Light Edition Coordenação Luís Felipe Magalhães de Moraes Equipe Alessandro Martins Airon Fonteles Bruno Astuto Arouche Nunes Demétrio de Souza Dias Carrión Diogo Moreno Pereira Gomes Felipe Schiller Luciano Renovato de Abulquerque
Índice I. Organização...4 II. Requisitos do Sistema...6 III. Introdução...8 IV. Cenários...13 V. AirStrikeAP...18 1.1. Iniciando a Instalação...20 1.2. Acompanhando o Processo de Instalação...23 1.3. Verificando o status Final da Instalação...23 1.4. Passos finais...24 1.4.1. Criação do Certificado Digital do AP...25 1.4.2. Permissões de Acesso do Banco de Dados de Autenticação...25 1.5. Preparando a Base de Dados para Autenticação dos Usuários...26 VI. AirStrikeClient...27 VII. AirStrikeDatabase...37 VIII. AirStrikePKI...40 2
Lista de tabelas Tabela II-1 - Descrição dos requisitos necessários para instalação do AirStrikeAP... 6 Tabela II-2 - Descrição dos requisitos necessários para instalação do AirStrikePKI... 6 Tabela II-3 - Descrição dos requisitos necessários para instalação do AirStrikeDataBase... 7 Tabela II-4 - Descrição dos requisitos necessários para instalação do AirStrikeClient... 7 Tabela VI-1 - Descrição dos arquivos utilizados no AirStrikeClient...28 Tabela VIII-1 - Descrição dos arquivos utilizados no AirStrikePKI...41 Lista de figuras Figura III-1 Troca típica de mensagens...10 Figura III-2 Página de autenticação...11 Figura III-3 Infraestrutura básica de uma WLAN AirStrike...12 Tabela V-1 Informações recebidas através do prompt...19 Figura V-2 Solicitação de informações ao usuário...21 Figura V-3 Informação sobre o status final da instalação...24 Figura VI-1 - Organização do pacote de instalação do AirStrikeClient...27 Figura VIII-1 Diretórios do módulo AirStrikePKI...40 Figura VIII-2 Tela inicial do script AirStrikePKI...42 3
I.Organização O manual de instalação do sistema AirStrike está dividido em 7 partes: Parte I Esta seção representa toda a organização do presente documento, além de descrever resumidamente o que será abordado neste manual. Parte II Estão enumerados os requisitos de sistema, software e hardware, para a instalação de cada módulo do AirStrike. Recomenda-se a leitura desta seção antes de iniciar a instalação de qualquer módulo. Parte III Nesta parte são apresentados os benefícios obtidos e as principais características do sistema AirStrike, além de oferecer uma visão geral das redes sem fio baseadas no padrão IEEE 802.11b (Wi-Fi). Parte IV Alguns aspectos devem ser levados em conta quando uma entidade se propõe a implementar uma rede sem fio. Um projeto da rede, interligação com a LAN cabeada, o relacionamento entre as máquinas e um passo a passo do processo de instalação dos módulos do AirStrike são apresentados de uma maneira simples, através de um caso de uso didaticamente criado para auxiliar o usuário em todo o processo de implantação do sistema. Parte V Todas as informações necessárias para a instalação e configuração do AirStrikeAP estão relacionadas nesta parte do manual. Sendo este módulo o principal do sistema AirStrike. Parte VI 4
Os usuários da rede sem fio contam com o módulo AirStrikeClient para que se conectem a um ponto de acesso AirStrike de forma segura e eficiente. Nesta seção serão apresentados os processos de configuração do AirStrieClient. Parte VII O ponto de acesso AirStrike conta com uma infra-estrutura de redes e segurança para garantir a sua eficiência e eficácia. O processo de autenticação de usuários é feito através do armazenamento de suas contas em um banco de dados através do módulo AirStrikeDatabase. Parte VIII Para garantir a autenticidade do ponto de acesso utilizam-se certificados digitais, que fazem sentido somente quando uma infra-estrutura de chave pública (IPC) está implementada. O AirStrikePKI é uma implementação simples desta ICP. 5
II. Requisitos de Sistema Nesta seção apresentam-se os requisitos necessários para instalação e utilização dos módulos do AirStrike. Cada recomendação admite que os módulos do sistema serão instalados em máquinas diferentes. 1. Requisitos de Sistema para o AirStrikeAP MICROCOMPUTADOR Processador Pentium II 500 MHz Memória RAM 128 MB Espaço em disco 500 MB CD-ROM CDROM 4x Recomendado Mínimo Interface de rede sem fio 802.11b com chipset Prism II (1 unidade) Interface de rede cabeada Ethernet. (1 unidade) Processador Pentium III 500 MHz Memória RAM 128 MB Espaço em disco 500 MB CD-ROM CDROM 4x Interface de rede sem fio 802.11b com chipset Prism II (1 unidade) Interface de rede cabeada Ethernet (1 unidade) Tabela II-1 - Descrição dos requisitos necessários para instalação do AirStrikeAP 2. Requisitos de Sistema para o AirStrikePKI Processador MICROCOMPUTADOR Pentium 100 MHz Mínimo Recomendad o Memória RAM Espaço em disco CD-ROM Processador Memória RAM Espaço em disco CD-ROM 64 MB 500 MB CDROM 4x Pentium III 500 MHz 128 MB 500 MB CDROM 4x Tabela II-2 - Descrição dos requisitos necessários para instalação do AirStrikePKI 6
