Baixe o app para aproveitar ainda mais
Prévia do material em texto
TÉCNICO EM REDE DE COMPUTADORES. SERVIÇO NACIONAL DE APREDIZAGEM COMERCIAL Autores: ERIC GAMA BRAGA JOSÉ MICHAEL AZEVEDO DE PAULA Orientador: Goldema Oliveira TEFÉ – AM 2018 PROJETO DE REDE WI-FI, HOTSPOT PARA USUÁRIO COM PFSENSE E ACTIVE DIRECTORY Para uma universidade com modalidade de ensino a distancia. Introdução Este trabalho tem por objetivo solucionar diversos problemas que a instituição de ensino com a modalidade em educação a distancia sofre com o mal controle da sua rede sem fio, para um melhor gerenciamento foi feita a instalação do Pfsense e suas ferramentas para um melhor controle, segurança e aproveitamento de todos que utilizam a rede da instituição. No decorrer deste trabalho vamos demostrar como foi feita a instalação e configuração do sistema e quais foram os aproveitamentos recebidos na rede. Objetivos Objetivos gerais Implantar um servidor pfSense, para gerenciamento da rede sem fio. Objetivos específicos Habilitar o Captive Portal do pfSense para ter acesso à rede sem fio somente para usuários autenticados; Estabelecer um limite de download e upload para cada cliente conectado a rede sem fio. Configurar um servidor Proxy transparente. Problemática O centro de ensino possui um link de sete MB (Megabyte), com roteadores comuns localizados no laboratório, biblioteca e coordenação. O polo não tem um técnico e nenhuma ferramenta para o controle de acesso aos seus docentes, discentes e colaboradores. Existe também a falta de controle de trafego e o consumo inadequado da banda, ou seja, com todos esses fatores deixa à conexão instável, com isso a instituição passa por um verdadeiro caos. Problemática A instituição possui todo o ambiente somente com conexão sem fio, a liberdade para que seus funcionários e alunos façam uso da internet, sem nenhum tipo de restrição é comum, além de não se ter um controle da rede, todos tem o conhecimento da chave de acesso. Outro problema encontrado é a falta de bloqueios de sites que são desnecessários para a instituição como redes sociais, sites pornográficos e muitos outros, resultando na utilização inadequada da internet. Solução Em uma instituição de ensino onde o mecanismo de segurança e monitoramento é ausente deixando seus ativos sem nenhuma proteção, com isso não se tem um bom aproveitamento da internet, desmotivando seus alunos e colaboradores de realizar seus trabalhos. Pensado nisso o mais adequado é buscar uma ferramenta que possa supri às necessidades da instituição, sem deixar de lado à produtividade e a organização. Solução Neste sentido, o PFsense é um sistema eficaz e eficiente para atender toda a demanda da instituição. O Capitive Portal para se ter o controle de quem acessa a rede com a utilização do número da matricula para alunos sendo o seu usuário e a senha fica a critério do técnico, com isso não se terá o problema de conexões de pessoas não autorizadas na rede, os colaboradores e docentes terão um usuário e senha para que possam navegar. Essas informações são ligadas a um servidor de Active Directory que já é utilizado na rede da instituição com isso o PFsense pode se ligar ao AD da rede por meio de RADIOS. Solução Ao controle de acesso a sites desnecessários a aplicação conta com um servidor proxy, sendo assim ele pode criar regras para que os usuários não acessem indevidamente a rede da instituição de ensino. Com todas essas normas a rede passa a ficar mais segura e terá um controle eficaz com o equilíbrio de internet para que não se tenha um serviço instável e inseguro, logo todos poderão desfrutar do serviço. Configuração do sistema mostrando antes e depois da estrutura Demostraremos como estava a rede do centro de ensino antes das modificações e como ficou a nova estrutura. Serão demonstrados os procedimentos efetuados na instalação e configuração da rede. Estrutura Anterior Anteriormente o polo possuía uma controlador de domínio Active Directory, dois switchs e três roteadores comuns utilizados em