RELATO DE EXPERIÊNCIA IMPLEMENTAÇÃO DE VLANS E REGRAS DE ACESSO À REDE WIRELESS DA UNIVERSIDADE X

Marlos Henrique Sotto Maior RELATO DE EXPERIÊNCIA IMPLEMENTAÇÃO DE VLANS E REGRAS DE ACESSO À REDE WIRELESS DA UNIVERSIDADE X Monografia apresentada ao Curso de Pós Graduação em Redes de Computadores - Administração e Segurança da Faculdade de Ciências Exatas da Universidade Tuiuti do Paraná para conclusão do curso Orientador Luiz Correia CURITIBA 2011

SUMÁRIO 1. INTRODUÇÃO... 5 2. REFERÊNCIAL TEÓRICO... 8 2.1 VLANs... 8 2.2 REDES SEM FIO (WIRILESS NETWORK)... 10 2.3 SEGURANÇA... 14 2.3.1 Iptables... 16 2.3.2 Squid... 20 3. METODOLOGIA... 23 3.1 REVISÃO DA LITERATURA... 24 3.2 SITUAÇÃO DA UNIVERSIDADE X... 24 3.3 CONFIGURAÇÃO DO SWITCH EDGE-CORE ES3526YA... 25 3.4 CONFIGURAÇÃO DO SERVIDOR DHCP E ROTEAMENTO... 28 3.5 IMPLEMENTAÇÃO DE REGRAS DE ACESSO... 31 3.6 TESTES... 35 4. RESULTADOS... 39 5. CONCLUSÃO... 40 REFERÊNCIAS... 41

LISTA DE FIGURAS FIGURA 01 FORMATOS DOS QUADROS 802.3 E 802.1Q... 9 FIGURA 02 TRUNK LINKS E ROTEADORES PARA LIGAR VLANS... 10 FIGURA 03 COMUNICAÇÃO AD HOC... 11 FIGURA 04 MODO INFRAESTRUTURA (BSS / ESS)... 11 FIGURA 05 MAIORES RELACIONADOS A SEGURANÇA DE INFORMAÇÃO... 15 FIGURA 06 PAINÉIS: DIANTEIRO / TRASEIRO SWITCH ES526YA... 25 FIGURA 07 MODOS DE IMPLEMENTAÇÃO DE VLANs... 25 FIGURA 08 CONFIGURAÇÃO PUTTY... 26 FIGURA 09 CONFIGURAÇÃO DO SWITCH... 28 FIGURA 10 - TRACEROUTE... 35 FIGURA 11 - PING... 35 FIGURA 12 CONFIGURAÇÃO DO SERVIDOR PROXY... 36 FIGURA 13 SOLICITAÇÃO DE AUTENTICAÇÃO... 36 FIGURA 14 ACESSO NEGADO PALAVRA BLOQUEADA... 37 FIGURA 15 ACESSO NEGADO SITE BLOQUEADO... 37 FIGURA 16 RESTRIÇÃO DE DOWNLOAD POR EXTENSÃO... 38

LISTA DE TABELAS TABELA 01 FAIXA DE FREQUÊNCIAS... 12 TABELA 02 DSSS CANAIS E FREQUÊNCIAS... 13 TABELA 03 PONTOS CHAVE... 17 TABELA 04 SUBCOMANDOS IPTABLES... 18 TABELA 05 ALVOS EMBUTIDOS DA CHAIN... 19

5 1. INTRODUÇÃO A comutação 1 na camada 2 do modelo OSI permite a filtragem na rede através do endereço MAC (Media Access Control). Os pacotes são encapsulados em quadros (frames). Desta forma o encaminhamento de pacotes se dá pela análise deste endereço o que torna este processo mais rápido e eficiente. Os switches 2 mantêm uma tabela com os endereços de hardware (MAC) e permitem a segmentação da rede quebrando os domínios de colisão. Com isso aumentam a largura de banda para cada conexão (interface). Com o aumento gradativo da rede e do número de usuários a ela conectados, seu desempenho pode ser afetado. Apesar da quebra do domínio de colisão, a rede permanece com um grande domínio de broadcast. Todos os quadros de broadcast transmitidos são enxergados por todos os dispositivos conectados a rede local, diminuindo a largura de banda existente (FILIPPETTI, 2008). Este aumento ainda pode gerar um gerenciamento complexo. Dependendo da sua estruturação física e da localização dos usuários, novos equipamentos e novas conexões devem ser implantados. Outro problema encontrado é com relação à segurança, pois todos os usuários deste segmento podem ter acesso a todos os dispositivos conectados. Um usuário mal 1 Do inglês Switching. 2 Dispositivos de rede da camada 2 que conectam segmentos de redes e são responsáveis por encaminhar ou abandonar os quadros.

