two Tunneling Protocol Local Area Network Link Control Protocol Label Distribution Protocol Label Switch Path Label Switch Router Metropolitan Area Network Message-Digest algorithm 5 Massachusetts Institute of Technology Multiprotocol Label Switching Micrsoft Point-to-point Encryption

16 XVI MS-CHAP Microsoft-Challenge Handshake Authentication Protocol Network Access Server NAS NCP OFDM PA PAN PAP PDA PGP PPP PPTP RADIUS RAS RSN SA SAD SHA1 SHA2 SPD SPI SSH SSL STP TACACS TGS TI UTP VPN WAN WEP Wi-Max WLAN WMAN WPA WPAN WWiSE Network Control Protocol Orthogonal Frequency Division Multiplexing/Modulation Ponto de Acesso Personal Area Network Password Authentication Protocol Personal Digital Assistant Pretty Good Privacy Point-to-Point Protocol Point-to-Point Tunneling Protocol Remote Authentication Dial-in User Service Remote Acess Server Robust Security Network Security Association Security Association Database Secure Hash Algorithm 1 Secure Hash Algorithm 2 Security Policy Database Security Parameter Index Secure Shell Secure Sockets Layer Shielded Twisted Pair Terminal Access Controle Access Control System Ticket Granting Server Tecnologia da Informação Unshielded Twisted Pair Virtual Private Network Wide Area Network Wired Equivalent Privacy Worldwide Interoperability for Microwave Access Wireless Local Area Networks Broadband Wireless Metropolitan Area Network Wi-fi Protected Access Wireless Personal Área Networks World Wide Spectrum Efficiency

17 XVII SEGURANÇA EM REDES SEM FIO USANDO VPN CAPÍTULO I INTRODUÇÃO A tecnologia nos tempos atuais vem evoluindo rapidamente, buscando atender as necessidades dos usuários, necessidades essas cada vez mais pessoais. A busca constante por comodidade e eficiência foi o que impulsionou o desenvolvimento das redes sem fio. A principal idéia foi que usuários não precisassem usar um cabo de rede para poder conectar-se a Internet, ou até mesmo fazer parte de uma rede, mas simplesmente que ele pudesse se comunicar com outros computadores por um meio não físico e que ao se locomover permanecesse conectado. Porém ao garantir comunicação por um meio sem fio tem-se como uma das principais preocupações a segurança das informações que trafegam por esse meio, utilizandose de rádio freqüência para transmitir os dados. Com isso, a segurança tornou-se algo imprescindível em qualquer ambiente, seja em grandes empresas ou até mesmo em redes domésticas. A captura de informações pode significar prejuízos às empresas, onde na maioria das vezes essas informações são extremamente sigilosas e podem ser utilizadas pelos concorrentes, por exemplo, além do que elas podem ser roubadas, apagadas ou até mesmo modificadas. A insegurança vem crescendo junto com a popularização da rede mundial de computadores (Internet), devido ela ser uma rede pública e por trafegar milhares de informações constantemente, tornando as informações muito vulneráveis a interceptações. Diante desses fatos, a proposta é aumentar a segurança das informações que trafegam em redes sem fio, utilizando a mesma rede pública. Para isso faz-se uso de tecnologias como Firewalls, criptografia, servidores de autenticação, políticas de segurança da empresa, configuração dos aparelhos e o uso de redes virtuais privadas (VPN). A VPN vem se mostrando uma tecnologia bastante segura e ainda pouco utilizada em conjunto com redes sem fio, por isso o interesse por essa tecnologia que garante a confiabilidade, confidencialidade e legitimidade da mensagem transmitida.

18 XVIII A integração de várias tecnologias como, por exemplo, VPN e firewall podem garantir um melhor nível de segurança tornando assim o ambiente sem fio mais seguro. Os investimentos em políticas de segurança, com métodos para tornar a rede mais segura devem ser proporcionais ao valor das informações que se deseja proteger. O objetivo deste trabalho é realizar um estudo sobre redes sem fio, assim como uma implementação de uma VPN para garantir maior segurança para esse tipo de rede. Justifica-se este trabalho, devido a grande vulnerabilidade das redes sem fio e a necessidade de se implementar métodos para garantir a segurança dos dados trafegados, neste caso, utilizou-se a tecnologia de VPN. Este trabalho apresenta a seguinte estrutura: No cap. II (Redes de computadores) sitase de forma sucinta sobre os tipos de redes de computadores; No cap. III (Redes sem fio) trata-se em especifico das redes sem fio, suas topologias, suas características, seus protocolos e sobre o ponto de acesso; No cap. IV (Segurança) abrange-se aspectos como a definição de segurança, os meios de promove-la, os principais problemas acarretados pela falta de segurança e em seguida os meios de como promover segurança. No cap. V (VPN) apresentase um estudo detalhado sobre a VPN, seus elementos, seus protocolos em especifico sobre o IPSec; No cap. VI (Implementação) relata a experiência realizada com a configuração de um servidor VPN/IPSec e um cliente VPN.

19 XIX SEGURANÇA EM REDES SEM FIO USANDO VPN CAPÍTULO II REDES DE COMPUTADORES O primeiro experimento conhecido como conexão de computadores em rede, foi feito em 1965 nos Estados Unidos, por obra de dois cientistas: Lawrence Roberts e Thomas Merril. A experiência foi realizada por meio de uma linha telefônica discada de baixa velocidade, fazendo a conexão entre dois centros de pesquisa em Massachusetts e na Califórnia. Com a fusão entre computadores e comunicação, criou-se o conceito de centro de computação, em que o modelo de um único computador atendendo a todas as necessidades computacionais da organização foi substituído pelas chamadas Redes de computadores. Denomina-se Redes de computadores, um conjunto de computadores interconectados, onde dois ou mais computadores se comunicam através de meios cabeados (fio de cobre, fibras ópticas) ou meios não cabeados (microondas, ondas de infravermelho e satélites de comunicações), tendo como seu principal objetivo compartilhar recursos entre usuários, como aplicações, equipamentos e dados, independente de onde estejam localizados este recursos ou usuários. Um dos grandes avanços para que as Redes de Computadores pudessem se popularizar foi o desenvolvimento da tecnologia Ethernet, por Robert Metcalfe, permitindo assim que os computadores compartilhassem um cabo comum de conexão Topologias de redes de computadores Usando um cabo coaxial chamado yellow cable de grande diâmetro para conectar os computadores é que deu inicio às redes. A topologia era o desenho de um barramento, no qual os computadores iam sendo conectados. O conector desse sistema foi apelidado de vampiro, porque mordia o cabo em pontos determinados. Do barramento saía um cabo serial que se

20 XX ligava à placa de rede. O yellow cable podia ser instalado no teto ou no chão, conectado ao cabo menor. Ao longo do tempo, muitos tipos de topologias foram testadas, mas apenas três tipos básicos foram realmente empregados na conexão dos computadores: - Anel: Todos os computadores são conectados em um anel. É a topologia das redes Token Ring, popularizadas pela IBM nos anos 80; - Barramento: Os computadores são conectados em seqüência em um sistema linear de cabeamento. Esse arranjo era usado nas primeiras gerações de redes Ethernet, mudando posteriormente para o modelo mais atual chamado Estrela; - Estrela: Todas as informações passam por um ponto central inteligente, que deve conectar cada estação da rede e distribuir o tráfego para que uma estação não receba indevidamente dados destinados a outras. 2.2 Tipos de Rede Quanto aos tipos de redes, tem-se dois tipos básicos de rede: ponto-a-ponto e cliente servidor. - Ponto-a-Ponto: são pequenas redes que consistem em muitas conexões entre pares de máquinas individuais. Elas são de fácil instalação e configuração, porém possuem algumas desvantagens, como sua fraca política de segurança e integridade dos dados, já que por ser uma rede descentralizada, um arquivo com o mesmo nome pode estar presente em dois ou mais computadores; - Cliente servidor: esse tipo de rede tem como característica, possuir no mínimo um computador dedicado a uma ou mais tarefas, onde este é chamado de servidor. Ao contrário das redes ponto-a-ponto, esse tipo de rede é centralizada, tendo como uma grande vantagem à política de segurança, já que com essa característica centralizada os dados só serão acessados por usuários devidamente autorizados.

21 XXI 2.3 Redes Cabeadas O projeto de cabeamento de uma rede é um fator de extrema importância para o seu bom desempenho. Esse projeto envolve aspectos como a taxa de transmissão, largura de banda, facilidade de instalação, imunidade a ruídos em ambientes de grande interferência, confiabilidade, custos de interface, exigências geográficas, conformidade com padrões internacionais e disponibilidades de componentes O Par Trançado É o meio de transmissão mais antigo e ainda mais comum. Sua aplicação mais comum é o sistema telefônico, onde esses podem se estender por diversos quilômetros sem amplificação. Eles podem ser utilizados na transmissão de sinais analógicos ou digitais onde a sua largura de banda depende da espessura do fio e da distância percorrida [1] Tipos - UTP (Unshielded Twisted Pair ): Cabo sem blindagem; - STP (Shielded Twisted Pair): Cabo com blindagem Os cabos coaxiais Permitem transmissão tanto de sinais de áudio quanto de dados, através de rádio freqüência, onde reduz os efeitos de sinais externos sobre os sinais a serem transmitidos. Ele é constituído por um fio de cobre condutor revestido por um material isolante e por duas camadas protetoras. Este meio permite transmissões com freqüências muito elevadas e de longas distâncias.

22 XXII Tipos Dois tipos de cabo coaxial mais utilizados: - 50 ohms, mais empregado em transmissões digitais; - 75 ohms, mais utilizados nas transmissões analógicas e de televisão a cabo, e passou a ser muito utilizado na Internet via cabo; Os cabos de fibra óptica Permitem transmissões de dados a velocidades muito maiores e são completamente imunes a qualquer tipo de interferência eletromagnética, porém, são muito mais caros e difíceis de instalar, demandando mão de obra mais especializada. Apesar da alta velocidade de transferência, as fibras ainda não são uma boa opção para pequenas redes devido o seu alto custo, custos esses de equipamentos específicos de fibra óptica, em cabos e em mão de obra na construção das redes Tipos - As fibras multímodo: aplicadas normalmente em LAN (Local Area Network); - As fibras monomodo: aplicadas normalmente em WAN (Wide Area Network). 2.4 Classificações de Rede As redes de computadores podem ser classificadas quanto a área de abrangência, existem quatro classificações mais abordadas, conforme pode ser visto na figura 1: - PAN: tipo de rede pequeno, utilizada para interconectar dispositivos pessoais como: um celular que se conecta com o fone sem fio; um PDA que se conecta ao som de carro. Os dispositivos apesar de estarem em locais diferentes, à distância entre eles é muito

23 XXIII pequena, logo a velocidade de comunicação não é muito grande em relação às outras tecnologias que utilizam rede sem fio. - LAN: são as redes locais, que são utilizadas para conectar computadores pessoais, estações, servidores, etc., porém tem um tamanho restrito. Apesar de cobrir uma área relativamente pequena, elas são capazes de transmitir dados em alta velocidade, com baixa taxa de erros. - MAN: conhecidas como redes metropolitanas, ela pode abranger até uma cidade. Um exemplo típico é a rede de televisão a cabo, onde no seu inicio, uma grande antena era colocada no alto de uma colina e o sinal era distribuído até a casa dos assinantes. - WAN: são redes geograficamente distribuídas (remotas), formadas pela ligação de sistemas de computadores localizados em regiões fisicamente distantes. Esse tipo de rede é geralmente o modelo oferecido pelas empresas de telecomunicações. Figura 1 Classificação de Redes sem Fio

24 XXIV SEGURANÇA EM REDES SEM FIO USANDO VPN CAPÍTULO III REDES SEM FIO Uma rede sem fio é caracterizada por um conjunto de sistemas conectados por uma tecnologia de rádio através do ar, com antenas sendo usadas como transmissores, irradiando os dados através da rede em todas as direções ou em uma direção especifica. Existem vários tipos de antenas, que serão tratadas mais adiante. As redes sem fio passam a fazer parte cada vez mais do nosso cotidiano, tanto no cenário empresarial quanto no domiciliar, tornando-se cada dia mais popular. Esse tipo de rede traz uma série de novas funcionalidades para troca de informações, como mobilidade, flexibilidade e praticidade. A mobilidade, uma das principais vantagens da utilização desse tipo de rede, permite que a utilização seja feita em lugares como conferências, aeroportos, cafés, hotéis, meios acadêmicos, residências, dentro do carro entre outros, desde que o equipamento esteja dentro de uma área de cobertura de um ponto de acesso. A flexibilidade traz facilidades no que diz respeito à acessibilidade, uma vez que a configuração é bastante simples, muitas vezes até automática. Embora os equipamentos de rede sem fio sejam mais caros, a redução dos custos de instalação torna o investimento muitas vezes compensatório. As redes sem fio podem ser classificadas em dois tipos: - Infra-estruturadas: sua principal característica é a comunicação dos dispositivos móveis com um ou mais equipamentos centralizadores, chamados de Pontos de Acesso (PA). Não permite comunicação entre cliente-cliente, pois todo o tráfego deve passar pelo PA. Pode funcionar em dois modos: BSS: O PA conectado à rede cabeada e com vários clientes wireless permitindo assim a comunicação entre a rede cabeada e a rede sem fio. É criado uma espécie de célula para cada Ponto de Acesso.

25 XXV ESSS: É a junção de dois sistemas BSS, disponibiliza o acréscimo de outro ponto de acesso, aumentando assim o número de clientes que podem fazer uso da rede sem fio. - Sem Infra-estutura ou ad hoc: nesse tipo de configuração, todos os dispositivos são capazes de estabelecer uma comunicação direta com outros dispositivos que estejam ao seu alcance, não havendo a figura centralizadora do Ponto de Acesso, a comunicação é do tipo cliente-cliente, suportando no máximo 5 clientes para uma performance aceitável. Dentro deste meio de comunicação, encontram-se várias tecnologias, como Wi-Fi (Wireless), InfraRed (infravermelho), Bluetooth e Wi-MAX. Cada meio de comunicação possui suas particularidades, como por exemplo, alcance, a taxa de transferência e seus protocolos, que serão discutidos posteriormente Características dos meios de comunicação Os meios de comunicação sem fio mais comuns são Wireless, Infrared, Bluetooth e o Wi-MAX. Cada tipo de arquitetura tem suas vantagens e desvantagens, como será mostrado a seguir Wireless - Muito utilizado atualmente; - Fácil instalação e configuração; - Velocidade de transmissão depende do protocolo utilizado, variando de 1 Mbps até 500 Mpbs; - Menor custo de instalação, por não precisar de cabos.

26 XXVI Vantagens - Flexibilidade de instalação: pois podem ser instalados em locais impossíveis para cabo; - Mobilidade: acesso às informações em qualquer lugar, dentro do alcance do ponto de acesso; - Maior produtividade: pois pode acarretar um aumento real de produtividade em determinados casos, uma vez que o funcionário não precisa estar em sua sala; Imagine um funcionário responsável por catalogar todos os produtos de uma loja, caso ele esteja munido de um scanner de mão Wireless, e este por sua vez, estiver conectado a um computador central por meio de uma rede sem fio. Neste caso a economia de tempo é muito grande o que leva a maior produtividade uma vez que o funcionário não precisa fazer a entrada dos dados através de um computador ligado fisicamente ao computador central. [5] - Redução de custo de instalação: não há necessidade de cabo; - Escalabilidade: pode-se acrescentar mais máquinas sem a necessidade de trocar hubs ou switches simplesmente configurando um novo computador à rede; - Alta imunidade a ruídos: Os pontos de acesso utilizados operam normalmente na freqüência de 2,4 GHz, trabalhando num sistema de espalhamento de freqüência ou frequence hope, o que reduz drasticamente a possibilidade de interferências, garantindo a qualidade do sinal e a integridade das informações; - Segurança: Permite instalar mecanismos de proteção como a VPN (Virtual Private Network), WEP e WPA Desvantagens - Restrições: todos os produtos sem fio devem respeitar as regulamentações locais, a respeito da faixa de freqüência utilizada; - Segurança e privacidade: a interface de rede sem fio, ainda proporciona muitos riscos às informações trafegadas por este meio; - Alcance menor que as redes cabeadas;

27 XXVII InfraRed - Os raios infravermelhos possuem um alcance de até 5 metros com um ângulo de 45º da fonte; - Utilizado para conectar pequenos aparelhos para evitar uso de antenas; - Utilizado em controle remoto, mouse sem fio e conexão entre Palmtops; - Utilizado em teclado para PDA Vantagens - Praticidade no uso; - Aparelhos que utilizam esse tipo de comunicação são mais baratos Desvantagens - Alcance limitado; - Tempo de resposta curto; - Interferência física (qualquer obstáculo pode cancelar a conexão); - Necessidade de alinhamento do dispositivo; - Dificuldade ao se locomover com o emissor de raios infravermelhos Bluetooth - Permite a comunicação de qualquer dispositivo que possui um chip Bluetooth; - Possibilidade de criação de uma rede pessoal, interligando celular, computador, eletrodomésticos; - Atua em um raio de 10 metros podendo chegar até 100 metros com uma freqüência de rádio de 2,4 GHz; - Velocidade de até 1 Mbps.

28 XXVIII Vantagens - Não necessita de alinhamento com o dispositivo; - Maior locomoção proporcionada pelo fato de não necessitar de alinhamento; - Meio de propagação é o ar, necessitando apenas de antenas; - Suporta comunicação tanto de dados quanto de voz; - Pode facilmente ser integrado nos protocolos de comunicação como o TCP/IP; - Sistema criptográfico seguro; - Instalação simples Desvantagens - Número de componentes conectados é limitado; - Não permite outras aplicações para o dispositivo Bluetooth Wi-MAX - Considerada o futuro da rede sem fio; - Velocidade de até 75 Mbps cobrindo uma área metropolitana de até 50 Km; - Pode atender milhares de usuários; - Antenas não precisam ser visadas direta uma para outras; - Possibilidade de atender a qualquer local, tanto praias, como montanhas Protocolos Protocolo é a linguagem usada pelos dispositivos de uma rede para se comunicarem de modo que elas consigam se entender, isto é, trocar informação entre si. Para que todos esses dispositivos de uma rede consigam se comunicar, todos eles deverão estar

29 XXIX usando uma mesma linguagem, ou seja, o mesmo protocolo. O objetivo dos protocolos em geral, é definir um formato para a transmissão dos dados através de uma rede. Atualmente são definidos alguns padrões de troca de informações sem fio, sendo elas: - WLAN (Wireless Local Area Networks) definidas pelo padrão IEEE ; - WPAN (Wireless Personal Area Networks) definidas pelo padrão Bluetooth, atualmente incorporado no padrão IEEE ; - WMAN (Broadband Wireless Metropolitan Area Networks), definidas pelo padrão IEEE As freqüências utilizadas nas redes sem fio podem ser: - Freqüência de 2,4 GHz: faixa de freqüência mais comumente utilizada por muitos tipos de equipamentos (telefone sem fio), por isso que se diz que é poluída ou suja. Usada nos padrões b e g; - Freqüência de 5 GHz: utilizada no padrão a, diferenciando-se da anterior pelo fato de ter um alcance menor, porem utilizada quando não se deseja que o sinal atinja áreas muito afastadas do PA. Pode ser dividia em: U-NII 1: estende-se de 5.15 a 5.25 GHz; U-NII 2: estende-se de 5.25 a 5.35 GHz; U-NII 3: estende-se de a GHz. A banda U-NII 1 é voltada para o uso indoor (sinal é transmitido em ambiente fechado, por exemplo, escritórios) somente, em níveis baixos de potência; a banda de U-NII 3 é voltada para uso outdoor (sinal é transmitido ao ar livre, sem impedimentos, como paredes, normalmente para comunicação entre dois prédios) e aplicações de longa distância em níveis mais altos de potência. [5] Para transmitir os dados são utilizadas várias técnicas de transmissão, sendo específicas para determinados protocolos.

30 XXX Técnicas de Transmissão As técnicas de transmissão estão ligadas à forma na qual os protocolos transmitem os dados, assim como as particularidades de cada um dos métodos Spread Spectrum Conhecido com difusão de espectro, essa tecnologia distribui o sinal através de toda a faixa de freqüência de maneira uniforme, proporcionando maior integridade ao tráfego das informações e sujeito a muito menos ruídos e interferências de outras tecnologias. Possui uma grande largura de banda utilizando baixa potência. Tecnologia não utilizada somente em redes wireless, mas também em telefones sem fio, GPS e telefones celulares. Por possuir uma grande largura de banda e baixa freqüência, o sinal neste modo de transmissão assemelhasse a um ruído, o que gera uma segurança adicional a este método, uma vez que os receptores de sinal não irão interceptar nem decodificar um sinal de ruído, criando assim uma espécie de canal seguro, pois só o receptor correto saberá identificar que não se trata de um sinal ruidoso Direct Sequence Spread Spectrum (DSSS) Método de envio de dados em que os sistemas de transmissão e recepção são ambos um set de freqüência de 22 MHz de largura, utilizando uma técnica denominada code chip, que consiste em separar cada bit de dados em 11 sub-bits, que são enviados de forma redundante por um mesmo canal em diferentes freqüências. A banda de 2,4 GHz é divida em três canais 1, 6 e 11, podendo assim colocar no máximo três sistemas DSSS no mesmo espaço físico. Tal método de transmissão se tornou muito popular pelo fato de ser bastante simples de implementar e alta taxa de transmissão, devido à largura do canal. Porem é mais susceptível a ataques diretos em uma freqüência fixa e a ruídos que ocupem parte da banda utilizada Frequency-Hopping Spread-Spectrum (FHSS) Essa tecnologia é utilizada na banda de 2,4 GHz com uma largura de banda de 83 MHz, que é dividida em 79 canais, e a informação é enviada utilizando os 79 canais numa

31 XXXI seqüência pseudo-aleatória, em que a freqüência de transmissão dentro da faixa vai sendo alterada em saltos. Essa tecnologia proporciona maior segurança uma vez que somente o receptor da mensagem conhece a seqüência de saltos na qual foi enviada a mensagem, aparecendo como ruídos para os outros receptores. O período de tempo gasto em cada freqüência, ou seja, o tempo de permanência de cada freqüência para transmissão deve ser menos que 400 ms. A velocidade de transmissão limita-se a 2 Mbps. Sua principal desvantagem é a baixa largura de banda e não serem imunes à interferência Orthogonal Frequency Division Multiplexing/Modulation (OFDM) Modo de transmissão mais eficiente utilizado por equipamentos sem fio, cujas características de modulação de sinal e isolamento de interferência são bem aproveitados. Utilizados pela maioria dos padrões de rede sem fio, devido ser capaz de identificar interferências e ruídos, permitindo assim troca ou isolamento de algumas faixas de freqüência, ou mudar a velocidade de transmissão Carrier Sense Multiple Access with Collision Avoidance (CSMA/CA) Semelhante ao CSMA/CD das redes Ethernet o CSMA/CA é uma técnica de escuta do meio de transmissão a fim de evitar colisões que ocorrem quando duas estações transmitem ao mesmo tempo usando o mesmo meio. Caso não exista tráfego pelo meio, o CSMA/CA libera imediatamente o meio para a transmissão, porém caso uma estação não consiga transmitir pelo fato do meio estar ocupado, ela se encaminha para uma fila de prioridades, até que o meio desocupe e a estação possa enviar seus dados e suas variações O padrão IEEE criado em 1994, oferecia uma taxa de transmissão de 2 Mbps, trabalhando com a banda de 2,4 GHz. Ele especifica a forma de ligação física e de enlace de redes locais sem fio, com o objetivo de fornecer uma alternativa às atuais conexões que

32 XXXII utilizam cabo. A família conta com as principais extensões (ou sub-padrões): b: primeiro sub padrão do , descreve a implementação dos produtos WLAN, logo tornou-se o padrão mais conhecido e utilizado. Este inclui aspectos da implementação do sistema de rádio e também inclui especificação de segurança. Permite 11 Mbps de velocidade de transmissão máxima, porém pode comunicar-se a velocidades mais baixas, como 5,5, 2 ou até mesmo 1 Mbps. Esse padrão opera na freqüência de 2,4 GHz, e utiliza o método DSSS para transmissão dos dados. Esse é o padrão mais popular, com mais produtos e ferramentas de administração e segurança disponíveis. Permite no máximo 32 clientes conectados ao ponto de acesso. Para cada canal é determinada uma freqüência, como mostrado na Tabela 1. Em caso de muita interferência no canal utilizado para transmitir, os transmissores podem procurar outro canal com menos interferência para continuar as transmitir. Tabela 1 Associação entre canal e freqüência Canal Freqüência GHz) 2,412 2,417 2,422 2,427 2,432 2,437 2,442 2,447 2,452 2,457 2,465 2,467 2,472 2, a: esse tipo de padrão veio para tentar resolver os problemas existentes no e b, tendo como sua principal característica o significativo aumento da velocidade para um máximo de 54 Mbps (108 Mbps em modo turbo), mas podendo operar em velocidades mais baixas. Esse padrão descreve as especificações da camada de enlace lógica e física para redes sem fio que operam na faixa de 5 GHz, uma faixa com poucos concorrentes, porém com menor área de alcance, permitindo no máximo 64 clientes conectados ao ponto de

33 XXXIII acesso. Este padrão utiliza modulação OFDM para transmissão dos dados g: este padrão dá ênfase na principal desvantagem do a, que é utilizar a faixa de 5 GHz e não permitir interoperação com b. Esse é o protocolo mais recente para redes sem fio, atuando na banda ISM (Instrumentation, Scientific & Medical) de 2.4 GHz e provê taxas de transferências de até 54 Mbps, podendo ser turbinados e chegar a uma taxa de transferência de até 125 Mbps. Assim como o b, este padrão também utiliza DSSS como método de transmissão dos dados i: este padrão refere-se a mecanismos de autenticação e privacidade e pode ser implementado em vários de seus aspectos aos protocolos existentes. O principal protocolo de rede definido neste padrão é chamado RSN (Robust Security Network), que permite meios de comunicação mais seguros que os difundidos atualmente n: conhecido também como WWiSE (World Wide Spectrum Efficiency), este padrão ainda encontra-se em desenvolvimento, onde seu foco é aumentar a velocidade (cerca de 100 a 500 Mbps) x: este protocolo não foi projetado para redes sem fio, mas ele possui características que são complementares a essas redes, pois permite autenticação baseada em métodos já consolidados, como o RADIUS (Remote Authentication Dial-in User Service). Assim, é possível promover um único padrão de autenticação, independentemente da tecnologia, e manter a base de usuários em um repositório único. Nota-se que com as várias possibilidades de combinação desses protocolos no mesmo equipamento, as características podem ser integradas a uma autenticação robusta e flexível fornecida pelo 802.1x, para que com métodos de criptografia forte quando adotado o i, possam complementar os dispositivos necessários para montar realmente um modelo de segurança para redes sem fio : protocolo considerado o futuro das redes sem fio, conhecido também como Wi-MAX (Worldwide Interoperability for Microwave Access) que pode abranger até 50 km com uma taxa de 75 Mbps. Tecnologia pouco difundida no Brasil O Ponto de Acesso (PA)

34 XXXIV O PA é o equipamento que utiliza comunicação Half-Duplex, e é responsável pela conexão de redes com ou sem fio. A conexão se dá por sinais de rádio enviados e recebidos por ele através de suas antenas que podem variar a quantidade conforme o modelo do aparelho. Para que seja estabelecida a comunicação é necessário que os equipamentos possuam essa tecnologia de rede sem fio, seja ela interna no caso de Notebooks, PDA ou em caso de computadores de mesa é necessário adquirir uma placa de rede sem fio. O melhor local para instalação do ponto de acesso é o mais alto possível e centralisado, sem impedimentos para irradiação das ondas de rádio emitidas e recebidas pelo PA. A potência e a qualidade do sinal emitido pelo PA, podem sofrer alterações mediantes alguns fatores: aumento da distância que está ligado diretamente à potência do sinal; a qualidade do sinal que diminue conforme o aumento da distância e o número de obstáculos no caminho. A distância máxima de alcance e a qualidade do sinal podem váriar conforme os fabricantes (3Com, D-Link) e podem ser melhorados com a utilização de antenas Principais funções do PAs - Autenticação, Associação e Reassociação: permitem que estações continuem conectadas à infra-estrutura mesmo quando movimentam-se de uma BSA (Basic Service Area) ou de uma célula para outra. Um conjunto de estações que se localizam em uma mesma BSA, são chamadas de BSS (Basic Service Set). As estações utilizam procedimentos de varredura para determinar qual é o melhor PA e se associam a ele passando a acessar o sistema de distribuição através do PA escolhido, como mostra a figura 2.

