Controle de Acesso A Rede Com PacketFenc PDF

FACULDADE DE TECNOLOGIA SENAI DE DESENVOLVIMENTO
GERENCIAL - FATESG
CURSO SUPERIOR DE TECNOLOGIA EM REDES DE
COMPUTADORES
Andr Luiz Ramos de Souza

Diego de Souza Lopes
Controle de Acesso Rede

com
PacketFence
GOINIA
2011

com
PacketFence
Trabalho de concluso de curso apresen-

tado Faculdade de Tecnologia SENAI
de Desenvolvimento Gerencial - FATESG,
para obteno do ttulo de Graduado em
Tecnologia em Redes de Computadores.
Orientador:
Prof. MSc. Maurcio Severich
GOINIA
2011
i


com
PacketFence
Trabalho de concluso de curso apresentado Faculdade de Tecnologia SENAI de

Desenvolvimento Gerencial - FATESG, para obteno do ttulo de Graduado em
Tecnologia em Redes de Computadores.
Aprovada em de de 2011.
Banca Examinadora
Prof. MSc. Maurcio Severich

Orientador
Prof. MSc. Rafael Leal Martins

Faculdade de Tecnologia SENAI - FATESG
Prof. MSc. Diogo Nunes de Oliveira

Faculdade de Tecnologia SENAI - FATESG
ii
DEDICATRIA
Aos nossos pais, esposas, filhos e

todos aqueles que nos deram apoio
sempre que necessrio.
iii
AGRADECIMENTOS
Agradecemos a Deus em primeiro lugar, que nos deu a oportunidade de ini-

ciar este curso e foras para conclu-lo. Aos nossos pais, sem os quais no podera-
mos estar onde estamos hoje.
Aos professores Maurcio Severich e Maurcio Lopes pela confiana dada a
ns, orientao e pacincia. Tambm ao Wagner Kuramoto e Fernando Tsukahara
por nos ajudar com recursos necessrios para a realizao desse trabalho.
A todos aqueles que contriburam de forma direta e indireta na concluso
deste trabalho.
iv
Epgrafe
"As pessoas que so loucas o

suficiente para achar que podem
mudar o mundo so aquelas que o
mudam."
Comercial Pense Diferente da Apple,

1997
v
Resumo
Este trabalho tem como escopo demonstrar atravs de implementao a utilizao

do software PacketFence para controlar o acesso de novos dispositivos (Notebook,
Desktop) infraestrutura de rede de computadores utilizando conexes Ethernet ca-
beadas. Para fazer esse controle o PacketFence faz uso de tecnologias open source,
entre elas, o Nessus, ferramenta utilizada para fazer varreduras de computadores a
procura de vulnerabilidade de softwares que comprometa a segurana dos dados que
esto armazenados no dispositivo, o FreeRadius aplicativo que faz autenticao e au-
torizao de usurio e dispositivo para acesso a rede de computadores, banco de
dados MySQL, utilizado para armazenar dados, o Snort, aplicativo que detecta ten-
tativas de intruso a rede, Servidor web Apache HTTPD para fornecer pginas web
e Captive portal. Tambm sero abordados os protocolos 802.1x, 802.1q, Simple
Network Manager Protocol (SNMP) e Dynamic Host Configuration Protocol (DHCP).
Nesse documento o leitor ir encontrar breve descrio das aplicaes e protocolos
citados e tambm o detalhamento da instalao, configurao e funcionalidades do
PacketFence em redes cabeadas.
vi
Abstract
This work aims to demonstrate by means of the use of the software implementa-
tion PacketFence. It is used to control the access of new devices (notebooks, desk-
tops) to the network infrastructure of computers using wired Ethernet connections. To
make this control PacketFence uses open source technologies, including the Nessus
scanning tool. It is used to make searches about computer software vulnerability that
compromise the security of data that is stored on the device. It include FreeRadius
application that makes authentication and authorization and user access device to the
computer network, MySQL database used to store data, Snort application that detects
intrusion attempts to the network, Apache HTTPD web server to provide web pages
and Captive portal. It also will be discussed 802.1x protocol, 802.1q, Simple Network
Manager Protocol (SNMP) and Dynamic Host Configuration Protocol (DHCP). In this
document the reader will find brief description of applications and protocols mentioned
early as well the details of the installation, configuration and functionality of Packet-
Fence in wired networks.
vii
Sumrio
Lista de Figuras xi
Lista de Siglas xiv
1 INTRODUO 1
1.1 OBJETIVOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.2 METODOLOGIA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2 FERRAMENTAS, PADRES, PROTOCOLOS E TECNOLOGIAS 5
2.1 O QUE NETWORK ACCESS CONTROL ? . . . . . . . . . . . . . . . . . 5
2.1.1 Tipos de NAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2.1.2 NAC: Primeira Gerao . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.1.3 NAC: Segunda Gerao . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2.1.4 O que Network Access Protection ? . . . . . . . . . . . . . . . . . . . 8
2.1.5 O que Network Admission Control ? . . . . . . . . . . . . . . . . . . 8
2.2 DYNAMIC HOST CONFIGURATION PROTOCOL . . . . . . . . . . . . . . 9
2.2.1 DHCP Fingerprint . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.2.1.1 Como Funciona . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.3 CAPTIVE PORTAL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.4 RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.5 IEEE 802.1X . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2.5.1 Extensible Authentication Protocol . . . . . . . . . . . . . . . . . . . . 17
2.6 SIMPLE NETWORK MANAGEMENT PROTOCOL . . . . . . . . . . . . . . 19