6 intencionado pode, através de um analisador de rede, capturar os pacotes que trafegam, visualizando seu conteúdo. Em uma Universidade denominada neste estudo como X, para fins de privacidade, tem-se em torno de 8 Access Points (APs) distribuídos no campus. A restrição existente é apenas a chave de acesso e ainda fazem parte do mesmo segmento de rede. Cada aparelho recebe um endereço IP 3 real e faz o roteamento para redes internas, distribuindo endereços de rede privados para cada cliente, além de não haver nenhum controle com relação ao conteúdo acessado. Dentro deste cenário como a implementação de VLANs e a criação de algumas regras de segurança podem minimizar eficazmente o problema encontrado? A virtualização das redes locais (VLANs) permite uma melhor administração da rede pelo fato de agrupar logicamente dispositivos, serviços e estações de trabalho independente da sua localização física (CCNA3, 2003). A implementação de uma VLAN reduz o tamanho domínio de broadcast. A cada porta do switch pode ser atribuída uma rede local virtual. As portas que compartilham a mesma VLAN fazem parte do mesmo domínio de broadcast. As mensagens de broadcast são enviadas apenas para estas portas, ou seja, impede que o broadcast propague por toda a rede (FILIPPETTI, 2008). Para aumentar o controle sobre o tráfego e a segurança cada porta pode ser configurada. Um usuário pode ser configurado a uma VLAN específica e o acesso a recursos de determinada VLAN podem ser restritos. O desempenho aumenta em 3 Internet Protocol protocolo de Internet.

7 função da redução dos domínios de broadcast, cada porta pode ser uma rede local virtual. O gerenciamento torna-se mais fácil em função da segmentação da rede. A implementação de algumas regras de segurança para restrição dos acessos aumentarão o gerenciamento ao nível de usuário e conteúdo acessado, garantindo maior confiabilidade e a integridade da rede. Pretende-se validar o benefício de segmentar a rede logicamente e restringir o acesso em camadas superiores. O desenvolvimento deste trabalho permitirá implementar as VLANs com algumas regras de acesso dentro da Universidade X, onde os produtos a serem gerados por este projeto são: A) A modelagem de uma rede logicamente segmentada com a implementação de regras de acesso; B) A implementação desta rede proposta no item A num ambiente virtualizado; C) Experimentação e testes da rede implementada no item B.

8 2. REFERÊNCIAL TEÓRICO 2.1 VLANs Redes comutadas (camada 2) são consideradas como planas, os domínios de colisão diminuem com a segmentação da rede, ou seja, os dados trafegam apenas no mesmo segmento criando seu próprio domínio de colisão. No entanto o domínio de broadcast continua único uma vez que todos os pacotes de broadcast são enxergados por todos os dispositivos conectados a esta rede. Quanto maior o número de usuários e dispositivos maior será o número de pacotes e broadcast transmitidos nesta rede. A segurança pode ser comprometida uma vez que todos os usuários podem encontrar todos os dispositivos (FILLIPPETI, 2008). VLANs são redes comutadas virtuais que agrupam logicamente estações de trabalho e dispositivos de redes. São utilizadas principalmente para diminuir domínios de broadcast e separar segmentos de rede, aumentando assim a segurança dos dados que trafegam nestas redes e a banda disponível. Como já comentado cada porta do switch pode ser uma VLAN. Uma empresa pode utilizar este recurso para separar departamentos, por exemplo cada um em uma subrede separada. A comunicação entre eles é restrita apenas ao grupo em que participam, ou seja, a mesma VLAN. A identificação dos quadros que trafegam em switches que suportam VLANs se dá através de uma marcação, inserindo um campo no quadro. O IEEE (Instituto de Engenheiros Elétricos e Eletrônicos) definiu um método padrão (802.1Q) que determina a alteração no cabeçalho Ethernet com a inclusão desta marca (tag) (TANENBAUM, 2003). A Figura abaixo mostra a alteração realizada no quadro (frame).