35 XXXV Figura 2 Representação do Sistema de Distribuição - Gerenciamento de energia: permite que as estações operem economizando energia. Para tal é necessário que o PA armazene temporariamente quadros endereçados a estações que estão poupando energia (operando com a função de recepção desabilitada modo power save). - Sincronização: esta função deve garantir que as estações associadas a um PA estão sincronizadas por um relógio comum. A função de sincronização é implementada através de envio periódico de quadros (beacons) carregando o valor do relógio do PA. Esses quadros são usados pelas estações para atualizar seus relógios com base no valor neles transportado. A sincronização é usada, por exemplo, para programar o momento que uma estação deve ligar seu receptor (power up) para receber as mensagens enviadas periodicamente pelo PA anunciando tráfego Tipos de antenas As antenas são um dos principais elementos necessários para transmissão e recepção de sinais de rádio. Tem com funções converter sinais elétricos em sinais de rádio frequência, e vice-versa, assim como suas dimensões físicas que estão ligadas diretamente à frequência na qual a antena pode propagar o sinal enviado do PA. - Antenas padrões: São as que já vêm incorporadas de fábrica ao PA, possuem uma potência de 2 dbi, tem a vantagem de serem pequenas e bastantes práticas. Normalmente os equipamentos possuem 1 ou 2 antenas já vindas de fábrica como no exemplo da figura 3;

36 XXXVI Figura 3 Access Point com duas antenas padrão - Antenas Yagi: oferecem um maior alcance, porém são capazes de cobrir apenas a área para onde são apontadas, conhecidas como Visadas Direta. São mais úteis para cobrir apenas uma área especifica, longe do ponto de acesso. Pode chegar a um alcance de mais de 500 metros. A figura 4 representa um modelo de antenas Yagi; Figura 4 - Antena Yagi - Antenas Ominidirecionais: Cobrem uma área circular possibilitando ser acoplada ao PA ou até mesmo serem instaladas a uma interface de rede, permitindo captar sinais do ponto de acesso a uma distância maior. Podem ser encontradas em quatro potências diferentes 3 dbi, 5 dbi, 10 dbi e 15 dbi, tendo como exemplos a figura 5. Figura 5 - Antenas Ominidireconais - Mini-parabólicas: Semelhantes às antenas Yagi, captam sinais em apenas uma direção, porem possuem uma potência muito maior, dependendo do modelo. A potência pode

37 XXXVII ser de 24 dbi ou de 28 dbi, isso para as mini-parabólicas, podendo chegar até 124 dbi ou mais para parabólicas maiores. No caso da figura 6 temos um exemplo de mini-parabólica. Figura 6 - Mini-parabolica de potência entre 24 ou 28 dbi Modos de operação O Access Point pode operar de três modos para se comunicar com os clientes. Pode funcionar como: - Modo Root: Considerado o modo de operação padrão, no qual os PAs estão conectados ao segmento Ethernet para se comunicarem. Permite que clientes Wireless de outra célula se comuniquem através da rede cabeada. Podemos notar essa configuração na figura 7. Figura 7 - Ponto de Acesso operando em modo Root - Modo Repedidor: Pouco utilizado devido ao baixo desempenho e a drástica

38 XXXVIII redução do alcance dos clientes. Semelhante ao modo Ponte, porém em vez de interligar duas redes Ethernet, conecta clientes sem fio a uma rede cabeada. Tal configuração pode ser notada na figura 8. Figura 8 - Ponto de Acesso operando em modo Repetidor - Modo Ponte: Neste modo de operação, o PA serve para interligar duas redes Ethernets. Tem como principal finalidade isolar dois segmentos da rede, e dessa forma coibir que o tráfego de pacotes não autorizados circule pelas máquinas que não são de destino, evitando assim sobrecarga na rede. Podemos notar na figura 9 um exemplo dessa configuração. Figura 9 - Ponto de Acesso operando em modo Ponte Extended Service Set Identifier (ESSID) Trata-se de um código alfanumérico que identifica os computadores e pontos de

39 XXXIX acesso que fazem parte da rede. O sinal enviado pelo concentrador (ponto de acesso) libera a conexão aos usuários que estão dentro da área de abrangência do sinal do PA permitindo que os mesmos estabeleçam conexão. O envio deste sinal pode causar uma falha de segurança na rede, pois uma pessoa não autorizada pode fazer uso desse sinal para conseguir informações importantes sobre a rede, por exemplo, o nome da rede. De posse dessas informações torna-se fácil lançar um ataque sobre essa rede. Porem a opção de deixar o envio do ESSID habilitado no PA é muitas vezes desejado em redes de acesso público (aeroportos, escolar e etc) para auxiliar na configuração dos equipamentos.

40 XL SEGURANÇA EM REDES SEM FIO USANDO VPN CAPÍTULO IV SEGURANÇA Com o grande avanço tecnológico principalmente no que diz respeito aos meios de comunicação como, por exemplo, a Internet, a segurança das informações que trafegam por estes meios tornou-se algo imprescindível tanto dentro de uma empresa, como dentro das residências. A captura de informações pode significar prejuízos incalculáveis às empresas, na grande maioria das vezes essas informações são extremamente sigilosas e podem ser roubadas, apagadas ou até mesmo modificadas para algum benefício. A segurança é um dos temas mais discutidos em relação à utilização de redes sem fio, uma vez que ela vem sendo utilizada em grande escala nas empresas, comércios e residências. Considerado um dos pontos fracos da tecnologia sem fio, a segurança das informações por diversos fatores vem sendo alvo da preocupação dos gerentes de rede. Apesar da sua insegurança, as redes sem fio podem alcançar locais de difícil acesso para as redes cabeadas que possuem proteção física dos cabos. Uma das grandes facilidades para invasão das redes sem fio além do fato dos dados serem transmitidos por um meio sem fio é o fato de que o acesso de uma pessoa não autorizada pode ocorrer facilmente, uma vez que ela não precisa estar necessariamente presente fisicamente no local onde está instalada a rede para fazer o acesso, basta que a mesma esteja no raio de cobertura do PA. Outro fator que possibilita a insegurança da rede é a configuração inadequada do PA e o mau uso dos protocolos de segurança. Existem vários aspectos de segurança, que não se aplicam somente aos equipamentos, mas sim em toda política de segurança, como por exemplo, a de uma empresa que vai desde a identificação dos funcionários, até restrições nos próprios equipamentos. As políticas de segurança de uma empresa devem ser tomadas a fim de evitar que pessoas não ligadas à empresa possam acessar os dados da mesma. Políticas como, identificação através de biometria dos funcionários, restrições a certas áreas da empresa, como por exemplo, ao

41 XLI CPD (Central de Processamento de Dados), podem auxiliar a proteger a integridade dos dados da empresa. 4.1 Definição de Segurança Segurança da informação é conjunto de medidas que se constituem basicamente de controles e políticas de segurança, tendo como objetivo tanto a proteção das informações dos usuários que trafegam na rede como também o acesso de pessoas como, por exemplo, dentro de uma empresa, controlando o risco de revelação ou alteração por pessoas não autorizadas. [7] Limitar o acesso físico e lógico aos computadores, principalmente para ambientes computacionais compartilhados ou que utilizem algum meio de comunicação público, é o ponto de partida numa política de segurança de informações. Adicionar segurança ao ambiente de uma rede sem fio é promover autenticação do usuário e/ou do equipamento que deseja utilizar recursos da rede, sendo essas as principais políticas de segurança. A autenticação mencionada consiste em além da utilização de senhas para cada usuário, implanta-se também associação com os endereços MAC dos equipamentos, senhas dinâmicas (alteradas em determinado intervalo de tempo), e até o uso de certificados digitais. 4.2 Principais meios para promover a segurança - Autenticidade: faz-se a verificação se a pessoa ou equipamento, com quem está se trocando informações sigilosas é realmente quem deveria ser; - Confidencialidade: o acesso às informações é limitado, geralmente através do uso de criptografia; - Integridade: garantia de que os dados que estão sendo transmitidos não serão alterados durante a transmissão; - Controle de Acesso: apenas pessoas autorizadas terão acesso à utilização dos recursos do sistema; - Disponibilidade: mesmo que o sistema sofra um ataque, seus recursos continuaram

42 XLII disponíveis. 4.3 Principais problemas acarretados pela falta de segurança Muitos transtornos podem ser causados caso a rede sem fio não possua mecanismos de segurança confiáveis. Os dados poderão ser roubados, adulterados, interceptados, falsificados, assim como recursos da rede também poderão ser atingidos, permitindo a degradação do desempenho da mesma Tipos de ataque - Espionagem dos dados transmitidos: pode-se resultar na revelação de dados confidenciais, revelação de senhas de usuários e potencial de roubo de identidade. Também permite a coleta de informações sobre seus sistemas de TI (tecnologia da informação), as quais podem ser utilizadas para organizar um ataque a outros sistemas ou dados que poderiam não estar vulneráveis; - Interceptação na transmissão: caso um invasor obtenha acesso à rede, poderá inserir um computador invasor para interceptar as comunicações entre duas partes legítimas, interceptando os pacotes de comunicação sem que o sistema perceba tal ação. Aqui a integridade das informações é atacada, como percebemos na figura 10. Figura 10 - Interceptação dos dados transmitidos - Falsificação (Spoofing): permite que um usuário mal intencionado envie dados que possam parecer provenientes de um usuário legítimo (por exemplo, uma mensagem de e-

43 XLIII mail falsa), ou até mesmo alterar os dados, provocando a perca de autenticidade das informações que é retratada na figura 11, onde o intruso falsifica a mensagem, após obtê-la de um usuário legitimo. Figura 11 - Falsificação dos dados e transmissão - Parasitismo: acesso indevido ou não autorizado de outros usuários em uma rede sem fio, reduzindo o nível de serviço disponível para seus usuários legítimos. Ocorre com muita freqüência, pois nem todas as redes sem fio possuírem métodos de autenticação. A figura 12 representa um intruso fazendo uso da rede. Figura 12 - Fabricação das Mensagens - DoS (Denial of Service): interrupção do sinal de rádio de forma intencional, podendo inclusive mudar as configurações do próprio ponto de acesso; Ameaças acidentais: conexão de um computador portátil conectado automaticamente, sem intenção, a uma rede; o computador portátil do visitante é agora um

44 XLIV ponto de entrada potencial para todos os tipos de pragas virtuais nessa rede Problema de segurança física Uma pessoa mal intencionada não precisa estar dentro da empresa para conseguir acessar informações, dados ou senhas, ou seja, coisas de importância inestimáveis para a empresa. Em caso de redes sem fio, basta que o invasor esteja na área de cobertura do PA para que possa invadir a rede. A segurança física é um importante componente de risco a essas redes, visto que a abrangência de sinal pode aumentar muito, de acordo com a potência do aparelho responsável pela emissão do sinal. Geralmente os concentradores (Access Point) têm potência de 32 mw 15 dbm, os mais recentes podem chegar a 300mW 24,8 dbm. Essa potência está ligada diretamente com a distância alcançada pelo equipamento. Outro fator que pode causar muitas preocupações é o fato das antenas poderem ampliar o alcance do equipamento, possibilitando assim que o invasor esteja a muitas quadras de distância do equipamento emissor do sinal. Importante verificar a qual potência seu concentrador deve trabalhar afim de que o sinal não extrapole o ambiente desejado de conexão, para evitar que o sinal seja capturado fora das dependências desejadas, o que poderia se tornar uma brecha na segurança, uma vez que qualquer pessoa poderia utilizar esse sinal Problemas de configuração do PA A má configuração dos equipamentos pode causar muitos transtornos e tornar a rede muito mais insegura, uma vez que as configurações de fábrica não vêem com nenhum método de segurança habilitado. Todos os equipamentos saem de fábrica com senhas e endereços IP padrão, permitindo que invasores tenham condições de identificar todas as configurações feitas, podendo inclusive modificá-las. Se alguma informação de fábrica, que permite acesso ou presuma detalhes que possam ser usados em ataques, estiver disponível, certamente será utilizada. É de responsabilidade do administrador, trocar senhas administrativas, trocar chaves

45 XLV de protocolos de segurança como o WEP (Wired Equivalent Privacy) ou WPA (Wi-fi Protected Access), e o SSID deve ser modificado de modo a não permitir que a rede seja identificada Envio de sinal O posicionamento correto do PA pode evitar que o sinal seja enviado para fora dos limites da empresa, ou pelo menos que a qualidade do sinal seja ruim. O concentrador devese posicionar mais ao centro possível, como mostra a figura 13. (a) (b) Figura 13 - Posicionamento do Ponto de Acesso Na Figura 13 (a) percebe-se que um bom nível de sinal esta sendo emitido para fora das imediações do alvo desejado, tornando-se assim um bom ambiente para que um invasor aproveite bem o sinal de boa qualidade. Já em (b) com o concentrador em uma posição centralizada dificultaria para um invasor obter um sinal de qualidade fora do ambiente da empresa. Sinais como ESSID e BEACON devem ser desabilitados do concentrador, pois ajudam na obtenção de informações da rede Negação de Serviços (Denial of Service DoS) É um tipo de ataque onde o invasor não necessita acessar ou invadir a rede alvo, basta que o invasor utilizando-se de um computador possa tirar de operação um serviço ou

46 XLVI computador da rede alvo. Podendo causar vários danos à rede como: - Sobrecarregar o processamento de um computador, de modo que o usuário não consiga utiliza-lo; - Ocupar toda a banda disponível gerando assim um grande tráfego de modo que qualquer computador desta rede fique indisponível; - Tirar serviços como servidor Web ou servidor do ar. Os principais tipos de ataque de negação de serviço são: - Ataque da inundação: o atacante emite simplesmente mais tráfego do que a vítima poderia suportar. Isto requer que o atacante tenha uma conexão de rede mais rápida do que a vítima. Este é o baixo-tech da negação de ataques do serviço, e também o mais difícil dê se impedir completamente; - Sibilo do ataque da morte: ocorre devido um erro na pilha do TCP IP de Berkeley que existiu também na maioria de sistemas que copia o código de rede de Berkeley. O sibilo da morte emitia simplesmente a pacotes de sibilo maior de bytes a vitima; - Ataque de SYN: os pacotes de sincronização são os primeiros passos para iniciar qualquer conexão numa rede TCP IP. Ocorre com o envio de mensagem de SYN (Sincronização) e de ACK entre o cliente e o host de destino. O sistema que deseja se comunicar emite uma mensagem de SYN ao sistema alvo. O atacante envia um grande número de conexões que não podem ser atendidas pelo servidor, isso causa um enfileiramento das conexões e consequentemente negação de serviço para os usuários legítimos. A manifestação desse tipo de ataque impossibilita o usuário de baixar s, e também de se fazer conexões a serviços WWW ou FTP; - Ataque de Teardrop: utiliza-se de um algoritmo de fragmentação do pacote IP para emitir pacotes corrupted á máquina da vítima. Isto confunde a máquina da vítima e pode tira-la de operação; - Ataque de Smurf: Smurf é um ataque simples baseado em IP spoofing e Broadcast. Um único pacote conhecido como ICMP Echo Request (PING) é enviado como um direcionador de broadcast para uma rede sem fio. Todos os computadores naquela rede responderão para esse direcionador broadcast. Neste caso o IP source deste direcionador broadcast certamente será trocado (técnica spoofing) pelo endereço IP da vitima escolhida

47 XLVII pelo atacante. Dessa maneira quando os computadores receberem o broadcast direcionado, responderão com ICMP Echo Replay para o endereço IP (spoofed) contido naquele broadcast. Dependendo do numero de computadores da subrede, dezenas, centenas ou ate milhares de pacotes ICMP Echo Replay serão enviados para o endereço IP da vitima fazendo com que a conexão seja bloqueada ou simplesmente tornando a conexão lenta demais para uso. Essa técnica pode ser aplicada em conjunto com vários outros atacantes para que o efeito seja ainda maior e duradouro Mapeamento do ambiente Procedimento realizado pelo invasor que possibilita obter o maior número de informações sobre uma determinada rede, conseguindo detalhes que irão permitir ataques mais precisos e com menos chances de ser identificado. Existem vários métodos interessantes para que o atacante possa mapear componentes e atividades da rede-alvo e, ainda assim passar despercebido por meio do mapeamento passivo. Uma rede sem fio pode ser mapeada através da integração de ferramentas de análise com dispositivos de localização por satélite, conhecidos como Global Positioning System (GPS). Assim é possível gerar mapas com alto grau de precisão, de onde se encontram redes com características de interesse, como as que não utilizam WEP, de determinado padrão (802.11b, g, etc.) ou até mesmo de um órgão ou empresa específica. Depois que os mapas de localização são gerados, é possível além de determinar características das redes encontradas, promover estatísticas de aumento ou diminuição das redes sem fio em uma determinada área, como padrões de segurança, por exemplo. 4.4 Tipos de Defesa Pode-se dizer que os aspectos de segurança estão divididos em dois pontos: - Proteger o acesso aos dados; - Proteger a transmissão dos dados;

48 XLVIII Vários métodos de defesa já foram desenvolvidos, porém a ênfase será dada naqueles que são úteis a implementação de uma VPN. Nesse caso, a autenticação dos usuários e a criptografia das informações ganham um destaque importante, onde esses servirão de base para o sucesso da implantação e segurança de uma VPN Firewall Segundo [1], os firewalls são apenas uma adaptação moderna de uma antiga forma de segurança medieval: cavar um fosso profundo em torno de um castelo. Este recurso forçou todos aqueles que quisessem entrar ou sair do castelo a passar por uma única ponte levadiça, onde poderiam ser revistados por guardas. É um mecanismo de controle de acesso entre redes, que permite a passagem de tráfego autorizado ao mesmo tempo em que bloqueia o tráfego não autorizado. A definição de uma lista de acesso (ACL), dos tipos de serviços e da política de segurança a ser implementada. Além disso, pode-se monitorar todo o tráfego passante entre as redes, o que permite conter algum incidente que venha a ocorrer no futuro. Por definir quem tem acesso interno/externo, os firewalls são normalmente a base sobre a qual se estabelecem outras tecnologias de segurança. Hardware e software trabalham em conjunto, com o objetivo de controlar o trânsito de informações entre as redes privadas e a Internet, criando uma espécie de barreira onde apenas os acessos autorizados podem ultrapassá-la. Existem muitos tipos de firewalls no mercado, e inclui-se na lista: filtros de pacote estático, firewalls com estado e os firewalls Proxy Filtros de pacotes estáticos Os filtros de pacotes estáticos são componentes em uma rede que inspecionam as informações básicas dentro de um pacote. Os filtros de pacotes podem ser roteadores ou firewalls, como o IPTables existente nas distribuições do Linux. Este dispositivo que geralmente é um roteador é a primeira camada de fora para dentro e a última camada de dentro para fora em uma topologia de segurança de redes. Desta

49 XLIX forma, os filtros de pacotes contribuem para a defesa em profundidade, filtrando o tráfego antes que ele entre ou saia da rede. Os filtros de pacotes estáticos, como os roteadores, são mais rápidos para filtrar tráfego do que os firewalls com estado ou Proxy. Essa velocidade é importante e útil principalmente quando já se está sob ataque ou quando o firewall está sobrecarregado Firewalls com estado Os firewalls com estado monitoram as conexões em uma tabela de estado, na qual armazena o seu banco de regras, bloqueando todo o tráfego que não esteja em sua tabela de conexões estabelecidas. Este banco de regras determina o IP e a porta de origem e de destino que são permitidos para estabelecer conexões Firewalls Proxy O firewall Proxy é o tipo mais avançado de firewall atualmente existente. Ele possui todas as características e funcionalidades do firewall com estado, porém, possui serviços mais avançados e de alto nível, pois impede que os hosts internos e externos se comuniquem diretamente. Em vez disso, o firewall proxy age como um intermediário entre os hosts. Os firewalls proxy examinam os dados na camada de aplicação de forma mais minuciosa os pacotes para garantir que apenas o tráfego concordante com o protocolo atravesse o firewall, diminuindo com isso a probabilidade de tráfego malicioso que entra ou sai da rede Criptografia Define-se criptografia como a arte ou ciência de garantir a confidencialidade de mensagens, de forma que apenas pessoas ou máquinas autorizadas às leiam. Ela garante, assim, a confidencialidade, autenticidade, integridade e o não-repúdio das informações. A criptografia é um processo que pode ser definido da seguinte forma: um emissor

50 L gera uma mensagem original chamada texto plano e, utilizando uma chave e um algoritmo de cifragem, gera um texto cifrado, ou seja, incompreensível para quem não tem autorização de lê-lo. Ao chegar ao receptor, este texto passa pelo processo inverso, chamado decifragem, resultando no texto plano original. Os algoritmos de criptografia são funções matemáticas que estabelecem a relação entre a mensagem encriptada e a mensagem original, com a possibilidade de utilização de outros parâmetros. Os primeiros algoritmos que surgiram garantiam a confidencialidade, mantendo em segredo a forma como a informação era desordenada; este método foi utilizado nas primeira e segunda guerra mundial. No entanto, a partir do momento em que o método era descoberto, toda a informação que tivesse sido enviada por ele, tornava-se vulnerável. Assim, passou-se a pesquisar algoritmos em que a segurança seria garantida de outra forma que não o segredo sobre o próprio algoritmo. Com isso, foi implantado o sistema de chaves para uma maior segurança dos algoritmos. Uma chave é uma combinação de bits e, quanto maior for esta combinação, maior será a segurança obtida. Dependendo do tipo de chave utilizada, a criptografia classifica-se em: Criptografia Simétrica e Criptografia Assimétrica. Na Criptografia Simétrica, a mesma chave é utilizada em cada terminação de um túnel para criptografar e descriptografar a informação. Como a chave simétrica é compartilhada pelas duas partes, devem ser tomadas as medidas adequadas de forma a manter a chave secreta, por isso, são também chamadas de chaves secretas. Estas chaves são mais difíceis de serem distribuídas, já que elas devem permanecer secretas. Uma desvantagem deste método deve-se ao fato de que como apenas uma chave é utilizada para cada par de pessoas, a segurança deve ser rígida e, se o número de pessoas que queiram comunicar-se de forma segura for muito grande, serão necessárias inúmeras chaves, o que dificultará ainda mais a gerência das mesmas. Já no modelo assimétrico, as chaves são um pouco mais complexas e são muito mais fáceis de se gerenciar, pois elas permitem que a informação seja criptografada por uma chave e descriptografada por outra. Cada usuário ou equipamento possui duas chaves que são chamadas chave pública, que é disponibilizada a todos os pares comunicantes, e chave privada, que deve ser mantida em segredo. Ao criptografar com uma chave, somente a outra pode ser utilizada para decifrá-la. Por exemplo, se um emissor utiliza a chave pública do receptor para cifrar a mensagem, o receptor deve utilizar a sua chave privada para decifrá-la, e isso garante a autenticidade e confiabilidade.