Sumrio viii
2.6.1 Arquitetura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
2.6.2 Gerente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
2.6.3 Agente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2.6.4 MIB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2.6.5 Verses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
2.7 NETFLOW / IPFIX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
2.8 IEEE 802.1Q . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
2.9 INTRUSION DETECTION SYSTEM . . . . . . . . . . . . . . . . . . . . . . 24
2.9.1 Snort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
2.10 NESSUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
3 INTRODUO AO PACKETFENCE 28
3.1 O QUE PACKETFENCE ? . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
3.1.1 Viso Geral . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
3.1.2 Modos PacketFence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
3.1.3 Integrao Wireless . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
3.1.4 Registro de Dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . 30
3.1.5 Deteco de Atividade Anormal . . . . . . . . . . . . . . . . . . . . . . 31
3.1.6 Remediao de Dispositivos . . . . . . . . . . . . . . . . . . . . . . . . 31
3.1.7 Gerenciamento Baseado em Linha de Comando e Web . . . . . . . . 31
3.1.8 Gerenciamento Flexvel de VLAN . . . . . . . . . . . . . . . . . . . . . 32
3.1.9 Tipos de Violao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
3.1.10 Registro Automtico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
3.1.11 Expirao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
3.1.12 Acesso a Visitantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
4 IMPLEMENTAO E CONFIGURAO 35
Sumrio ix
4.1 CONFIGURAO DE HARDWARE . . . . . . . . . . . . . . . . . . . . . . 35
4.2 MODELO DE TOPOLOGIA . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
4.3 CONFIGURAES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
4.3.1 Interface de Rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
4.3.2 SELinux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
4.3.3 MySQL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
4.3.4 PacketFence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
4.3.4.1 pf.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
4.3.4.2 networks.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
4.3.4.3 switches.conf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
4.3.5 Configurao do Switch . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
4.3.5.1 Modo Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
4.3.5.2 Modo 802.1x . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
4.3.6 Autenticao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
4.3.6.1 Local . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
4.3.6.2 RADIUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
4.3.7 Acesso Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
4.3.8 Habilitando o Snort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
4.3.9 Habilitando o Nessus . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
5 RESULTADOS OBTIDOS 62
5.1 Traduo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
6 CONSIDERAES FINAIS 72
Referncias 74
Apndice A -- Instalando o PacketFence 77

Sumrio x
A.1 Procedimentos para Instalao . . . . . . . . . . . . . . . . . . . . . . . . . 77
Anexo A -- Traduo da Documentao do PacketFence 86

xi
Lista de Figuras
FIGURA 1 Etapas envolvidas em uma comunicao entre o cliente e o