3. Requisitos de Sistema para o AirStrikeDatabase Mínimo Recomendad o Processador Memória RAM Espaço em disco CD-ROM Processador Memória RAM Espaço em disco CD-ROM MICROCOMPUTADOR Pentium 233 MHz 128 MB 500 MB CDROM 4x Pentium III 500 MHz 128 MB 1 GB CDROM 4x Tabela II-3 - Descrição dos requisitos necessários para instalação do AirStrikeDataBase 4. Requisitos de Sistema para os AirStrikeClient Windows 98/2000/XP Windows XP Linux Cliente VPN Processador Memória RAM Espaço em disco CD-ROM Interface de rede sem fio Cliente VPN Processador Memória RAM Espaço em disco CD-ROM Interface de rede sem fio Distribuição MICROCOMPUTADOR SSH Sentinel Pentium II 500 MHz 128 MB 50 MB CDROM 4x 802.11b com chipset Prism II (1 unidade) Padrão do Windows XP (embutido) Pentium II 500 MHz 128 MB 10 MB CDROM 4x 802.11b com chipset Prism II (1 unidade) Red Hat Kernel 2.4.20-8 Processador Memória RAM Espaço em disco CD-ROM Interface de rede sem fio Pentium II 233 MHz 64 MB 10 MB CDROM 4x 802.11b com chipset Prism II (1 unidade) Tabela II-4 - Descrição dos requisitos necessários para instalação do AirStrikeClient 7
III. Introdução 1. O que é o AirStrike? O AirStrike é uma implementação segura de um ponto de acesso (Access Point AP) para redes sem fio (Wireless Local Area Networks WLAN), baseado no padrão IEEE 802.11b, fundamentado no sistema operacional OpenBSD em conjunto com diversos outros softwares de código aberto sobre uma plataforma i386. Com o AirStrike é possível gerenciar redes sem fio com segurança e confiabilidade, tendo a certeza de que somente usuários autorizados terão acesso à infraestrutura de rede. 2. Por que usar o AirStrike? A implementação de uma rede local sem fio infraestruturada requer a utilização de um ponto de acesso que controle as comunicações na WLAN e que atue como gateway para uma rede local (LAN) cabeada. Como as WLANs são extremamente inseguras devido às suas características físicas, ataques contra a autenticidade, confiabilidade e disponibilidade das transações são facilitados quando não são adotadas medidas de segurança. A arquitetura da WLAN é um aspecto fundamental para a garantia da segurança dos usuários, do AP e da própria infraestrutura da rede cabeada, que tem na WLAN uma extensão de sua abrangência. A utilização de firewall e endereços IPs não roteáveis (IPs inválidos) são duas medidas que permitem que o tráfego da rede sem fio seja contido e controlado. O AirStrike tem como objetivo prover segurança durante o acesso à redes sem fio através do ponto de acesso, sem comprometer, com isso, a conectividade dos usuários. 3. Premissas O AirStrike utiliza softwares livres para seu funcionamento, possibilitando um desenvolvimento contínuo e facilitando sua integração com os mais variados ambientes de produção. O sistema foi concebido e implementado sobre bases sólidas, pois os softwares livres utilizados são amplamente reconhecidos pela comunidade quanto a segurança de suas implementações. Dentre estes, é possível citar o sistema operacional OpenBSD, a biblioteca openssl e o servidor IPSec isakmpd. A rápida correção 8
de falhas de segurança garante também grandes vantagens para os administradores das WLANs. Outras premissas do projeto dizem respeito à instalação simplificada e rápida do sistema AirStrike a partir de um CD, a utilização de hardware com baixo poder de processamento, suporte a diversos sistemas operacionais nas estações clientes e a definição completa de mecanismos de segurança e seus protocolos em um ambiente integrado. Um dos diferenciais do sistema AirStrike é a definição e implementação de um protocolo de detecção de desligamento de estação (DPD Dead Peer Detection), denominado isalive, descrito posteriormente. 4. Organização O sistema AirStrike está divido nos seguintes módulos: AirStrikeAP contém as funcionalidades do ponto de acesso seguro baseado no padrão IEEE 802.11b. AirStrikeClient contém as funcionalidades das estações clientes que desejam acessar uma WLAN através do AirStrike. AirStrikePKI infraestrutura de chave pública utilizada no âmbito do sistema AirStrike. AirStrikeDatabase banco de dados utilizado para autenticação pelo sistema AirStrike. 5. Como funciona Abaixo estão relacionados os mecanismos básicos que garantem a segurança e cumprimento do protocolo de autenticação e autorização do Sistema AirStrike: Autenticação login/senha e certificado do ponto de acesso apresentados quando do acesso à página de autenticação hospedada no próprio AP (Figura 1.1) Autorização firewall, que através da mudança dinâmica de suas regras permite o acesso seletivo aos recursos da rede Privacidade e integridade IPSec, implementação de uma VPN segura através do servidor isakmpd e dos clientes VPN (por exemplo: FreeS/Wan no Linux, clientes embutidos do Windows XP e 2000) Dead Peer Detection (DPD) isalive, detectando automaticamente o desligamento de uma estação e reconfigurando as regras de firewall. 9
Inicialmente, o firewall presente no ponto de acesso permite um conjunto limitado de serviços disponíveis às estações da WLAN, dentre eles: porta 67/UDP DHCP e porta 500/ UDP para formação da VPN Segura. A configuração das regras do firewall deitas automaticamente restringem ao máximo a quantidade de portas abertas, e conseqüentemente os serviços liberados por padrão, porém o usuário administrador da rede, ou ponto de acesso AirStrike, deve configurar essas regras de acordo com as necessidades do seu ambiente de rede. Entretanto as boas práticas relativas a segurança devem ser sempre consideradas, ou seja, as portas liberadas pelo firewall devem restringir o máximo possível a utilização do sistema por parte dos usuários. O processo de conexão de um usuário ao sistema AirStrike é descrito pelos seguintes passos (Figura III-1): Figura 0-1 Troca típica de mensagens 10