51 LI Contudo, se o emissor utilizar a chave privada para cifrar a mensagem, qualquer pessoa poderá decifrá-la, uma vez que a chave pública é de conhecimento de todos, o que garantirá apenas a autenticidade da mensagem WEP O Wired Equivalency Privancy (WEP Privacidade equivalente às redes cabeadas) é o método criptográfico usado nas redes Wireless Diferentemente das redes cabeadas, em que o acesso às informações requer comunicação física ou remota a um componente da rede, em redes sem fio basta ter um meio de receber o sinal, ou seja, a captura da informação pode ser feita de forma completamente passiva. Por essa razão, o protocolo oferece possibilidades de cifração dos dados. O protocolo sugerido para resolver esse problema foi, inicialmente, o WEP, que está totalmente disseminado e presente em todos os produtos que estão em conformidade como o padrão Wi-Fi. [2] O WEP opera na camada de enlace de dados e fornece criptografia entre o cliente e o AP. Esse protocolo utiliza algoritmos simétricos, portanto, existe uma chave secreta que deve ser compartilhada entre as estações de trabalho e o concentrador, para cifrar e decifrar as mensagens enviadas/recebidas. Alguns critérios foram levados em consideração para a formação do protocolo, tais como: - Suficientemente forte: o algoritmo deve ser adequado às necessidades do usuário; - Auto-sincronismo: deve permitir a um equipamento entrar na área de cobertura e funcionar com a mínima ou nenhuma intervenção manual; - Requer poucos recursos computacionais: pode ser implementado por software ou em hardware e por equipamentos com pouco poder de processamento. Existem dois tipos de padrões WEP, de 64 e de 128 bits. O padrão de 64 bits é suportado por qualquer ponto de acesso ou interface que siga o padrão Wi-Fi. O padrão de 128 bits por sua vez não é suportado por todos os produtos. Para habilitá-lo será preciso que todos os componentes usados na sua rede suportem o padrão, caso contrário, os nós que suportarem apenas o padrão de 64 bits ficarão fora da rede. O WEP é baseado no método criptográfico RC4 (Route Coloniale 4) da RSA. Este

52 LII método utiliza algoritmo de fluxo, ou seja, os dados são criptografados à medida que eles são transmitidos, diminuindo assim o esforço computacional. Usa vetor de inicialização para tentar resolver o seguinte problema: quando uma mensagem é cifrada com uma mesma chave, ela sempre terá o mesmo resultado, o que pode possibilitar a um atacante montar uma espécie de alfabeto de equivalência entre o byte original e o cifrado, podendo então decifrar todo o tráfego. O VI (Vetor de inicialização) usa 24 bits e uma chave secreta compartilhada de 40 ou 104 bits. O vetor de inicialização é concatenado com a chave secreta para formar uma chave de 64 ou 128 bits, que é usado para criptografar os dados. Outra ferramenta utilizada pelo WEP é o CRC-32 (Cyclic Redundancy Check) que é utilizado para calcular o checksum da mensagem, que é incluso no pacote, para garantir a integridade dos dados. A segurança do WEP é composta de dois elementos básicos: uma chave estática que deve ser a mesma em todos os equipamentos da rede, e um componente dinâmico que juntos, irão formar a chave usada para cifrar o tráfego. O protocolo não define de que forma essa chave é usada para cifrar o tráfego e nem define de que forma essa chave deve ser distribuída, portanto a solução convencional é também a mais trabalhosa, em que a chave é cadastrada manualmente em todos os equipamentos. [2] Em segundo momento, após o estabelecimento de conexão, essa chave estática sofre uma operação matemática para gerar quatro novas chaves: uma destas será escolhida para cifrar as informações em trânsito. Essa chave será fixa e somente trocada se a chave estática original mudar. Os principais problemas do protocolo WEP estão no fato de usar uma chave única e estática, que deve ser compartilhada entre todos os dispositivos participantes de uma determinada rede. Outro problema encontrado diz respeito ao tamanho da chave, que neste caso é de 40 bits que hoje em dia é muito fácil de ser quebrada, por ser considerada uma chave pequena. Problemas técnicos permitem ataques ao próprio algoritmo responsável pela criptografia. A forma de armazenamento das chaves no cliente também se tornou um problema no WEP, pois as chaves não são armazenadas de forma criptografada. [2] O protocolo WEP teve uma importância bastante significativa no principio das redes Wi-Fi. Com o passar do tempo se tornou fácil quebrar as chaves de encriptação, utilizando alguns programas para monitorar as redes por algum tempo, possibilitando descobrir qual a chave de encriptação está sendo utilizada. A quebra da chave se dá na forma com que se trata a chave e como ela é empacotada ao ser agregada ao pacote de dados no momento da transmissão. Segue abaixo os principais softwares para quebra da chave WEP.

53 LIII - Airsnort: uma das primeiras ferramentas a implementar o ataque baseado na geração de chaves fracas. É razoavelmente eficaz para quebrar chaves simples em rede com muito tráfego. Considerada uma ferramenta pouco eficiente, a velocidade de quebra de chave tem aumentado substancialmente a cada nova versão. Não traz muitas informações sobre as redes identificadas; - WepCrack: juntamente com o Airsnort foi a primeira ferramenta disponível para quebrar chave WEP. Permite que seja usada qualquer plataforma popular como, Unix/Linux, Windows ou MAC; - WepAttack: ataque baseado em palavras de dicionário. Trabalha com qualquer dicionário disponível, utilizando o método usual de quebra de chave, testando uma a uma. Possui uma grande vantagem, pois utiliza o formato pcap, fazendo com que a captura do tráfego possa ser realizada com ferramentas tradicionais como Tcpdump; - Wep_Tools: é composto de um programa para identificar a chave WEP usada para cifrar os pacotes. É necessário primeiro obter uma amostra significativa do tráfego, e em seguida, usar o WepCrack. Na verdade o Wep_Tools é um programa de captura de tráfego; - Weplab: atua em três principais frentes de ataque, sendo elas uso de dicionário, força bruta e análise probabilística (heurística) e finalmente a quebra da chave, onde são analisados pontos falhos na geração das chaves do WEP. Bastante eficiente e rápido. - AirCrack: considerada atualmente como uma das ferramentas mais eficientes para quebra de chave WEP, essa ferramenta ataca principalmente as fragilidades na geração da chave. Faz uso de outras ferramentas tanto para captura do tráfego, quanto para quebra propriamente dita da chave WEP. Utiliza 802ether para decifrar o tráfego gerando um arquivo no formato pcap. Apesar das fragilidades encontradas no protocolo WEP, ele garante um nível básico de proteção promovendo assim segurança adequada a vários tipos de cenários, lembrando que quanto mais métodos de segurança forem implantados, melhor o nível e mais difícil das mesmas serem atacadas. Não que elas se tornaram intransponíveis, mas exigirá um ataque mais robusto. Um dos métodos utilizados para aumentar a segurança, é utilizar autenticação forte como 802.1x, assim como EAP (Extensible Authorization Protocol) e servidor RADIUS. [2] O protocolo WEP vem normalmente desativado na maioria dos PAs, mais podem ser

54 LIV facilmente ativados através do painel de configuração do PA WPA Tendo em vista os problemas de segurança divulgados para WEP, o Wi-Fi Alliance adiantou a parte de autenticação e cifragem do trabalho que estava sendo feito para o fechamento do padrão i e liberou o protocolo WPA que utiliza chaves de 128 bits. Também chamado de WEP2 ou TKIP (Temporal Key Integrity Protocol) essa primeira versão do WPA (Wi-Fi Protected Access) surgiu de um esforço conjunto de membros da Alliance e de membros do IEEE, empenhados em aumentar o nível de segurança das redes sem fio ainda no ano de 2003, combatendo algumas das vulnerabilidades do WEP. No WPA (Versão I), diferentemente do WEP, não está disponível suporte para conexões Ad-Hoc. Portanto, essa mobilidade de rede sem uso de concentrador não se beneficia dos mecanismos de proteção introduzidos no protocolo WPA na sua primeira versão. Ele atua em duas áreas distintas: a primeira, que visa substituir completamente o WEP, trata da cifragem dos dados objetivando garantir a privacidade das informações trafegadas, e a segunda, foca a autenticação do usuário (área não coberta efetivamente pelo padrão WEP) utiliza, para isso, padrões 802.1x e EAP (Extensible Authentication Protocol). O WPA avança nos pontos mais vulneráveis do WEP, sejam eles na combinação de algoritmos e temporalidade da chave. O WPA possui diferentes modelos de segurança para ter melhor aderência às diferentes necessidades. [2] Os protocolos utilizados para cifrar as informações podem ser: - Voltados para pequenas redes e de uso doméstico, onde existirá uma chave compartilhada previamente (Pre-shared key, ou WPA-PSK), conhecida como master, que é responsável pelo reconhecimento do equipamento pelo AP; - Infra-estrutura que exige um servidor de autenticação RADIUS e chaves públicas (ICP), caso utilize certificados digitais para promover a autenticação do usuário. O método de chave compartilhada tem como principal vantagem a sua simplicidade, devido não necessitar de equipamentos extras como, por exemplo, um servidor de autenticação, tornando-se assim fácil de instalar e fácil de usar. Porém, a troca das chaves é feita manualmente, o que limita o uso a redes de pequeno número de estações. A diferença em

55 LV relação ao WEP é que não existem problemas conhecidos ou mesmo divulgados nos protocolos usados com WPA-PSK. Com a utilização do WPA, foi incorporada a troca dinâmica de chaves através do protocolo TKIP, que gerencia as chaves temporárias usadas pelos equipamentos em comunicação, possibilitando a preservação do segredo mediante a troca constante da chave, uma vez que uma das falhas no WEP advém do fato das chaves serem estáticas, o que possibilitava ao atacante obter a chave depois de um certo período de tempo capturando o tráfego da rede. Outro problema do WEP corrigido no WPA e utilizado no TKIP é o aumento significativo do vetor de inicialização utilizado para concatenar a chave no momento da transmissão, passando então de 24 para 48 bits, o que tornou ataques baseados na repetição dos valores dos vetores praticamente inócuos, exigindo alto poder de processamento. O valor do TKIP pode ser configurado para substituir o vetor de inicialização a cada pacote, por sessão ou por período, gerando assim a troca rápida do valor do VI, conseqüentemente menor será a chance de se descobrir o valor do vetor. Um dos métodos para garantir a autenticidade do usuário é a autenticação do mesmo. No protocolo WPA foi definido um modelo conhecido como EAP, que permite integrar soluções de autenticação já conhecidos e bastante testados. O EAP utiliza o padrão 802.1x e permite vários métodos de autenticação, incluindo a possibilidade de certificação digital. Apesar de garantir um grau de segurança bastante eficiente, o WPA pode sofrer ataques. O uso de chaves pequenas (menores que 20 caracteres) são mais susceptíveis a ataques de força bruta e/ou dicionário. Ferramentas como WPA Crack de posse de um tráfego já capturado permite ataques, uma vez que bastante elaborados, pois exige várias características da rede como, SSID, endereço MAC do cliente e do concentrador, além de outros dados. O WPA Supplicant uma outra ferramenta de ataque, pode ser facilmente alterada para tentar descobrir a chave usada no modelo mais simples de WPA, que usa chave compartilhada e TKIP. As melhorias obtidas como o WPA ainda propicia pontos de vulnerabilidade na rede, independente do modo usado, infra-estrutura ou TKIP, problemas com o armazenamento das chaves podem comprometer a segurança promovida pelo WPA. Pode-se utilizar WPA numa rede híbrida que tenha WEP instalado. A migração para WPA requer somente atualização de software, onde ele foi desenhado para ter compatibilidade com o padrão IEEE i.

56 LVI Processo de criptografia e descriptografia do WPA Para realizar processo de criptografia do WPA, mostrado na figura 14 é preciso dos seguintes valores para criptografar e proteger a integridade de um quadro de dados sem fio: 1 - O VI, que é iniciado com 0 e incrementado para cada quadro subseqüente; 2 - A chave de criptografia de dados ou a chave de criptografia de grupo; 3 - Endereço de destino (DA) e endereço de origem (SA) do quadro sem fio; 4 - Valor do campo de Prioridade, que é definido com 0; 5 - A chave de integridade de dados ou a chave de integridade de grupo. Figura 14 - Processo de criptografia do WPA 1 - O IV, o DA e a chave de criptografia de dados são inseridos em uma função de combinação de chaves WPA, que calcula a chave de criptografia por pacote; 2 O DA, SA, Priority, os dados (a carga não criptografada), e a chave de integridade de dados é inserida no algoritmo de integridade de dados Michael para produzir o MIC; 3 O ICV é calculado através da soma de verificação do CRC-32; 4 O IV e a chave de criptografia por pacotes são inseridos na função RC4 PRNG para produzir um keystream do mesmo tamanho que os dados, o MIC e o ICV;

57 LVII 5 O keytream é ORed (XORed) exclusivamente com a combinação de dados, do MIC e do ICV para produzir a parte criptografada da carga ; 6 O IV é adicionado à parte criptografada da carga nos campos IV e Extende IV e o resultado é encapsulado com o cabeçalho e informações finais sobre o Figura 15 - Processo de descriptografia do WPA 1 - O valor IV é extraído dos campos IV e Extended IV (IV Estendido) na carga do quadro e inserido junto com o DA e a chave de criptografia de dados na função de combinação de chave, produzindo a chave de criptografia por pacote; 2 - O IV e a chave de criptografia por pacote são inseridos na função RC4 PRNG para produzir um keystream do mesmo tamanho que os dados criptografados, o MIC e o ICV; 3 - O keystream é XORed com dados criptografados, MIC e ICV para produzir dados não criptografados, MIC e ICV; 4 - O ICV é calculado e comparado ao valor do ICV não criptografado. Se os valores do ICV não coincidirem, os dados serão descartados silenciosamente. 5 - O DA, o SA, os dados e a chave de integridade de dados são inseridos no algoritmo de integridade Michael para produzir o MIC; 6 - O valor calculado do MIC é comparado ao valor do MIC não criptografado. Se os valores do MIC não coincidirem, os dados serão descartados silenciosamente. Se os valores do MIC coincidirem, os dados serão passados para as camadas de rede superiores para processamento.

58 LVIII WPA2 Segundo a Microsotf [9], o WPA2 é uma certificação de produtos disponíveis por meio da Wi-Fi Alliance que certifica equipamentos sem fio como sendo compatíveis com o padrão i, que não estão incluídos em produtos que oferecem suporte ao WPA. Utiliza criptografia com AES (Advanced Encryption Standard) que também substitui o WEP por um algoritmo de criptografia bem mais forte. Como as chaves AES são descobertas automaticamente, não há necessidade de se configurar uma chave de criptografia para o WPA Função hash Esse método garante a integridade da mensagem. Trabalha em cima de uma mensagem original, tendo como objetivo produzir um número, conhecido como resumo ou Hash, que representa de forma única, esta mensagem. Dois valores de hash iguais significam que a mensagem não foi alterada, pois ao enviar a mensagem é calculado o seu valor de hash e ao chegar ao destino o hash da mensagem é novamente calculado, caso o valor seja diferente significa que a mensagem foi alterada, mesmo que seja somente um bit. A característica principal desta função, é que o caminho inverso tendo o valor de hash deverá ser computacionalmente inviável de se descobrir a mensagem, ou seja, não poderá ser possível obter uma mensagem original através de um resumo, o que garante a integridade da mesma Assinatura Digital Pode-se dizer que é um código binário, baseado em dois aspectos principais: o documento em si e alguma informação que o ligue a certa pessoa ou conjunto de pessoas. Essa ligação é denominada autenticação. As técnicas mais comuns de autenticação utilizam informações sigilosas (como senhas), meios físicos (como cartões magnéticos), verificação de informações biométricas

59 LIX (como impressões digitais) ou através de uma combinação delas. Um exemplo típico desta combinação está na utilização de um cartão de crédito, onde utiliza-se além do cartão, uma senha para efetuar a transação. A assinatura digital faz uso da criptografia assimétrica, pois utiliza um par de chaves, uma privada e outra pública. A chave privada serve para assinar o documento, enquanto que a pública serve para verificar a assinatura. O processo de geração da assinatura utiliza a função hash para a obtenção do resumo do documento, que, em seguida é cifrado com a chave privada do emissor e envia ao receptor. Este utilizará a chave pública do emissor para decifrar a mensagem e a função hash para recalcular o resumo do documento, comparando-o com o resumo recebido garantindo assim, a integridade do documento Certificado Digital Trata-se de um arquivo assinado eletronicamente por uma entidade confiável, chamada Autoridade Certificadora (AC). Um certificado tem como objetivo associar a chave pública a uma pessoa ou entidade, servindo assim, como um mecanismo para a divulgação da chave pública. Qualquer entidade que reconheça a chave pública da AC pode examinar o conteúdo e confirmar a autenticidade de um certificado por esta autoridade, uma vez que a AC assina os certificados com a sua chave privada. Estão presentes em um certificado digital, os seguintes dados: chave pública do usuário, número de série do certificado, nome da AC que emitiu o certificado, a assinatura digital da AC, entre outras. Os certificados digitais possuem um tempo de vida formado pela data de início da validade do certificado e a data que o certificado deixará de ser válido. Um certificado necessita ter um prazo de validade, devido à evolução dos dispositivos de processamento. A validade dos certificados digitais para usuários finais varia de 1 a 3 anos; o das autoridades certificadoras pode variar de 3 a 20 anos. Como o certificado digital possui um tempo de validade, quando ele for renovado, recomenda-se gerar um novo par de chaves. Também é possível determinar o fim da validade de um certificado digital, antes da sua data de expiração, através da sua revogação.

60 LX O certificado digital é uma estrutura de dados, dentro da qual estão, no mínimo, as seguintes informações: - Nome da pessoa ou entidade a quem foi emitido o certificado digital e respectivo endereço; - Sua chave pública e respectiva validade; - Número de série; - Nome da AC que emitiu seu certificado; - Assinatura digital da AC; - Extensão Autenticação A autenticação dos usuários é uma das partes mais importantes em relação à rede sem fio, uma vez que o usuário pode não estar presente no prédio de uma determinada empresa, por exemplo, e ter a necessidade de se conectar remotamente à empresa. Como o próprio nome diz, a principal função dessa diretiva de segurança é autenticar os usuários, permitindo ou não o acesso à rede. A autenticação não é somente para redes tradicionais (cabeadas), mais tem-se cada vez mais a necessidade de se implementar métodos de autenticação para usuários de redes sem fio, uma vez que pessoas mal intencionadas podem estar próximas à rede e conseguirem conectar-se a ela. Autenticação é a capacidade de garantir que alguém, ou alguma coisa, é de fato quem diz ser, dentro de um contexto definido. [3] Autenticação Two-Party Autentication Neste tipo de autenticação as informações de controle estão em duas entidades, uma entidade autenticada e outra na entidade autenticadora. Este método de autenticação se subdivide em dois tipos, one-way e two-way: - One-way: o cliente tem que se autenticar no servidor, porém o servidor não precisa se autenticar para o cliente confirmando que ele é realmente o servidor que o cliente deseja conectar-se;

61 LXI - Two-way: ao contrario da autenticação one-way, o servido deve se autenticar ao cliente, provando assim que o servidor é realmente aquele na qual o cliente queria se conectar. No inicio de cada sessão é feita a autenticação e em intervalos de tempo regulares a fim de garantir que nenhum invasor tenha entrado no meio da comunicação. Implementa-se hash na mensagem se desejar garantir integridade na autenticação, devido à troca de informações para autenticação ser feita via pacotes transmitidos na rede, que podem ser capturados [3]. Neste método de autenticação destacam-se: - Senhas: método mais utilizado para autenticação em duas partes, porém o mais fraco em matéria de segurança. Neste tipo de autenticação o usuário informa sua senha, e o servidor verifica no banco de dados, e compara o nome e a senha informados pelo usuário com os dados que ele possui em seu banco de dados, caso essa confirmação seja possitiva, o servidor autoriza a conexão; - Challenge/Response: Esquema que envolve um desafio enviado normalmente pelo servidor e de acordo com a resposta obtida permite ou não a conexão. A resposta é previamente acordada entre as partes envolvidas na autenticação. Uma forma mais interessante para esse esquema de autenticação é utilizar como desafio e resposta um conjunto de chaves para criptografia simétrica, ficando a chave de criptografia dinâmica e aleatória. [3]; - One-Time Password: Mesmo princípio de autenticação por senha, porém ela só será válida dentro de uma sessão, onde a senha muda para cada sessão aberta entre o cliente e o servidor. A senha é gerada em tempo real entre o usuário e o servidor, baseada numa palavra secreta previamente compartilhada entre ambos. Como a senha é dinâmica e não reaproveitável, o intruso pode até captura-la, mas ela não terá valor, caso ele queira estabelecer uma comunicação com o servidor [3]; - Smartcards: Dispositivo físico no formato de um cartão de crédito com um chip, que tem funções de armazenamento e processamento interno. Considerada um tipo de autenticação forte, pois alia mais de um tipo de método de autenticação (cartão pessoal e senha). O cartão deve ser inserido num dispositivo que possa ler a senha que está dentro dele, logo esta tecnologia tornou-se bastante dispendiosa, devido à necessidade de adquirir dispositivos que sejam capazes de ler o Smartcard;

62 LXII - Biometria: Tecnologia bastante dispendiosa devido à necessidade de adquirir dispositivos capazes de fazer leituras biométricas, tais como leitores de Iris, leitores de impressão digital etc. Esse tipo de autenticação leva em consideração as características biométricas dos usuários, características essas exclusivas a cada pessoa. Um sistema baseado em biometria tem como componentes um sensor para leitura biométricos (Iris, Digital, etc) e um medidor que é um software de operação, incluindo algoritmo matemático que checará a medida de cada modelo. Os dispositivos de leitura verificam sua identidade através de sensores que capturam as informações de modo analógico e converte em uma representação digital, a seguir a representação digital é comparada com o modelo biométrico armazenado no banco de dados Trusted Third-Party Authentication Neste tipo de autenticação tem-se uma terceira entidade envolvida, não somente o cliente e o servidor. A função dessa outra entidade é ajudar na tarefa de verificar a autenticação de usuários, host e servidores. A principal ferramenta que porporciona esse tipo de autenticação é o Kerberos. Foi desenvolvido no MIT, no projeto Athena, em meados de 1980 e participaram dele Steve Miller, Clifford Neuman, Jerome Salzer e Jeff Schiller [3]. O sistema Kerberos fornece credenciais que atestam a identidade do usuário ou serviço, porém o sistema trabalha com um terceiro elemento, neste tipo de serviço o terceiro elemento é chamado de servidor de autenticação, que irá dar uma credencial para ele apresentar ao servidor para provar sua autenticidade, essa credencial é traduzida num ticket e numa chave de sessão. [3] O cliente envia para o servidor o seu endereço IP, identificando o cliente e o endereço IP do servidor ou host que ele deseja se autenticar. O servidor de autenticação gera uma chave de sessão, com a chave do cliente e a chave do servidor que o cliente deseja se autenticar. O servidor de autenticação deve saber, a priori, quais os servidores que poderão ser autenticados e quais os clientes que podem requisitar autenticação. Na figura 16, ilustra-se o modelo de autenticação do Kerberos.