servidor DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
FIGURA 2 Pacote do tipo DHCP Discover . . . . . . . . . . . . . . . . . . 12
FIGURA 3 Lista de parmetros de um DHCP Discover . . . . . . . . . . . 12
FIGURA 4 EAPOL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
FIGURA 5 EAPOL Relay . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
FIGURA 6 EAPOL Termination . . . . . . . . . . . . . . . . . . . . . . . . 16
FIGURA 7 EAP Supplicant . . . . . . . . . . . . . . . . . . . . . . . . . . 18
FIGURA 8 VLAN Tag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
FIGURA 9 Diagrama PacketFence . . . . . . . . . . . . . . . . . . . . . . 29
FIGURA 10 Topologia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
FIGURA 11 Tela dos termos de uso do PacketFence . . . . . . . . . . . . 40
FIGURA 12 Tela de configurao dos parmetros do banco de dados . . . 41
FIGURA 13 Tela de confirmao das configuraes do banco de dados . . 41
FIGURA 14 Tela compilao dos idiomas do PacketFence . . . . . . . . . 42
FIGURA 15 Tela gerao do certificado auto-assinado do PacketFence . . 42
FIGURA 16 Tela criao de usurio para acessar a administrao do Pac-

ketFence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
FIGURA 17 Tela pergunta para baixar as regras do snort . . . . . . . . . . 43
FIGURA 18 Tela pergunta para baixar as assinaturas fingerprint . . . . . . 43
FIGURA 19 Tela pergunta para baixar o arquivo OUI . . . . . . . . . . . . 44
FIGURA 20 Tela de execuo do script configurator.pl . . . . . . . . . . . . 45
FIGURA 21 Tela de escolha dos modos de configurao do PacketFence . 45

Lista de Figuras xii
FIGURA 22 Tela o nome do host do PacketFence . . . . . . . . . . . . . . 46
FIGURA 23 Tela o nome de domnio do PacketFence . . . . . . . . . . . . 46
FIGURA 24 Tela servidores DHCP a serem utilizados . . . . . . . . . . . . 46
FIGURA 25 Tela configurao da porta WebGUI do PacketFence . . . . . 46
FIGURA 26 Tela configurao de envio de notificao do PacketFence . . 47
FIGURA 27 Tela ativao de envio de notificao do PacketFence . . . . . 47
FIGURA 28 Tela monitoramento de servios do PacketFence . . . . . . . . 47
FIGURA 29 Tela registro do dispositivo no log do PacketFence . . . . . . . 47
FIGURA 30 Tela configurao de alta disponibilidade do PacketFence . . . 48
FIGURA 31 Tela configurao da interface do Snort do PacketFence . . . 48
FIGURA 32 Tela configurao do Nessus . . . . . . . . . . . . . . . . . . . 48
FIGURA 33 Tela configurao para ativar SSL do Nessus . . . . . . . . . . 49
FIGURA 34 Tela para ativar o escaneamento do Nessus . . . . . . . . . . 49
FIGURA 35 Tela configurao banco de dados do PacketFence . . . . . . 49
FIGURA 36 Tela finalizando a configurao do PacketFence . . . . . . . . 50
FIGURA 37 Log com trap indicando novo MAC que colocado na VLAN
de registro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
FIGURA 38 Log demonstrando o DHCP Fingerprint . . . . . . . . . . . . . 63
FIGURA 39 Log demonstrando o redirecionamento para o Captive Portal . 63
FIGURA 40 Log demonstrando o registro do dispositivo . . . . . . . . . . . 64
FIGURA 41 Log demonstrando a alterao da VLAN de registro para a

VLAN normal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
FIGURA 42 Log demonstrando recebimento de trap . . . . . . . . . . . . . 65
FIGURA 43 Log demonstrando a comunicao do DHCP . . . . . . . . . . 65
FIGURA 44 Log demonstrando uma violao sendo adicionada . . . . . . 66
FIGURA 45 Log demonstrando o redirecinamento para o Captive Portal . . 66

Lista de Figuras xiii
FIGURA 46 Log demonstrando o envio do escaneamento para segundo

plano . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
FIGURA 47 Log demonstrando o escaneamento . . . . . . . . . . . . . . . 67
FIGURA 48 Log demonstrando o fechamento da violao . . . . . . . . . . 68
FIGURA 49 Log demonstrando a alterao de VLAN aps o escaneamento

no registro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
FIGURA 50 Autenticao Captive Portal . . . . . . . . . . . . . . . . . . . . 69
FIGURA 51 Scan do Nessus . . . . . . . . . . . . . . . . . . . . . . . . . . 69
FIGURA 52 Quarentena Estabelecida . . . . . . . . . . . . . . . . . . . . . 70
FIGURA 53 Tela do e-mail enviado ao membro do projeto . . . . . . . . . . 70
FIGURA 54 Tela do e-mail de resposta do membro do projeto . . . . . . . 71
FIGURA 55 Tela retorno ao e-mail de resposta do membro do projeto . . . 71