A estação requisita um IP ao AP Um túnel VPN/IPSec é estabelecido entre STA e AP Usuário executa o isalivestation e fornece sua senha de acesso O usuário acessa a página de autenticação hospedada no AP (Figura III-2), obtendo o certificado digital do mesmo Logo em seguida o usuário fornece o par login/senha O AP valida o par login/senha no banco de dados de autenticação Com as credenciais validadas o AP modifica as regras do firewall permitindo a utilização de outros recursos de rede pela STA O AP inicia o processo de sondagem ativa da estação sem fio Figura III-2 Página de autenticação O processo de sondagem está definido pelo sistema isalive (isalivedaemon e isalivestation) onde mensagens criptografadas são trocadas entre o AP e a estação cliente, verificando assim se a mesma está ativa na rede. A partir do momento em que um determinado número de mensagens de sondagem não são respondidas, considera-se a estação desligada da WLAN, sendo portanto necessário redefinir as regras do firewall, retirando os privilégios dados a mesma. 11
6. Arquitetura de rede do AirStrike Os componentes de rede da arquitetura proposta pelo sistema estão apresentados na Figura III-3. Banco de Dados de Autenticação Autoridade Certificadora AirStrikeAP Notebook Desktop Figura III-3 Infraestrutura básica de uma WLAN AirStrike Cada um destes componentes encerra os seguintes serviços e funcionalidades: AP AirStrike dhcpd, firewall, NAT, Servidor WEB e isalivedaemon Autoridade Certificadora chave privada da CA (Certification Authority), certificados dos APs e lista de certificados revogados BD Autenticação SGBD (Sistema Gerenciador de Banco de Dados) MySQL STA (estação cliente) isalivestation e cliente VPN (Virtual Private Network) 12
IV. Cenários 1. Introdução Redes sem fio podem ser utilizadas em cenários que abrangem tanto, redes privadas, (como redes corporativas, por exemplo), quanto redes de acesso público, onde se utiliza a rede sem fio para acesso à Internet através de um ISP (Internet Service Provider). Em qualquer cenário de uso, quando se fala em redes sem fio, é necessário definir e estabelecer procedimentos e políticas de segurança específicas para a rede em questão. O sistema AirStrike traz uma solução que visa fornecer acesso seguro a redes privadas garantindo autenticidade, confiabilidade e disponibilidade dos serviços na rede. Em um cenário corporativo, WLANs (Wireless Local Area Networks) são normalmente utilizadas como o último segmento de rede entre os nós sem fio (móveis ou fixos) e a rede de infra-estrutura cabeada (figura IV-1). O objetivo principal em um ambiente como este é permitir acesso às funcionalidades da LAN, através da WLAN, apenas para usuários autorizados, garantindo segurança durante o tempo de conexão. Desta forma, quando se trata de acesso a uma rede corporativa, é possível partir das seguintes premissas: Credenciais dos usuários devem ser facilmente localizadas através de um banco de dados centralizado; Apenas pessoal autorizado deve ter acesso a rede; Administradores competentes e confiáveis devem ser responsáveis pelo cadastro de usuários, instalação dos servidores, geração e armazenamento de chaves de criptografia. 13
Figura IV-1- Estrutura de rede sem fio como extensão de uma LAN 2. Cenário Básico de Utilização AirStrike A seguir serão apresentados os requisitos básicos para implantação do ambiente do AirStrike, de forma a atingir os objetivos de conectividade sem fio e segurança, mencionados até agora. Para implantar o sistema é necessária basicamente uma máquina provida de duas interfaces de rede, uma sem fio e outra cabeada. Os requisitos mínimos de disco rígido e memória podem ser consultados na seção 0 Requisitos de Hardware. A máquina onde o ponto de acesso está sendo configurado deve conter os seguintes módulos integrantes do sistema AirStrike: AirStrikeAP contém as funcionalidades do ponto de acesso IEEE 802.11b AirStrikePKI infra-estrutura de chave pública utilizada no âmbito do sistema AirStrike AirStrikeDatabase banco de dados de autenticação do sistema AirStrike No entanto, recomenda-se que estes módulos sejam instalados em máquinas diferentes. Assim, caso uma delas seja comprometida (quebra do equipamento, falha no hardware etc), o tempo de resposta ao incidente em questão será menor, pois apenas a parte 14
afetada terá que ser reinstalada. Além disto, esta configuração também contribuiu para um ganho na performance no funcionamento de cada módulo. Na topologia sugerida, podemos identificar cada agente do sistema da seguinte maneira: Autoridade Certificadora esta máquina gerencia a distribuição de chaves e certificados no sistema. O módulo AirStrikePKI deve estar instalado nela de acordo com as instruções da Parte VI Seção 2. Esta máquina deve se comunicar com os outros agentes através da rede de infra-estrutura cabeada. BD de Autenticação nesta máquina deve estar instalado o módulo AirStrikeDatabase, o banco de dados responsável por armazenar os dados dos usuários (login, senha), necessários durante o processo de autenticação. Nesse banco de dados o administrador deve registrar novos usuários e apagar registros de usuários com permissão revogada. Esta máquina deve se comunicar com os outros agentes através da rede de infra-estrutura cabeada. AP AirStrike é nesta máquina que reside