63 LXIII Figura 16 - Autenticação Kerberos 1º - O cliente/usuário solicita ao Centro de Distribuição de Chaves (KDC) uma chave de sessão, que atesta a identidade do cliente/usuário e o serviço que ele quer utilizar. O cliente/usuário recebe um Ticket e uma chave de sessão; 2º - O cliente/usuário utiliza o Ticket que recebeu no do Centro de Distribuição de Chaves (KDC) autorizando-o a usar o serviço do Servidor de Concessão de Ticket (TGS) que é responsável pela disponibilização de um novo Ticket que será usado para permitir o acesso ao servidor. O TGS responde à solicitação do usuário enviando uma mensagem com o Ticket que será utilizado no acesso ao servidor e a chave correspondente à sessão entre o servidor e o cliente; 3 - O cliente/usuário envia o Ticket que recebeu do servidor de acesso (TGS) para o servidor na qual deseja se conectar. O servidor recupera a chave de sessão e a mensagem de autenticação. Essas informações são comparadas com o conteúdo do Ticket. O usuário é considerado autêntico se conseguir provar todas as informações, e rejeitado, caso contrário. [3]

64 LXIV SEGURANÇA EM REDES SEM FIO USANDO VPN CAPÍTULO V VPN Uma Virtual Private Network (VPN) ou Rede Privada Virtual é uma conexão que apresenta características de uma rede de conexão dedicada, é implementada sobre uma rede compartilhada. Desmembrando o termo VPN, observa-se que uma rede privada compõe-se de dois ou mais computadores interligados que formam uma rede de computadores (network), onde esses equipamentos juntos, compartilhando informações, formando uma rede privada (Local Area Network), onde somente os equipamentos pertencentes a este grupo podem ter seus dados compartilhados. Uma VPN pode permitir que um usuário externo participe da rede interna como se estivesse conectado diretamente a ela utilizando-se de uma rede pública e compartilhada. Outra aplicação de uma VPN é o de se interconectar diferentes redes privadas para o tráfego de dados entre elas, utilizando como meio uma rede pública. O uso da VPN tem se tornado cada vez mais popular, sendo usada mais comumente para interligar empresas de grande ou pequeno porte com sua filiais, sejam elas em outros bairros ou até mesmo em outros países, conectar funcionários que estejam viajando à rede da empresa via Rede Mundial de Computadores. Com o avanço e o desenvolvimento tecnológico no que diz respeito à tecnologia da informação e telecomunicações, a Internet teve um crescimento muito grande, onde hoje, é incontestável a participação de empresas e organizações com essa rede. Com essa evolução, veio a idéia de se utilizar a infra-estrutura dessa rede já montada para interligar as redes corporativas. O grande desafio da VPN é garantir a segurança dos dados na Internet, já que é uma rede compartilhada, baseada no protocolo TCP/IP, que não garante a segurança das informações trafegadas. A característica principal de uma VPN é a criação de túneis virtuais de comunicação entre essas redes em uma infra-estrutura de rede não-confiável, de forma que os dados trafeguem criptografados por esses túneis e de forma transparente para as entidades ou redes que se comunicam, aumentando a segurança na transmissão e na recepção dos dados.

65 LXV O termo virtual traz a idéia de uma conexão temporária, sem presença física no meio. Essa conexão virtual consiste em troca de pacotes, sendo roteados entre vários equipamentos. Esta abordagem possibilita que o tráfego na rede, gerado por fontes diversas, seja transmitido em uma mesma infra-estrutura, porém em túneis distintos. Outra característica que contribuiu muito para o desenvolvimento e a boa aceitação dessa tecnologia no mercado consumidor é o fato do baixo custo de implementação, uma vez que uma solução em links dedicados são mais caros, principalmente quando as distâncias são grandes [3]. As VPNs surgiram como uma forma mais confiável e segura de transmissão de informações pela Internet, onde foram agregadas características de redes criptografadas, empregando diversos algoritmos de criptografia, autenticação e protocolos de encapsulamento. Uma VPN não pode ser vista como uma solução completa de segurança, já que ela é mais um componente de segurança na rede. Ela só surtirá melhores efeito, em conjunto com outros componentes de segurança como, por exemplo, um firewall. As VPNs podem ser implementadas de três maneiras diferentes: - VPNs dial-up, conhecidas também como VPNs de Acesso Remoto, os usuários remotos se conectam através de linhas discadas (dial-up) ou serviços ISDN, vide figura 17; Figura 17 - VPN dial-up, podendo ser de host/host - VPNs de Intranet, também conhecidas como VPN LAN-to-LAN como mostra a figura 18, possibilitando conexão entre filiais, matrizes e outras organizações através de uma infra-estrutura não-confiável, apresentando-se como uma alternativa a contratação de circuitos dedicados e outros links de WAN;

66 LXVI Figura 18 - VPN conectando redes diferentes - VPNs de Extranet, proporciona uma solução para o comércio eletrônico e compartilhamento de aplicações entre empresas diferentes, conectividade entre clientes e fornecedores, entre outros. Na figura 19 temos um exemplo de um cliente, ou funcionário conectando a rede da empresa via VPN. Figura 19 - Usando VPN o funcionário remoto acessa a rede Uma VPN parte do principio de prover algumas premissas básicas para garantir a veracidade dos dados transmitidos, que são: - Privacidade: nenhuma pessoa não autorizada pode ter acesso às informações da empresa. Porém como a VPN faz uso de uma rede totalmente desprotegida não se pode garantir 100% de privacidade, mas é importante que, mesmo de posse da informação, os dados não sejam visíveis. Para que as informações não sejam vistas, faz-se uso de criptografia. [3]. - Integridade: a VPN deve garantir que os dados trafegados não sofram alterações ao serem enviadas pela Internet. Deve garantir que a mensagem enviada seja a mesma que chegou ao destino. Essa integridade é obtida através de uso de funções Hash. Calcula-se o

67 LXVII Hash da mensagem antes de enviá-lo e logo após sua chegada no destino recalcula-se o Hash, que se forem iguais, garante que a mensagem está íntegra, caso contrário à mensagem sofreu alguma alteração. - Autenticidade: deve-se garantir que uma mensagem enviada por um membro da rede seja realmente de quem diz ser. Esta certeza pode ser obtida através de assinaturas digitais e chave publica e privada; - Não-repúdio: é uma etapa posterior à autenticidade, que pode ser obtida via criptografia assimétrica. Garante que a mensagem uma vez enviada por um membro da rede, o mesmo não poderá afirmar que não foi ele quem a enviou [3]; - Facilidades: embora envolva aspectos menos técnicos, é a garantia de que o sistema de segurança escolhido e implementado em uma empresa foi feito de forma consistente e adequado para todas as aplicações dessa empresa Elementos de uma VPN Uma VPN tem como seus principais elementos a criação de um túnel virtual encriptado (tunelamento), autenticação das extremidades e o transporte subjacente Tunelamento VPN O tunelamento é o processo de se encapsular um pacote dentro de outro para obter algum tipo de vantagem no transporte de uma informação dentro da rede. As informações são trafegadas de forma encriptada, dando a idéia da criação de um túnel virtual, onde os dados que estiverem trafegando por ele permanecem ininteligíveis para quem não fizer parte dele. O tunelamento resolve um dos problemas a ser superado pelas organizações na utilização da Internet como uma rede WAN privada, já que esse problema está relacionado a variedade de protocolos existentes em operação nas redes corporativas, pois, além do protocolo IP, é comum que muitas redes possam operar com protocolos Net-BEUI e IPX, por exemplo, e a Internet, em sua camada de rede, trabalha apenas com o protocolo IP. Desta forma, deve ser fornecido um mecanismo para que outros protocolos, além do IP, possam ser transmitidos entre as diversas redes, onde através do tunelamento estes pacotes podem ser encapsulados

68 LXVIII por pacotes IP. No tunelamento, o cliente é autenticado pelo servidor Gateway VPN ao fazer o pedido para o estabelecimento de uma conexão, também podendo ser autenticado por algum outro servidor de autenticação definido na rede. Em seguida, a informação é criptografada, possibilitando o envio de formatos de dados ilegíveis (textos cifrados) e, logo em seguida, estas informações são encapsuladas em pacotes IP. Aqui o Gateway VPN acrescenta um novo cabeçalho IP, contendo o endereço do Gateway VPN origem e o destino, encapsulando o pacote original. Conforme os pacotes vão chegando ao seu destino final, vão sendo reconstituídos e decodificados para um formato legível Tipos de Tunelamento e de Túneis - Túneis Estáticos: são os que permanecem ativos por longos períodos de tempo, são mais apropriados para VPNs LAN-to-LAN. - Túneis Dinâmicos: ficam ativos apenas quando o tráfego é necessário, são mais seguros para VPNs Client-to-LAN. - Tunelamento Voluntário: Ocorre quando a própria estação de trabalho ou servidor de rede utiliza algum software cliente de tunelamento (cliente VPN) para estabelecer uma conexão com o Servidor VPN. Aqui é o próprio usuário quem solicita a configuração e criação do túnel. Neste caso, o usuário atua como extremidade do túnel. Este tipo de tunelamento é comum quando clientes remotos se conectam à Internet, para posteriormente utilizarem o software cliente. Neste modo, o túnel VPN termina no cliente. - Tunelamento Compulsório: Neste tipo de tunelamento, quem cria o túnel é um servidor de acesso remoto, localizado entre o usuário e o servidor de destino e que age como extremidade do túnel. Para o cliente, o tunelamento VPN é transparente, pois os clientes possuem acesso às informações das outras redes através do NAS (Network Access Server). Além disso, o cliente não necessita de nenhum software cliente VPN para o estabelecimento do túnel.

69 LXIX Metodologia básica da VPN A troca de informações entre hosts de forma criptografada, pode ser feita em diferentes camadas da rede: - Aplicação: a criptografia pode ser aplicada com programas do tipo PGP (Pretty good privacy) ou por canais como SSH (Secure shell); - Transporte: protocolos como SSL (Secure sockets layer) podem ser usados para proteger o conteúdo de uma comunicação específica entre duas partes; - Rede: protocolos como IPSec criptografam informação do TCP/IP, embora a informação do endereço IP para as partes que estão codificando e decodificando o pacote seja necessária para facilitar o roteamento correto, a informação de nível superior, incluindo protocolos de transporte e portas associadas, podem ser completamente escondidas. A informação de endereço IP da estação na extremidade também pode ser escondida se um dispositivo de gateway, como um roteador, firewall ou concentrador, estiver realizando a criptografia com um conceito de tunelamento Protocolos para VPN No processo de implementação de uma VPN é essencial a definição de um protocolo para se realizar o tunelamento. Existem diversos protocolos disponíveis para a construção de redes VPN que vão assim garantir a segurança e privacidade da conexão. Como foi dito anteriormente, o protocolo TCP/IP é o protocolo de comunicação entre os computadores da Internet, porém, antes da Internet ficar tão em evidência como está agora, algumas empresas utilizaram outros protocolos de rede para interligar seus computadores. O que deve ficar claro, é que a aplicabilidade de cada protocolo depende dos requisitos e necessidades dos clientes, do problema que está sendo apresentado e da solução que se deseja obter. Depende também, do controle (quem detém e por que o controle é necessário) e de como é feita cada implementação destes protocolos (túnel voluntário ou compulsório). A segurança nas conexões é garantida por mecanismos de autenticação e controle de acesso usando canais criptografados. Serão abordados agora, alguns protocolos mais importantes para a implementação de

70 LXX uma VPN PPP (Point-to-Point) Esse é um dos protocolos da camada de enlace de dados mais populares para se interligar hosts, através de linha discada, a provedores de acesso (Internet Service Provider ISP). O usuário remoto configura uma conexão PPP entre host remoto e o servidor de acesso remoto (Remote Access Server RAS). Depois que a comunicação é estabelecida, o computador remoto pode enviar pacotes IPs dentro do frame PPP. O servidor remoto retira o pacote IP de dentro do frame PPP e o insere dentro da rede interna. Os três principais componentes definidos para este protocolo são: - Um método para encapsular datagramas multiprotocolos; - Um protocolo de controle de enlace, o LCP (Link Control Protocol Protocolo de Controle de Enlace), usado para estabelecer, testar, negociar opções e desativar linhas de comunicação PPP; - Um protocolo para negociar opções da camada de rede de modo independente do protocolo da camada de rede a ser utilizado. Este protocolo é o NCP (Network Control Protocol Protocolo de Controle de Rede). Ele deve ser um específico para cada camada de rede aceita. O protocolo PPP requer que uma empresa ou um provedor de acesso a Internet (ISP), por exemplo, possua um banco de modens para acesso discado, sendo este dimensionado para o número de usuários remotos que irão se conectar. Se a conexão for para uma rede específica de uma empresa, esta deverá possuir um RAS com este banco de modens, além de linhas telefônicas próprias. Neste cenário, o usuário ficaria conectado à rede da empresa. Se a intenção for realizar uma conexão com a Internet, o usuário deverá realizar a ligação para um Servidor de Acesso Remoto de um provedor, desta forma, após o estabelecimento da conexão PPP, o usuário torna-se um host da Internet. Para realização desta configuração, o protocolo de tunelamento é dividido em duas partes: cliente e servidor. A parte cliente é chamada de concentrador de acesso que fica perto do usuário remoto, ou dentro do sistema operacional do usuário. Esse concentrador de acesso

71 LXXI tem como principal função encapsular frames PPP dentro de pacotes IP. Já a parte servidor fica mais próximo da rede interna da empresa, e possui a função inversa da parte cliente, que é retirar o encapsulamento e entregar o frame PPP para a rede interna. Desta forma muito tráfego que antes era feito via linha telefônica ficou sob responsabilidade da Internet e de provedores de acesso. O protocolo PPP utiliza a camada de link para gerar o túnel VPN e tem como benefício deixar que um ISP cuide da infra-estrutura de conexão discada sem que a empresa tenha a necessidade de um conjunto de modems. Neste caso o túnel deixa de ser voluntário passando a ser involuntário ou compulsório, porque não depende da necessidade de conexão do usuário remoto, pois o túnel é estabelecido entre o provedor de acesso e a rede interna da do estabelecimento Autenticação em PPP Para estabelecer a conexão entre dois pontos, cada entidade precisa trocar pacotes referentes ao controle de link. Dentre as informações trocadas entre as entidades, está o tipo de autenticação que será feito entre as duas entidades. o Password Authentication Protocol (PAP): Esse método de autenticação foi o primeiro a ser implementado para permitir a conexão de clientes remotos. O nome do usuário e a senha são enviados sem criptografia do cliente para o servidor. Este protocolo não proporciona privacidade uma vez que o nome do usuário e a senha são transmitidos sem uso de criptografia. O servidor não tem controle sobre o número de tentativas de autenticações enviadas pelo cliente, o que é uma vulnerabilidade para ataques de força bruta; [3] o Challenge Handshake Authentication Protocol (CHAP): Método de autenticação iniciado pelo servidor, que envia um desafio para o cliente de forma aleatória dentro de um conjunto preestabelecido de desafios e respostas. O cliente utiliza uma função hash para devolver a resposta ao servidor, que irá validar a resposta no banco de desafios e resposta, e autoriza ou não o acesso. Permite o controle do número de respostas válidas e inválidas, que ajuda a identificar um possível invasor usando de força bruta para tenta acessar o servidor. Os desafios propostos pelo servidor podem mudar aleatóriamente, evitando assim ataques de replay, em que o invasor tenta se autenticar usando uma resposta de um desafio

72 LXXII lançado anteriormente pelo servidor; o Extensible Authentication Protocol (EAP): Protocolo de autenticação que suporta vários mecanismos de autenticação. O EAP é um protocolo de negociação de protocolos de autenticação que ocorre em duas fases, primeiramente a fase de controle de link na qual o servidor envia para o cliente uma sugestão do método de autenticação, onde o cliente aceita ou não a sugestão do servidor, passando então para a segunda fase em que o servidor envia um pedido de autenticação ao cliente que responde ao servidor e o mesmo notifica o usuário se aceita ou não a autenticação dele. - RADIUS: Desenvolvido pela Livingston, uma divisão da Lucent Techonologies, que utiliza a arquitetura cliente servidor e introduz um servidor de acesso (NAS) que permite a conexão remota via linha discada e gerencia pedidos de conexão e liberação ou não da conexão. O NAS pode ser configurado para trabalhar como um cliente RADIUS, nesse caso, cada pedido passa pelo NAS, que passa ao servidor RADIUS, e recebendo retorno do servidor encaminha ao usuário. O servidor de acesso solicita uma conta e uma senha para efetuar a autenticação do usuário, que após receber o nome e a senha, o mesmo servidor de acesso cria um pacote chamado de Requisição de Autenticação com a senha e o nome e envia ao servidor RADIUS. Fazendo o papel de cliente RADIUS o servidor de acesso envia para o servidor RADIUS o pacote de requisição de forma criptografada, garantindo assim segurança das informações PPTP (Point-to-Point Tunneling Protocol) O protocolo Point-to-point Tunneling Protocol (PPTP) foi desenvolvido por um conjunto de empresas como Microsoft, Ascend Commnunication, US Robotics e ECI Telematic. Tais empresas tinham como objetivo comum facilitar o acesso de computadores remotos numa rede privada através da Internet ou outra forma de rede baseada no protocolo IP. [3] Este protocolo utiliza o Point-to-point Protocol (PPP) para fazer as conexões e, em seguida, encapsula os dados através do Generic Routing Encapsulation (GRE) em um túnel IP fim a fim e os envia à outra extremidade da VPN. Antes do envio de um datagrama IP, o PPTP cifra e encapsula este datagrama em um pacote PPP que, por sua vez, é encapsulado em um pacote GRE. Esse tipo de protocolo

73 LXXIII também requer a negociação de parâmetros antes de, efetivamente, proteger um tipo de tráfego entre duas entidades. Os pacotes transmitidos pelo túnel após encapsulados pelo GRE, onde é colocado o endereço do gateway destino, chegando ao gateway destino, são desencapsulados, retirando-se o cabeçalho GRE, e os pacotes seguem seu caminho determinado pelo endereço IP do cabeçalho original. O seu procedimento de negociação é feito sem qualquer proteção, permitindo que um atacante modifique parâmetros ou obtenha dados como o endereço IP dos extremos do túnel, nome e versão do software utilizado, nome do usuário e, em alguns casos, o hash criptográfico da senha do usuário. Uma vantagem em se usar o protocolo PPTP para implementação de uma VPN, é a flexibilidade em de lidar com outros protocolos diferentes do IP, como o NetBEUI da Microsoft e o IPX da Novell. Essa flexibilidade é alcançada através do uso do protocolo de roteamento GRE. Mas, ele também apresenta algumas desvantagens, que são relativas à sua segurança, onde este protocolo fornece suas chaves de encriptação utilizando a senha do usuário como base, ou seja, se esta senha for fraca, como palavras encontradas em dicionários ou números de telefones, a chave também será descoberta. O protocolo PPTP realmente não inclui privacidade e nem gerência de chaves de criptografia, logo é recomendando que se use o protocolo IPSec para adquirir privacidade e gerência de chaves de criptografia. Para autenticação em empresas de pequeno porte, com poucos usuários que fazem uso de VPN, o protocolo PPTP utiliza do RAS que suporta Password Authentication Protocol (PAP), Microsoft-Challenge Handshake Authentication Protocol (MS-CHAP) e para criptografia, o Micrsoft Point-to-point Encryption (MPPE). Em empresas com grande número de funcionários que utilizam a VPN para se comunicar com a empresa é necessário um banco de dados com contas de usuários, tornando-se necessário o uso de um servidor remoto de autenticação RADIUS ou TACACS (Terminal Access Controle Access Control System). Ambos tem a finalidade de autenticar os usuários em conexões discadas. A diferença básica entre eles é que o primeiro utiliza UDP e o segundo TCP respectivamente. [3] Segundo [3] a comunicação segura criada pelo PPTP envolve três processos, cada um deles exigindo que os anteriores sejam satisfeitos, e são eles: - Conexão e comunicação PPP: O cliente PPTP usa o PPP para se conectar ao ISP, utilizando uma linha telefônica ou ISDN-padrão. O PPP é utilizado aqui para estabelecer a

74 LXXIV conexão e criptografar os dados; - Conexão controle PPTP: Utilizando a conexão estabelecida pelo PPP, o PPTP cria um controle de conexão desde o cliente até o servidor PPTP na Internet. Essa conexão utiliza o protocolo de transporte TCP e é então chamado de túnel PPTP; - Tunelamento de dados PPTP: O PPTP cria os datagramas IP contendo os pacotes PPP criptografados e os envia através do túnel até o servidor PPTP. Nesse servidor, os datagramas são então desmontados e os pacotes PPP descriptografados, para que finalmente sejam enviados até a rede privada corporativa. Na comunicação PPP, o protocolo desempenha três funções, sendo elas de iniciar e terminar a comunicação com o servidor VPN, autenticar o usuário e criar os datagramas PPP com pacotes criptografados como é mostrado na figura 20. a) b) c) d) Cabeçalho PPP e) Cabeçalho IP Dados Cabeçalho PPP Cabeçalho IP Dados Cabeçalho IP Cabeçalho GRE Cabeçalho PPP Cabeçalho IP Dados Cabeçalho IP Cabeçalho GRE Cabeçalho PPP Cabeçalho IP Dados Cabeçalho IP Cabeçalho GRE Cabeçalho PPP Cabeçalho IP Dados Cabeçalho PPP Cabeçalho IP Dados Cabeçalho IP Dados f) g) Figura 20 - Datagrama IP utilizado no protocolo PPTP Considerando que a conexão e o túnel já estejam estabelecidos e o usuário remoto está enviando um datagrama IP para uma estação dentro da rede interna da empresa. a) Pacote IP original b) Datagrama IP dentro de um frame PPP c) Frame PPP encapsulado usando GRE, com cabeçalho IP d) Pacote PPP que é enviado ao RAS para primeira Conexão PPP encontrada e) O RAS retira o cabeçalho PPP e envia o pacote IP pela Internet para o servidor PPTP f) O Servidor PPTP retira o cabeçalho IP e o GRE, recebendo o frame PPP g) O Servidor PPTP coloca o Daatagrama IP na rede Interna

75 LXXV L2F (Layer Two Forwarding Protocol) Desenvolvido pela Cisco, Northern Telecom e Shiva Corporation, este protocolo tem como missão permitir que provedores de acesso ou empresas de telecomunicação ofereçam ao mercado acesso remoto discado para redes privadas, desta forma, as empresas que antes necessitavam de adquirir moldem e equipamentos de acesso não precisariam mais adquirir esses equipamentos para ter acesso o remoto, uma vez que as empresas de telecomunicações ofereceriam esse tipo de serviço. [3] Esse tipo de conexão necessita primeiramente de uma conexão entre o cliente remoto e o provedor de acesso remoto (NAS), após essa conexão ser autorizada e autenticada, o provedor abre um túnel entre o servidor de acesso e a rede privada do cliente. A autenticação do usuário remoto com o provedor de acesso pode ser por CHAP ou PAP. Trata-se de protocolos de autenticação, usados para validar o usuário que deseja fazer uso do provedor de acesso. Uma das características principais do L2F é o fato de usar qualquer protocolo orientado a pacotes que pode promover conexão ponto a ponto, tais como UDP, X.25, ATM e Frame Raley, tornando-se assim bastante flexível para realizar as conexões. Uma diferença notada entre o PPTP e L2F é a terminação do túnel no L2F, que assume que a rede privada do cliente sempre estará atrás de um gateway, roteador ou firewall. Nota-se também que no protocolo PPTP o túnel é formado pelo computador remoto, já no L2F o túnel é formado pelo provedor de acesso [3]. Para garantir um nível um pouco mais seguro em relação à autenticação dos usuários, é comum a utilização de servidores de acesso como por exemplo o RADIUS ou TACACS, garantindo assim o mínimo de segurança no tráfego pelo túnel L2F, uma vez que este protocolo não define criptografia e nem encapsulamento dos dados. [3] L2TP (Layer Two Tunneling Protocol) Esse protocolo foi desenvolvido com base em dois protocolos de tunelamento, o L2F e no PPTP, e tem como principal objetivo assim como o PPTP, o encapsulamento de pacotes PPP. Ele tem algumas características do PPTP, como a utilização do PPP para fornecer o

76 LXXVI acesso remoto e a operação em ambientes como o NetBEUI e o IPX. No entanto, uma diferença visível em relação a seu processamento é quanto à forma de autenticação, pois ela é feita em dois níveis; No primeiro, o usuário é autenticado pelo provedor de acesso antes do túnel ser instalado e, no segundo, quando a conexão é estabelecida entre os gateways. Este tipo de protocolo permite que o tráfego IP, IPX e NetBEUI sejam criptografados e enviados através de canais de comunicação de datagramas ponto a ponto, tais como IP, X25, Frame Relay ou ATM. Ele foi projetado pela Cisco Systems e, posteriormente, homologado pela Internet Engineering Task Force (IETF) como protocolo padrão, baseia-se no L2F para solucionar os problemas do PPTP, sendo considerado seu herdeiro. Diferentemente do PPTP, o L2TP não usa uma conexão TCP separada para Controle de Canal, utilizando o mesmo pacote L2TP. O PPTP usa o GRE para encapsular os dados enquanto o L2TP utiliza o UDP. [3] Uma de suas vantagens, é que qualquer fabricante pode criar produtos que utilizem o L2TP, de forma que provedores de acesso e consumidores em geral não dependam de produtos fornecidos por uma única empresa. Porém, ele não possui um mecanismo eficiente de encapsulamento para executar esta tarefa, ou seja, ele necessita do protocolo IPSec, que será explicado posteriormente, para que juntos possam garantir a segurança da VPN MPLS (Multiprotocol Label Switching) Outro método pouco utilizado para a criação de uma VPN, é através da utilização do protocolo MPLS. O MPLS é conhecido como comutação de rótulos multiprotocolo, e foi desenvolvido inicialmente pelos fabricantes de roteadores que tinham como objetivo principal a busca de melhores métodos de roteamento, que pudessem assim reduzir ao máximo o processamento necessário para cada roteador redirecionar o pacote. Os trabalhos dos fabricantes de roteadores como a Cisco, a Force10 Networks e a Juniper Networks concentram-se na inclusão de um rótulo no início de cada pacote e na execução do roteamento baseado no rótulo, e não mais no endereço destino [1]. Um grande problema enfrentado foi sobre a localização do rótulo, pois os pacotes IP não foram projetados para suportar circuitos virtuais. Não existe nenhum cabeçalho com campo disponível para os rótulos dos circuitos virtuais dentro do cabeçalho IP, desta forma, a solução encontrada foi adicionar um cabeçalho MPLS antes do cabeçalho IP e utilizar

