PROJETO DE REDE WI-FI, HOTSPOT PARA USUÁRIO COM PFSENSE E ACTIVE DIRECTORY

Prévia do material em texto

TÉCNICO EM REDE DE COMPUTADORES.
SERVIÇO NACIONAL DE APREDIZAGEM COMERCIAL
Autores: 
ERIC GAMA BRAGA
JOSÉ MICHAEL AZEVEDO DE PAULA 
Orientador: Goldema Oliveira
TEFÉ – AM
2018
PROJETO DE REDE WI-FI, HOTSPOT PARA USUÁRIO COM PFSENSE E ACTIVE DIRECTORY
Para uma universidade com modalidade de ensino a distancia.
Introdução
Este trabalho tem por objetivo solucionar diversos problemas que a instituição de ensino com a modalidade em educação a distancia sofre com o mal controle da sua rede sem fio, para um melhor gerenciamento foi feita a instalação do Pfsense e suas ferramentas para um melhor controle, segurança e aproveitamento de todos que utilizam a rede da instituição.
No decorrer deste trabalho vamos demostrar como foi feita a instalação e configuração do sistema e quais foram os aproveitamentos recebidos na rede.
Objetivos
Objetivos gerais
Implantar um servidor pfSense, para gerenciamento da rede sem fio.
Objetivos específicos 
Habilitar o Captive Portal do pfSense para ter acesso à rede sem fio somente para usuários autenticados;
Estabelecer um limite de download e upload para cada cliente conectado a rede sem fio.
Configurar um servidor Proxy transparente.
Problemática
O centro de ensino possui um link de sete MB (Megabyte), com roteadores comuns localizados no laboratório, biblioteca e coordenação. 
O polo não tem um técnico e nenhuma ferramenta para o controle de acesso aos seus docentes, discentes e colaboradores. Existe também a falta de controle de trafego e o consumo inadequado da banda, ou seja, com todos esses fatores deixa à conexão instável, com isso a instituição passa por um verdadeiro caos.
Problemática
A instituição possui todo o ambiente somente com conexão sem fio, a liberdade para que seus funcionários e alunos façam uso da internet, sem nenhum tipo de restrição é comum, além de não se ter um controle da rede, todos tem o conhecimento da chave de acesso.
Outro problema encontrado é a falta de bloqueios de sites que são desnecessários para a instituição como redes sociais, sites pornográficos e muitos outros, resultando na utilização inadequada da internet.
Solução
Em uma instituição de ensino onde o mecanismo de segurança e monitoramento é ausente deixando seus ativos sem nenhuma proteção, com isso não se tem um bom aproveitamento da internet, desmotivando seus alunos e colaboradores de realizar seus trabalhos. 
Pensado nisso o mais adequado é buscar uma ferramenta que possa supri às necessidades da instituição, sem deixar de lado à produtividade e a organização.
Solução
Neste sentido, o PFsense é um sistema eficaz e eficiente para atender toda a demanda da instituição. O Capitive Portal para se ter o controle de quem acessa a rede com a utilização do número da matricula para alunos sendo o seu usuário e a senha fica a critério do técnico, com isso não se terá o problema de conexões de pessoas não autorizadas na rede, os colaboradores e docentes terão um usuário e senha para que possam navegar. Essas informações são ligadas a um servidor de Active Directory que já é utilizado na rede da instituição com isso o PFsense pode se ligar ao AD da rede por meio de RADIOS. 
Solução
Ao controle de acesso a sites desnecessários a aplicação conta com um servidor proxy, sendo assim ele pode criar regras para que os usuários não acessem indevidamente a rede da instituição de ensino. Com todas essas normas a rede passa a ficar mais segura e terá um controle eficaz com o equilíbrio de internet para que não se tenha um serviço instável e inseguro, logo todos poderão desfrutar do serviço.
Configuração do sistema mostrando antes e depois da estrutura
Demostraremos como estava a rede do centro de ensino antes das modificações e como ficou a nova estrutura.
 Serão demonstrados os procedimentos efetuados na instalação e configuração da rede.
Estrutura Anterior
Anteriormente o polo possuía uma controlador de domínio Active Directory, dois switchs e três roteadores comuns utilizados em redes domesticas nos quis distribuía toda rede.