a parte mais importante do ambiente de segurança, onde é feita a ponte entre a LAN e a WLAN. Provida de duas interfaces de rede, uma sem fio (placa PCMCIA com adaptador PCI) e outra Ethernet 10/100, esta máquina é responsável por realizar o NAT entre as duas redes e por filtrar o tráfego através do firewall PF Packet Filter. O módulo AirStrikeAP deve ser instalado tendo o sistema operacional previamente instalado, sendo que ambos são encontrados no CD de instalação desta distribuição (ver instalação na Parte V). Esta máquina deve se comunicar com os outros mecanismos através da rede de infra-estrutura cabeada e com as estações clientes (STA1, STA2,..., STAN) através da interface sem fio. Os endereços IP das estações são gerenciados pelo servidor DHCP (Dynamic Host Configuration Protocol) configurado no AP. 15
Banco de Dados de Autenticação Autoridade Certificadora AirStrikeAP Notebook Desktop Figura IV-2 Infra-estrutura básica de uma WLAN AirStrike 3. Utilização do Cliente AirStrike A estação cliente do AirStrike necessita de alguns softwares instalados de forma a obter acesso completo às funcionalidades do sistema de forma segura. Estes softwares estão relacionados abaixo: Cliente VPN Virtual Private Network (instalação e configuração descrita na Parte V) para clientes Windows e para clientes Linux) isalivestation (instalação e configuração descrita na Parte V) Navegador Web Uma vez que estes softwares estejam instalados, é preciso seguir alguns procedimentos simples de forma a iniciar uma conexão segura com o AP. Iniciar o cliente VPN. 16
Iniciar o isalivestation e entrar com a senha de acesso (o login não é necessário nesta etapa e a senha de acesso deve ser a mesma cadastrada no AP). Visitar a página de autenticação do AP (figura IV-3) com o navegador Web de sua preferência e entrar com login e a senha de acesso. Uma vez que os procedimentos descritos acima foram seguidos nesta ordem, o sistema está pronto para ser utilizado e oferecer a segurança necessária em um ambiente sem fio. Na figura a seguir é possível ver a página de autenticação do AP onde são requisitados login e senha. Figura IV-3 - Tela de login do StrikeIN Não existe procedimento pré-definido para desconectar a estação do sistema. Basta desligar a estação ou retirá-la do alcance do rádio do ponto de acesso para que o próprio sistema AirStrike identifique que se deseja sair e execute os procedimentos necessários para desligamento da estação em questão. 17
V. AirStrikeAP 1. Conhecimentos Requeridos O usuário apto a instalar o AirStrikeAP deve possuir conhecimentos básicos no ambiente Unix(OpenBSD), além de informações sobre o ambiente de rede onde está sendo instalado o ponto de acesso. Os endereços e demais informações podem não existir no momento de instalação do AP, porém aconselha-se que as mesmas já tenham sido definidas. Por exemplo, o endereço IP da máquina onde a base de dados será instalada deve ser definido mesmo que a base de dados não tenha sido efetivamente configurada. No CD de instalação encontram-se o arquivos para instalação dos módulos do AirStrikeAP, sendo eles: AirStrike AirStrikeAP configurationfiles questions.sh README about.txt install INSTALL isalivedaemon htdocs install_isalive isalivedaemon.h tcp_lib.cpp isalivedaemon.cpp Makefile tcp_lib.h Figura V-1 - Organização do pacote de instalação do AirStrikeAP 18
Estas são as informações que o usuário deve possuir antes do início da instalação: INFORMAÇÃO VARIÁVEL 1 DESCRIÇÃO Intervalo de endereços IP IPRANGE_1, IPRANGE_2 Esses são os endereços fornecidos pelo serviço de DHCP aos usuários da rede. É importante lembrar que APs configurados dentro da mesma rede não devem oferecer o mesmo intervalo de endereços IP e garantir que seus intervalos não possuam intercessões. Endereço do servidor NTP NTPSERVER Endereço IP da máquina onde o serviço (Network Time Protocol) de NTP está instalado. Endereço da Base de DBIP Endereço da máquina onde o banco de Dados dados acessado pelo isalivedaemon e pela página de autenticação está instalado. Service Set Identifer (SSID) SSID Nome que identifica o ponto de acesso e através do qual as estações irão se associar a ele. Usuário USERNAME Usuário para acessar o Banco de Dados. Senha PASS Senha para acessar o Banco de Dados. Endereço de e-mail EMAIL Endereço de e-mail usado pelo Apache para referenciar o administrador desse serviço. URL(Uniform Resource SRVURL URL para acessar o próprio ponto de Locator) acesso através da porta 80 e 443. Tabela V-1 Informações recebidas através do prompt 2. Instalando o AirStrikeAP Após a instalação do sistema operacional OpenBSD 3.4 utiliza-se o mesmo CD onde consta, além do próprio Sistema Operacional para instalação, o sistema AirStrikeAP pronto para ser instalado. No diretório /AirStrike/AirStrikeAP/ presente no CD-ROM encontra-se o programa de instalação do ponto de acesso. Os arquivos INSTALL e README encontrados nesse 1 Nomes das variáveis encontradas no script de instalação. 19