xiv
Lista de Siglas
AAA Authentication Authorization Accounting
AP Access Points
ATM Asynchronous Transfer Mode
BOOTP BOOTstrap Protocol
CentOS Community ENTerprise Operating System
CHAP Challenge Handshake Authentication Protocol
Cisco ACS Secure Access Control Server
Cisco NAC Cisco Network Admission Control
DHCP Dynamic Host Configuration Protocol
DNS Domain Name System
EAP Extensible Authentication Protocol
EAPOL Extensible Authentication Protocol over LAN
EAPOR Extensible Authentication Protocol over RADIUS
FQDN Fully Qualified Domain Name
GB Gigabyte
GPLv2 General Public License verso 2
GTC Generic Token Card
HD Hard Disk
HTTPD Hyper Text Transfer Protocol Daemons
IDS Intrusion Detection System

Lista de Siglas xv
IEEE Institute of Electrical and Electronics Engineers
IETF Internet Engineering Task Force
INC Incorporation
IP Internet Protocol
IPFIX Internet Protocol Flow Information Export
LAN Local Area Network
LDAP Lightweight Directory Access Protocol
MAC Media Access Control
MD5 Message-Digest Algorithm 5
MIB Management Information Base
MTU Maximum Transmission Unit
NAC Network Access Control
NAK Negative Acknowledgement
NAP Network Access Protection
NAS Network Authentication Server
NASL Nessus Attack Scripting Language
NIDS Network Intrusion Detection System
NMS Network Management Stations
OSI Open Systems Interconnection
OTP One-Time Password
P2P Peer-to-Peer
PAP Password Authentication Protocol
PDA Personal Digital Assistants
PEAP Protected Extensible Authentication Protocol

Lista de Siglas xvi
PPP Point-to-Point Protocol
QoS Quality of Service
RADIUS Remote Authentication Dial In User Service
RAM Random Access Memory
RFC Requests For Comments
RHEL Red Hat Enterprise Linux
SCTP Stream Control Transmission Protocol
SELinux Security-Enhanced Linux
SGBD Sistema de Gerenciamento de Banco de Dados
SLIP Serial Line Internet Protocol
SMI Structure of Management Information
SMS Short Message Service
SNMP Simple Network Manager Protocol
SQL Structured Query Language
SSL Secure Sockets Layer
TCG Trusted Computing Group
TCP/IP Transmission Control Protocol/Internet Protocol
TI Tecnologia da Informao
TLS Transport Layer Security
TTLS Tunneled Transport Layer Security
UDP User Datagram Protocol
UTP Unshielded Twisted Pair
VLAN Virtual LAN
VoIP Voz over Internet Protocol

Lista de Siglas xvii
VPN Virtual Private Network
WAN Wide Area Network

1
1 INTRODUO
O aumento do uso de tecnologias no ambiente corporativo contribui para a expan-

so das redes de computadores, isso gera a necessidade de disponibilizar comuni-
cao com todas as partes da empresa. Geralmente essas expanses so feitas de
duas formas, atravs de cabos ou sem fio. Este ltimo utiliza-se de ponto de acesso
(Access Point), porm, se a organizao no possui polticas e ferramentas de segu-
rana para auxiliar no controle, extremamente difcil lidar com quem pode ou no
usar a rede.
Um aspecto pouco observado pelo departamento de tecnologia da informao (T.I)

dessas organizaes tanto pblicas quanto privadas, a falta de controle de uso dos
pontos de rede, principalmente quando aqueles que no so utilizados e so mantidos
ativos, assim permitindo o acesso infraestrutura. Desta forma, permitem o acesso
de pessoas com intenes consideradas inapropriadas ou prejudiciais - do ponto de
vista da poltica de segurana e de uso da rede corporativa - cujo objetivo poderia ser
explorar esses acessos para obter, por exemplo, dados sigilosos ou realizar ataques
aos servidores das organizaes.
Para exemplificar, imagine um aluno com interesse em ter acesso ao banco de