Figura 1 - Rede anterior do polo EaD
Fonte: Autoria própria
Nova estrutura 
De acordo com o Quadro 1, foram configuradas quatro redes WI-FI a primeira para funcionários do setor administrativo, a segunda para alunos, a terceira para professores e a quarta para alunos utilizarem na biblioteca para recurso da pesquisa.
Quadro 1 - Redes da nova estrutura
Fonte: Autoria própria
Figura 2 - Rede atual do polo EaD
Fonte: Autoria própria
Foram adicionados 1 novo ponto de acesso sem fio e, os APs anteriores foram substituídos por novos equipamentos. Atualmente a estrutura possui quatro APs, conforme demonstra a Figura 2.
Nova estrutura 
Os novos APs ampliaram o sinal de rede sem fio na instituição de ensino. Toda a instituição é coberta pelo sinal da rede sem fio. O laboratório com um AP, a coordenação possui um, a biblioteca conta com um e foi adicionado mais um na sala de aula da instituição.
Neste novo cenário, de acordo com a Figura, foi adicionado o servidor PfSense, para controlar a rede sem fio. Todos os roteadores que eram comuns de residências se tornarão obsoletos, ou seja não eram adequados para a instituição e foi substituído por Access Points próprios para organizações.
ACCESS POINT 
A nova estrutura possui quadro APs do fabricante Intelbras, modelo 310, conforme Figura 3. Conforme especificações do fabricante o equipamento possui 100 mW de potência, cada AP disponível na rede suporta até 100 dispositivos, oferecendo uma cobertura de até 200 m². O equipamento pode ser configurado por um navegador. Após acessar a página de configuração, é possível efetuar a configurações das redes sem fio.
ACCESS POINT 
Figura 3 - Access Point corporativo modelo 310
Fonte: http://www.intelbras.com.br/empresarial/ap-310
PFSENSE 
O pfSense, controla diversos recursos importantes, como: firewall, proxy, DHCP e o captive portal. Esta parte do trabalho aborda resumidamente a instalação do pfSense e, em seguida as configurações dos recursos necessários.
Configurações inicias 
No primeiro acesso da interface de Web do pfSense, temos um assistente para auxiliar nas configurações fundamentais, como: nome do servidor, domínio, servidores DNS, configurações da interfaces LAN e WAN.
Na tela de início do pfSense está o dashboard. O dashboard, além de apresentar um resumo das configurações mais importantes, como endereço IP das interfaces, configuração do processador, DNS, dentre outros, fornece informações sobre utilização dos recursos do servidor e alerta sobre atualizações e etc.
Figura 5 – Tela inicial mostrando a dashboard
Fonte: Interface Web de configuração do pfSense 2.3.5
Firewall
Neste processo criamos algumas alieses de IP’s para os devidos grupos de alunos, professore e administradores. Os administrativos tiveram o IP de 192.168.1.10 à 192.168.1.20, os professores ficaram com a sequência de 192.168.1.21 à 192.168.1.30, já os alunos como possuem um maior número no polo obtiveram a sequência de 192.168.1.31 à 192.168.1.200, como demostra na figura 06.
Figura 6 – IP’s das aliases criadas no Firewall
Fonte: Interface Web de configuração do pfSense 2.3.5
Regras de firewall 
Figura 7 – Regras do Firewall da LAN
Fonte: Interface Web de configuração do pfSense 2.3.5
Captive portal
O captive portal realiza a autenticação e segurança das redes “EaD_ADM, EaD_PROFESSORE, EaD_ALUNO e EaD_BIBLIOTECA”. O limite de velocidade de download e upload por usuário, também foi configurado. 
O Captive Portal busca as informações para autenticação na base de dados do Active Directory em um servidor Windows Server por meio de RADIUS, o qual possui os logins e senhas dos “Admiradores, professores e alunos”. Primeiramente vamos ingressar o Active Directory no pfsense, utilizando o windows server 2012 por meio de RADIUS.
Windows serve 2012 R2
No Windows serve 2012 R2 foi feita as configurações ideias para que haja a conexão com o Pfsense. Inicialmente foi criado os RADIUS com os professores, Alunos e Administrativosfeito isso logo em seguida a habilitação e instalação do servidor de políticas de redes foi necessária para adicionar os grupos de usuários.
Habilitando e configurando o Captive Portal
Na configuração do Captive Portal foi criada a zona EaD_ADM, EaD_Alunos e EaD_Professores, o serviço foi instalado na LAN do servidor e foi delimitado os usuários de acordo com os IP’s criado nas aliseseas, não foi adicionado tempo para finalizar a conexão, todos os usuários podem navegar a vontade, pois foi habilitado a opção de logout popup window para que os usuários possam fazer logout quando quiser.