77 LXXVII cabeçalhos PPP para encapsular o MPLS entre os roteadores. Os roteadores que são capazes de entender os pacotes MPLS são chamados Label Switch Router (LSR). O caminho percorrido pelo pacote é denominado Label Switch Path (LSP), e o protocolo de comunicação entre os elementos de rede ou roteadores é chamado de Label Distribution Protocol (LDP). Percebe-se então, que o MPLS pode ser utilizado amplamente para a construção de redes VPN, pois garante um isolamento completo do tráfego através da criação de tabelas de rótulos usadas para roteamento, exclusivas de cada circuito virtual [3]. O problema dessa solução para a construção de VPN é que a mesma depende da existência de roteadores LSR na rota entre as entidades comunicantes. O MPLS não pode ser considerado como tecnologia de implementação de tunelamento, pois mesmo havendo o isolamento dos pacotes, estes trafegam por uma rede pública, por rotas que serão selecionadas de acordo com os algoritmos de rota utilizados. Basicamente configurações VPN com MPLS pode ser de 3 tipos: - Full Meshed: onde todos os pontos da rede podem se comunicar; - Hub Spoke: interesse do tráfego é somente para um ponto da VPN; - MPLS Mista: topologia especial de Hub Spoke, uma vez que existe mais de um ponto de concentração do tráfego da VPN IPSec IPSec é um conjunto de protocolos que define a arquitetura e as especificações para promover serviços de segurança como integridade dos dados, autenticação, confidencialidade e limite de fluxo de tráfego, dentro do protocolo IP [3]. Desenvolvido pelo grupo IETF, o Protocolo de Segurança IP (IPSec) veio para suprir as grandes limitações de segurança dos protocolos referidos anteriormente: PPTP e L2TP. O tunelamento na Camada de Enlace suporta vários protocolos tais como: IP, IPX, NetBEUI, entre outros, facilitando a comunicação entre as redes corporativas. Já o IPSec e os protocolos da Camada de Rede, suportam apenas destinos com endereçamento IP. O IPSec não é um mecanismo de encriptação, mas sim, um gerenciador de protocolos e algoritmos, que visa garantir autenticidade, integridade e confiabilidade nas redes IP públicas. O IPSec é um conjunto de ferramentas compondo um sistema, afim de garantir

78 LXXVIII comunicações seguras em uma rede. Quando se trata de sua estrutura, o IPSec é compatível com o IPv6, pois seu desenvolvimento foi em paralelo com esta tecnologia. Porém, como essa nova versão do IP está caminhando lentamente o IPSec foi adaptado ao IPv4. À medida que as redes forem sendo substituídas pelo IPv6, a necessidade de se utilizar as adaptações do IPSec será extinta. O IPSec é um conjunto de componentes e, como tal, é necessário, para seu bom funcionamento, que esses componentes estejam todos bem configurados e integrados. Todas as características desses componentes visam um tráfego de informações da maneira mais segura possível e o entendimento dos mesmos é de suma importância para a compreensão de tópicos seguintes como a arquitetura IPSec. Sua especificação define um conjunto de protocolos que dá suporte aos requisitos de segurança exigidos por uma VPN IP. Ele oferece os meios necessários para garantir a confidencialidade, a integridade e a autenticidade dos pacotes IPs transmitidos e recebidos, trabalhando com uma variedade de esquemas padronizados e processo de negociação de criptografia bem como os vários sistemas de segurança, como assinatura digital, certificado digital, infra-estrutura de chave pública, etc. O IPSec não está vinculado a protocolos de criptografia específicos, portanto a sua estrutura sobrevive mesmo a violações em algoritmos de criptografia, pois, caso esta situação ocorra, basta alterar o algoritmo utilizado pelo IPSec. [1] SA (Security Association) A Associação de Segurança é o método utilizado pelo IPSec para lidar com todos os detalhes de uma determinada sessão de comunicação. Uma SA representa o relacionamento entre duas ou mais entidades e descreve como estas utilizarão os serviços de segurança para se comunicarem. Pode-se também definir uma Associação de Segurança como sendo uma conexão lógica que protege o fluxo de dados de um dispositivo IPSec a outro, usando um conjunto de transformação. Uma SA é uma conexão simplex (unidirecional) entre dois pontos extremos e que gera um identificador de segurança único associado a cada conexão. Quando um sistema envia um pacote que requer proteção IPSec, ele identifica a SA armazenada em um Banco de Dados chamado Security Association Database (SAD). A

79 LXXIX escolha da SA depende do SPI (Security Parameter Index), que tem a função de verificar qual a melhor SA para o pacote e é adicionado no cabeçalho IPSec. O SPI define parâmetros como por exemplo quais algoritmos e funções se deve utilizar para proteger o pacote. Em suma, a SA é, simplesmente, o relatório das políticas de segurança que serão usadas entre dois dispositivos. O IPSec define dois modos de uma Associação de Segurança AS: - Modo de Transporte: aqui, a carga do pacote IP é protegida pelo IPSec. O header (cabeçalho) do pacote IP original é deixado intacto, sendo adicionado um header de IPSec à frente do cabeçalho do pacote IP original. O tráfego transmitido entre dois dispositivos IPSec, uma estação cliente e um servidor, por exemplo, pode ser observado mesmo com o uso de criptografia, pois os endereços de origem e destino contidos no header são deixados intactos. - Modo Túnel: é uma SA entre dois roteadores (ou Gateways de segurança, como são chamados) ou um host e um roteador. Neste modo, todo o pacote IP é protegido e torna-se uma carga de um novo pacote. Um cabeçalho IPSec é inserido entre o cabeçalho de IP do pacote original e o cabeçalho de IP do novo pacote. Os endereços de origem e destino no cabeçalho do novo pacote IP são os endereços dos dispositivos que realizam a associação de Segurança. O modo túnel (ou tunelamento) é a base para a implementação das redes VPN dedicadas entre dois roteadores ou a base para conexão VPN entre usuários em hosts remotos a um roteador dentro de uma Intranet Manipulação de Pacotes de Dados Os serviços de segurança do IPSec são oferecidos por meio de dois protocolos sendo eles o AH (Authentication Header) e ESP (Encapsulating Security Payload). Tais protocolos são básicos para formação de uma VPN utilizando o IPSec, assim como os algoritmos de criptografia DES (Data Encryption Standart), Blowfish, 3-DES(Triple Data Encryption Standart), CAST, AES (Advanced Encryption Standard), SERPENT, TWOSFISH e mecanismos de autenticação como HMAC, MD5 (Message-Digest algorithm 5), SHA1 (Secure Hash Algorithm 1) e SHA2 (Secure Hash Algorithm 2). Por se tratar de um padrão aberto o IPSec pode utilizar novos algoritmos de criptografia e de autenticação uma vez que eles sejam testados e aprovados, assim como pode

80 LXXX deixar de usar qualquer outro que faça uso, uma vez que ele se torne absoleto AH (Authentication Header) O Protocolo AH, provê integridade e autenticação aos datagramas IP e ainda provê proteção contra ataques do tipo replays, ou seja, quando uma pessoa mal intencionada captura pacotes válidos e autenticados pertencentes a uma conexão, replica-os e os reenvia como se fosse a entidade que iniciou a conexão. A característica de integridade do AH garante que modificações não detectadas no conteúdo dos pacotes transmitidos não sejam possíveis. A autenticação permite que um sistema final ou um dispositivo de rede possa autenticar o usuário ou a aplicação, filtrando o tráfego transmitido. Embora a autenticação aconteça no pacote IP, nem todos os campos podem ser autenticados, porque alguns campos do cabeçalho serão alterados no decorrer da transmissão [3]. O AH e o ESP podem ser usados em conjunto, mas apenas um deles é suficiente. O IPSec não identifica quais algoritmos os cabeçalhos podem usar, mas fornece uma lista de alguns bem utilizados. Entre eles, estão: o MD5 e o SHA para integridade e autenticidade. O DES é o mais difundido entre os algoritmos de encriptação, mas existem outros também muito conhecidos, como o RC4. Este protocolo auxilia na defesa de vários tipos de ataques inerentes às redes que não usam VPN. Ataques do tipo Replay onde o invasor intercepta um pacote na transmissão o altera e depois o envia novamente; ou de Spoofing, quando o invasor assume o papel de uma entidade confiável para o destino, e dessa forma ganha privilégios na comunicação, fazendo uso da rede sem pertencer a ela; e até mesmo ataques do tipo connection hijacking, quando o invasor intercepta um pacote e começa a fazer parte da comunicação, podendo ser evitados com o uso do protocolo AH, pois se trata de autenticação, onde verifica-se a origem e o destino do pacote que está trafegando na rede. A figura 21 descreve como é formado um pacote no formato AH. Próximo Cabeçalho (8 bits) Tamanho do Dado Reservado (16 bits) (8 bits) Índice do Parâmetro de Segurança (SPI) (32 bits) Número de Seqüência (32 bits) Dados de Autenticação (Tamanho variável) Figura 21 - Protocolo AH - Próximo Cabeçalho: Contém o identificador do protocolo do próximo cabeçalho.

81 LXXXI É o mesmo valor atribuído ao campo Protocolo no cabeçalho IP original; - Tamanho do Dado: Comprimento do cabeçalho de autenticação e não o comprimento do dado; - Reservado: 16 bits reservados para extensão do protocolo; - SPI (Security Parameter Index): Este índice em conjunto com o protocolo AH e o endereço fonte, identifica unicamente uma SA para um determinado pacote; - Número de sequência: Contador que identifica os pacotes pertencentes a uma determinada SA. A utilização deste campo ajuda na prevenção de ataques Replay, pois permite numerar os pacotes que trafegam dentro de uma determinada SA; - Dados de Autenticação: Campo de comprimento variável que contem o ICV (Integrity Check Value) para este pacote, que é calculado seguindo o algoritmo de autenticação usado, definido pela SA. Utilizando-se de função hash o mecanismo de autenticação utiliza a chave negociada durante o processo de estabelecimento da SA. Ao fim dessa operação o resultado de hash normalmente utilizando todos os campos compostos da autenticação, nada mais é do que o ICV que é colocado dentro do campo Dados de Autenticação. A estação de destino recebe o pacote e recalcula o Hash, após o cálculo compara-se com o valor do Hash enviado pela estação origem, caso esse valores sejam iguais, significa que não houve adulteração no pacote recebido, caso contrario existe a possibilidade de alguém ou algum equipamento ter alterado o conteúdo do pacote recebido. O AH pode ser usado em dois modos, conhecido como modo transporte e modo túnel. [3] - Modo Transporte: aqui o AH é inserido entre o cabeçalho IP e antes do protocolo de mais alto nível, como por exemplo, o TCP, UDP, ICP, etc. Esse modo utiliza o mesmo cabeçalho IP, que recebe o valor 51 que representa o protocolo AH. O valor original do protocolo é posto no cabeçalho de autenticação, como mostra a figura 22. Cabeçalho IP Cabeçalho de Autenticação Dados Figura 22 - Modo Transporte do protocolo AH - Modo Tunel: um novo cabeçalho para o novo pacote IP, o Cabeçalho de

82 LXXXII Autenticação é inserido entre o novo cabeçalho e o cabeçalho original. Com esse modo o pacote IP original fica intacto devido o encapsulamento dentro do novo pacote IP. Observa-se tal procedimento na figura 23. Novo Cabeçalho IP Cabeçalho de Autenticação Cabeçalho IP Dados Figura 23 - Modo Túnel do protocolo AH Como foi visto o protocolo AH não adiciona confiabilidade e nem criptografia nos dados, mas garante a autenticação dos pacotes ESP (Encapsulation Security Payload) O Protocolo de Encapsulamento Seguro de Dados é descrito pela RFC 2406, provê confidencialidade por meio de criptografia, autenticação, integridade, proteção de replay e confidencialidade limitada ao fluxo de tráfego. Assim como no AH, o algoritmo de criptografia utilizado é configurado na SA, na qual os pacotes são enviados. Esse conjunto de serviços depende das opções selecionadas em tempo de estabelecimento de Associação de Segurança. O ESP é responsável pela cifragem dos dados e é inserido entre o cabeçalho IP e o restante do datagrama. Desta forma, o campo de dados é alterado após ser criptografado. Cabe observar que, como o pacote IP é um datagrama e, portanto não possui garantia de entrega, cada pacote deve conter informações necessárias para estabelecer o sincronismo da criptografia, permitindo que a descriptografia ocorra no destino sem problemas. Porém, se nenhum algoritmo de criptografia for utilizado, o ESP poderá oferecer somente autenticação [3].

83 LXXXIII Figura 24 - Campos do Protocolo ESP Seguem os campos que compõem o cabeçalho ESP: - Índice de Parâmetro de Segurança: campo de 32 bits que identifica a Associação de Segurança; - Número de Seqüência: é um contador de 32 bits que identifica os pacotes pertencentes a uma determinada AS. Sua utilização ajuda na prevenção de ataques replay; - Dados: este campo corresponde aos dados criptografados. É o segmento do nível de transporte (modo de transporte) ou o pacote IP (modo túnel) que está protegido pela criptografia. Este é um campo de tamanho variável; - Complemento de 0 a 255 bytes: o propósito deste campo é completar o bloco de texto para manter a compatibilidade com o algoritmo de criptografia a ser utilizado (colocando-o múltipolo de um determinado número de bytes, geralmente 4 bytes) e para suportar confidencialidade limitada ao fluxo de tráfego; - Tamanho do complemento de 8 bits: determina o número de bytes do complemento, ou Pad, imediatamente precedente a este campo; - Próximo (8 bits): identifica o tipo dos dados contidos no campo Payload Data, indicando o primeiro header neste Payload; - Dados de Autenticação: é um campo de tamanho variável que contém o ICV (Integrity Check Value) para este pacote, que é calculado sobre o pacote ESP menos o campo de Autenticação de Dados. O protocolo ESP também pode operar no modo de transporte ou modo de túnel. O

84 LXXXIV modo transporte é utilizado para criptografar e opcionalmente autenticar os dados carregados pelo IP [1]. Neste modo, o cabeçalho ESP é inserido entre o cabeçalho IP e os Dados (Payload), adicionando o trailer ESP. Se a autenticação for selecionada, um campo de autenticação é adicionado após o trailer ESP. Se o pacote original já tiver um cabeçalho IPSec, este novo cabeçalho é colocado antes do cabeçalho IPSec já construído. O modo túnel é utilizado para criptografar todo o pacote IP, sendo colocado todo o pacote original dentro de um novo pacote IP. Neste modo, se o túnel for entre dois hosts, os endereços de origem e destino do novo cabeçalho serão os mesmos do cabeçalho criptografado. Se o túnel for entre gateways, os endereços de origem e destino do novo cabeçalho serão dos gateways e os endereços dentro do cabeçalho criptografado serão dos hosts ou servidores atrás dos gateways [6] SPD (Security Policy Database) Enquanto o SAD auxilia na definição de parâmetros e políticas de segurança a serem usados, o IPSec conta também com o SPD: um Banco de Dados que força a política de segurança sobre os pacotes. Ele simplesmente, define o que seguirá adiante com o IPSec e o que será descartado. Nos pacotes recebidos o SAD é aplicado antes do SPD, pois serão verificados parâmetros como a autenticidade do remetente e a integridade dos pacotes. Já, aos pacotes enviados, aplica-se antes o SPD, justamente para definir o que vai e o que fica. No banco de dados de Associação de Segurança são armazenados o conjunto de parâmetros associados à SA, cada SA tem uma entrada neste banco, que especifica tudo o que é necessário ao processamento do IPSec para cada pacote IP pertecente à SA. Seguem alguns tipos dessas informações: - Índice dos parâmetros de segurança (SPI), que é o numero que identifica a SA dentro do banco de dados SAD; - O protocolo utilizado na SA, podendo ser ESP ou AH; - O modo no qual a SA está operando, podendo ser túnel ou transporte; - Contador seqüencial do pacote IP dentro da SA; - Número máximo de unidades de transmissão;

85 LXXXV - Endereço IP de origem da SA; - Endereço IP de destino da SA; - Algoritmo de autenticação e sua chave de autenticação; - Algoritmo de criptografia e sua chave de criptografia; - Tempo de vida da chave de autenticação e de criptografia; - Tempo de vida da SA. No banco de dados de políticas de segurança contém a lista de políticas de segurança a serem aplicadas ao pacote IP. São regras que especificam como o pacote IP deve ser processado, independente da SA. Em chaves de criptografia, o SPD especifica o tipo de algoritmo a ser usado, mas não a chave de criptografia. Cada entrada no SPD tem dois componentes, um seletor e uma ação. O seletor é uma condição a ser validada que faz a ligação do pacote IP com a ação. A condição é construída por parâmetros e seus valores, ou intervalos de valores que podem ser subdivididos em duas categorias: [3] - Parâmetros contidos dentro do pacote IP, como o endereço, o número do protocolo, número da porta; - Parâmetros derivados da credencial de autenticação da entidade, com nome, endereço de . O SPD possui um conjunto de regras e para cada uma das ocorrências tem-se a tomada de uma ação diferente, onde essas regras são baseadas nos parâmetros citados acima, tratando o tráfego de entrada e de saída de forma independe Gerenciamento de Chaves O Gerenciamento de Chaves pelo IPSec pode ser manual ou automático dependendo do número de hosts conectados. Em redes médias e grandes, é altamente recomendável um Gerenciamento de Chaves automático, onde o protocolo padrão para esse tipo de gerenciamento utilizado pelo IPSec é o IKE Internet Key Exchange Protocol (Protocolo para Troca de Chaves na Internet), que é uma junção do ISAKMP Internet Security Association and Key Management Protocol (Protocolo de Negociação de Chaves e de

86 LXXXVI Associação de Segurança na Internet) e do Oakley, que é um protocolo de determinação de chaves. O funcionamento do IKE é dividido em duas etapas: na primeira, é estabelecido um túnel de comunicação seguro entre as entidades que desejam trocar dados. Para isso, são verificados quais protocolos serão usados na escolha dos algoritmos de autenticação e encriptação. Com isso, as chaves secretas das entidades são trocadas e, uma SA ISAKMP, é feita para criar o canal. Na segunda etapa, as melhores SAs são escolhidas para proteger o tráfego IP que transitará pelo canal criado através de outra SA ISAKMP e, finalmente, os protocolos são negociados e armazenados nas SADs das duas entidades. Resumindo: o IKE cria um túnel seguro e autenticado entre duas entidades para, depois, negociar SAs para o IPSec. Esse processo requer que as duas entidades se autentiquem entre si e estabeleçam chaves compartilhadas Implementações do IPSec Há várias formas de implementação do IPSec, desde o servidor, até roteadores ou firewalls. Os tipos mais freqüentes são: - Integração do IPSec na implementação nativa da pilha TCP/IP. Isto requer acesso ao código fonte, e pode ser implementado tanto em servidores como em gateways de segurança; - Implementação chamada como Bump In The Stack (BITS), onde o IPSec é implementado sob a pilha TCP/IP já existente, entre a camada IP nativa, e o driver de rede local existente. Acesso ao código fonte neste caso não é necessário, fazendo desta implementação o tipo ideal para sistemas legados. Esta implementação é usualmente empregada em servidores; - Implementação chamada como Bump In The Wire (BITW) quando se faz uso de dispositivo físico dedicado para criptografia (crypto-processador) em sistemas militares e comerciais dedicados. Normalmente o dispositivo é endereçável na camada IP, e pode ser encontrado em gateways e servidores. Quando o BITW é implementado em um único servidor, ele é análogo ao BITS. Quando o BITW é implementado em roteador ou firewall, ele deve operar como gateway de segurança.

87 LXXXVII Análise da Topologia para VPNs Um aspecto muito importante quando se trabalha com redes VPNs implementadas em nível de rede, especialmente baseadas na Internet, é se estabelecer uma configuração de um Gateway VPN dentro de uma estrutura baseada no uso de Firewalls, bem como a localização do Firewall dentro de uma rede VPN. A adição de um gateway VPN à estrutura de segurança já existente de um ambiente corporativo é um assunto bastante delicado. Dentro dessa visão, algumas idéias e regras devem ser estabelecidas a respeito do posicionamento de um Gateway VPN em uma topologia de rede; - O posicionamento de um servidor VPN não deverá comprometer a política de segurança da rede como um todo; - O servidor VPN não deverá estar em um ponto de falha; - O servidor VPN somente poderá aceitar tráfego de uma rede não-confiável se o tráfego for criptografado. Se a rede for confiável, o servidor deverá aceitar tanto o tráfego criptográfico quanto o não-criptografado; - O Gateway VPN deve se defender de ameaças da Internet; - Toda a arquitetura deve filtrar o tráfego após a descriptografia. Desta forma, o posicionamento de um Gateway VPN em relação ao firewall da rede torna-se importantíssimo e crucial para o sucesso da topologia adotada, uma vez que os firewalls não podem controlar o acesso à rede de pacotes criptografados. Conforme [3] uma solução eficiente e segura de VPN deve conter: - Políticas de segurança da rede definida, aplicada e eficiente; - Garantir que o tráfego VPN seja integrado ao controle de acesso à rede; - Proteger o gateway da VPN de ataques externos; - Ter uma arquitetura otimizada de VPN e firewall para ganho e performance; - Permitir um crescimento dinâmico no ambiente de rede; - Simplificar a administração da rede. Como o gateway VPN deve receber somente tráfego proveniente da própria VPN,

88 LXXXVIII não há a necessidade de aceitar qualquer outro tipo de tráfego, além daquele de controle, que não seja cifrado. Essa rejeição ou descarte de outros tipos de tráfegos é parte fundamental da política de auto-defesa do próprio gateway VPN. Existem várias formas diferentes de posicionamento de uma VPN em relação ao firewall VPN em frente ao Firewall A principal justificativa dessa topologia é que todo o tráfego do gateway VPN seja inspecionado pelo firewall, depois que os pacotes saiam da rede virtual. [3] Com um servidor VPN postado na frente de um firewall, é estabelecido um ponto de fragilidade da rede, uma vez que fica sem a proteção adicional do firewall. Além disso, com essa topologia, o gateway VPN fica completamente exposto a outros tipos de ataque originados da Internet, já que todo o tráfego que chega a ele não é anteriormente submetido a qualquer tipo de análise. Outra desvantagem dessa topologia é o fato de não existir controle de acesso, ou seja, usuários remotos irão conectar-se ao gateway VPN que irá descriptografar os dados e repassá-los ao firewall, sem analisar quais serviços e portas o usuário pretende acessar. Essa topologia pode ser vista na figura 25, onde tem-se um firewall após o terminador da VPN. Neste cenário, o gateway VPN cuidará da rede virtual, porém, não aplica as regras da rede externa aos pacotes do túnel VPN. É importante observar que, os pacotes oriundos da Internet serão analisados somente depois que o pacote entrar na rede interna.

89 LXXXIX Figura 25 - Gateway VPN em frente ao Firewall A gerência do gateway VPN e do firewall torna-se mais complicada uma vez que se trata de dois equipamentos, tendo então: - Duas políticas de segurança; - Duas estações de gerência; - Dois bancos de dados de usuários; - Duas tabelas de roteamento; - Dois objetos e controles de acesso VPN atrás do Firewall Com o gateway VPN situado atrás do firewall como mostrado na figura 26, é possível que o firewall forneça um nível de proteção adicional, permitindo que somente pacotes IP do tipo 50 (AH) e 51 (ESP), e pacotes UDP destinados à porta 500 (IKE), cheguem ao gateway VPN. Com isso, cabe ao firewall analisar o tráfego que passa fora do túnel VPN, ficando impossibilitado de analisar o tráfego da rede VPN. Como conseqüência, todo o tráfego VPN, após o deciframento, adentrará a rede interna sem que sobre ele tenha sido aplicado qualquer tipo de controle. Desta forma, esta configuração fragiliza totalmente o firewall, uma vez que este deve necessariamente permitir o tráfego VPN sem a análise do conteúdo das informações,

90 XC permitindo assim ataques de negação de serviço, podendo causar uma falha no gateway, parando o acesso da rede interna à rede externa. O motivo para isso ocorrer é o fato de que o gateway por si só não possui funcionalidades de firewall para minimizar este e outros tipos de ataques. [3] A figura abaixo representa a configuração de um gateway VPN atrás do firewall. Figura 26 - Gateway VPN atrás do Firewall VPN e Firewall integrado A posição aconselhada e defendida em algumas publicações é a combinação de firewall e gateway VPN em um único equipamento, sendo essa alternativa bastante popular e recomendada, pois ela apresenta a vantagem de simplificar a administração e o gerenciamento dos componentes da rede, uma vez que os serviços de VPN e firewall estarão concentrados no mesmo equipamento. Por outro lado, esta topologia tem como desvantagem uma possível queda de desempenho no poder de processamento do firewall, em virtude da própria sobrecarga gerada pela execução dos processos referentes ao Gateway VPN e ao firewall dentro da mesma máquina, já que o equipamento deve ter a habilidade de rotear, executar criptografia de chave pública e chavear entre sessões cifradas ao mesmo tempo em que se realiza a filtragem de pacotes e a geração de logs. Tal configuração pode ser vista na figura 27. Essa configuração proporciona vários tipos de benefícios como:

91 XCI - Proteção contra ataques de negação de serviço ao gateway VPN devido à detecção e o tratamento pelo firewall; - Maior robustez na segurança uma vez que todo o tráfego é controlado. O firewall pode definir quais serviços determinado usuário ou grupo pode acessar e todo tráfego VPN pode ser analisado, após ser descriptografado pelo firewall, permitindo assim que o conteúdo indevido seja bloqueado; - Diminuição de erros de má configuração, uma vez que os firewalls estão unificados; - Logs consolidados, todas as ocorrências de acesso são salvas em um mesmo arquivo; - Roteamento simplificado, pois como os firewalls e o gateway VPN estão integrados, não há necessidade de manter tabelas de roteamento separadas, para cada elemento. [3] Figura 27 - Gateway VPN integrado ao Firewall Gateway VPN em paralelo ao Firewall Na figura 28 o gateway VPN está em paralelo com o firewall permitindo assim duas conexões com a rede externa. Essa configuração proporciona certa segurança em termos de pontos de falha, uma vez que se o firewall ou o gateway VPN falharem o sistema não fica

92 XCII sem comunicação com a rede externa. O principal objetivo dessa topologia é dividir o tráfego, ou seja, as conexões VPN não passam pelo firewall, que fica responsável somente pelo tráfego normal, já os dados criptografados ficam sob responsabilidade do gateway VPN. [3] Porem essa topologia faz com que o gateway VPN se proteja sozinho, abrindo um ponto a mais de vulnerabilidade na rede, uma vez que o tráfego decifrado não é submetido a qualquer controle antes de entrar na rede interna, expondo assim os recursos da rede interna. Tal configuração é bastante perigosa como podemos ver na figura 28, pois o gateway VPN pode se tornar uma porta de entrada a mais na rede interna, e enfraquece a segurança implementada pelo firewall. Essa topologia requer um complicado esquema de roteamento, causando uma grande dificuldade ao administrador da rede. Figura 28 - Gateway VPN em paralelo com o Firewall Gateway VPN numa interface do Firewall Configuração bastante segura, uma vez que o todo o tráfego antes de passar para a rede interna necessariamente passa antes pelo firewall que filtra todo tráfego antes que entre na rede interna, além de proteger o gateway VPN de ataques originados da Internet.