9 FIGURA 01 FORMATOS DOS QUADROS 802.3 E 802.1Q FONTE: TANENBAUM, 2003, p. 262. Foram adicionados 2 campos de 2 Bytes, o primeiro é o ID do protocolo de VLAN, com o valor fixo de 0x8100, assim as placas de Ethernet o identificam como um tipo. O segundo campo contém três subcampos, o principal deles é o identificador da VLAN que diz a qual VLAN o quadro pertence. Esta alteração foi necessária para estabelecer o transporte dos quadros (TANENBAUM, 2003). Para que haja comunicação entre VLANs diferentes é necessário a utilização de um dispositivo de camada 3, um roteador ou um switch camada 3 que suportem o padrão 802.1Q. A comunicação acontece através de um link de transporte (trunk link) que é responsável pelo transporte dos quadros contendo a identificação de qual VLAN pertencem (FILLIPPETI, 2008). Em redes comutadas os links de transportes são conexões ponto-a-ponto e podem suportar várias VLANs. Pode conter vários links virtuais em um único meio físico, transitando sobre um cabo único. O mecanismo de marcação de quadros (frame tagging) é o padrão do IEEE 802.1Q para trunking, este mecanismo permite uma entrega rápida dos frames (quadros) e facilitam o gerenciamento (CCNA3, 2003). A figura 2 mostra como estes links podem são implementados e as vantagens da utilização de dispositivos de camada 3 para comunicação inter-vlans.

10 FIGURA 02 TRUNK LINKS E ROTEADORES PARA LIGAR VLANS FONTE: CCNA3, 2003 As VLANs podem ser configuradas de 2 formas: Estáticas: método mais comum, a porta do switch é designada para uma VLAN específica, configurada diretamente. O controle é maior pois toda implementação e mudança são gerenciadas. Dinâmicas: a designação da VLAN é automática através de softwares específicos, não dependem de portas designadas. 2.2 REDES SEM FIO (WIRILESS NETWORK) Atualmente é uma das tecnologias mais difundidas, seja através de celulares, infravermelho, bluetooth, entre dispositivos que se comunicam através de Wi-fi 4 e ainda com o surgimento de novas tecnologias como o WIMAX 5 (FILIPPETTI, 2008). A principal diferença entre as redes cabeadas e sem fio (wireless) está no modo de transmissão. Redes cabeadas utilizam sinais elétricos em cabo metálico ou luminosos em fibras-ópticas e redes sem fio utilizam ondas de rádio para transmissão de quadros. O ar como meio de transmissão preconiza a utilização do modo half- 4 Wireless Fidelity acesso sem fio de alta velocidade. 5 Worldwide Interoperability for Microwave Access permite velocidades de até 130Mbps e alcance de 45 Km.

11 duplex de operação para evitar a incidência de colisões e do algoritmo CSMA/CD 6 (FILIPPETTI, 2008). Há dois modos de operação para redes sem fio (FILLIPPETI, 2008): Ad Hoc os dispositivos podem se conectar sem a necessidade de um ponto de acesso (access point - AP). A Figura 3 mostra a interconexão destes dispositivos FIGURA 03 COMUNICAÇÃO AD HOC FONTE: http://img.vivaolinux.com.br/imagens/artigos/comunidade/ad-hoc.png Acessado em 05 mar 2011 Infraestrutura implica na utilização de um AP conectado a uma rede cabeada através de um cabo metálico. Os quadros são enviados para o AP que redireciona para o destino. Dois tipos de serviços são suportados: BSS (Basic Service Set) onde se utiliza apenas 1 AP para implementação da WLAN (Wireless LAN) e o ESS (Extended Service Set) que deve utilizar no mínimo 2 APs para implementar a WLAN. FIGURA 04 MODO INFRAESTRUTURA (BSS / ESS) 6 Carrier Sense Multiple Access / Collision Avoidance Acesso múltiplo com verificação de portadora com anulação / prevenção de colisão.