Habilitando e configurando o Captive Portal
Quando o usuário fizer a autenticação ele irá ser redirecionado para www.google.com.br. A opção concorrent user logins, foi adicionado para que não se tenha vários usuários utilizando seu login e senha em vários computadores, ou seja, cada usuário ira se autenticar apenas uma vez para navegar. A restrição de banda foi ativada no Captive Portal para os Alunos e professores e administrativos. As autenticações foram feitas por RADIUS.
Figura 10 – Pagina web pedindo autenticação no Captive Portal.
Fonte: Interface do Firefox
Figura 11 - Pagina de autenticação do Pfsense Captive Portal.
Fonte: interface de login do Captive Portal
Figura 12 – Redirecionamento da página, pós autenticação e página de logout.
Fonte: www.google.com
SQUID 
O Squid é um servidor proxy com função de bloquear determinados sites, ou seja podemos fazer uma filtragem de conteúdo. No pacote do pfsense o squid não é instalado, a pós instalação e configuração do sistema é necessário instalar o pacote squid. Toda a configuração se dá conforme a necessidade do ambiente onde se é empregado, na rede da instituição foi ajustado tamanho do disco, local de armazenagem, tamanhos dos arquivos e quantidade de diretórios, após essas configurações inicia-se o serviço para analises do comportamento e requisições das estações de trabalho da rede. 
SQUID
Como Proxy transparente que bloqueias sites HTTP e HTTP/S, com as regras e firewall sendo redirecionada para as portas do 3128 e 53 do squid e DNS, como foi realizado na rede da instituição. Com as seguinte configurações prontas podemos fazer um teste de bloqueio de sites pela ACLs na Blacklist como podemos ver na figura a seguir. “O proxy refere-se a um software que atua como gateway de aplicações entre o cliente e o serviço a ser acessado, interpretando as requisições e repassando-as ao servidor de destino” (MENDONÇA, 2006, Squid) 
Figura 13 – Tela de configuração de bloqueio por ACLs na caixa do Blacklist.
Fonte: Interface Web de configuração do pfSense 2.3.5
Figura 14 – Site bloqueado pelo Squid com a mensagem de erro.
Fonte: Interface de bloqueio do Squid
SQUIDGURD
Com o SquidGurd podemos deixar os bloqueios mais forte, com ele podemos criar grupos de usuários, filtros por horário e entre outros recursos. 
O pacote squid é integrado com squidGurde para que se tenha mais êxito nos bloqueios da rede.
Esse pacote também não vem instalado por padrão no pfsense logo o mesmo foi instalado e configurado para fazer bloqueios por categoria, para isso foi baixada uma blacklist existente onde se encontra no site do próprio desenvolvedor do pacote. Com isso as categorias já vêm pré-definidas para se realizar os bloqueios. 
Quadro 2 – Categorias Negadas na rede da instituição
Fonte: Autoria própria
SQUIDGURD
A figura abaixo mostra o bloqueio da categoria de notícias para os usuários alunos e professore o site http://www.uol.com.br foi bloqueado com êxito. 
Figura 15 – Site bloqueado pelo SquidGurd com a mensagem de Acesso Negado!.
Fonte: Interface de bloqueio do SquidGurd.
Eficiência 
No decorrer dos testes encontramos uma dificuldade, quando adicionado https://www.uol.com.br ele é liberado, essa é uma grande dificuldade quando se usa proxy transparente, mas para que os HTTPs não sejam liberados, no firewall devemos criar uma outra regra para que as páginas não sejam liberadas.
Na seguinte regra o protocolo TCP/UDP de origem da LAN net de qualquer porta para qualquer destino é obrigado a sair pelas portas 3128 e 53 esta regra obriga todo o trafego originário da rede interna a passar pelo squid possibilitando filtrar o trafego transmitido para dentro e para fora da rede.
Figura 16 – Nova regra criada no firewall para que todas as conexões passam pelo SquidGurd
Fonte: Interface Web de configuração do pfSense 2.3.5.
Conclusão 
Com este projeto tornou-se possível resolver os problemas da rede onde o sistema Pfsense tornou possível o gerenciamento devido da rede onde o Captive Portal ligado com o proxy transparente resolveu a questão de segurança onde qualquer pessoa, mesmo não fazendo parte da instituição poderia se autenticar na rede se tivesse a senha e os devidos bloqueios de sites. Agora somente pessoas que fazem parte da instituição (alunos devidamente matriculados, professores e colaboradores) conseguem utilizar a rede sem fio se estiverem ingressados no AD.