diretório apresentam informações sobre a instalação, estrutura e conteúdo dos diretórios do processo de instalação. Antes de iniciar a instalação o usuário deve ter em mãos algumas informações que serão necessárias. Mais detalhes a esse respeito podem ser encontradas na seção 1 desta parte do manual do usuário. Iniciando a Instalação Para iniciar o processo de instalação o usuário deve estar logado no OpenBSD, localmente ou remotamente, sendo indispensável que o CD de instalação esteja presente na unidade de leitura do CD-ROM durante todo o processo. Considera-se que a instalação será realizada pelo administrador da máquina onde o ponto de acesso está sendo instalado, assim, espera-se que um usuário com permissões de administrador (root) esteja sendo usado para realizá-la. Caso contrário a instalação não será bem sucedida. Após a execução do script install seu primeiro passo é a instalação do interpretador de comandos Bash, necessário para a execução da própria instalação do AirStrike. O passo a seguir exige a iteração do usuário, nele as informações coletadas pelo usuário antes do início da instalação devem ser informadas. A instalação não prossegue até que todas elas sejam informadas. Além disso, caso as informações mostrem-se inconsistentes o processo de instalação não perceberá o problema, ou seja, o usuário deve ter certeza que os dados solicitados durante a instalação estão sendo informados adequadamente para que tudo corra bem. As informações inconsistentes informadas farão com que ocorram erros no momento em que os serviços de rede forem iniciados. A tela a seguir mostra o momento no qual informações são solicitadas ao usuário. 20
Figura V-2 Solicitação de informações ao usuário Após solicitar todos os dados necessários, a instalação prossegue sem mais iterações com o usuário. O script install executa automaticamente os scripts configure_network.parameters e install_isalive, complementando o processo de instalação. A seguir cada scripts e as respectivas ações executadas por cada um deles são descritas: > install Esse é o script principal, sendo através dele que o usuário inicia o processo de instalação, como dito anteriormente. Sua primeira ação é a instalação do Shell Bash necessário para a execução do restante da instalação. Após o questionário apresentado na tela ao usuário os demais aplicativos são instalados, nessa mesma ordem: Gmake OpenSSL (http://www.openssl.org) Apache (http://www.apache.org) PHP (http://www.php.net) OpenSSH (http://www.openssh.org) DHCP (http://www.isc.org/products/dhcp/) NTP (http://www.ntp.org/) 21
Então, após a instalação bem sucedida desses aplicativos inicia-se a configuração do ambiente, num primeiro momento copiando os seguintes arquivos para o sistema operacional automaticamente: ssl.conf httpd.conf htdocs.tar.gz (páginas web de autenticação do sistema AirStrike) php.ini rc.conf sysctl.conf pf.conf dhcpd.conf dhcpd.interfaces isakmpd.conf isakmpd.policy Além dos arquivos acima, o ambiente tem atualizado dois parâmetro importantes de rede durante a execução do install: sysctl -w net.inet.ip.forwarding=1 sysctl -w net.inet.esp.enable=1 As últimas ações realizadas pelo script são: Remoção de diretórios desnecessários, manual/ e icons/ dentro de /var/www/htdocs/ Execução do script configure.network.parameters Execução do script install_isalive Execução dos comandos: dhcpd -q wi0 e sh /etc/netstart > configure.network.parameters As ações executadas por esse script dizem respeito as configurações do ambiente operacional necessárias para a execução do ponto de acesso AirStrike. Parte das informações necessárias para realizar tais alterações foram obtidas através do questionário apresentado ao usuário no início do processo de instalação e armazenadas em variáveis de ambiente. As demais informações necessárias são conseguidas automaticamente através dos arquivos de configuração do próprio OpenBSD. Essas informações são: INFORMAÇÃO VARIÁVEL 2 DESCRIÇÃO 2 Nome das variáveis encontradas no script de instalação 22
Sub-rede SUBNET Endereço IP da sub-rede. Roteador ROUTER Endereço IP do roteador que deve ser usado pelo ponto de acesso. Servidor de nomes NAMESERVER Endereço IP do servidor DNS (Domain Name Server). Nome da máquina OWNNAME Nome da própria máquina. Endereço da máquina OWNIP Endereço IP da própria máquina. Máscara NETMASK Máscara de rede. Nome de Domínio DOMAINNAME Endereço correspondente ao nome de domínio. Endereço da interface sem fio WIREDIP Endereço IP da interface sem fio do AP. Tabela V-2 - Informações utilizadas para configurar sistema Acompanhando o Processo de Instalação Para o acompanhamento do andamento do processo de instalação mensagens são exibidas na tela mostrando qual aplicativo está sendo instalado ou configurado e o status final dessa ação. Além dessas mensagens o usuário pode observar os arquivos de log gerados no diretório /usr/local/airstrike/airstrikeap/. São gravados dois arquivos, um contendo informações sobre o processo de instalação como um todo e outro específico sobre o isalivedaemon, chamados install.result e install_isalivedaemon.result respectivamente. Verificando o status Final da Instalação 23