93 XCIII Todo tráfego cifrado é enviado ao gateway VPN que decifra os dados e reenvia ao firewall que por sua vez analisa os dados e caso não haja nenhum problema os mesmos são encaminhados à rede interna. Um grande problema encontrado com essa topologia é o fato de que todo o tráfego destinado ao gateway VPN passa duas vezes pelo firewall o que trás um certo retardo nas transmissões porque os dados criptografados são encaminhados à VPN e após serem descriptografados, são encaminhados novamente ao firewall, logo requisitos como velocidade e roteamento passam a ser pontos delicados desta topologia. Essa configuração deve levar em conta o aumento de complexidade das regras de filtragem, pois muitas vezes é necessário lidar com cenário complexo de acesso de clientes remotos VPN, e essa complexidade pode comprometer a administração segura dos equipamentos gerando assim brechas no sistema e facilitando ataques. Um grande problema dessa implementação é o mesmo da topologia em paralelo, pois tem-se que administrar dois equipamentos distintos, e cada um deles com suas particularidades, tendo então: - Duas políticas de segurança; - Duas estações de gerência; - Dois bancos de dados de usuários; - Duas tabelas de roteamento; - Dois objetos e controles de acesso. A figura 29 demonstra a configura do firewall e do gateway VPN interligados via interface do firewall.

94 XCIV Figura 29 - Gateway VPN ao lado do Firewall SEGURANÇA EM REDES SEM FIO USANDO VPN CAPÍTULO VI SOLUÇÃO PROPOSTA E IMPLEMENTAÇÃO 6.1 Objetivo A solução proposta tem por objetivo demonstrar a configuração de uma rede sem fio g, assim como o uso de procedimentos de segurança, como modificação das configurações de fábrica do roteador sem fio; uso de protocolos de criptografia WEP e WPA; configuração da VPN, além da configuração do cliente VPN e do Servidor VPN. Pretende-se demonstrar a segurança proporcionada com o uso da VPN.

95 XCV 6.2 Configurações dos Equipamentos Foram usados, para esse experimento, um computador desktop e dois Notebooks, sendo a configuração deles: Tabela 2 Configuração dos equipamentos Placa Mãe Processador HD Memória Placa de rede Sem Sistema Servidor ASUS P GHz (Gb) 80 (Mb) 512 Fio Realtek RTL8185- Operacional Windows 2003 (Desktop) Usuário P4S533X ACER AMD m Wireless Realtek RT8139 Server Prof. Windows XP Remoto SPIRE SEMPROM PCI Fast Ethernet Profissional (Notebook) Interceptador HP 3400 Turion 64 Bits NIC b/g Broadcom Windows XP V2000 1,79 GHz b/g WLAN Profissional (Notebook) Foi utilizado o roteador sem fio D-Link, modelo DI-524 vide figura 30. As especificações técnicas do roteador podem ser vistas no Anexo 1. Figura 30 - Roteador D-Link DI Cenários Foram configurados vários cenários, nos quais fez-se o uso de criptografia em vários níveis, assim como a utilização da VPN combinada com criptografia WEP e WPA, além da configuração com protocolos PPTP e L2TP/IPSec. A figura 31 mostra como está configurada a rede sem fio do modelo de teste.

96 XCVI Figura 31 Configuração de rede sem fio estruturada Cenário 1 (Sem VPN e sem Criptografia) Neste cenário não foram alteradas as configurações default do roteador, com SSID default e o broadcast do sinal habilitado, permitindo que quaisquer pessoas que estejam nas imediações possam acessar a rede sem fio Comentários Com já foi citado, uma das maiores brechas de segurança em uma rede sem fio é a má configuração dos equipamentos, uma vez que as configurações de fábrica são facilmente descobertas, e podem sofrer alterações de acordo com a vontade do invasor, possibilitando ataques de DoS, além de outros. A má configuração em redes sem fio se dá pelo fato de muitos usuários não terem o conhecimento necessário para implantar medidas de segurança ou devido o fato das configurações dos roteadores e das placas de rede sem fio serem um pouco complicadas ou ainda por acreditarem que seus sistemas nunca serão atacados. Este cenário então se torna o mais vulnerável, pois não exige autenticação dos usuários, criptografia e nenhum dos métodos de segurança já citados.

97 XCVII Testes Realizados Foi realizado uma troca de arquivos entre o servidor/cliente com os IPs que foram distribuídos pelo roteador, que fez a função de servidor DHCP como mostrado na figura 32. A troca do arquivo se deu através do protocolo SMB da Microsoft, o cliente acessa a pasta compartilhada no servidor e copia o arquivo e depois cola no seu próprio computador. Figura 32 - Configuração cenário 1 O arquivo de nome arqtest.txt de tamanho 10 bytes, tendo como conteúdo uma seqüência numérica de 1 a 9 foi transferido do servidor para o usuário remoto sem nenhum método de criptografia e sem a utilização da VPN, com isso foi possível através de um terceiro computador (interceptador) interceptar o tráfego entre o usuário remoto e o servidor e verificar o conteúdo da mensagem através do sniffer Ethereal, capturando em modo promiscuo os dados da rede sem fio. Ao terminar a transferência do arquivo o computador interceptador foi capaz de identificar o conteúdo do arquivo transferido, que neste caso é a seqüência numérica de 1 a 9, como mostra a figura 33.

98 XCVIII Figura 33 - Dados capturados pelo interceptador Cenário 2 (Sem VPN e com Criptografia WEP 128 bits) Para este cenário não foi usado VPN e sim segurança via WEP 128 bits. O intuito deste teste é confirmar a segurança proposta pela utilização do protocolo WEP através da autenticação dos usuários e a encriptação dos dados que estão trafegando na rede sem fio. Para este cenário foi atribuído a função de criptografia WEP no roteador sem fio, incluindo uma chave secreta que permitirá o acesso a rede sem fio Testes Realizados Após a configuração do roteador e o seu reinício, os computadores (usuário remoto/servidor/interceptador) não obtiveram mais permissão para acessarem a rede sem fio, devido à mesma exigir a chave WEP para permitir o acesso. A fim de verificar se realmente este tipo de tecnologia é viável em termos de autenticação foram atribuídos aos computadores da rede chaves diferentes que foi cadastrada no roteador e como era esperado o acesso não foi permitido. Depois de verificar que realmente não iria ter acesso com qualquer chave colocada aleatoriamente, foi configurada a chave correta nos computadores, permitindo então que a

99 XCIX rede sem fio fosse acessada. Como se sabe a chave WEP já foi descoberta, porém, não foi realizado este tipo de deste devido à necessidade de grande poder computacional para a realização dessa quebra e, também não por não ser o objetivo desse trabalho Cenário 3 (Sem VPN e com Criptografia WPA) Neste cenário será utilizado somente o WPA, para garantir autenticação dos usuários e encriptação dos dados que trafegam nessa rede sem fio. Como já foi descrito, o WPA é bastante eficiente não tendo ainda registro de quebra de sua chave. Com este cenário propõem-se demonstrar que com a utilização do WPA o acesso à rede sem fio se restringe somente a usuários que possuem a chave correta de acesso Testes Realizados Assim como o WEP, a chave de acesso do WPA deve ser previamente cadastrada no roteador sem fio. Após a configuração da chave no roteador e o seu reinicio, a rede sem fio tornou-se inacessível aos computadores, devido os mesmo não possuírem a chave de acesso. Ao configurar os computadores com chaves aleatórias, não foi permitido o acesso à rede sem fio, até que fosse colocada a chave de acesso correta. Não foi possível capturar os dados criptografados que trafegavam nessa rede, já que o computador interceptador estava logado com a chave correta nesta rede. Para verificar o tráfego criptografado o computador interceptador deveria quebrar a chave do WPA ou então conseguir acessar a rede sem ter que colocar a chave de acesso. Como se sabe para realização da quebra da chave WPA é necessário um grande poder de processamento além de combinações de vários tipo de ataques Cenário 4 (Com VPN e protocolo IPSec) Neste cenário as configurações do roteador sem fio permaneceram em modo default, porém foi criado a conexão VPN utilizando IPSec entre o servidor e o usuário remoto, afim

100 C de demonstrar a segurança envolvida neste processo. Neste teste, pretende-se demonstrar que a utilização da VPN torna o tráfego entre o usuário remoto e o servidor mais seguro, pois incorpora a tecnologia de criptografia dos dados, não permitindo que o computador interceptador consiga decifrar a mensagem mesmo depois de capturá-la. O computador interceptador está na mesma rede que o usuário remoto e o servidor, dando a idéia de uma rede local, porém quando estabelecer a VPN o computador interceptador não conseguirá visualizar o tráfego entre o usuário remoto e o servidor. Ao conectar a VPN, os detalhes dessa conexão podem ser vistos na figura 34, que mostra o algoritmo de autenticação utilizado, o algoritmo de criptografia, os endereços IPs do servido/usuário remoto, além de outras informações. Figura 34 - Detalhes da conexão VPN no cliente Testes Realizados Após a conexão do usuário remoto ao servidor, através da VPN, os IP s designados, pelo servidor, para essa conexão foram:

101 CI Servidor: Usuário Remoto: Interceptador: Após a conexão do usuário remoto ao servidor, através da VPN, os IPs designados para essa conexão foram: Servidor: Usuário Remoto: Assim que a VPN foi conectada as partes envolvidas, servidor/usuário remoto recebem um novo endereço IP, como observasse na figura 35. Figura 35 - VPN conectada Foi transferido o mesmo arquivo citado no cenário 1, arqtest.txt, e após a interceptação dos pacotes trafegados a mensagem tornou-se ininteligível para o interceptador, devido a mensagem estar criptografada. Com isso, mesmo que um terceiro consiga interceptar as mensagens que estão trafegando na rede, ele não conseguirá acessar o conteúdo das informações contidas nela, devido à criptografia aplicada neste cenário. Pode-se comprovar a eficácia da utilização da VPN, através da figura 36.

102 CII Figura 36 - Dados não legíveis Nota-se, neste cenário, que o computador interceptador, não detecta o túnel VPN, devido ser uma conexão virtual, inclusive com novos endereços IPs do servidor e do cliente. Já para os computadores que estão utilizando a VPN é como se estivessem em uma rede interna, onde os dados podem ser facilmente visíveis, como pode-se ver na figura 37. Figura 37 - Dados capturados dentro da VPN

103 CIII A figura 37 representa os dados capturados pelo servidor VPN enquanto era transferido o arquivo arqtest.txt do servidor para o usuário remoto. O conteúdo do arquivo pode ser visto devido o fato de tanto o usuário remoto quanto o servidor VPN estarem virtualmente em uma mesma rede, como mostra a faixa de IP dos mesmos.

104 CIV SEGURANÇA EM REDES SEM FIO USANDO VPN CONCLUSÃO A tecnologia de rede sem fio veio sem dúvida para ficar, trazendo muitas vantagens sobre as redes cabeadas, porém, a sua insegurança causa certa rejeição perante os usuários. Os vários tipos de ataques e suas ferramentas se tornam cada vez mais sofisticados e suas combinações são muito difíceis de combater. As tecnologias de redes sem fio atuais oferecem um nível de mobilidade e largura de banda bastante satisfatória a seus usuários finais, e são alternativas rápidas, flexíveis e de menor custo comparada às redes cabeadas. Deve-se saber que, conforme aumentam as necessidades específicas do mercado, e principalmente o valor das informações que estão trafegando pela rede, aumentam também as tentativas de acessos não autorizados a essas informações. Isto faz com que os desenvolvedores destas tecnologias preocupem-se cada vez mais em implementar novas ferramentas para torná-las mais seguras. A utilização de firewalls, servidores de autenticação, criptografia e vários outros tipos de defesa tornaram-se indispensáveis para proteger essas redes, lembrando que a utilização desses métodos combinados são capazes de tornar as redes sem fio muito difíceis de serem invadidas. A implementação de uma VPN integrada à rede sem fio, mostrou ser uma alternativa segura para a transmissão de dados, pois oferecendo os recursos de autenticação, autenticidade e criptografia, foi possível demonstrar que mesmo que o tráfego seja capturado por um intruso na rede ele não conhecerá o conteúdo da mensagem, devido ao uso da criptografia. Para os computadores conectados com o servidor VPN, os dados são lidos porque eles têm a chave de criptografia, pois eles fazem parte de uma mesma rede. Isso foi comprovado quando as mensagens são trocadas pelo servidor e o cliente e capturadas pelo próprio servidor Entre os vários tipos de protocolos oferecidos pela VPN, o IPSec sem duvida é o mais usado e já testado, logo a sua implementação é recomendada. Apesar de ser um pouco trabalhosa a mesma é bastante eficiente e estável, condizendo com aquilo que foi estudado e proposto neste trabalho como um método de promover segurança em redes sem fio.

105 CV O uso de criptografia WEP e WPA se mostrou eficiente em relação à segurança de acesso a rede sem fio, não permitindo que pessoas se conectem a rede sem fio se essas não estiverem de posse da chave de identificação que é utilizada para permitir o acesso. Para estudos futuros destaca-se uma implementação de uma VPN usando a Internet e não mais uma Intranet, VPN em conjunto com um Firewall, assim como implementações e testes usando o WPA e o WEP. O futuro é bastante promissor para as redes sem fio, e para isso novas tecnologias devem ser aplicadas e aperfeiçoadas para que sua segurança cresça na mesma proporção da sua evolução.

106 CVI SEGURANÇA EM REDES SEM FIO USANDO VPN REFERÊNCIAS BIBLIOGRÁFICAS - Livros: [1] TANENBAUM ANDREW S, Redes de Computadores, 4ª Edição. Rio de Janeiro: Editora Campus Ltda, [2] RUFINO NELSON MURILO DE OLIVEIRA, Segurança em Redes sem Fio, São Paulo, Novatec Editora Ltda, [3] SILVA LINO SARLO, Virtual Private Network, São Paulo, Novatec Editora Ltda, [4] GUIMARÃES, ALEXANDRE GUEDES; LINS RAFAEL DUEIRE; OLIVEIRA RAIMUNDO, Segurança com Redes Privadas Virtuais, Rio de Janeiro, Brasport Livros e Multimídia Ltda, 2006 [5] FARIAS, PAULO CÉSAR BENTO, Redes Wireless, São Paulo SP, Universo dos Livros Editora LTDA, [6] KENT S.; ATKINSON, R. Security Architecture for the Internet Protocol RFC2401, The Internet Society, Links para referência: [7] Bradesco Acessado em: 02/04/07

107 CVII [8] Cisco Acessado em: 02/04/07 [9] Microsoft Acessado em: 18/04/07 Acessado em: 23/04/07 Acessado em: 28/08/2007 [10] IEEE Redes sem Fio Acessado em: 23/04/07 [11] DLINK Acessado em: 13/09/07

108 CVIII SEGURANÇA EM REDES SEM FIO USANDO VPN ANEXO 1 ROTEADOR D-LINK DI 524 DI Roteador sem fio DSL/cabo, switch de 4 portas, g, 54 Mbps Roteador Wireless com 4 portas Ethernet g: - O D-Link DI-524 é um Internet Server Sem fio maximizado, pertencente à linha AirPlus G da D-Link, e que atende o padrão g, e opera em uma largura de banda de até 54Mbps; - O DI-524 interopera de forma transparente com qualquer produto wireless da DLink, ou com qualquer produto de outros fabricantes, com base no padrão b e também com o padrão g. Um excelente nível de segurança, em conjunto com as altas taxas de transferência, fazem com que o DI-524 seja a solução ideal para a nova tecnologia, além de proteger os investimentos já realizados; - O Internet Server AirPlus G DI-524 incorpora mecanismos adicionais de segurança, tais como Wi-Fi Protected Access (WPA) e 802.1x, que em conjunto com um servidor Radius fornecem um melhor nível de Segurança; - Desempenho 5x vezes superior ao de um produto Wireless 11b; - Largura de Banda de 54Mbps, em 2.4GHz; - Compatível com produtos que operem com base no padrão b e g, e todos os produtos wireless da D-Link; - Segurança Avançada, WPA; - Funcionalidades de Firewall, DMZ hosts e Suporte VPN Pass-through; - Controle de acesso à Internet; - Antena desmontável com conector RSMA; - DHCP Server;

109 CIX - Fácil Instalação com o Suporte de UPnP; - Alto Desempenho; - Fácil integração em rede. Padrão: - IEEE g; - IEEE b; - IEEE Ethernet/ IEEE 802.3u FastEthernet. Porta WAN: - 1 x RJ-45, 100Base-TX; - Porta LAN: 4 x RJ-45, 100Base-TX Segurança: x; - 64-WEP, 28-WEP wireless data encryption; - WPA Wi-Fi Protected Access, WPA-EAP, WPA-PSK, WPA2-PSK, AES. Taxa de Transferência e Técnicas de Modulação: g : 54Mbps, 48Mbps, 36Mbps, 24Mbps, 18Mbps, 12Mbps, 9Mbps, Auto Fallback; b : 11 Mbps, 5.5 Mbps, 2 Mbps, 1 Mbps, Auto Fallback. Intervalo de Cobertura Valores nominais: - Até 100 m. In-door ; - Até 400 m. Out-door; - Fatores ambientais podem afetar adversamente os intervalos de cobertura. Antena: - Externa desmontável com conector RSMA; - Sistema de Antena Giratória; bipolar com ganho de 2 dbi;

110 CX Wireless Frequency: 2.4 GHz. Técnicas de Modulação: g: OFDM; b: DQPSK, DBPSK e CCK; Arquitetura de Rede: - Suporta Modo Estruturado (Comunicações de malhas de redes via Access Point com Roaming); - Ad-hoc. Modos de Operação: Access Point. Leds de Diagnóstico (Verde): - Power; - Status; - WAN; - LAN (10/100Mbps), portas 1, 2, 3 e 4; - WLAN. Media Access Control: CSMA/CA com Ack; Administração: Web Based; - Funções de Firewall: - NAT com passthrough VPN; - Domain Filtering; - URL Filtering; - Packet Filtering; - Scheduling; Suporte VPN:

111 CXI - IPSec pass-through; - L2PT pass-through; - PPTP pass-through. Porta DMZ: 1. Virtual Server: 10 Entradas max. Suporte UPnP: Sim. Consumo: 12.5 Watt. Alimentação: Externa, 5VDC, 2.5ª. Temperatura de Operação: 0ºC a 55ºC. Temperatura de Armazenamento: -20ºC a 65ºC. Umidade: 95% máx. não condensada. Emissão: FCC, CE. Dimensões (L x A x P): 0,205 x 0,273 x 0,66 cm. Peso do produto: 0,220 kg. - DI-524; - CD-ROM Contendo manual; - Cabo Ethernet CAT5; - Adaptador de energia;

112 CXII SEGURANÇA EM REDES SEM FIO USANDO VPN ANEXO 2 CONFIGURAÇÃO DO CLIENTE VPN A implementação a seguir foi feita no Windows XP Profissional SP2 e ao fim deste a conexão VPN está pronta para ser usada. Ao iniciar o computador clique em INICIAR como mostra a figura 38. Figura 38 - Começando a Implementação

113 CXIII Iniciar Todos os Programas (Figura 39). Figura 39 - Segundo passo "Todos os Programas" Iniciar Todos os Programas Acessórios (Figura 40). Figura 40 - Acessórios

114 CXIV Iniciar Todos os Programas Acessórios Comunicações (Figura 41). Figura 41 - Comunicações Iniciar Todos os Programas Acessórios Comunicações Assistente para novas conexões (Figura 42). Figura 42 - Assistência para novas Conexões Após clicar em Assistente para novas conexões aparecerá à seguinte tela para iniciar

115 CXV a configuração do cliente VPN Avançar como mostra a figura 43 logo abaixo. Figura 43 - Assistente para novas conexões Em Tipo de conexão de rede marcar a opção Conectar-me a uma rede em meu local de trabalho Avançar (Figura 44). Figura 44 - Tipo de conexões de rede

116 CXVI Em Conexão de rede marcar a opção Conexão VPN (rede virtual privada) Avançar. Figura 45. Figura 45 - Conexão de rede Em Nome de conexão na guia Nome da empresa colocar o nome desejado para sua conexão Avançar. Figura 46. Figura 46 - Nome da conexão

117 CXVII Em Rede pública marcar a opção Não discar a conexão inicial Avançar. Figura 47. Figura 47 - Rede pública (não discar) Em Seleção do servidor na guia Nome do host ou endereço IP colocar o IP do servidor VPN a qual deseja se conectar Avançar. A configura pode ser visto na figura 48. Figura 48 - IP do servidor VPN

118 CXVIII Ao Concluir o Assistente de novas conexões, marcar a opção Adicionar um atalho para a conexão à área de trabalho Avançar. Figura 49. Figura 49 - Conclusão da conexão Após a criação da conexão VPN deve-se configurar os parâmetros de segurança da conexão. No ícone da Conexão de rede na área de trabalho, que acabou de ser criado dar um duplo clique. Figura 50 - Ícone da conexão na área de trabalho O Nome do usuário e a Senha serão digitados posteriormente, deve-se agora

119 CXIX clicar no botão Propriedade, na figura 51. Figura 51 - Nome do usuário e Senha que serão preenchido posteriormente Em VPN Propriedades na guia Geral aparecerá o IP do Servidor VPN na qual deseja-se conectar, após configurar o IP do servidor Opções. Figura 52. Figura 52 - IP do servidor Escolhido

120 CXX Na guia Opções pode deixar padrão as configurações abaixo figura 53, após configuração desejada Segurança. Figura 53 - Opções da conexão VPN Na guia Segurança maçar a opção Avançada, após marcar Configurações. Figura 54. Figura 54 - Configurações avançadas de segurança

121 CXXI Em Configurações de segurança avançadas na guia Criptografia de dados escolha a opção Criptografia de segurança máxima OK, como mostra a figura 55. Figura 55 - Escolha de Criptografia de segurança máxima Após voltar à guia Segurança clicar Configurações IPSec para colocar a chave pré-compartilhada que será usada na comunicação com o servidor, figura 56.

122 CXXII Figura 56 - Configuração do IPSec Em Configurações de IPSec marcar a opção Usar chave pré-compartilhada para autenticação e colocar a mesma chave que está configurada no servidor VPN OK. Figura 57. Figura 57 - Inserção da chave do IPSec Após configurar a chave IPSec clicar na guia Rede e escolher o tipo de VPN que será usado na comunicação, deve-se escolher L2TP IPSec VPN afinal a conexão com o servidor usa IPSec. Configuração mostrada na figura 58.