redes domesticas nos quis distribuía toda rede. Figura 1 - Rede anterior do polo EaD Fonte: Autoria própria Nova estrutura De acordo com o Quadro 1, foram configuradas quatro redes WI-FI a primeira para funcionários do setor administrativo, a segunda para alunos, a terceira para professores e a quarta para alunos utilizarem na biblioteca para recurso da pesquisa. Quadro 1 - Redes da nova estrutura Fonte: Autoria própria Figura 2 - Rede atual do polo EaD Fonte: Autoria própria Foram adicionados 1 novo ponto de acesso sem fio e, os APs anteriores foram substituídos por novos equipamentos. Atualmente a estrutura possui quatro APs, conforme demonstra a Figura 2. Nova estrutura Os novos APs ampliaram o sinal de rede sem fio na instituição de ensino. Toda a instituição é coberta pelo sinal da rede sem fio. O laboratório com um AP, a coordenação possui um, a biblioteca conta com um e foi adicionado mais um na sala de aula da instituição. Neste novo cenário, de acordo com a Figura, foi adicionado o servidor PfSense, para controlar a rede sem fio. Todos os roteadores que eram comuns de residências se tornarão obsoletos, ou seja não eram adequados para a instituição e foi substituído por Access Points próprios para organizações. ACCESS POINT A nova estrutura possui quadro APs do fabricante Intelbras, modelo 310, conforme Figura 3. Conforme especificações do fabricante o equipamento possui 100 mW de potência, cada AP disponível na rede suporta até 100 dispositivos, oferecendo uma cobertura de até 200 m². O equipamento pode ser configurado por um navegador. Após acessar a página de configuração, é possível efetuar a configurações das redes sem fio. ACCESS POINT Figura 3 - Access Point corporativo modelo 310 Fonte: http://www.intelbras.com.br/empresarial/ap-310 PFSENSE O pfSense, controla diversos recursos importantes, como: firewall, proxy, DHCP e o captive portal. Esta parte do trabalho aborda resumidamente a instalação do pfSense e, em seguida as configurações dos recursos necessários. Configurações inicias No primeiro acesso da interface de Web do pfSense, temos um assistente para auxiliar nas configurações fundamentais, como: nome do servidor, domínio, servidores DNS, configurações da interfaces LAN e WAN. Na tela de início do pfSense está o dashboard. O dashboard, além de apresentar um resumo das configurações mais importantes, como endereço IP das interfaces, configuração do processador, DNS, dentre outros, fornece informações sobre utilização dos recursos do servidor e alerta sobre atualizações e etc. Figura 5 – Tela inicial mostrando a dashboard Fonte: Interface Web de configuração do pfSense 2.3.5 Firewall Neste processo criamos algumas alieses de IP’s para os devidos grupos de alunos, professore e administradores. Os administrativos tiveram o IP de 192.168.1.10 à 192.168.1.20, os professores ficaram com a sequência de 192.168.1.21 à 192.168.1.30, já os alunos como possuem um maior número no polo obtiveram a sequência de 192.168.1.31 à 192.168.1.200, como demostra na figura 06. Figura 6 – IP’s das aliases criadas no Firewall Fonte: Interface Web de configuração do pfSense 2.3.5 Regras de firewall Figura 7 – Regras do Firewall da LAN Fonte: Interface Web de configuração do pfSense 2.3.5 Captive portal O captive portal realiza a autenticação e segurança das redes “EaD_ADM, EaD_PROFESSORE, EaD_ALUNO e EaD_BIBLIOTECA”. O limite de velocidade de download e upload por usuário, também foi configurado. O Captive Portal busca as informações para autenticação na base de dados do Active Directory em um servidor Windows Server por meio de RADIUS, o qual possui os logins e senhas dos “Admiradores, professores e alunos”. Primeiramente vamos ingressar o Active Directory no pfsense, utilizando o windows server 2012 por meio de RADIUS. Windows serve 2012 R2 No Windows serve 2012 R2 foi feita as configurações ideias para que haja a conexão com o Pfsense. Inicialmente foi criado os RADIUS com os professores, Alunos e Administrativosfeito isso logo em seguida a