Ao final de todo o processo de instalação, tendo todos os passos efetuados com sucesso, o usuário verá uma mensagem na tela informando seu status final, como pode ser visto na figura a seguir: Figura V-3 Informação sobre o status final da instalação Porém, caso o usuário tenha passado alguma daquelas informações solicitadas no início da instalação de forma incorreta, por exemplo, um endereço IP incorreto, devem ocorrer erros durante a inicialização do netstart, DHCP e isalivedaemon. Passos finais Existem dois passos importantes que devem ser executados ao final da instalação do Ponto de Acesso, sendo o primeiro relacionado à criação do certificado digital do AP e o segundo relacionado às permissões de acesso do banco de dados de autenticação. Antes que um usuário possa ter acesso aos recursos de rede oferecidos pelo AirStrikeAP, ele tem que acessar uma página web, que basicamente apresenta duas caixas de texto, requisitando um nome de usuário (login) e uma senha. Observe, no entanto, que a conexão feita entre o cliente e o ponto de acesso é protegida, isto significa que uma conexão segura foi estabelecida entre ambas as partes (HTTPS). 24
Mais especificamente, o ponto de acesso e o browser do cliente foram capazes de formar uma conexão criptografada e autenticada, que culmina com a troca de uma chave de sessão. Perceba que a autenticidade de ambas as partes deve ser comprovada de alguma forma e isto é feito através do envio de um certificado digital do ponto de acesso para o cliente e em contrapartida o cliente deve fornecer o login e a senha como forma de autenticação. Para que o sistema seja capaz de reconhecer o login e a senha fornecidos pelo usuário durante a autenticação, esses dados devem ser cadastrados no módulo AirStrikeDataBase, conforme é explicado na seção a seguir. Criação do Certificado Digital do AP Ao final do processo de instalação o ponto de acesso não possui um certificado digital assinado por uma autoridade confiável e isto é suprido pelo AirStrikePKI. Com este módulo o administrador do sistema AirStrike pode criar uma Autoridade Certificadora e por conseguinte criar certificados digitais para cada ponto de acesso de seu sistema. Considerando-se que o AirStrikePKI já tenha sido configurado adequadamente, devem-se seguir os passos abaixo para gerar o certificado do AP: Executar o AirStrikePKI no ponto de acesso Gerar uma requisição de certificados para o AP (CSR) (opção 2) Copiar esta CSR para a máquina da CA Na máquina da CA executar o AirStrikePKI e criar um certificado a partir da CSR (opção 3) Copiar o certificado (CRT) para o AP para o diretório /usr/local/airstrike/airstrikepki Executar o AirStrikePKI e exportar o certificado do AP para o Apache (opção 6) Permissões de Acesso do Banco de Dados de Autenticação Para que o isalivedaemon consiga realizar a autenticação dos usuários que desejam acessar a rede através do AirStrike é preciso configurar o SGBD MySQL, atribuindo as permissões necessárias. O MySQL permite que sejam incluídas permissões de acessos utilizando-se de três prerrogativas: Usuário 25
Máquina (host) Banco de Dados Desta forma é possível estabelecer qual usuário, a partir de uma determinada máquina, tem acesso a um determinado banco de dados. Para tanto, é necessário criar um usuário com permissão de acesso a partir da máquina onde está configurado o AirStrikeAP e conseqüentemente onde o isalivedaemon deve ser executado. A seguir descreve-se como realizar o cadastramento do usuário com as permissões necessárias para permitir o acesso ao bando de dados pelo isalivedaemon. strikein# mysql h localhost u root p (Observe que a senha de root está em branco) grant all privileges on <database>.* TO <usuario>@<dominio> identified by '<senha>' with grant option; Preparando a Base de Dados para Autenticação dos Usuários Os usuários que utilizarão o AirStrikeAP para acessar a rede devem ser cadastrados na tabela passwd, criada automaticamente durante a instalação do AirStrikeDataBase. Para inserir os novos usuários nessa tabela o usuário deve acessar o MySQL e executar os comandos listados abaixo: strikein# mysql h localhost u root p (Observe que a senha de root está em branco) mysql> use strikein; mysql> insert into table user values ( <senha>, <login>, Nome do usuário ); É importante ressaltar que nenhuma informação do usuário (senha, login, e nome) deve ser deixada em branco. A tabela strikein é criada de modo a não aceitar a inserção incompleta de um usuário, sendo obrigatória a informação de seus dados completos, conforme mostrado no comando acima. 26
VI. AirStrikeClient 1. Introdução O AirStrikeClient corresponde aos módulos do sistema AirStrike necessários para a conexão de uma estação a um ponto de acesso AirStrike. Estes módulos dividem-se basicamente em: Configurações de rede : Cliente DHCP Instalação e configuração da VPN, baseada no FreeS/Wan Configuração e instalação do isalive No CD de instalação encontram-se o arquivos para instalação dos módulos do AirStrikeClient, sendo eles: AirStrike AirStrkeClient about.txt ifcfg-eth install.sh ipsec.secrets README dhclient-exithooks INSTALL ipsec.conf isalivestation isalivestation.cpp isalivestation.h tcp_lib.cpp tcp_lib.h Figura VI-1 - Organização do pacote de instalação do AirStrikeClient Resumidamente: 27