12 Para que não haja interferência com transmissões de rádio públicas, como rádios AM/FM, a ANATEL 7 define uma faixa de frequência específica e os fabricantes devem seguir estas normas, não havendo assim a necessidade de licença para a transmissão (FILLIPPETI, 2008). A tabela 01 mostra as faixas de frequências liberadas por órgãos reguladores. TABELA 01 FAIXA DE FREQUÊNCIAS Faixa Frequência Nome Exemplos de Dispositivos 900 KHz Industrial, Scientific, Mechanical (ISM) Telefones sem fio antigos 2.4 GHz ISM Telefones mais modernos e dispositivos Wi- Fi 802.11, 802.11b, 802.11g 5 GHz Unlicensed National Information Telefones mais modernos e dispositivos Wi- FONTE: FILLIPPETI, 2008, p77 Infrastructures (U-NII) Fi 802.11a, 802.11n O IEEE 802.11 define os padrões a serem utilizados para redes sem fio para operar tanto em modo ad hoc como infraestrutura. O propósito é definir a conectividade entre equipamentos que utilizam a tecnologia sem fio. Mais especificamente também definem procedimentos e regras para garantir a confiabilidade dos dados que trafegam no meio sem fio. O formato dos quadros MAC criando convenções, a modulação necessário para o tráfego destes quadros e outros. (IEEE 802.11, 2007). As três modulações mais comuns são (FILLIPPETI, 2008): FHSS (Frequency Hopping Spread Spectrum) utiliza as frequências disponíveis. Evita desta forma a interferência por outros dispositivos que utilizam a mesma frequência. DSSS (Direct Sequence Spread Spectrum) projetada para operar na faixa de frequência de 2.4 GHz a 2.4835 GHz, pode trabalhar em até 14 canais (dependendo da região). A tabela 02 mostra as regulamentações para os países que implementam esta classe de codificação. 7 Agência Nacional de Telecomunicações.

13 TABELA 02 DSSS CANAIS E FREQUÊNCIAS FONTE: IEEE 802.11Q, 2007, p 566 No Brasil utilizamos o padrão da FCC (Federal Communications Commission órgão regulamentador norte americano) com 11 canais. Estes canais são parcialmente sobrepostos, mas 3 deles não se encontram (1, 6, 11) e portanto podem ser utilizados em uma mesma WLAN. OFDM (Orthogonal Frequency Division Mutiplexing) projetada para operar em 5 GHz, permite velocidade de banda de até 54 Mb/s (IEEE 802.1Q, 2007). Podem também utilizar múltiplos canais. Para configuração de um AP (tanto em modo BSS ou ESS) são necessários alguns parâmetros para seu funcionamento (FILLIPPETI, 2008): Padrão IEEE (a, b, ou g); Configuração do canal (1 a 11); Configuração do SSID (Service Set Identifier) é o identificador da WLAN, formado por 32 caracteres da tabela ASCII. Para o modo ESS todos os APs participantes devem ter o mesmo SSID. Os métodos de segurança também devem ser implementados na configuração de uma rede sem fio.

14 Estes métodos ou padrões estão em constante evolução conforme demanda. Inicialmente o padrão WEP (Wired Equivalent Privacy) foi criado originalmente pelo IEEE 802.11, um algoritmo de autenticação e criptográfico. Este método é fraco com relação a criptografia e autenticação, podendo ser facilmente quebrado. O comprimento da chave é de 40 ou 104 bits, com um método estático de troca de chaves (PSK Static Preshared Keys) facilitando assim seu descobrimento (FILLIPPETI, 2008). Necessitava-se de um novo método de segurança que suprisse as falhas do sistema WEP. O IEEE estava trabalhando no padrão 802.11i mas em função da demora o grupo Wi-fi Alliance 8 utilizou parte do que o IEEE já havia desenvolvido e em cima disto criou o padrão WPA (Wi-fi Protected Access). Este novo padrão inclui a troca dinâmica de chaves através do protocolo TKIP (Temporal Key Integrity Protocol) também permite autenticação através de PSK (FILLIPPETI, 2008). IEEE em 2004 implementou o padrão 802.11i, e no mesmo ano a nisto a Wi-fi Alliance introduziu o WPA2. Com as mesmas características do WPA com a inclusão do algoritmo de encriptação AES (Advanced Encryption Standard) onde chaves são mais extensas com blocos 128 bits que permitem 3 tamanhos de chaves 12, 192 e 256 bits, o WPA2 / 802.11i utilizam uma chave de 128 bits. Oferecendo assim maior segurança e confiabilidade (Wi-fi Alliance, 2005) dúvida em como referenciar. 2.3 SEGURANÇA Com o crescente uso da Internet, o aumento de ataques às redes corporativas e governamentais e a proliferação de vírus tem se intensificado. Apesar da evolução de tecnologias e a maior conscientização sobre segurança da informação, muitas empresas e órgãos ainda enfrentam problemas com segurança. 8 Um grupo criado em 1999 sem fins lucrativos com o intuito simplificar e padronizar redes sem fio de alta velocidade, fonte - http://www.wi-fi.org/organization.php acessado em 05 mar 2011.