habilitação e instalação do servidor de políticas de redes foi necessária para adicionar os grupos de usuários. Habilitando e configurando o Captive Portal Na configuração do Captive Portal foi criada a zona EaD_ADM, EaD_Alunos e EaD_Professores, o serviço foi instalado na LAN do servidor e foi delimitado os usuários de acordo com os IP’s criado nas aliseseas, não foi adicionado tempo para finalizar a conexão, todos os usuários podem navegar a vontade, pois foi habilitado a opção de logout popup window para que os usuários possam fazer logout quando quiser. Habilitando e configurando o Captive Portal Quando o usuário fizer a autenticação ele irá ser redirecionado para www.google.com.br. A opção concorrent user logins, foi adicionado para que não se tenha vários usuários utilizando seu login e senha em vários computadores, ou seja, cada usuário ira se autenticar apenas uma vez para navegar. A restrição de banda foi ativada no Captive Portal para os Alunos e professores e administrativos. As autenticações foram feitas por RADIUS. Figura 10 – Pagina web pedindo autenticação no Captive Portal. Fonte: Interface do Firefox Figura 11 - Pagina de autenticação do Pfsense Captive Portal. Fonte: interface de login do Captive Portal Figura 12 – Redirecionamento da página, pós autenticação e página de logout. Fonte: www.google.com SQUID O Squid é um servidor proxy com função de bloquear determinados sites, ou seja podemos fazer uma filtragem de conteúdo. No pacote do pfsense o squid não é instalado, a pós instalação e configuração do sistema é necessário instalar o pacote squid. Toda a configuração se dá conforme a necessidade do ambiente onde se é empregado, na rede da instituição foi ajustado tamanho do disco, local de armazenagem, tamanhos dos arquivos e quantidade de diretórios, após essas configurações inicia-se o serviço para analises do comportamento e requisições das estações de trabalho da rede. SQUID Como Proxy transparente que bloqueias sites HTTP e HTTP/S, com as regras e firewall sendo redirecionada para as portas do 3128 e 53 do squid e DNS, como foi realizado na rede da instituição. Com as seguinte configurações prontas podemos fazer um teste de bloqueio de sites pela ACLs na Blacklist como podemos ver na figura a seguir. “O proxy refere-se a um software que atua como gateway de aplicações entre o cliente e o serviço a ser acessado, interpretando as requisições e repassando-as ao servidor de destino” (MENDONÇA, 2006, Squid) Figura 13 – Tela de configuração de bloqueio por ACLs na caixa do Blacklist. Fonte: Interface Web de configuração do pfSense 2.3.5 Figura 14 – Site bloqueado pelo Squid com a mensagem de erro. Fonte: Interface de bloqueio do Squid SQUIDGURD Com o SquidGurd podemos deixar os bloqueios mais forte, com ele podemos criar grupos de usuários, filtros por horário e entre outros recursos. O pacote squid é integrado com squidGurde para que se tenha mais êxito nos bloqueios da rede. Esse pacote também não vem instalado por padrão no pfsense logo o mesmo foi instalado e configurado para fazer bloqueios por categoria, para isso foi baixada uma blacklist existente onde se encontra no site do próprio desenvolvedor do pacote. Com isso as categorias já vêm pré-definidas para se realizar os bloqueios. Quadro 2 – Categorias Negadas na rede da instituição Fonte: Autoria própria SQUIDGURD A figura abaixo mostra o bloqueio da categoria de notícias para os usuários alunos e professore o site http://www.uol.com.br foi bloqueado com êxito. Figura 15 – Site bloqueado pelo SquidGurd com a mensagem de Acesso Negado!. Fonte: Interface de bloqueio do SquidGurd. Eficiência No decorrer dos testes encontramos uma dificuldade, quando adicionado https://www.uol.com.br ele é liberado, essa é uma grande dificuldade quando se usa proxy transparente, mas para que os HTTPs não sejam liberados, no firewall devemos criar uma outra regra para que as páginas não sejam liberadas. Na seguinte regra o protocolo TCP/UDP de origem da LAN net de qualquer porta para