ARQUIVOS dhclient-exit-hooks ipsec.conf ipsec.secrets INSTALL README Diretório isalivestation ifcfg-eth install.sh FUNÇÃO Detecta quando a estação recebe um novo IP atualizando as configurações do túnel IPSec Configurações da VPN/IPSec no cliente Contém a chave compartilhada da VPN/IPSec Procedimentos de instalação Um pequeno resumo sobre o projeto e sobre o AirStrikeClient especificamente Arquivos necessários para a compilação do isalivestation. Cliente que responda às sondagens do servidor isalivedaemon presente nos APs AirStrike Modelo de script de configuração da placa de rede Wi-Fi Script de instalação e configuração do sistema AirStrikeClient. Tabela VI-1 - Descrição dos arquivos utilizados no AirStrikeClient O script install.sh executa o processo de instalação e configuração automática do AirStrikeClient, permitindo que um cliente Linux tenha acesso ao AP AirStrike. O script executa os seguintes passos fundamentais: Pergunta qual a senha da VPN (PSK - Pre Shared Key): Esta senha é utilizada para a autenticação do cliente junto ao servidor VPN localizado no ponto de acesso e desta forma estabelecer um túnel encriptado entre os dois. Pergunta qual o ESSID da rede Wi-Fi: O ESSID pode ser entendido como a definição de um domínio de rede. Com esta identificação vários pontos de acesso de entidades diferentes podem compartilhar uma mesma frequência e garantir que os seus clientes possam se conectar de forma adequada. Instala placa Wi-Fi (carrega o modulo orinoco_plx): A instalação verifica se a placa Wi-Fi foi reconhecida pelo sistema e caso não tenha sido, provê os mecanismos e configurações para tal. É importante notar que somente as placas baseadas no chipset PRISM II serão instalados corretamente. Configura o cliente DHCP: O sistema AirStrike se baseia no fornecimento dinâmico dos IPs para os seus clientes, portanto deve-se configurar o cliente DHCP de forma que ele seja iniciado juntamente com o sistema operacional. Copia o arquivo dhclient-exit-hooks para /etc/dhclient-exit-hooks: Este script garante o funcionamento adequado da VPN, mesmo quando o IP do sistema muda, efetuando a configuração da VPN de acordo com o novo endereço. 28
Instala o FreeS/Wan: A instalação é baseada em um pacote RPM. O FreeS/Wan é utilizado no AirSttrike com o cliente VPN. Reinicia a rede Compila e instala o isalivestation: O isalivestation é o cliente do sistema de verificação de desligamento de estação denominado isalive. Um usuário não terá acesso à rede através do ponto de acesso AirStrike caso o isaliveclient não esteja sendo executado. Instalação A partir do CD-ROM mude para o diretório AirStrike/AirStrikeClient Execute o script install.sh Responda às perguntas apresentadas pelo script e aguarde o final da instalação O seu sistema está pronto para fazer parte de uma rede AirStrike Limitações Recomenda-se que o usuário utilize somente uma interface de rede, a fim de evitar possíveis conflitos durante a instalação e execução do sistema O script foi testado no Red Hat 9.0 kernel 2.4.20-8 com FreeS/Wan 2.04 O script detecta e instala placas Wi-Fi baseadas no chipset PRISM II que utiliza o driver orinoco_plx. 2. Windows O AirStrikeClient também possui uma versão para Windows XP além da versão para Linux. Para instalar, apenas execute o arquivo AirStrikeClient.exe no diretório do AirStrikeClient. Este processo copiará para o seu HD os arquivos necessário para o funcionamento do cliente. O próximo passo, é configurar a VPN do Windows XP para que seja possível conectar-se ao ponto de acesso. 2.1. Configurando a VPN do Windows XP Este é um manual passa a passo para configuração da VPN no Windows XP para concluir a configuração do AirStrikeClient e para fazer o cliente AirStrike conectar com o Ponto de Acesso AirStrike. Este guia é dividido nas seguintes partes: Passo 1 Instalando o AirStrikeClient Passo 2 - Importar diretivas de segurança Passo 3 Mudar as diretivas de segurança IP e Password 29
Passo 4 Atribuir as diretivas de segurança Passo 1 Instalando o AirStrikeClient Execute o cliente AirStrike para Windows, localizado no CD-ROM do AirStrike sobre o diretório "AirStrike\AirStrikeClient". Isso irá instalar o AirStrikeClient no seu computador com todos os arquivos necessários. Passo 2 - Importar as Diretivas de Segurança Após concluir a instalação, abra o Console MMC (Clique 'Iniciar', 'Executar', digite 'mmc' e pressione enter). Clique no menu 'Arquivo' e então em 'Adicionar/Remover Snap-in...'. 30
Na tela seguinte, clique em 'Adicionar'. 31
Localize e selecione 'Gerenciamento de diretivas de segurança' na lista de Snap-in exibida na tela seguinte. Clique em 'Adicionar', 'Concluir', 'Fechar' e então 'Ok'. Clique no snap-in adicionado ('Diretivas de segurança IP em Computador local') e, no menu 'Ação', clique em 'Todas as tarefas' e 'Importar diretivas'. 32
Na tela seguinte localize e selecione 'AirStrikeClient.ipsec' sobre o diretório de instalação do AirStrikeClient (O padrão é 'C:\Arquivos de Programas\AirStrike\AirStrikeClient'). Clique 'Abrir' para importar as diretivas de segurança padrões do AirStrikeClient. Passo 3 - Mudar as diretivas de segurança IP e Password Concluído o Passo 2, Você verá um nova diretiva chamada 'AirStrike'. Clique duas vezes sobre ela para editar suas propriedades. Existem duas regras de segurança IP: a primeira é do Cliente para o AP (nomeada 'Windows to OpenBSD'), selecione-a e clique em 'Editar'. 33
Na tela seguinte clique na aba 'Configuração de encapsulamento' e edite o endereço IP mostrado para o IP do seu Ponto de Acesso AirStrike. 34
Para mudar o password (também descrito como Chave pré-compartilhada), clique na aba 'Métodos de autenticação', selecione o único método listado e clique em 'Editar...'. Mude a Chave pré-compartilhada para a configurada no AirStrikeAP (consulte o administrador se você não souber). Clique em 'Ok' duas vezes. 35