15 De acordo com a 10ª edição da pesquisa Nacional de Segurança da Informação 33% das companhias não sabem quantificar as perdas decorrentes de falhas na segurança. A falta de planejamento na área de segurança em 35 % das empresas não existe. O resultado é que as ações são dedicadas a resolver os problemas e corrigir falhas (48%), quando encontrados (http://www.modulo.com.br/media, 2006). A pesquisa ainda revela que 24% das falhas de segurança são causadas por funcionários, 20% por hackers, problemas com vírus 15% e spam 10% e 8 % fraudes. Futuramente tem-se um expectativa de aumento dos problemas relacionados a segurança (77%), problemas com vírus 10 %, spam 15% vazamento de informações 7% e outros 7% com acesso remoto indevido (invasão), entre outros (http://www.modulo.com.br/media, 2006). Na figura 05 é possível visualizar as maiores de incidências dos problemas relacionados à segurança da informação. FIGURA 05 MAIORES RELACIONADOS A SEGURANÇA DE INFORMAÇÃO FONTE - http://www.modulo.com.br/media/10a_pesquisa_nacional.pdf, p 07, Acessado em 08 mar 2011 (dúvida na referência, coloco o arquivo pdf? Ou deixo na referência bibliográfica) Dentro deste cenário faz-se necessária a criação de regras e políticas de segurança que visem minimizar os problemas enfrentados atualmente. Duas ferramentas hoje disponíveis no mercado auxiliam na criação destas regras e políticas o firewall iptables e o proxy squid.

16 2.3.1 Iptables Primeiramente precisa-se explanar o conceito de firewall, segundo Neto (2004) um firewall pode ser definido como: indesejados. Firewall é um programa que detém autonomia concedida pelo próprio sistema para pré-determinar e disciplinar todo o tipo de tráfego existente entre o mesmo e outros hosts/redes; salvo situações onde o Firewall é um componente de soluções denominado Firewall in-a-box, onde neste caso, trata-se não somente de um software e sim de um agrupamento de componentes incluindo software e hardware, ambos projetados sob medida para compor soluções de controle perante o tráfego de um host/rede. (NETO, 2004, p. 9-10). Tem como objetivo impedir acessos e bloquear passagem de pacotes A partir kernel 9 2.4 do Linux foi introduzido o iptables. Ele é um firewall que funciona ao nível de pacotes, baseando-se no endereço e porta, tanto de destino quanto origem. Ele faz comparação de regras para avaliar se o pacote deve ou não passar. Também pode ser utilizado para monitorar o tráfego na rede, NAT 10, redirecionar e marcar pacotes, entre outros (SILVA, 2007). O iptables é modular, ou seja, novas funções podem ser agregadas. É necessário um conhecimento básico de redes TCP/IP e roteamento, para entender e implementar regras que serão responsáveis por assegurar o sistema. Do controle destas regras dependerão a segurança do sistema (SILVA, 2007). O subsistema para pacotes do kernel do Linux é o Netfilter, o iptables é um conjunto de comandos para sua configuração. É um agrupamento de regras que processam os pacotes da rede, consiste em combinações de cláusulas que determinam o destino do pacote. O iptables atua na camada de rede do modelo OSI (PURDY, 2005). Algumas características do iptables conforme Silva (2004): 9 Núcleo, faz todo o controle do hardware, é a interface entre os programas e o meio físico. 10 Network Address Translation tradução de endereços, de origem e destino, faz com que 2 redes distintas conversem, geralmente a rede local com a Internet.

17 Mecanismos internos para rejeitar pacotes mal formados automaticamente; Redirecionamento de portas; Masquerading 11 ; SNAT / DNAT (modificação dos endereços de origem e destino, respectivamente); Suporta protocolos TCP, UDP e ICMP; Manipulação do proxy da rede; Detecta fragmentos; Limitação das passagens de pacote. Purdy (2005) define cinco pontos chave no processamento das rotas, conforme tabela abaixo: TABELA 03 PONTOS CHAVE FONTE: PURDY, p 8, 2005. As chains (sequência ou cadeia de regras) determinam o destino dos pacotes, a operação do firewall. Podem ser embutidas (OUTPUT, INPUT, FORWARD, 11 Mascaramento, faz com que a rede interna possa alcançar a rede externa com endereço válido na Internet

