Avaliação - Implementação de um Modelo de Segurança para Rede Sem Fio WPA2-EAP

A partir da execução dos testes nas seções anteriores, os resultados foram comen- tados de forma individual tratando linhas específicas de cada. Nesse aspecto verificou-se que a implementação de tais configurações atendem os objetivos, quais são como rejeição de login baseado em ponto de acesso origem, utilizar rede sem fio com o protocolo de segurança WPA2-EAP usufruindo de um servidor de RADIUS de código fonte aberto acessando base de dados diferentes, o que permite ser dinâmico o controle de credenciais, isto é, adicionar, remover, editar nomes de usuários e senhas.

Para visualizar o que ocorria no momento em que o FreeRADIUS recebia requi- sições, foi necessário rodá-lo no modo debug a fim de analisar os pedidos e como eram tratados, bem como, quais base de dados estavam sendo acessados e o quê era retornado das condicionais e de que forma sucedeu-se a execução do módulo. E toda vez que um módulo é executado, em seu fim, é retornado um valor que permita identificar se houve algum problema ou transcorreu na normalidade, de forma que torna possível tomar decisões ou ações baseados nesse retorno.

O ambiente virtualizado permitiu a implementação e execução de testes, nos quais dispensa o uso de equipamentos informáticos extras como servidores físicos e comutadores de redes de computadores (switches). Além disso, simplificou e agilizou a realização da fase de testes no que tange a infraestrutura de rede computacional utilizada, pois requereu-se o uso de três pontos de acesso, dois roteadores, um comutador de redes e um hospedeiro com recursos computacionais suficientes para rodar máquinas virtuais de forma haver um baixo custo de implantação.

O resultado de cada teste provêm dos logs gerados durante a execução do FreeRA- DIUS, que deu-se através deste comando utilizado, o “radiusd -X”, composto basicamente pelo nome do executável do FreeRADIUS e do argumento que define o modo debug, onde gera-se os logs vistos na seção de testes. Em um ambiente de produção, o FreeRADIUS roda como serviço, o qual inicia-se de forma automática após o carregamento do Sistema Operacional, onde tipicamente o nome do serviço não é “radiusd”, e sim “freeradius”, mas isto pode variar dentre as versões de Sistemas Operacionais que rodam esse servidor de RADIUS.

O formato que foi realizado os testes, atingem de forma simples e objetiva, satisfazer a validação da implementação no que tange o uso de uma rede sem fio WPA2- EAP, onde simplesmente informa-se um nome de usuário e senha, não havendo necessidade de configuração adicional no lado cliente. A implementação realizado no presente trabalho, usufruiu de um método de segurança descomplicado em relação aos outros métodos mencionados na Seção 2.3.5, isso aprovou a implementação de forma positiva perante a

sua construção.

Os resultados obtidos a partir dos testes, contemplam o êxito desta implementação havendo três casos de sucesso, e somente um que demonstrou anomalia devido a forma que o FreeRADIUS comporta-se na ocasião de um serviço ou mais serviços estarem indisponíveis. Uma forma permitida pelo FreeRADIUS como tratamento de serviço indisponível, é a configuração dos módulos dentro de uma seção do tipo “redundância” no arquivo principal de configuração do FreeRADIUS, sendo este o “default”.

A avaliação geral dos testes, dá-se de forma satisfatória relacionado aos objetivos propostos neste trabalho, além de proporcionar ideias para trabalhos futuros em forma de aprimoramentos.

6 CONCLUSÃO

Realizou-se análise de viabilidade da implementação de um modelo de segurança para redes sem fio que fosse capaz de autorizar a autenticação através do ponto de acesso origem usufruindo do protocolo de segurança WPA2-EAP, e utilizando-se grupos de forma a simplificar o armazenamento dos IPs e vincular os usuário por este meio. A análise demonstrou-se favorável a execução da implementação.

O trabalho demonstrou uma implementação de um modelo de segurança, sendo este aplicado em forma de configuração no software de servidor de RADIUS, o qual independe do tipo de base de dados que pode ser acessado. É o RADIUS que recebe e responde as requisições de login dos pontos de acesso que estão configurados com a rede sem fio utilizando o protocolo WPA2-EAP. Além disso é visto que o servidor de RADIUS permite outras configurações de acesso além da rede sem fio, mas que não foram alvo deste trabalho.