A segunda Regra de Segurança IP é do AP para o Cliente (nomeada 'OpenBSD to Windows'). Você deve seguir os mesmos passos seguidos anteriormente para configurar o outro, mas no endereço IP na aba 'Configuração de encapsulamento' você deve inserir o IP do Cliente. Passo 4 - Atribuir as diretivas de segurança Após as diretivas de segurança terem sido configuradas você deve atribuir essas diretivas para fazer tudo funcionar. Na janela principal do console MMC, selecione a diretiva AirStrike no painel da direita, clique em 'Ação' e então 'Atribuir'. 36
Agora você está pronto para usar sua conexão segura com AirStrike. Feche o console MMC, e inicie o isalivestation, autentique o seu usuário na página web de autenticação e divirta-se! VII. AirStrikeDatabase 1. Introdução Todo o processo de autenticação e cadastro de usuários está baseado no armazenamento destas informações em um Sistema Gerenciador de Banco de Dados MySQL. O SGBD pode ser instalado no próprio ponto de acesso ou em um servidor específico, sendo esta última a configuração mais segura. O AirStrikeDatabase possui os seguintes arquivos em seu processo de instalação: 37
AirStrike AirStrikeDatabase about.txt createtable INSTALL install.sh README Figura VII-1 - Diretórios do módulo AirStrikeDatabase Resumidamente: ARQUIVOS INSTALL README createtable install.sh FUNÇÃO Processo de instalação Um pequeno resumo sobre o projeto e sobre o AirStrikeDatabase especificamente Script para criação do banco de dados strikein e suas tabelas no MySQL Script de instalação e configuração do AirStrikeDatabase Tabela VII-1 - Descrição dos arquivos utilizados pelo AirStrikeDatabase 2. Instalação A partir do CD-ROM mude para o diretório AirStrike/AirStrikeDatabase Execute o script install.sh Responda às perguntas apresentadas pelo script e aguarde o final da instalação Acrescente o IP dos pontos de acesso no MySQL O menu principal de instalação do AirStrikeDatabase pode ser visto na Figura 1. 38
Figura VII-2 Tela inicial do script AirStrikeDatabase O usuário tem duas opções para a instalação do AirStrikeDatabase, a primeira instala o MySQL e cria o BD strikein e suas tabelas e a segunda opção somente cria o BD strikein e suas tabelas. O SGDB MySQL pode ser instalado a partir do código fonte, de um pacote RPM ou de um pacote pré-compilado para OpenBSD 3.4. O processo de instalação requisita ao usuário uma senha de superusuário para acesso ao MySQL que por padrão é nula, em seguida o processo de instalação é iniciado criando o banco de dados strikein com as tabelas ipsvalidos e passwd. 3. Pontos de acesso e Banco de dados O ponto de acesso se comunicará com o banco de dados StrikeIN, de forma a autenticar os usuários no sistema AirStrike. Portanto, é necessário adicionar o IP do ponto de acesso na tabela de autorização do MySQL. 39
VIII. AirStrikePKI 1. Introdução O AirStrike utiliza certificados digitais para verificar a autenticidade do AP com o cliente e do cliente com o AP. Isto será válido desde que uma entidade superior confiável, sob o ponto de vista do AP e do cliente assine estes certificados. A implantação de um ICP (Infraestrutura de Chave Pública) dentro de um departamento ou empresa é algo bastante viável, pois o nível de confiança está confinado a um mesmo domínio administrativo. Para tanto, o sistema AirStrike conta com um mecanismo bastante simples de script que cria um CA root para uma entidade, cria a requisição de assinatura de certificados por parte dos clientes (CSR Certificate Signing Request) e finalmente gera o certificado digital (CRT - Certificate). O AirStrikePKI contém os seguintes arquivos: AirStrike AirStrikePKI airstrikepki.sh install.sh README about.txt INSTALL parameters.pki sign.sh Figura VIII-1 Diretórios do módulo AirStrikePKI 40
Resumidamente: ARQUIVOS FUNÇÃO README Um pequeno resumo sobre o projeto e sobre o AirStrikePKI especificam ente INSTALL Procedimentos de instalação airstrikepki.sh Script de configuração da CA about.txt Sobre o projeto e a equipe envolvida install.sh Copia os arquivos de configuração da PKI para /usr/local/bin/airstrike/airstrkike/airstrikepki parameterspki Parâmetros de configuração da PKI (por exemplo: tamanho da chave RSA em bits) sign.sh Script copiado da suite mod-ssl que efetua a assinatura das CSRs Tabela VIII-1 - Descrição dos arquivos utilizados no AirStrikePKI 1. Instalação A partir do CD-ROM mude para o diretório AirStrike/AirStrikePKI Execute o script install.sh Este script irá copiar os arquivos do AirStrikePKI para a máquina local Para iniciar o AirStrikePKI execute o comando /usr/local/airstrike/airstrikepki/airstrikepki.sh 2. Configuração da ICP Para iniciar a configuração da ICP, ou seja, a criação da Autoridade Certificadora raiz e a criação dos certificados digitais dos clientes, execute o comando abaixo: # /usr/local/airstrikepki.sh A seguinte tela será exibida: 41
Figura VIII-2 Tela inicial do script AirStrikePKI O script airstrikepki.sh contém as funcionalidades fundamentais para a criação de uma ICP (Infraestrutura de Chave Pública) simplificada para o ambiente AirStrike, dentre elas: Criação do certificado de uma CA raiz Geração de CSR (Certificate Signing Request) Geração do certificado (a partir de um CSR) Exportação de certificado para o padrão PKCS12 (padrão suportado pelos browsers) Exportação o certificado (CRT) da CA para o diretório do apache Exportação do certificado do AP e da chave para o diretório do apache 42