dados para alterar suas notas ou zerar os dbitos com a instituio na qual estuda,
e ao passear pelos corredores da administrao ele percebe que h um ponto de
rede (tomadas do tipo RJ-45 fmea) livre para uso na parede. Imediatamente o aluno
conecta um notebook para ver o que acontece, e se o ponto estiver ativado, ou seja,
ligado a equipamentos de acesso rede, somado a isso um servidor que fornece as
configuraes de acesso automaticamente ao notebook, isso dar a esse aluno total
liberdade para executar aplicativos maliciosos que, consequentemente, podero obter
informaes como usurio e senha do banco de dados. Com esses dados em mos,
o indivduo poder fazer as alteraes que pretender na base de dados.
A fim de reduzir tais falhas, que esto em contnuo crescimento e que demanda a
1 INTRODUO 2
cada dia maior controle de acesso infraestrutura de rede sujeita a novas ameaas e
vulnerabilidades, surgiu uma ferramenta de software livre, o PacketFence.
O PacketFence classificado como Network Access Control (NAC). Essa cate-

goria de ferramentas tem como objetivo principal bloquear a conexo de dispositivos
e usurios desconhecidos ou sem permisso para acessar a rede de computadores
tanto cabeada quanto sem cabo (wireless), e pode ser utilizada em qualquer organi-
zao que queira implantar esses controles.
Para fazer esses bloqueios, o PacketFence utiliza um conjunto de tecnologias, tais

como: verificao de vulnerabilidade e deteco de atividade anormal na rede, ou
seja, verifica se no dispositivo h algum tipo de aplicao que comprometa a rede, por
exemplo: vrus, worms, entre outros tipos de pragas virtuais. Tambm so utilizadas
ferramentas e protocolos que fazem a autenticao de usurios. Esse conjunto de
tecnologias configurado de acordo com as polticas de segurana estabelecidas pela
organizao e definidas de acordo com as necessidades da organizao.
O bloqueio leva em considerao a anlise dos programas instalados - o hard-

ware e o usurio. Se algum desses pontos analisados estiver fora da poltica de segu-
rana, o acesso rede principal da organizao ser bloqueado e desviado para outra
rede, na qual ser possvel corrigir os devidos problemas, por exemplo, atualizao de
software. Somente aps a correo do problema, o dispositivo ter permisso para
acessar a rede principal, ou seja, os recursos de uma forma geral.
verificado se o dispositivo j est cadastrado, caso no esteja o mesmo ser

redirecionado para uma rea diferente, para que seja possvel realizar o cadastro,
bem como sendo possvel de se realizar uma verificao deste dispositivo, antes de
liberar o registro do mesmo.
O usurio tambm ser verificado nesse inicio de comunicao, se ele no for

cadastrado, ser necessrio realizar esse cadastro para ingressar na rede e utilizar
os recursos como acesso Internet e programas corporativos, consulta em banco de
dados, entre outros de acordo com as polticas estabelecidas.
Para reforar; para se obter o acesso rede principal necessrio que usurio
e dispositivos estejam de acordo com as polticas de segurana, se uma das partes
falhar o acesso ser negado.
1.1 OBJETIVOS 3
1.1 OBJETIVOS
Este trabalho demonstrar como preencher a falha de segurana que os pontos

de redes sem utilizao apresentam. Devido ao uso de um servio de configurao
automtica dos dispositivos na corporao, o atacante pode facilmente obter as con-
figuraes referentes infraestrutura da corporao, tais como: endereo Internet
Protocol (IP); mscara de rede; gateway e Domain Name System (DNS), deixando
facilmente acessvel infraestrutura de rede com a obteno destas informaes, o
que possibilita ataques originado de dispositivos no autorizados na rede.
Ser realizado uma demonstrao por meio de uma implementao do Packet-

Fence em ambiente isolado de interferncias externas, pois se a implementao for
realizada em rede com vrias mquinas, essas outras podem ser prejudicas com o
andamento da implementao.
tambm parte do escopo deste trabalho apresentar uma traduo, dentro dos
limites permissivos, para a lngua portuguesa da documentao dos manuais do soft-
ware PacketFence.
1.2 METODOLOGIA
A fim de atingir os objetivos propostos, foi realizada uma pesquisa exploratria em

material escrito, como, por exemplo, artigo publicado pelos prprios desenvolvedores
do sistema para coleta e seleo de contedo pertinente ao escopo deste trabalho.
Para a realizao e desenvolvimento da parte prtica, pode-se apontar a seguintes

aes:
- Configurao do servidor que faz as autenticaes dos computadores e outros

ativos de redes para utilizar a rede, sendo que esse servidor o ponto central
da rede, todas as conexes passam por esse equipamento. Foram habilitadas
as funcionalidades do software PacketFence de deteco de atividade anormal e
verificao de vulnerabilidade (IDS Snort, Nessus) e RADIUS para autenticao;
- O servidor trabalha juntamente com o switch para realizar o controle dos novos
dispositivos que sero conectados rede;
1.2 METODOLOGIA 4
- Tais configuraes foram realizadas com base na documentao original da fer-

ramenta PacketFence, que um dos principais documentos de pesquisa.
5
2 FERRAMENTAS, PADRES, PROTOCOLOS E