qualquer destino é obrigado a sair pelas portas 3128 e 53 esta regra obriga todo o trafego originário da rede interna a passar pelo squid possibilitando filtrar o trafego transmitido para dentro e para fora da rede. Figura 16 – Nova regra criada no firewall para que todas as conexões passam pelo SquidGurd Fonte: Interface Web de configuração do pfSense 2.3.5. Conclusão Com este projeto tornou-se possível resolver os problemas da rede onde o sistema Pfsense tornou possível o gerenciamento devido da rede onde o Captive Portal ligado com o proxy transparente resolveu a questão de segurança onde qualquer pessoa, mesmo não fazendo parte da instituição poderia se autenticar na rede se tivesse a senha e os devidos bloqueios de sites. Agora somente pessoas que fazem parte da instituição (alunos devidamente matriculados, professores e colaboradores) conseguem utilizar a rede sem fio se estiverem ingressados no AD. Foi escolhido o PfSense, para o controle dos serviços necessários para a nova estrutura de rede sem fio da instituição, pois além de ser uma ferramenta gratuita, ele possui recursos integrados, como: Captive Portal, firewall, proxy, DNS cache, servidor DHCP, recursos imprescindíveis para a solução dos problemas apresentados. Referências NETO, Urubatan. Dominando Linux Firewall Iptables. 1ª. Rio de Janeiro: Editora Ciência Moderna Ltda., 2014. RICCI, Bruno; MENDONÇA, Nelson. Squid – Solução Definitiva. 1ª. Rio de Janeiro: Editora Ciência Moderna Ltda., 2006. SILVA, Camila Ceccatto da. Manutenção Completa em Computadores. 2ª. São Paulo. Editora Viean, 2012. THOMPSON, Marco Aurélio. Windows Server 2008 R2: Instalação e Configuração e Administração de redes. 1ª. Editora Érica, 2010. VASCONCELOS, Laécio; VASCONCELOS, Marcelo. Manual Prático de Redes. 1ª. Rio de Janeiro. Editora Laécio Vasconcelos Computação, 2008. WILLIAMSON, Matt. Guia prático com exemplos ilustrados de configurações, para usuários iniciantes e avançados sobre o PfSense 2.0. Estados Unidos. 2012. CERT.BR. Práticas de Segurança para Administradores de Redes Internet. Disponível em <https://www.cert.br/docs/seg-adm-redes/seg-adm-redes.html#subsec2.1> Acesso 07/06/2018 15:34 SOUZA, Állison. Consequências do uso inadequado da internet no ambiente corporativo. Disponível em <https://ostec.blog/geral/consequencias-uso-inadequado-internet> Acesso 07/06/2018 15:55. CASSIO, Augusto. Conheça o Squid (Servidor Proxy) e seus benefícios. Disponível em < http://ninjadolinux.com.br/squid-proxy/> Acesso 05/07/2018 21:11 Redes Descrição Modo de segurança Nome da Rede Limite de DOW/UP em MB e Kbps 192.168.1.10 – 192.168.1.20 WI-FI para o setor administrativo Captive portal EaD_ADM 2/512k 192.168.1.31 – 192.168.1.200 WI-FI para os acadêmicos Captive portal EaD_ALUNOS 2/768k 192.168.1.21 – 192.168.1.30 WI-FI para os professores Captive portal EaD_PROFESSORES 1/768k 192.168.1.31 – 192.168.1.200 WI-FI para os Alunos biblioteca Captive portal EaD_BIBLIOTECA 1/512k CATEGORIAS SIGNIFICADO SITUAÇÃO [blk_BL_chat] Bloqueia sites de conversação online. Negado [blk_BL_downloads] Sites de compartilhamento de arquivos, torrent, etc. Negado [blk_BL_drugs] Sites que disponibilizam drogas ou como fabricá-las. Negado [blk_BL_dynamic] Sites que disponibilizam IP's dinâmicos ou que fazem o redirecionamento do proxy para não realizar os bloqueios. Negado [blk_BL_movies] Sites sobre cinemas, filmes e atores, além de sites de download e visualização de vídeos. Ex: YouTube, Google Vídeos, entre outros. Negado [blk_BL_porn] Sites de conteúdo adulto em geral. Negado [blk_BL_socialnet] Bloqueia todos os tipos de redes sociais. Negado [blk_BL_spyware] Sites que tentam instalar softwares de espionagem de navegação ou que induzem o usuário a instalá-los, incluindo trojan e sitesde phishing. Negado [blk_BL_violence] Sites sobre matar e ferir pessoas. Negado [blk_BL_weapons] Sites de armas ou acessórios para armas. Negado [blk_BL_news] Sites de notícias em geral, como páginas de jornais, revistas, blogs, etc. Negado
Compartilhar