123 CXXIII Figura 58 - Tipo de VPN Depois de escolher o tipo de VPN clicar na guia Avançado Opções a fim de desabilitar o firewall. Figura 59. Figura 59 - Opção avançadas de firewall

124 CXXIV Em Firewall do Windows marcar a opção Desativado, que apesar de não recomendável, neste momento torna-se necessário devido a conexão com o servidor OK. Figura 60. Figura 60 - Desabilitando o firewall Ao desabilitar o firewall e clicar no OK voltara para VPN Propriedade que agora já configurada e pronta pra usar OK. Mostrado na figura 61. Figura 61 - Finalizando as configurações da VPN

125 CXXV Em Conectar VPN colocar o nome de usuário e a senha já previamente cadastrados no servidor, figura 62. Figura 62 - Usuário e Senha

126 CXXVI SEGURANÇA EM REDES SEM FIO USANDO VPN ANEXO 3 CONFIGURAÇÃO DO SERVIDOR VPN Segue abaixo a configuração do servidor VPN utilizando o Windows Server Para um funcionamento correto da conexão VPN é necessário à configuração correta do servidor que estará provendo esse serviço. A configuração aqui explicada é para conexão VPN com protocolo L2TP/IPSec. Na figura 63 temos o inicio da configuração do servidor, clicando em INICIAR. Figura 63 - Tela Inicial do Windows Server 2003 Como mostrado na figura 64 o próximo passo é INICIAR FERRAMENTAS ADMINISTRATIVAS.

127 CXXVII Figura 64 - Ferramentas Administrativas Já na figura 65 escolhe-se a opção Roteamento e acesso remoto; INICIAR FERRAMENTRAS ADMINISTRATIVAS ROTEAMENTO E ACESSO REMOTO. Figura 65 - Roteamento e acesso remoto

128 CXXVIII A figura 66 mostra a tela inicial da configuração do roteamento e acesso remoto, a partir daí estaremos configurando literalmente o servidor VPN. Nota-se que até o presente momento não existe nenhuma configuração no servidor. Figura 66 - Acesso Remoto Ativado Clicando com botão direito do mouse sobre Roteamento e acesso remoto, selecione a opção Adicionar Servidor, como mostra a figura 67. Selecionando essa opção a criação do servidor VPN se inicia. Figura 67 Adicionando um servidor de acesso remoto

129 CXXIX Após clicar em Adicionar Servidor, deve-se indicar em qual máquina deverá ser criado o servidor VPN. Deve-se marcar a opção Este computador, tornando o computador local o servidor VPN. Pode-se ver essa configuração na figura 68. Figura 68 - Escolha do Servidor Depois de adicionado o novo servidor como pode-se ver no canto esquerdo da figura 69, foi criado um servidor com nome SERVIDOR. Depois de criado o servidor o próximo passo é configurá-lo. Figura 69 - Servidor de acesso remoto instalado

130 CXXX Clicando com o botão direito do mouse no servidor criado no passo anterior, deve-se selecionar a opção Configurar e ativar roteamento e acesso remoto, mostrada na figura 70. Figura 70 - Configurando o acesso remoto A figura 71 é o primeiro passo para se configurar o servidor, clicando então no botão Avançar para dar prosseguimento à ativação do servidor. Figura 71 - Tela Inicial das Configurações Na página configuração escolhesse a opção Acesso a rede privado (VPN) e NAT

131 CXXXI como mostra a figura 72. Essa opção além de permitir conexões VPN dos clientes permite a criação de rota através de NAT. Figura 72 - Escolha do tipo de Servidor Depois de escolher à opção da figura anterior, clique em avançar. Em Conexão VPN, figura 73 deve-se escolher qual interface de rede ira receber solicitações dos clientes VPN. A opção escolhida para este trabalho foi a interface de rede sem fio. Após escolhido a interface clica-se em Avançar. Figura 73 - Escolha da interface de conexão

132 CXXXII Na página de Atribuição de endereço IP marca-se a opção De um intervalo de endereços especificado. Na figura 74 está opção foi escolhida, tendo como principal função fornecer aos usuários remotos endereços IP da rede interna. Figura 74 - Opção para criar pool de IP Na figura 75 deve-se clicar na opção Novo, para adicionar um pool de endereços. Figura 75 - Atribuindo IP

133 CXXXIII A figura 76 demonstra onde devem ser inseridos os IP que serão distribuídos ao usuário que se conectarem ao servidor VPN. A escolha do intervalo dos IP é de escolha do responsável do administrador do servidor. Depois de determinar os IPs clicar em OK. Figura 76 - Determinando IP inicial e IP final da rede interna Retornando à Atribuição de intervalo de endereço como demonstra figura 77 devese clicar em Avançar para dar pro seguimento à configuração do servidor. Figura 77 - Atribuição de IP realizadas Em Serviços de conversão de nome e endereço, figura 78, deve-se marcar a opção Configurar serviços de nome e endereço mais tarde e clicar em Avançar.

134 CXXXIV Figura 78 - Configurar serviços de Nome e Endereço Para a configuração que está sendo aplicada não utiliza-se servidor de acesso externo como por exemplo um servidor RADIUS, então deve-se marcar a opção Não, usar o Roteamento e acesso remoto para autenticar pedidos de conexão e clicar em Avançar, como mostra a figura 79. Figura 79 - Não utilizar servidor RADIUS

135 CXXXV Depois do passo anterior, na página de conclusão do Assistente para configuração do servidor de roteamento e acesso remoto deve-se clicar em Concluir. Figura 80. Figura 80 - Configuração do servidor completa Ao concluir o passo anterior aparece uma mensagem semelhante à da figura 81, basta então clicar em OK e as configurações do servidor VPN estarão concluídas realmente. Figura 81 - Mensagem de alerta DHCP A figura 82 mostra o servidor de acesso remoto já configurado.

136 CXXXVI Figura 82 - Interface de controle do servido de acesso remoto Apesar de configurado, o servidor VPN ainda não está pronto para ser usado, pois suas diretivas ainda não foram criadas. Essas diretivas são regras que o cliente deve obedecer para estabelecer uma conexão segura com o servidor. Basicamente essas diretivas iram tratar dos tipos de tunelamento, tipo de autenticação, tipo de criptografia além de outros aspectos importantes para estabelecer uma conexão VPN/IPSec. Clicando com o botão direito do mouse em Diretivas de acesso remoto deve-se escolher Nova diretiva de acesso remoto como demonstra a figura 83. Figura 83 - Atribuindo diretivas de acesso remoto

137 CXXXVII Tela do assistente de configuração, figura 84, deve se clicar em Avançar. Figura 84 - Inicio da configuração das diretivas Em Nome da Diretiva deve-se colocar o nome da diretiva que está sendo criado, este nome fica por conta do administrador do servidor, sendo possível qualquer tipo de nome. Após colocar o nome da diretiva, clicar em Avançar como mostra a figura 85. Figura 85 - Nome da Diretiva Método de acesso será exibido após o passa anterior se concluído, nesta guia

138 CXXXVIII escolhesse o tipo de conexão da qual essa diretiva diz respeito, devesse escolher a opção VPN e depois clicar em Avançar, conforme figura 86. Figura 86 - Método de acesso desejado Em Acesso de usuário ou grupo deve-se marcar a opção Grupo que diz respeito ao grupo de usuários que tem permissão de conectar-se ao servidor VPN. Esse grupo deve ser criado antes mesmo da configuração do servidor VPN. Depois de marcado a opção Grupo deve-se clicar em Adicionar como na figura 87. Figura 87 - Adicionando usuário da conexão VPN

139 CXXXIX Na seleção do grupo clicar em Avançado como na figura 88. Figura 88 - Selecionando Grupo de acesso a VPN Na figura 84 que após clicar em localizar, os grupos de usuários já cadastrados irão aparece nos resultados da pesquisa, como mostrado na figura 89. Figura 89 - Procurando grupo de acesso

140 CXL Neste caso foi escolhido o grupo VPN que foi anteriormente criado. Figura 90. Figura 90 - Selecionando grupo VPN Retornando à Seleção de grupo clicar em OK como na figura 91. Figura 91 - Grupo de acesso escolhido Retornando para Acesso de usuário ou grupo, figura 92, clicar na opção Avançar, percebesse que em Nome do grupo aparece o grupo escolhido anteriormente.

141 CXLI Figura 92 - Retornando à tela de acesso Ao clicar Avançar o próximo passo é determinar qual tipo de autenticação o servidor estará usando. Na figura 93 demonstra vários tipo de métodos de autenticação porem para essa implementação devesse escolher a opção MS-CHAPv2 e depois clicar em Avançar. Figura 93 - Escolhendo tipo de autenticação

142 CXLII Na figura 94 demonstra os tipos de criptografia poderá ser utilizado para estabelecer a comunicação entre o cliente e o servidor, proporcionando segurança dos dados trafegados. Devesse escolher todas as opções oferecidas e depois clicar em Avançar. Figura 94 - Escolhendo criptografia Ao clicar em Avançar no passo anterior a configuração do servidor VPN já pode ser concluída como mostra figura 95. Ao concluir este passo, as diretivas do servidor VPN já estarão pronta. Depois de verificar o resumo das configurações basta clicar em Concluir. Figura 95 - Concluindo criação da diretiva

143 CXLIII Ao concluir o passo anterior, as diretivas da conexão já estarão todas configuradas, basta agora configurar à chave pré-compartilhada do IPSec. Para isso devesse clicar com o botão direito do mouse sobre Servidor e depois selecionar a guia Propriedades como mostra a figura 96. Figura 96 - Configurando propriedades do servidor Em Propriedade de Servidor, figura 97, clicar na guia Segurança como mostra a figura 97. Figura 97 - Configurando propriedades

144 CXLIV Na guia Segurança habilitar a opção Permitir diretiva IPSec personalizada para L2TP, após habilitá-la digitar uma senha para ser compartilhada com os usuário remotos. Essa senha deve ser mesma para os usuários remotos. A figura 98 demonstra esse procedimento. Figura 98 - Guia Segurança, adicionando chave IPSec

145 CXLV SEGURANÇA EM REDES SEM FIO USANDO VPN ANEXO 4 FUNCIONAMENTO DA VPN Após a configuração do servidor VPN e do cliente VPN o cenário para o funcionamento da conexão VPN está pronto, basta agora reiniciar o serviço de Roteamento e acesso remoto no servidor e conectar o cliente. Os passos abaixo demonstram que seguindo os passos dos anexos anteriores a conexão VPN com L2TP/IPSec funciona corretamente. Em Interface de Rede, figura 99, do lado direito da tela, temos as interfaces de rede do servidor VPN, mostrando que a interface de Conexão de rede sem fio esta dedicada e ativa. A interface sem fio é que recebe as requisições de conexão dos usuários remotos que desejam conectar-se ao servidor. A interface Interno representa a rede interna, ilustrando um possível rede interna. Figura 99 - Interface de rede configurada

146 CXLVI Na figura 100 temos um cliente chamado renan conectado ao servidor, o mesmo está conectado à mais de 16 minutos, tendo então acesso seguro ao servidor. Figura Clientes de acesso remoto Na figura 101 mostra a qual porta o cliente se conectou no servidor, neste caso o usuário mencionado anteriormente se conectou pela porta 127. Figura Portas de acesso do servidor

Capítulo 7 - Redes Wireless WiFi

Capítulo 7 - Redes Wireless WiFi Capítulo 7 - Redes Wireless WiFi Prof. Othon Marcelo Nunes Batista Mestre em Informática 1 de 55 Roteiro Definição Benefícios Tipos de Redes Sem Fio Métodos de Acesso Alcance Performance Elementos da Solução

Leia mais

Comunicação Sem Fio REDES WIRELES. Comunicação Sem Fio. Comunicação Sem Fio. Comunicação Sem Fio. Comunicação Sem Fio 06/05/2014

Comunicação Sem Fio REDES WIRELES. Comunicação Sem Fio. Comunicação Sem Fio. Comunicação Sem Fio. Comunicação Sem Fio 06/05/2014 REDES WIRELES Prof. Marcel Santos Silva Comunicação Sem Fio Usada desde o início do século passado Telégrafo Avanço da tecnologia sem fio Rádio e televisão Mais recentemente aparece em Telefones celulares

Leia mais

Placa de Rede. Rede de Computadores. Tipos de Redes LAN (Local Area Network) Rede local. Placa de Rede

Placa de Rede. Rede de Computadores. Tipos de Redes LAN (Local Area Network) Rede local. Placa de Rede Rede de Computadores Prof. André Cardia Email: andre@andrecardia.pro.br MSN: andre.cardia@gmail.com Placa de Rede Uma placa de rede (NIC), ou adaptador de rede, oferece capacidades de comunicações nos

Leia mais

Redes de Computadores

Redes de Computadores Introdução Redes de Computadores Marco Antonio Montebello Júnior marco.antonio@aes.edu.br Rede É um conjunto de computadores chamados de estações de trabalho que compartilham recursos de hardware (HD,

Leia mais

TI Aplicada. Aula 05 Redes de Computadores (parte 2) Prof. MSc. Edilberto Silva edilms@yahoo.com http://www.edilms.eti.br

TI Aplicada. Aula 05 Redes de Computadores (parte 2) Prof. MSc. Edilberto Silva edilms@yahoo.com http://www.edilms.eti.br TI Aplicada Aula 05 Redes de Computadores (parte 2) Prof. MSc. Edilberto Silva edilms@yahoo.com http://www.edilms.eti.br Conceitos Básicos Equipamentos, Modelos OSI e TCP/IP O que são redes? Conjunto de

Leia mais

Tecnologias Wireless WWAN Wireless Wide Area Network WLAN Wireless Local Area Network WPAN Wireless Personal Area Network

Tecnologias Wireless WWAN Wireless Wide Area Network WLAN Wireless Local Area Network WPAN Wireless Personal Area Network Fundamentos de Tecnologias Wireless Parte 1 Assunto Tecnologias Wireless Introdução à Wireless LAN Algumas questões e desafios Tecnologias Wireless WWAN Wireless Wide Area Network WLAN Wireless Local Area

Leia mais

Protocolo wireless Ethernet

Protocolo wireless Ethernet Protocolo wireless Ethernet Conceituar as variações de redes sem fio (wireless) descrevendo os padrões IEEE 802.11 a, b, g e n. Em meados de 1986, o FCC, organismo norte-americano de regulamentação, autorizou

Leia mais

REDES DE COMPUTADORES

REDES DE COMPUTADORES REDES DE COMPUTADORES Rede é um conjunto de módulos processadores capazes de trocar informações e compartilhar recursos. O tipo de rede é definido pela sua área de abrangência, podemos classificar as redes

Leia mais

UTP ( PAR TRANÇADO SEM PROTEÇÃO)

UTP ( PAR TRANÇADO SEM PROTEÇÃO) Par Trançado UTP ( PAR TRANÇADO SEM PROTEÇÃO) O cabo UTP é composto por pares de fios, sendo que cada par é isolado um do outro e todos são trançados juntos dentro de uma cobertura externa, que não possui

Leia mais

Composição. Estrutura Fisica Redes Sistemas Operacionais Topologias de redes

Composição. Estrutura Fisica Redes Sistemas Operacionais Topologias de redes Composição Estrutura Fisica Redes Sistemas Operacionais Topologias de redes Aterramento Fio de boa qualidade A fiação deve ser com aterramento neutro (fio Terra) trabalhando em tomadas tripolares Fio negativo,

Leia mais

REDES DE COMPUTADORES

REDES DE COMPUTADORES REDES DE COMPUTADORES Rede é um conjunto de módulos processadores capazes de trocar informações e compartilhar recursos. O tipo de rede é definido pela sua área de abrangência, podemos classificar as redes

Leia mais

Prof. Edson Maia Graduado em Web Design e Programação Bacharel e Licenciado em Geografia Especialista em Gestão Ambiental Complementação para

Prof. Edson Maia Graduado em Web Design e Programação Bacharel e Licenciado em Geografia Especialista em Gestão Ambiental Complementação para Prof. Edson Maia Graduado em Web Design e Programação Bacharel e Licenciado em Geografia Especialista em Gestão Ambiental Complementação para Magistério Superior Especialista em Docência para Educação

Leia mais

Comunicação Comunicação é o ato de transmissão de informações de uma pessoa à outra. Emissor: Receptor: Meio de transmissão Sinal:

Comunicação Comunicação é o ato de transmissão de informações de uma pessoa à outra. Emissor: Receptor: Meio de transmissão Sinal: Redes - Comunicação Comunicação é o ato de transmissão de informações de uma pessoa à outra. Comunicação sempre foi, desde o início dos tempos, uma necessidade humana buscando aproximar comunidades distantes.

Leia mais

Capítulo 11: Redes de Computadores. Prof.: Roberto Franciscatto

Capítulo 11: Redes de Computadores. Prof.: Roberto Franciscatto Capítulo 11: Redes de Computadores Prof.: Roberto Franciscatto REDES - Introdução Conjunto de módulos de processamento interconectados através de um sistema de comunicação, cujo objetivo é compartilhar

Leia mais

REDES DE COMPUTADORES

REDES DE COMPUTADORES REDES DE COMPUTADORES Rede é um conjunto de módulos processadores capazes de trocar informações e compartilhar recursos. O tipo de rede é definido pela sua área de abrangência, podemos classificar as redes

Leia mais

Centro Federal de Educação Tecnológica CEFET/BA

Centro Federal de Educação Tecnológica CEFET/BA Centro Federal de Educação Tecnológica CEFET/BA Disciplina: Redes de Computadores Prof.: Rafael Freitas Reale Aluno: Data / / Prova Final de Redes Teoria Base 1) Qual o tipo de ligação e a topologia respectivamente

Leia mais

VPN. Desempenho e Segurança de Sistemas de Informação

VPN. Desempenho e Segurança de Sistemas de Informação VPN Desempenho e Segurança de Sistemas de Informação Conceito Vantagens Tipos Protocolos utilizados Objetivos VPN (Virtual Private Network) Rede Privada Virtual - uma conexão onde o acesso e a troca de

Leia mais

REDES DE COMPUTADORES

REDES DE COMPUTADORES REDES DE COMPUTADORES MEMÓRIAS DE AULA AULA 1 APRESENTAÇÃO DO CURSO, HISTÓRIA, EQUIPAMENTOS E TIPOS DE REDES Prof. José Wagner Bungart CONTEÚDO PROGRAMÁTICO Definição de Redes de Computadores e Conceitos

Leia mais

Tecnologia da Informação Apostila 02

Tecnologia da Informação Apostila 02 Parte 6 - Telecomunicações e Redes 1. Visão Geral dos Sistemas de Comunicações Comunicação => é a transmissão de um sinal, por um caminho, de um remetente para um destinatário. A mensagem (dados e informação)

Leia mais

15/02/2015. Conteúdo deste módulo. Curso de Preparatório para Concursos Públicos. Tecnologia da Informação REDES. Conceitos Iniciais

15/02/2015. Conteúdo deste módulo. Curso de Preparatório para Concursos Públicos. Tecnologia da Informação REDES. Conceitos Iniciais Curso de Preparatório para Concursos Públicos Tecnologia da Informação REDES Conceitos Iniciais; Classificações das Redes; Topologias de Redes; Meios de Transmissão; Arquitetura de Redes; Conteúdo deste

Leia mais

André Aziz (andreaziz.ufrpe@gmail.com) Francielle Santos (francielle.ufrpe@gmail.com) Noções de Redes

André Aziz (andreaziz.ufrpe@gmail.com) Francielle Santos (francielle.ufrpe@gmail.com) Noções de Redes André Aziz (andreaziz.ufrpe@gmail.com) Francielle Santos (francielle.ufrpe@gmail.com) Noções de Redes Noções de Redes: Estrutura básica; Tipos de transmissão; Meios de transmissão; Topologia de redes;

Leia mais

VPN - VIRTUAL PRIVATE NETWORK REDES VIRTUAIS PRIVADAS

VPN - VIRTUAL PRIVATE NETWORK REDES VIRTUAIS PRIVADAS VPN - VIRTUAL PRIVATE NETWORK REDES VIRTUAIS PRIVADAS Alfredo Alves da Silva Neto, Técnico em Eletrônica,CCNA-M4 pela academia Cisco Poli - UPE 2009 MCTIP MCTS MCT - Infra Estrutura Servidores e Virtualização

Leia mais

Evolução na Comunicação de

Evolução na Comunicação de Evolução na Comunicação de Dados Invenção do telégrafo em 1838 Código Morse. 1º Telégrafo Código Morse Evolução na Comunicação de Dados A evolução da comunicação através de sinais elétricos deu origem

Leia mais

Placa de Rede. Tipos de Redes LAN (Local Area Network) Rede local. MAN (Metropolitan Area Network) Rede Metropolitana

Placa de Rede. Tipos de Redes LAN (Local Area Network) Rede local. MAN (Metropolitan Area Network) Rede Metropolitana Rede de Computadores Parte 01 Prof. André Cardia Email: andre@andrecardia.pro.br MSN: andre.cardia@gmail.com Placa de Rede Uma placa de rede (NIC), ou adaptador de rede, oferece capacidades de comunicações

Leia mais

02/03/2014. Conteúdo deste módulo. Curso de Preparatório para Concursos Públicos. Tecnologia da Informação REDES. Conceitos Iniciais

02/03/2014. Conteúdo deste módulo. Curso de Preparatório para Concursos Públicos. Tecnologia da Informação REDES. Conceitos Iniciais Curso de Preparatório para Concursos Públicos Tecnologia da Informação REDES Conceitos Iniciais; Classificações das Redes; Conteúdo deste módulo Equipamentos usados nas Redes; Modelos de Camadas; Protocolos

Leia mais

UFSM-CTISM. Comunicação de Dados Meios de Transmissão Aula-03

UFSM-CTISM. Comunicação de Dados Meios de Transmissão Aula-03 UFSM-CTISM Comunicação de Dados Meios de Transmissão Aula-03 Professor: Andrei Piccinini Legg Santa Maria, 2012 Par trançado Cabo coaxial Fibra óptica Meios Não-guiados Transmissão por rádio Microondas

Leia mais

ATIVIDADE 1. Definição de redes de computadores

ATIVIDADE 1. Definição de redes de computadores ATIVIDADE 1 Definição de redes de computadores As redes de computadores são criadas para permitir a troca de dados entre diversos dispositivos estações de trabalho, impressoras, redes externas etc. dentro

Leia mais

Transmissão através de pulsos elétricos. Pode ser não blindado (UTP unshielded twisted pair) ou blindado (STP shielded twisted pair).

Transmissão através de pulsos elétricos. Pode ser não blindado (UTP unshielded twisted pair) ou blindado (STP shielded twisted pair). CONCEITOS INICIAIS REDE: LINK: NÓ: PROTOCOLO: Conceitos iniciais Dois ou mais nós, interligados entre si através de um link de transmissão, utilizando protocolos de comunicação. Vantagens de uso de rede:

Leia mais

Compartilhamento de Internet/ Wireless. Wilson Rubens Galindo

Compartilhamento de Internet/ Wireless. Wilson Rubens Galindo Compartilhamento de Internet/ Wireless Wilson Rubens Galindo Compartilhamento de Internet Ganhe dinheiro fácil com compartilhamento de Internet: Habilite um plano de Internet Banda Larga Compre um hub-switch

Leia mais

Wireless. Leandro Ramos www.professorramos.com

Wireless. Leandro Ramos www.professorramos.com Wireless Leandro Ramos www.professorramos.com Redes Wireless Interferências Access-Point / ROUTER Wireless Ponto de Acesso Numa rede wireless, o hub é substituído pelo ponto de acesso (access-point em

Leia mais

REDE DE COMPUTADORES

REDE DE COMPUTADORES SERVIÇO NACIONAL DE APRENDIZAGEM COMERCIAL REDE DE COMPUTADORES Tecnologias de Rede Arquitetura Padrão 802.11 Prof. Airton Ribeiro de Sousa E-mail: airton.ribeiros@gmail.com 1 Arquitetura Wireless Wi-Fi

Leia mais

Processamento de Dados

Processamento de Dados Processamento de Dados Redes de Computadores Uma rede de computadores consiste de 2 ou mais computadores e outros dispositivos conectados entre si de modo a poderem compartilhar seus serviços, que podem

Leia mais

Prof. Manuel A Rendón M

Prof. Manuel A Rendón M Prof. Manuel A Rendón M MORAES, C. C. Engenharia de Automação Industrial, Cap. 6 Tanenbaum, Redes de Computadores, Cap. 1.2 AGUIRRE, L. A. Enciclopédia da Automática, Volume II, Cap. 15.3 Escravo é um

Leia mais

VPN. Prof. Marciano dos Santos Dionizio

VPN. Prof. Marciano dos Santos Dionizio VPN Prof. Marciano dos Santos Dionizio VPN Virtual Private Network ou Rede Privada Virtual É uma rede de comunicações privada normalmente utilizada por uma empresa ou um conjunto de empresas e/ou instituições,

Leia mais

REDES DE COMPUTADORES LAN e WAN: Topologias e Equipamentos

REDES DE COMPUTADORES LAN e WAN: Topologias e Equipamentos Administração de Empresas 2º Período Informática Aplicada REDES DE COMPUTADORES LAN e WAN: Topologias e Equipamentos Prof. Sérgio Rodrigues 1 INTRODUÇÃO Introdução Este trabalho tem como objetivos: definir

Leia mais

REDES VIRTUAIS PRIVADAS

REDES VIRTUAIS PRIVADAS REDES VIRTUAIS PRIVADAS VPN Universidade Católica do Salvador Curso de Bacharelado em Informática Disciplina: Redes de Computadores Professor: Marco Antônio Câmara Aluna: Patricia Abreu Página 1 de 10

Leia mais

Wireless LAN (IEEE 802.11x)

Wireless LAN (IEEE 802.11x) Wireless LAN (IEEE 802.11x) WLAN: Wireless LAN Padrão proposto pela IEEE: IEEE 802.11x Define duas formas de organizar redes WLAN: Ad-hoc: Sem estrutura pré-definida. Cada computador é capaz de se comunicar

Leia mais

802.11 PROTOCOLO DE SEGURANÇA

802.11 PROTOCOLO DE SEGURANÇA UNIVERSIDADE ESTÁCIO DE SÁ 802.11 PROTOCOLO DE SEGURANÇA Nome: Micaella Coelho Valente de Paula Matrícula: 201207115071 2 o Período Contents 1 Introdução 2 2 802.11 3 3 Seu Funcionamento 3 4 História 4

Leia mais

Tecnologia e Infraestrutura. Conceitos de Redes

Tecnologia e Infraestrutura. Conceitos de Redes Tecnologia e Infraestrutura Conceitos de Redes Agenda Introdução às Tecnologias de Redes: a) Conceitos de redes (LAN, MAN e WAN); b) Dispositivos (Hub, Switch e Roteador). Conceitos e tipos de Mídias de

Leia mais

Redes de Computadores

Redes de Computadores Redes de Computadores Introdução Redes de Computadores é um conjunto de equipamentos que são capazes de trocar informações e compartilhar recursos entre si, utilizando protocolos para se comunicarem e

Leia mais

O que é uma rede industrial? Redes Industriais: Princípios de Funcionamento. Padrões. Padrões. Meios físicos de transmissão

O que é uma rede industrial? Redes Industriais: Princípios de Funcionamento. Padrões. Padrões. Meios físicos de transmissão O que é uma rede industrial? Redes Industriais: Princípios de Funcionamento Romeu Reginato Julho de 2007 Rede. Estrutura de comunicação digital que permite a troca de informações entre diferentes componentes/equipamentos

Leia mais

Redes de Computadores

Redes de Computadores Redes de Computadores Redes Sem Fio Fabricio Breve Tipos de transmissão sem fio Rádio Infravermelho Laser Aplicações Em ambientes internos: Ideal para situações onde não é possível utilizar cabeamento

Leia mais

Wireless Red e e d s e s s e s m e m fi f o

Wireless Red e e d s e s s e s m e m fi f o Wireless Redes sem fio A tecnologia Wireless (sem fio) permite a conexão entre diferentes pontos sem a necessidade do uso de cabos (nem de telefonia, nem de TV a cabo, nem de fibra óptica), através da

Leia mais

REDES INTRODUÇÃO À REDES

REDES INTRODUÇÃO À REDES REDES INTRODUÇÃO À REDES Simplificando ao extremo, uma rede nada mais é do que máquinas que se comunicam. Estas máquinas podem ser computadores, impressoras, telefones, aparelhos de fax, etc. Ex: Se interligarmos

Leia mais

Segurança em Redes sem Fio

Segurança em Redes sem Fio Segurança em Redes sem Fio Aprenda a proteger suas informações em ambientes Wi-Fi e Bluetooth Nelson Murilo de Oliveira Rufino Novatec Copyright 2005, 2011, 2015 da Novatec Editora Ltda. Todos os direitos

Leia mais

Conhecer meios de transmissão que utilizam cabos e fios. Componentes do processo de comunicação.