18 PREROUTING, POSTROUTING), ou criadas pelo usuário. Elas representam os pontos-chave dentro do fluxo do pacote (PURDY, 2005). As tabelas são os locais para armazenar as regras e as chains. O iptables contém 3 tabelas: NAT responsável pela tradução de endereços e redirecionamento das conexões, são baseadas nos endereços de origem e destino. Possui 3 chains embutidas: OUTPUT, PREROUTING e POSTROUTING; FILTER estabelece as políticas para o tráfego dentro, através e fora da rede (tabela padrão). Também possui 3 chains embutidas: FORWARD, INPUT e OUTPUT; MANGLE responsável por operações específicas nos pacotes, modificação do tipo de serviço por exemplo. Chains embutidas: FORWARD, INPUT, OUTPUT, PREROUTING e POSTROUTING. As regras são critérios de combinações passados ao iptables para determinar a ação desejada, quais os pacotes de rede a regra atingirá e quais serão afetados (se serão bloqueados ou não). De acordo com a origem e destino (pode ser a interface, a porta, etc.). O processamento é em ordem (top-down) (SILVA, 2007). A tabela 04 mostra os subcomandos do iptables. TABELA 04 SUBCOMANDOS IPTABLES FONTE: PURDY, p 29, 2005.

19 Os alvos definem a ação a ser tomada propriamente dita e também especifica a regra da chain. A tabela 05 mostra os alvos embutidos e sua descrição. TABELA 05 ALVOS EMBUTIDOS DA CHAIN FONTE: PURDY, p 13, 2005. Purdy (2005) descreve algumas aplicações e técnicas de processamento: Rastreamento e estado de Conexão (connection tracking/state): associação lógica das conexões as quais o pacote pertence, faz o rastreamento e determina o estado destas conexões através de ciclos de vida. São interpretações do módulo ip_conntrack. Especifica as regras de acordo com o estado da conexão com as seguintes opções: ESTABLISHED conexões estabelecidas; INVALID nenhuma conexão rastreada; NEW nova conexão; RELATED nova conexão, porém associado a uma já existente; Accountig (contagem) Automaticamente são contabilizados os pacotes e bytes de cada regra, é possível assim verificar o tráfego na rede, sabendo por quais regras o pacote passou (listando as regras através com a opção iptables L v por exemplo); NAT (tradução dos endereços) é a tradução ou mudança de portas e ou endereços na de pacotes na rede. Executa diversas funções através da manipulação dos endereços e portas de origem e destino;

20 SNAT (tradução dos endereços de origem) compartilhamento de uma conexão com a Internet com a rede interna, modificando o endereço de origem das máquinas na rede interna antes do envio do pacote para o endereço do roteador. Utiliza a chain POSTROUTING. Um tipo especial de SNAT é o mascaramento (masquerading) utilizado quando o endereço do roteador é dinâmico. DNAT (tradução do endereço de destino) modifica os endereços de destino, da rede interna para a Internet. Faz com que o tráfego de retorno volte para sua origem. Um método específico do DNAT é o redirecionamento de portas, repassa as conexões de destino de uma porta para outra no mesmo host. Um método de redirecionamento muito utilizado é o de proxy transparente, redirecionando todo o tráfego da Internet da porta 80 para a porta 3128 (porta específica do proxy squid, assunto do próximo tópico) por exemplo; Balanceamento de Carga com iptables é possível também fazer o balanceamento de carga, é um refinamento da distribuição, utilizando estatísticas de cargas das máquinas de destino. Distribuindo conexões fazendo com que a saída total seja alta. Uma forma simples de implementar é redirecionando portas, com a seleção no modo roundrobin (carga alternada) no endereço de destino. 2.3.2 Squid O Squid é um proxy-cache que atua com os protocolos FTP, gopher e HTTP. Com controle de acesso, autorização e autenticação, ainda suporta SSL e é multiplataforma. Pode armazenar ainda cache de nomes DNS e realizar o proxi transparente além de manter meta dados em memória RAM (BASTOS, 2005). Com isto as consultas a sites que estejam armazenados neste servidor tornam a busca e