Observa-se que a comunicação entre o ponto de acesso e o servidor de RADIUS, utiliza-se o protocolo 802.1X criptografado e encapsulado no protocolo de transporte UDP, prevenindo a obtenção de informações relevantes dessa comunicação. Outro a ser levantado é a quantificação da utilização de softwares de código fonte aberto, sendo utilizado somente um Sistema Operacional pago a fim de prover suporte a uma plataforma não gratuita.

A partir da proposta de modelo de segurança executado no presente trabalho, demonstrou as configurações implementadas em cima do software FreeRADIUS, de forma que permitisse autenticação utilizando nome de usuário e senha, e validação final para autorizar a entrada do cliente na rede sem fio. A fim de atender o objetivo da autorização através do ponto de acesso origem, foi necessário criar um atributo para armazenar os IPs nos grupos presentes nas bases de dados OpenLDAP e Active Directory.

A avaliação dos testes confirmou que a implementação realizada neste trabalho, está funcional aos itens testados, principalmente na validação de elegibilidade que permita o usuário aceder por determinado ponto de acesso. Houve um item que apresentou anomalia na execução e foi causada pelo FreeRADIUS, pois enquanto uma das bases de dados está inacessível no momento da realização de uma consulta em busca de verificar as credenciais informadas à autenticação.

Em suma, a proposta de modelo de segurança implementada e testada, atende os objetivos elencados por este trabalho, sendo armazenado a identidade do usuário e o momento que efetuou o login, utilização de mais de uma base dados tangendo a descentralização, cliente digita as credenciais sem haver necessidade de configuração

adicional no dispositivo, e por fim, restringir os usuários de autenticarem em pontos de acesso que não estão autorizados utilizarem.

Portanto, é proposto como trabalhos futuros, o aprimoramento da configuração de acesso às bases de dados, de forma que elimine a anomalia apresentada durante o teste de indisponibilidade de um serviço. E também o desenvolvimento de um software que possa gerenciar essas bases de dados a fim de diminuir a inserção, edição e remoção, que transcorre atualmente por meio de um terminal Linux, onde possua também uma interface gráfica facilitando a gerência ao Administrador.

REFERÊNCIAS

BARBOSA, E. R. S. Estrutura de Simulação para Integração de Redes WLAN

e UMTS. p. 89, 2013.

BURNS, J. On the way: 802.11i and WPA2. p. 1, 2004.

CISCO. Configuring 802.1x Port-Based Authentication. 2017. 1 p. Disponível em: <http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4500/12-2/20ew/ configuration/guide/config/dot1x.html>. Acesso em: 02 mai. 2017.

COMSTOR. O que é o protocolo 802.1X? 2014. 1 p. Disponível em: <http: //blogbrasil.comstor.com/bid/398582/O-que-o-protocolo-802-1X>. Acesso em: 01 nov. 2016.

DANTU, R.; CLOTHIER, G.; ATRI, A. EAP methods for wireless networks. Elsevier, p. 13, 2005.

DORESTE, A. C. S.; HOMEM, A. G. L. P.; MARTINS, B. D. IEEE 802.11i – Uma

maior segurança. 2013. 8 p. Disponível em: <http://www.gta.ufrj.br/ensino/eel879/

trabalhos_vf_2013_2/80211i/IEEEi.html>. Acesso em: 01 nov. 2016.

EISSA, M. M.; ALI, I. A.; ABDEL-LATIF, K. M. Wi–Fi protected access for secure

power network protection scheme. Elsevier, p. 11, 2010.

FAN, C.; LIN, Y.; HSU, R. Complete EAP method: User efficient and forward

secure authentication protocol for IEEE 802.11 wireless LANs. IEEE, p. 9,

2013.

FOROUZAN, B. A. Comunicação de dados e redes de computadores. 4. ed. [S.l.]: McGraw-Hill, 2008. 1134 p. ISBN 978-85-86804-88-5.

FREERADIUS. FreeRADIUS Frequently Asked. 2015. 1 p. Disponível em: <https://wiki.freeradius.org/guide/FAQ>. Acesso em: 01 mai. 2017.

FREERADIUS. Overview and Features. 2015. 1 p. Disponível em: <https: //wiki.freeradius.org/Overview-and-Features>. Acesso em: 02 mai. 2017.

GEIER, E. Low–cost RADIUS servers for Wi–Fi security; Elektron, ClearBox,

Microsoft NPS and FreeRADIUS enable Wi–Fi security for small and midsize enterprises. p. 1, 2012.

GNU. RADIUS. 2009. 1 p. Disponível em: <https://www.gnu.org/software/radius/>. Acesso em: 01 nov. 2016.