Conhecer meios de transmissão que utilizam cabos e fios. Componentes do processo de comunicação. Meios de transmissão Conhecer meios de transmissão que utilizam cabos e fios. Quando enviamos uma informação para um destino, ela vai por um canal de comunicação. Esse canal de comunicação tem um limite

Leia mais

5.2 MAN s (Metropolitan Area Network) Redes Metropolitanas

5.2 MAN s (Metropolitan Area Network) Redes Metropolitanas MÓDULO 5 Tipos de Redes 5.1 LAN s (Local Area Network) Redes Locais As LAN s são pequenas redes, a maioria de uso privado, que interligam nós dentro de pequenas distâncias, variando entre 1 a 30 km. São

Leia mais

Redes Sem Fio. 1. Introdução. 2. Conceitos e Terminologias. 2.1. Rede Sem Fio. 2.2. Zona de Cobertura. Tecnologias Atuais de Redes Redes Sem Fio

Redes Sem Fio. 1. Introdução. 2. Conceitos e Terminologias. 2.1. Rede Sem Fio. 2.2. Zona de Cobertura. Tecnologias Atuais de Redes Redes Sem Fio 1. Introdução Geralmente, a forma mais rápida de se implementar uma rede de computadores é por meio da utilização de cabos, sejam eles de par trançado ou de fibra óptica. Para pequenas redes, com poucos

Leia mais

A importância de uma NAT e de uma VPN para a segurança da informação

A importância de uma NAT e de uma VPN para a segurança da informação A importância de uma NAT e de uma VPN para a segurança da informação NAT Network Translation Address A funcionalidade de NAT consiste no procedimento de translado de endereços de uma rede para a outra.

Leia mais

09/06/2011. Profª: Luciana Balieiro Cosme

09/06/2011. Profª: Luciana Balieiro Cosme Profª: Luciana Balieiro Cosme Revisão dos conceitos gerais Classificação de redes de computadores Visão geral sobre topologias Topologias Barramento Anel Estrela Hibridas Árvore Introdução aos protocolos

Leia mais

REDES DE COMPUTADORES

REDES DE COMPUTADORES Conteúdo 1 Topologia de Redes 5 Escalas 5 Topologia em LAN s e MAN s 6 Topologia em WAN s 6 2 Meio Físico 7 Cabo Coaxial 7 Par Trançado 7 Fibra Óptica 7 Conectores 8 Conector RJ45 ( Par trançado ) 9 Conectores

Leia mais

Segurança de Sistemas na Internet. Aula 10 - IPSec. Prof. Esp Camilo Brotas Ribeiro cribeiro@catolica-es.edu.br

Segurança de Sistemas na Internet. Aula 10 - IPSec. Prof. Esp Camilo Brotas Ribeiro cribeiro@catolica-es.edu.br Segurança de Sistemas na Internet Aula 10 - IPSec Prof. Esp Camilo Brotas Ribeiro cribeiro@catolica-es.edu.br Slide 2 de 31 Introdução Há inúmeras soluções de autenticação/cifragem na camada de aplicação

Leia mais

FACULDADE PITÁGORAS. Prof. Ms. Carlos José Giudice dos Santos cpgcarlos@yahoo.com.br www.oficinadapesquisa.com.br

FACULDADE PITÁGORAS. Prof. Ms. Carlos José Giudice dos Santos cpgcarlos@yahoo.com.br www.oficinadapesquisa.com.br FACULDADE PITÁGORAS DISCIPLINA FUNDAMENTOS DE REDES REDES DE COMPUTADORES Prof. Ms. Carlos José Giudice dos Santos cpgcarlos@yahoo.com.br www.oficinadapesquisa.com.br Material elaborado com base nas apresentações

Leia mais

Universidade de Brasília

Universidade de Brasília Universidade de Brasília Introdução a Microinformática Turma H Redes e Internet Giordane Lima Porque ligar computadores em Rede? Compartilhamento de arquivos; Compartilhamento de periféricos; Mensagens

Leia mais

QUANDO TRATAMOS SOBRE MEIOS DE TRANSMISSÃO, DEVEMOS ENFATIZAR A EXISTÊNCIA DE DOIS TIPOS DESSES MEIOS, SENDO:

QUANDO TRATAMOS SOBRE MEIOS DE TRANSMISSÃO, DEVEMOS ENFATIZAR A EXISTÊNCIA DE DOIS TIPOS DESSES MEIOS, SENDO: CABEAMENTO DE REDE QUANDO TRATAMOS SOBRE MEIOS DE TRANSMISSÃO, DEVEMOS ENFATIZAR A EXISTÊNCIA DE DOIS TIPOS DESSES MEIOS, SENDO: MEIO FÍSICO: CABOS COAXIAIS, FIBRA ÓPTICA, PAR TRANÇADO MEIO NÃO-FÍSICO:

Leia mais

Equipamentos de Rede

Equipamentos de Rede Equipamentos de Rede Professor Carlos Gouvêa SENAIPR - Pinhais 2 Introdução Objetivos Finalidade dos equipamentos Equipamentos e descrição Nomenclatura de desenho técnico para redes Exercício de orientação

Leia mais

Informática. Prof. Macêdo Firmino. Redes de Computadores. Macêdo Firmino (IFRN) Informática Novembro de 2011 1 / 41

Informática. Prof. Macêdo Firmino. Redes de Computadores. Macêdo Firmino (IFRN) Informática Novembro de 2011 1 / 41 Informática Prof. Macêdo Firmino Redes de Computadores Macêdo Firmino (IFRN) Informática Novembro de 2011 1 / 41 Sistema Computacional Macêdo Firmino (IFRN) Informática Novembro de 2011 2 / 41 O que é

Leia mais

REDES DE COMPUTADORES

REDES DE COMPUTADORES REDES DE COMPUTADORES Prof. Esp. Fabiano Taguchi http://fabianotaguchi.wordpress.com fabianotaguchi@gmail.com COMUTAÇÃO CIRCUITOS PACOTES É necessário estabelecer um caminho dedicado entre a origem e o

Leia mais

Redes de Computadores I - Meios de Transmissão. por Helcio Wagner da Silva

Redes de Computadores I - Meios de Transmissão. por Helcio Wagner da Silva Redes de Computadores I - Meios de Transmissão por Helcio Wagner da Silva Classificação Meios guiados: Par trançado. Cabo coaxial. Fibra óptica. Meios Não-guiados: Transmissão por rádio. Microondas. Infravermelho.

Leia mais

Administração de Sistemas de Informação Gerenciais

Administração de Sistemas de Informação Gerenciais Administração de Sistemas de Informação Gerenciais UNIDADE V: Telecomunicações, Internet e Tecnologia Sem Fio. Tendências em Redes e Comunicações No passado, haviam dois tipos de redes: telefônicas e redes

Leia mais

Capítulo 6 Redes sem fio e redes móveis

Capítulo 6 Redes sem fio e redes móveis Capítulo 6 Redes sem fio e redes móveis Todo o material copyright 1996-2009 J. F Kurose e K. W. Ross, Todos os direitos reservados slide 1 2010 2010 Pearson Prentice Hall. Hall. Todos Todos os os direitos

Leia mais

prof.edney@superig.com.br Redes de Computadores

prof.edney@superig.com.br Redes de Computadores prof.edney@superig.com.br Redes de Computadores Apresentação do professor, da disciplina, dos métodos de avaliação, das datas de trabalhos e provas; introdução a redes de computadores; protocolo TCP /

Leia mais

Equipamentos de Rede. Prof. Sérgio Furgeri 1

Equipamentos de Rede. Prof. Sérgio Furgeri 1 Equipamentos de Rede Repetidor (Regenerador do sinal transmitido)* Mais usados nas topologias estrela e barramento Permite aumentar a extensão do cabo Atua na camada física da rede (modelo OSI) Não desempenha

Leia mais

Introdução a Ciência da Computação REDES DE COMPUTADORES

Introdução a Ciência da Computação REDES DE COMPUTADORES Introdução a Ciência da Computação REDES DE COMPUTADORES Professor: Carlos Henrique E-mail: carlos_hvr@yahoo.com.br Definição Inicial Tipos de Redes Servidores Arquitetura de Protocolos Topologia de Redes

Leia mais

Atualmente dedica-se à Teleco e à prestação de serviços de consultoria em telecomunicações.

Atualmente dedica-se à Teleco e à prestação de serviços de consultoria em telecomunicações. Rádio Spread Spectrum Este tutorial apresenta os aspectos técnicos dos Rádios Spread Spectrum (Técnica de Espalhamento Espectral) aplicados aos Sistemas de Transmissão de Dados. Félix Tadeu Xavier de Oliveira

Leia mais

A solução objetiva conjugar a operação dos mecanismos internos do Padrão IEEE 802.11b com uma autenticação externa, utilizando o Padrão IEEE 802.1x.

A solução objetiva conjugar a operação dos mecanismos internos do Padrão IEEE 802.11b com uma autenticação externa, utilizando o Padrão IEEE 802.1x. 1 Introdução A comunicação de dados por redes sem fio (Wireless Local Area Network - WLAN - Padrão IEEE 802.11b) experimenta uma rápida expansão tecnológica, proporcionando novas soluções para serem implementadas

Leia mais

Redes de Computadores

Redes de Computadores Redes de Computadores Prof. Macêdo Firmino Meios de Transmissão Macêdo Firmino (IFRN) Redes de Computadores Abril de 2012 1 / 34 Pilha TCP/IP A B M 1 Aplicação Aplicação M 1 Cab M T 1 Transporte Transporte

Leia mais

Segurança e Auditoria de Sistemas. Segurança de Redes VPN - Virtual Private Network

Segurança e Auditoria de Sistemas. Segurança de Redes VPN - Virtual Private Network Segurança e Auditoria de Sistemas Segurança de Redes VPN - Virtual Private Network Prof. Me Willians Bueno williansbueno@gmail.com UNIFEB/2013 INTRODUÇÃO; ROTEIRO APLICAÇÕES; VANTAGENS; CARACTERÍSTICAS;

Leia mais

8/3/2009. TE155-Redes de Acesso sem Fios. TE155-Redes de Acesso sem Fios

8/3/2009. TE155-Redes de Acesso sem Fios. TE155-Redes de Acesso sem Fios Panorama atual das Redes de Acesso sem Fios para Computadores Ewaldo Luiz de Mattos Mehl Universidade Federal do Paraná Departamento de Engenharia Elétrica mehl@eletrica.ufpr.br Computação do Passado Computadores

Leia mais

Introdução às Redes de Computadores. Por José Luís Carneiro

Introdução às Redes de Computadores. Por José Luís Carneiro Introdução às Redes de Computadores Por José Luís Carneiro Portes de computadores Grande Porte Super Computadores e Mainframes Médio Porte Super Minicomputadores e Minicomputadores Pequeno Porte Super

Leia mais

Informática de Gestão - Redes de Computadores Professor: Alexandre Unterstell - prof.alex@uniuv.edu.br - www.alex.inf.br

Informática de Gestão - Redes de Computadores Professor: Alexandre Unterstell - prof.alex@uniuv.edu.br - www.alex.inf.br Informática de Gestão - Redes de Computadores Professor: Alexandre Unterstell - prof.alex@uniuv.edu.br - www.alex.inf.br Redes de computadores Coleção de computadores interconectados, permitindo a troca

Leia mais

Segurança em Redes sem Fio

Segurança em Redes sem Fio Segurança em Redes sem Fio Aprenda a proteger suas informações em ambientes Wi-Fi e Bluetooth Nelson Murilo de Oliveira Rufino Novatec Capítulo 1 Conceitos A cor do sol me compõe O mar azul me dissolve

Leia mais

IPSec. IPSec Internet Protocol Security OBJETIVO ROTEIRO ROTEIRO

IPSec. IPSec Internet Protocol Security OBJETIVO ROTEIRO ROTEIRO OBJETIVO Internet Protocol Security Antonio Abílio da Costa Coutinho José Eduardo Mendonça da Fonseca Apresentar conceitos sobre segurança em redes de comunicação de dados, relacionados ao Protocolo (Internet

Leia mais

Interconexão de redes locais. Repetidores. Pontes (Bridges) Hubs. Pontes (Bridges) Pontes (Bridges) Existência de diferentes padrões de rede

Interconexão de redes locais. Repetidores. Pontes (Bridges) Hubs. Pontes (Bridges) Pontes (Bridges) Existência de diferentes padrões de rede Interconexão de redes locais Existência de diferentes padrões de rede necessidade de conectá-los Interconexão pode ocorrer em diferentes âmbitos LAN-LAN LAN: gerente de um determinado setor de uma empresa

Leia mais

MÓDULO 4 Meios físicos de transmissão

MÓDULO 4 Meios físicos de transmissão MÓDULO 4 Meios físicos de transmissão Os meios físicos de transmissão são compostos pelos cabos coaxiais, par trançado, fibra óptica, transmissão a rádio, transmissão via satélite e são divididos em duas

Leia mais

Assumiu em 2002 um novo desafio profissional como empreendedor e Presidente do Teleco.

Assumiu em 2002 um novo desafio profissional como empreendedor e Presidente do Teleco. VPN: Redes Privadas Virtuais O objetivo deste tutorial é apresentar os tipos básicos de Redes Privadas Virtuais (VPN's) esclarecendo os significados variados que tem sido atribuído a este termo. Eduardo

Leia mais

Capítulo VI Telecomunicações: Redes e Aplicativos

Capítulo VI Telecomunicações: Redes e Aplicativos Capítulo VI Telecomunicações: Redes e Aplicativos Uma rede nada mais é do que máquinas que se comunicam. Estas máquinas podem ser computadores, impressoras, telefones, aparelhos de fax, etc. Se interligarmos

Leia mais

Infra-Estrutura de Redes

Infra-Estrutura de Redes Faculdade Anhanguera de São Caetano do Sul Infra-Estrutura de Redes Curso: Tecnologia em Redes de Computadores Prof:Eduardo M. de Araujo Site-http://www.professoreduardoaraujo.com Ementa 1 Apresentação

Leia mais

Segurança da Informação

Segurança da Informação INF-108 Segurança da Informação Segurança em Redes Sem Fio Prof. João Henrique Kleinschmidt Redes sem fio modo de infraestrutura estação-base conecta hospedeiros móveis à rede com fio infraestrutura de

Leia mais

4. Rede de Computador

4. Rede de Computador Definição Uma rede de computadores é formada por um conjunto de módulos processadores capazes de trocar informações e compartilhar recursos, interligados por um sub-sistema de comunicação, ou seja, é quando

Leia mais

Fernando Albuquerque - fernando@cic.unb.br REDES LAN - WAN. Fernando Albuquerque (061) 273-3589 fernando@cic.unb.br

Fernando Albuquerque - fernando@cic.unb.br REDES LAN - WAN. Fernando Albuquerque (061) 273-3589 fernando@cic.unb.br REDES LAN - WAN Fernando Albuquerque (061) 273-3589 fernando@cic.unb.br Tópicos Modelos Protocolos OSI e TCP/IP Tipos de redes Redes locais Redes grande abrangência Redes metropolitanas Componentes Repetidores

Leia mais

Rede Wireless Para LAN e WAN

Rede Wireless Para LAN e WAN Rede Wireless Para LAN e WAN Marcos Macoto Iwashita CERNET Tecnologia e Sistemas macoto@cernet.com.br www.cernet.com.br INTRODUÇÃO Toda a tecnologia wireless não é nova, porém, em nossos dias apresenta

Leia mais

Guia das Cidades Digitais

Guia das Cidades Digitais Guia Técnico Inatel Guia das Cidades Digitais Módulo 4: Tecnologia Wi-Fi INATEL Competence Center treinamento@inatel.br Tel: (35) 3471-9330 Este módulo trata da tecnologia de acesso sem fio mais amplamente

Leia mais

Redes Sem Fio (Wireless): Fundamentos e Padrões

Redes Sem Fio (Wireless): Fundamentos e Padrões Redes Sem Fio (Wireless): Fundamentos e Padrões As redes locais sem fio (WLANs) constituem-se como uma alternativa às redes convencionais com fio, fornecendo as mesmas funcionalidades, mas de forma flexível,

Leia mais

Redes de Computadores. Ciências Contábeis e

Redes de Computadores. Ciências Contábeis e Redes de Computadores Ciências Contábeis e Economia 2 Período Emmanuel Larré elarre@gmail.com 2007 Apresentação O primeiro experimento conhecido de conexão de computadores em rede foi feito em 1965, nos

Leia mais

Aula 1 - Redes de computadores 15

Aula 1 - Redes de computadores 15 Aula 1 - Redes de computadores Objetivos Compreender os conceitos iniciais de redes de computadores. Compreender as principais classificações de redes. Definir e diferenciar as principais topologias de

Leia mais

Fundamentos em Informática

Fundamentos em Informática Fundamentos em Informática Aula 06 Redes de Computadores francielsamorim@yahoo.com.br 1- Introdução As redes de computadores atualmente constituem uma infraestrutura de comunicação indispensável. Estão

Leia mais

Redes de Dados e Comunicações. Prof.: Fernando Ascani

Redes de Dados e Comunicações. Prof.: Fernando Ascani Redes de Dados e Comunicações Prof.: Fernando Ascani Redes Wireless / Wi-Fi / IEEE 802.11 Em uma rede wireless, os adaptadores de rede em cada computador convertem os dados digitais para sinais de rádio,

Leia mais

Prof. Luís Rodolfo. Unidade I REDES DE COMPUTADORES E

Prof. Luís Rodolfo. Unidade I REDES DE COMPUTADORES E Prof. Luís Rodolfo Unidade I REDES DE COMPUTADORES E TELECOMUNICAÇÃO C Redes de computadores e telecomunicação Objetivo: apresentar os conceitos iniciais e fundamentais com relação às redes de computadores

Leia mais

Meios Físicos de Transmissão

Meios Físicos de Transmissão Meios Físicos de Transmissão O meios de transmissão diferem com relação à banda passante, potencial para conexão ponto a ponto ou multiponto, limitação geográfica devido à atenuação característica do meio,

Leia mais

Estrutura de um Rede de Comunicações. Redes e Sistemas Distribuídos. Tarefas realizadas pelo sistema de comunicação. Redes de comunicação de dados

Estrutura de um Rede de Comunicações. Redes e Sistemas Distribuídos. Tarefas realizadas pelo sistema de comunicação. Redes de comunicação de dados Estrutura de um Rede de Comunicações Profa.. Cristina Moreira Nunes Tarefas realizadas pelo sistema de comunicação Utilização do sistema de transmissão Geração de sinal Sincronização Formatação das mensagens

Leia mais

Padrões de Rede 15/02/2014. Padrões de rede. Padrão Ethernet IEEE 802.3 802.3

Padrões de Rede 15/02/2014. Padrões de rede. Padrão Ethernet IEEE 802.3 802.3 Padrões de Rede Fundamentos de Redes de Computadores Prof. Marcel Santos Silva Padrões de rede Existem diversos padrões Ethernet, que são utilizados pela maioria das tecnologias de rede local em uso. Definem

Leia mais

CAB Cabeamento Estruturado e Redes Telefônicas

CAB Cabeamento Estruturado e Redes Telefônicas MINISTÉRIO DA EDUCAÇÃO SECRETARIA DE EDUCAÇÃO PROFISSIONAL E TECNOLÓGICA INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA CAMPUS SÃO JOSÉ SANTA CATARINA CAB Cabeamento Estruturado e Redes Telefônicas

Leia mais

A topologia em estrela é caracterizada por um determinado número de nós, conectados em uma controladora especializada em comunicações.

A topologia em estrela é caracterizada por um determinado número de nós, conectados em uma controladora especializada em comunicações. Topologia em estrela A topologia em estrela é caracterizada por um determinado número de nós, conectados em uma controladora especializada em comunicações. Como esta estação tem a responsabilidade de controlar

Leia mais

Unidade 1. Bibliografia da disciplina 15/11/2008. Curso Superior de Tecnologia: Banco de Dados Redes de Computadores

Unidade 1. Bibliografia da disciplina 15/11/2008. Curso Superior de Tecnologia: Banco de Dados Redes de Computadores Faculdade INED Curso Superior de Tecnologia: Banco de Dados Redes de Computadores Disciplina: Redes de Computadores Prof.: Fernando Hadad Zaidan 1 Unidade 1 Conceitos básicos de Redes de Computadores 2

Leia mais

Alan Menk Santos alanmenk@hotmail.com www.sistemasul.com.br/menk. Camada Física: Redes Sem Fio. Equipamentos de Rede. O que já conhecemos.

Alan Menk Santos alanmenk@hotmail.com www.sistemasul.com.br/menk. Camada Física: Redes Sem Fio. Equipamentos de Rede. O que já conhecemos. Alan Menk Santos alanmenk@hotmail.com www.sistemasul.com.br/menk Camada Física: Redes Sem Fio Equipamentos de Rede O que já conhecemos. Cabos; Atenas; Tipos de transmissão; 1 O que vamos conhecer. Equipamentos

Leia mais

VPN PPTP (Point to Point Tunneling Protocol)

VPN PPTP (Point to Point Tunneling Protocol) VPN PPTP (Point to Point Tunneling Protocol) Redes de Comunicação Departamento de Engenharia da Electrónica e Telecomunicações e de Computadores Instituto Superior de Engenharia de Lisboa Baseado em: VPNs

Leia mais

V3PN Voice, Video and Integrated Data IP. Palestra V3PN

V3PN Voice, Video and Integrated Data IP. Palestra V3PN V3PN Voice, Video and Integrated Data IP V3PN Voice, Video and Integrated Data Palestrante André Gustavo Lomônaco Diretor de Tecnologia da IPPLUS Tecnologia Mestre em Engenharia Elétrica Certificado Cisco

Leia mais

Davidson Rodrigo Boccardo flitzdavidson@gmail.com

Davidson Rodrigo Boccardo flitzdavidson@gmail.com Fundamentos em Sistemas de Computação Davidson Rodrigo Boccardo flitzdavidson@gmail.com Camada Física Primeira cada do modelo OSI (Camada 1) Função? Processar fluxo de dados da camada 2 (frames) em sinais

Leia mais

SSC0748 - Redes Móveis

SSC0748 - Redes Móveis - Redes Móveis Introdução Redes sem fio e redes móveis Prof. Jó Ueyama Agosto/2012 1 Capítulo 6 - Resumo 6.1 Introdução Redes Sem fo 6.2 Enlaces sem fo, características 6.3 IEEE 802.11 LANs sem fo ( wi-f

Leia mais