21 resposta mais rápidos, por não ser necessário buscar o conteúdo de uma determinada consulta na rede mundial (Internet). Por proporcionar todas estas ferramentas o Squid fornece um aumento no desempenho, acesso e segurança da rede. É uma ferramenta de código aberto em constante desenvolvimento. Funciona como um intermediário entre uma rede local e a Internet por exemplo, uma rede externa. O Squid utiliza para comunicação os protocolos TCP, para comunicação entre servidores web e o cliente, e ICP para comunicação com servidores de cache. Apenas uma porta é configurada para enviar requisições e ouvir as respostas (BASTOS, 2005). A técnica de proxy transparente, mencionada acima, permite que, mesmo que não haja uma configuração prévia no navegador, as requisições para Internet passem pelo proxy. Isso é muito útil para evitar que os usuários utilizem outro meio de comunicação com a Internet senão o proxy. Para que seja possível o funcionamento um redirecionamento no firewall é necessário. Direcionar todas as requisições da rede interna na porta 80 (padrão dos serviços www) para a porta 3128 (porta padrão do Squid). Por exemplo: # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT -- to-port 3128 A autenticação padrão é feita por máquina, mas o Squid permite o controle também por usuário e senha para liberar o acesso. Pode ser feita de várias maneiras, NCSA é uma delas, já vem implementado com o Squid através do módulo ncsa_auth e é simples de ser utilizada. O cadastro de usuários é feito através do utilitário htpasswd. Para autenticação no proxy alguns parâmetros devem ser habilitados (PINHEIRO, 2006). Outros métodos de autenticação podem ser implementados, para este trabalho será utilizado o método de autenticação acima, sua implementação será apresentada na seção seguinte. Uma outra funcionalidade interessante que o Squid disponibiliza é o controle de banda através do recurso delay pools. Por exemplo, se a banda disponível é pouca e

22 uma determinada área dentro de uma instituição necessita de um canal maior para uma tarefa específica que utilizará um tráfego maior, através de delay pools é possível determinar para este determinado grupo uma faixa de banda maior do link disponível para realizar determinada tarefa. A forma como o Squid controla os acessos e as demais configurações são através de listas de acesso (ACL). Estas listas são a estrutura deste sistema. Através delas são realizados bloqueio a sites, usuários, máquinas, etc. Esta parametrização se dá através do tipo da ACL, abaixo os tipos mais comuns de ACLs (VISOLVE,2006): src: origem e destino de endereços IPs acl <nome > scr <endereço IP>/ <Máscara>; time: restrição de horário: acl <nome> time <dia da semana> <horário> url_regex: busca expressões regulares em uma URL: acl <nome> url_regex i <expressão> port: portas de destino, acesso liberado ou restrito: acl <nome> port <num_da_porta> proxy_auth: autenticação, com um processo externo (ex: NSCA) acl <nome> proxy_auth <nome_do_usuário> ou REQUIRED method: conexão em portas seguras, métodos (CONECT, POST e GET) acl <nome> method <método>. Os operadores de acesso são necessários para ativação das regras criadas através das listas. O operador mais utilizado é o http_access, sua estruturação segue abaixo, e este formato é praticamente o mesmo para outros operadores (PEARSON, 2006): http_access deny allow [!]<nome_da_acl> Pode-se permitir ou negar a regra criada, a utilização do! significa a negação do conteúdo da regra.

23 3. METODOLOGIA Relembro que o objetivo deste relato é a implantação de VLANs para a rede sem fio da Universidade X com aplicação de algumas regras de acesso. Para que seja possível alcançar este objetivo as seguintes atividades estão definidas na metodologia: 1. Revisão da literatura; 2. Situação atual na Universidade X; 3. Configuração das redes virtuais: a) Switch Gerenciável Edge-Core ES3526YA; b) Configuração do servidor DHCP 12 e de roteamento; c) Implementação de regras de acesso; 4. Testes. 12 endereços IP Dynamic Host Configuration Protocol protocolo que oferece configuração automática de

24 3.1 REVISÃO DA LITERATURA A pesquisa foi realizada através de leituras de artigos, publicações e livros referentes ao tema para o entendimento do assunto. O produto gerado nesta etapa foi é apresentado na seção 2. 3.2 SITUAÇÃO DA UNIVERSIDADE X Atualmente a Universidade X está em projeto de implantação em um outro setor. Por se tratar de uma instituição pertencente ao Governo Federal as aquisições de equipamentos são determinadas pela lei nº 8.666 de Junho de 1993 e pelo decreto 5450 (pregão eletrônico). Uma unidade dentro da universidade é responsável por realizar estas compras. Esta unidade está passando por um processo de reestruturação, padronizando os equipamentos informáticos dentro da instituição. Antigamente os equipamentos eram comprados de acordo com o que determinada unidade requisitava, sem passar por avaliação da área de tecnologia da informação (TI). Com isto diferentes tecnologias e plataformas fazem parte do parque informático na Universidade. Esta diversidade acaba gerando uma dificuldade na administração e gerencia. Outro fator importante é que esta mesma unidade gerencia o tráfego da rede e especifica a banda disponível para o setor em implantação. Os IPs fornecidos são reais, apenas parte do parque informático está em uma rede privada. Contrastando com isto o acesso a Internet tem poucas restrições, dificultando ainda mais a administração dos recursos disponíveis. Alguns dispositivos da rede sem fio estão com a proteção por chave de segurança e filtro de endereços de MAC e outros somente com chave de segurança.