Foi escolhido o PfSense, para o controle dos serviços necessários para a nova estrutura de rede sem fio da instituição, pois além de ser uma ferramenta gratuita, ele possui recursos integrados, como: Captive Portal, firewall, proxy, DNS cache, servidor DHCP, recursos imprescindíveis para a solução dos problemas apresentados.
Referências
NETO, Urubatan. Dominando Linux Firewall Iptables. 1ª. Rio de Janeiro: Editora Ciência Moderna Ltda., 2014.
RICCI, Bruno; MENDONÇA, Nelson. Squid – Solução Definitiva. 1ª. Rio de Janeiro: Editora Ciência Moderna Ltda., 2006.
SILVA, Camila Ceccatto da. Manutenção Completa em Computadores. 2ª. São Paulo. Editora Viean, 2012. 
THOMPSON, Marco Aurélio. Windows Server 2008 R2: Instalação e Configuração e Administração de redes. 1ª. Editora Érica, 2010.
VASCONCELOS, Laécio; VASCONCELOS, Marcelo. Manual Prático de Redes. 1ª. Rio de Janeiro. Editora Laécio Vasconcelos Computação, 2008.
WILLIAMSON, Matt. Guia prático com exemplos ilustrados de configurações, para usuários iniciantes e avançados sobre o PfSense 2.0. Estados Unidos. 2012. 
CERT.BR. Práticas de Segurança para Administradores de Redes Internet. Disponível em <https://www.cert.br/docs/seg-adm-redes/seg-adm-redes.html#subsec2.1> Acesso 07/06/2018 15:34
SOUZA, Állison. Consequências do uso inadequado da internet no ambiente corporativo. Disponível em <https://ostec.blog/geral/consequencias-uso-inadequado-internet> Acesso 07/06/2018 15:55.
CASSIO, Augusto. Conheça o Squid (Servidor Proxy) e seus benefícios. Disponível em < http://ninjadolinux.com.br/squid-proxy/> Acesso 05/07/2018 21:11
	Redes
	Descrição
	Modo de segurança
	Nome da Rede
	Limite de 
DOW/UP em MB e Kbps
	192.168.1.10 – 192.168.1.20
	WI-FI para o setor administrativo
	Captive portal
	EaD_ADM
	2/512k
	192.168.1.31 – 192.168.1.200
	WI-FI para os acadêmicos 
	Captive portal
	EaD_ALUNOS
	2/768k
	192.168.1.21 – 192.168.1.30
	WI-FI para os professores
	Captive portal
	EaD_PROFESSORES
	1/768k
	192.168.1.31 – 192.168.1.200
	WI-FI para os Alunos biblioteca 
	Captive portal
	EaD_BIBLIOTECA
	1/512k
	CATEGORIAS
	SIGNIFICADO
	SITUAÇÃO
	[blk_BL_chat]
	Bloqueia sites de conversação online.
	Negado
	[blk_BL_downloads]
	Sites de compartilhamento de arquivos, torrent, etc.
	Negado
	[blk_BL_drugs]
	Sites que disponibilizam drogas ou como fabricá-las.
	Negado
	[blk_BL_dynamic]
	Sites que disponibilizam IP's dinâmicos ou que fazem o redirecionamento do proxy para não realizar os bloqueios.
	Negado
	[blk_BL_movies]
	Sites sobre cinemas, filmes e atores, além de sites de download e visualização de vídeos. Ex: YouTube, Google Vídeos, entre outros.
	Negado
	[blk_BL_porn]
	Sites de conteúdo adulto em geral.
	Negado
	[blk_BL_socialnet]
	Bloqueia todos os tipos de redes sociais.
	Negado
	[blk_BL_spyware]
	Sites que tentam instalar softwares de espionagem de navegação ou que induzem o usuário a instalá-los, incluindo trojan e sitesde phishing.
	Negado
	[blk_BL_violence]
	Sites sobre matar e ferir pessoas.
	Negado
	[blk_BL_weapons]
	Sites de armas ou acessórios para armas.
	Negado
	[blk_BL_news]
	Sites de notícias em geral, como páginas de jornais, revistas, blogs, etc.
	Negado