TECNOLOGIAS
2.1 O QUE NETWORK ACCESS CONTROL ?
Network Access Control (NAC) uma abordagem unificada de tecnologias a fim

de prover aes de segurana em uma rede de computadores, tais como: antivrus,
deteco de intruso e avaliao de vulnerabilidades, entre outras.
O conceito NAC antigo, ou seja, surgiu desde os primrdios da telecomunicao.

O conceito foi idealizado atravs da patente de [Harris, Jackson e Petty 1987].
Inicialmente, o padro definido pelo Institute of Electrical and Electronics Engineers

(IEEE) 802.1X tambm foi pensado como um NAC.
Existia uma disputa que gerava a falta de padronizao quanto s solues NAC,
pois cada fornecedor/empresa implementava recursos e desenvolvia suas prprias
solues agregadas as suas prprias ferramentas, no estendendo para outros fa-
bricantes, pois no existia um padro a ser seguido como modelo, a fim de garantir
compatibilidade entre solues distintas.
Com o pensamento de acabar com a disputa das solues NAC, o Internet En-
gineering Task Force (IETF) aprovou 2 padres propostos pelo Trusted Computing
Group (TCG), a partir de ento considerados como dois padres NAC a serem im-
plementados pela indstria. Tais padres esto definidos nas Requests For Com-
ments (RFC) de nmeros 5792 [Sangster e Narayan 2010] e 5793 [Sahita et al. 2010].
NAC pode ser definido como um conjunto de tecnologias de redes de computado-

res cujo objetivo fornecer segurana e controle de acesso rede, permitindo ou no
o acesso de dispositivos. Esses dispositivos devero estar em conformidade com as
polticas de segurana e de controle definidas pela organizao, como, por exemplo,
para antivrus com um nvel de proteo, para configurao e para a atualizao do
sistema.
2.1 O QUE NETWORK ACCESS CONTROL ? 6
De acordo com [INTEROP LABS 2006] NAC definida como sendo um controle
genrico de acesso rede que autentica e autoriza o trfego. Tal controle de acesso
simplesmente poderia ser implementado com o uso de polticas de acesso ou defi-
nindo regras no firewall1 .
Como o NAC um sistema de controle diferente, ele possui ferramentas dispon-

veis para fornecer o controle de acesso focado no usurio, ao contrrio do firewall, cujo
controle definido por regras aplicadas sobre o cabealho e/ou dados de um pacote.
Atravs do NAC possvel verificar a sade dos dispositivos, ou seja, verificar se

possuem vrus ou outras pragas virtuais, tais como spyware e malware. Um benefcio
importante ao se utilizar um NAC a reduo e a preveno de ataques zero-day e
outros similares [Edwards 2008].
Ataques zero-day so ataques que tentam explorar as vulnerabilidades de aplica-

tivos que so desconhecidos pelos prprios desenvolvedores, ou seja, pelo prprio
criador do aplicativo.
Ataques zero-day podem destruir ou devastar uma rede, pois este um ataque
que explora uma falha desconhecida ao qual no existe um patch para a correo do
problema. Ao explorar uma falha desta magnitude, os atacantes podem entrar em uma
rede para execuo de cdigo ou obter o controle total do computador da vtima.
2.1.1 Tipos de NAC
Segundo [Edwards 2008], pode-se apontar os seguintes tipos de NAC:
Agent-based: Este tipo de NAC conta com um software que requer ser instalado
nos dispositivos dos usurios. Esta uma abordagem simples, porm inflexvel
requerendo software especial a ser instalado;
Agentless: Este tipo de NAC no requer a instalao de agentes nos dispositi-