H3C. WLAN Configuration Guide. 2010. 1 p. Disponível em: <http://www.h3c.com. hk/technical_support___documents/technical_documents/wlan/access_point/h3c_ wa2200_series_wlan_access_points/configuration/operation_manual/h3c_wa_series_ wlan_access_cg-6w100/02/201009/691522_1285_0.htm>. Acesso em: 01 nov. 2016.

HUOTARI, A. Enhancing HDX: Optimized Roaming extended with 11v BSS

Transition Management. 2015. 1 p. Disponível em: <http://blogs.cisco.com/wireless/

enhancing-hdx-optimized-roaming-extended-with-11v-bss-transition-management>. Acesso em: 31 out. 2016.

IEEE, C. S. Part 11: Wireless LAN Medium Access Control (MAC) and

Physical Layer (PHY) Specifications. [S.l.]: IEEE, 2009. 536 p.

JUNIOR, J. R. OpenLDAP: a chave é a centralização. 2008. 7 p. Disponível em: <https://www.vivaolinux.com.br/artigo/OpenLDAP-a-chave-e-a-centralizacao>. Acesso

em: 28 abr. 2017.

KEERATIWINTAKORN, P.; KRISHNAMURTHY, P. An energy efficient security

protocol for IEEE 802.11 WLANs. Elsevier, p. 28, 2005.

KUROSE, J. F.; ROSS, K. W. Redes de Computadores e a Internet: uma

abordagem top–down. 5. ed. [S.l.]: Pearson Addison Wesley, 2010. 614 p. ISBN 978-85-88639-97-3.

LEHEMBRE, G. Wi-Fi Security – WEP, WPA and WPA2. p. 14, 2005. MAIA, R. Segurança em Redes Wireless 802.11i. 2003. 1 p. Disponível em: <http://www.gta.ufrj.br/seminarios/semin2003_1/rmaia/802_11i.html>. Acesso em: 01

nov. 2016.

MARIADB. About MariaDB. 2017. 1 p. Disponível em: <https://mariadb.org/about>. Acesso em: 01 mai. 2017.

MICROSOFT. Visão geral do acesso sem fio autenticado 802.1X. 2012. 1 p. Disponível em: <https://msdn.microsoft.com/pt-br/library/hh994700(v=ws.11).aspx>. Acesso em: 01 nov. 2016.

OLIVEIRA, P. Conheça o OpenLDAP: seu próximo serviço de diretórios

de rede. 2017. 1 p. Disponível em: <https://www.escolalinux.com.br/blog/

conheca-o-openldap-seu-proximo-servico-de-diretorios-de-rede>. Acesso em: 28 abr. 2017.

RIGNEY, C. et al. Remote Authentication Dial In User Service (RADIUS). 2000. 1 p. Disponível em: <https://tools.ietf.org/html/rfc2865>. Acesso em: 01 nov. 2016.

ROVER, M. O que é Active Directory, topologia física e lógica? Parte 1. 2012. 1 p. Disponível em: <https://technet.microsoft.com/pt-br/library/jj206711.aspx>. Acesso em: 30 abr. 2017.

SAKIB, A. K. M. N. et al. Security Improvement of WPA 2 (Wi–Fi Protected

Access 2). p. 7, 2011.

SOBRAL, M. M. Redes de Computadores II: Diário de Aula 203–1. 2013. 1 p. Disponível em: <http://wiki.sj.ifsc.edu.br/wiki/index.php/RCO2-2013-1#Bibliografia>. Acesso em: 31 out. 2016.

TRIGO, C. H. OpenLDAP: Uma Abordagem Integrada. [S.l.]: Novatec, 2007. 239 p. ISBN 978-85-7522-128-0.

TSENG, Y. USIM–based EAP–TLS authentication protocol for wireless local

area networks. Elsevier, p. 9, 2005.

VIDAL, J. Entendendo Active Directory. 2006. 1 p. Disponível em: <https: //imasters.com.br/artigo/4735/redes-e-servidores/entendendo-active-directory>. Acesso em: 30 abr. 2017.

VIEIRA, V. Usando FreeRADIUS para autenticar usuários na

sua rede Wi–Fi. 2011. 1 p. Disponível em: <http://sejalivre.org/

usando-freeradius-para-autenticar-usuarios-na-sua-rede-wi-fi>. Acesso em: 01 nov. 2016.

WALT, D. V. D. FreeRADIUS Beginner’s Guide. [S.l.]: Packt Publishing Ltd, 2011. 344 p. ISBN 978-1-849514-08-8.

No documento Implementação de um Modelo de Segurança para Rede Sem Fio WPA2-EAP (páginas 49-55)