25 3.3 CONFIGURAÇÃO DO SWITCH EDGE-CORE ES3526YA O Edge-Core é um Switch gerenciável de camada 2 com 24 portas 10BASE- T/100BASE-TX, conta ainda com duas portas Gbps para empilhamento de switches e 2 portas 1000BASE-T integradas com 2 conectores SFP 13. A figura 06 mostra os painéis dianteiro e traseiro do equipamento FIGURA 06 PAINÉIS: DIANTEIRO / TRASEIRO SWITCH ES526YA FONTE: MANUAL DE INSTALAÇÃO Este switch suporta até 255 VLANs, tem suporte para tagged VLANs de acordo com o IEEE 802.11Q. A figura 07 demonstra as diversas possibilidades para implementação das redes virtuais. FIGURA 07 MODOS DE IMPLEMENTAÇÃO DE VLANs FONTE: MANUAL DO SWITCH 13 telecomunicações e dados. Small form-factor pluggable- um transmissor para aplicações usado tanto para

26 A configuração do switch pode ser através da porta serial 9 pinos (DB-9), através da configuração do IP para a VLAN padrão (1), acessando via web ou via telnet. O modo escolhido para configuração foi através da entrada serial DB-9 através do software PuTTy (um cliente SSH) que possibilita o gerenciamento remoto através de telnet, SSH (Secure Shell) e serial (figura 08 com as configurações do PuTTy para o acesso serial). FIGURA 08 CONFIGURAÇÃO PUTTY Na sequência são apresentados os passos para configuração das VLANs: 1 Configuração da VLAN (Configuração utilizada) Console#conf Console(config)#vlan database Console(config-vlan)#vlan 2 name Vlan2 media ethernet state active Console(config-vlan)#vlan 3 name Vlan3 media ethernet state active Console(config-vlan)#vlan 4 name Vlan4 media ethernet state active Console(config-vlan)#vlan 5 name Vlan5 media ethernet state active Console(config-vlan)#end

27 2 Configuração da Portas Console#conf Console(config)#int ethernet 1/1 Console(config-if)#switchport allowed vlan add 1 untagged Console(config-if)#switchport native vlan 1 Console(config-if)#switchport allowed vlan add 2 tagged Console(config-if)#switchport allowed vlan add 3 tagged Console(config-if)#switchport allowed vlan add 4 tagged Console(config-if)#switchport allowed vlan add 5 tagged Console(config-if)#exit Console(config)#int ethernet 1/2 Console(config-if)#switchport allowed vlan add 2 untagged Console(config-if)#switchport native vlan 2 Console(config-if)#exit Console(config)#int ethernet 1/2 Console(config-if)#switchport allowed vlan add 2 untagged Console(config-if)#switchport native vlan 2 Console(config-if)#exit Console(config)#int ethernet 1/3 Console(config-if)#switchport allowed vlan add 3 untagged Console(config-if)#switchport native vlan 3 Console(config-if)#exit Console(config)#int ethernet 1/4 Console(config-if)#switchport allowed vlan add 4 untagged Console(config-if)#switchport native vlan 4 Console(config-if)#exit Console(config)#int ethernet 1/5 Console(config-if)#switchport allowed vlan add 5 untagged Console(config-if)#switchport native vlan 5 Console(config-if)#exit A porta 1 do switch foi escolhida como porta de transporte dos pacotes. Como se percebe na configuração os pacotes nesta porta para todas as Vlans são marcados como tagged. Esta é a forma de se construir um link de transporte entre as respectivas redes.

28 Para as portas 2 a 5 os pacotes são marcados como untagged e a vlan nativa é alterada conforme a porta, esta é a forma para que o pacote possa trafegar em cada rede. A figura 09 mostra a configuração armazenada no switch. FIGURA 09 CONFIGURAÇÃO DO SWITCH 3.4 CONFIGURAÇÃO DO SERVIDOR DHCP E ROTEAMENTO Abaixo a configuração do arquivo dhcpd.conf localizado em /etc/dhcp3/dhcpd.conf # # Sample configuration file for ISC dhcpd for Debian # # $Id: dhcpd.conf,v 1.1.1.1 2002/05/21 00:07:44 peloy Exp $ # # The ddns-updates-style parameter controls whether or not the server will # attempt to do a DNS update when a lease is confirmed. We default to the # behavior of the version 2 packages ('none', since DHCP v2 didn't # have support for DDNS.) ddns-update-style none;