vos dos usurios.
Inline: Neste tipo de NAC, todo o trfego do cliente passa pela ferramenta NAC.
Esta abordagem pode gerar gargalos de throughput em redes maiores, alm
1
Firewall um dispositivo de rede que tem por objetivo aplicar polticas de segurana, verificando
informaes da camada de enlace (camada 2 do modelo Open Systems Interconnection (OSI) e da
camada de rede (camada 3 do modelo OSI). Aplicando polticas de filtragem de pacotes Transmission
Control Protocol/Internet Protocol (TCP/IP) e portas.
de aumentar os custos j que mais dispositivos podem ser agregados, tambm

se agrega a funo de firewall na qual se aplica as polticas de segurana na
camada de rede.
Out-of-Band: Neste tipo de NAC possvel controlar uma infraestrutura em

escala geogrfica, ou seja, em espaos fsicos diferentes, desde que utilize a
tecnologia certa, como a porta de segurana e que haja comunicao entre as
redes.
2.1.2 NAC: Primeira Gerao
As organizaes esto a cada dia querendo controlar o acesso rede com o uso
de tecnologias que melhor atenda e proteja as redes e dados delas.
A primeira verso NAC trouxe um modelo defeituoso, pois no atendeu aos di-
ferentes grupos que compem as infraestruturas tecnolgicas em uma organizao,
pois crescia a demanda por proteger os dispositivos mveis2 , por grandes quantidades
de dispositivos, levando falta de agilidade em termos de segurana.
As ameaas e vulnerabilidades cresciam constantemente e o modelo NAC 1.0

(primeira gerao) no conseguiu se adaptar as regras de negcio, pois, com o sur-
gimento de novas ferramentas antivrus e anti-malwares, no geral, no foi possvel
agregar melhores gerenciamentos do NAC com estas. Desta forma, tornou-se uma
ameaa e riscos aos dispositivos gerenciados. Devido aos riscos, poderia ocasionar
em perdas de dados devastadores nos dispositivos gerenciados.
De acordo com [Manlio 2009], a gerao NAC 1.0 falhou devido ao foco em blo-
queio de clientes e a falta de agilidade, pois as ocorrncias de ameaas novas e
constantes, alm das vulnerabilidades que surgiam se somavam a um problema muito
maior em termos de segurana de uma organizao.
Desta forma, os fornecedores (fabricantes) de softwares lanavam constantemente

atualizaes para detectar e limpar as ameaas. Como resultado desta situao, te-
mos um problema de segurana, cujo modelo NAC de primeira gerao no conseguiu
acompanhar.
2
So computadores de bolso. Os dispositivos mveis mais comuns so: Smartphone, Personal
Digital Assistants (PDA), Celular, Palmtop, Laptop (Notebook).
2.1.3 NAC: Segunda Gerao
A segunda gerao NAC ou NAC 2.0 surgiu devido necessidade de uma abor-
dagem para o ambiente de novas ameaas e vulnerabilidades, j que este mudava
constantemente - surgimento de novas pragas virtuais. Desta forma, tornava-se ne-
cessrio criar solues com a capacidade de abranger as necessidades de segurana.
2.1.4 O que Network Access Protection ?
Network Access Protection (NAP) uma tecnologia da Microsoft

R
de controle de
acesso rede introduzida pela primeira vez no Windows Server 2008. Atravs desta
tecnologia possvel reforar a segurana na rede do usurio, criando diretivas per-
sonalizadas para verificar o computador antes de permitir o acesso, a fim de garantir
melhor conformidade, associando aqueles dispositivos que no esto em conformi-
dade a uma rede restrita.
A infraestrutura composta por um NAP inclui computadores com NAP client, pon-
tos de aplicao NAP, servidores de polticas NAP. Componentes opcionais podem
ser utilizados, por exemplo, servidores para remediao e servidores para verificar o
estado de sade dos computadores, ou seja, se os computadores esto em perfeito
estado de sade, longe de vrus, falhas de segurana e vulnerabilidades.
2.1.5 O que Network Admission Control ?
Network Admission Control ou simplesmente NAC a verso da Cisco referente

a Network Access Control. Cisco Network Admission Control trabalha restringindo
o acesso rede e no estado de segurana, ou seja, verificado a autenticao do
usurio ou do dispositivo antes do mesmo obter acesso rede.
Cisco Network Admission Control (Cisco NAC) permite aos roteadores Cisco impor
privilgios de acesso quando determinado dispositivo tenta se conectar a uma rede,
ou seja, verificado se o dispositivo est em conformidade, antivrus, definies de
vrus e mecanismos de verificao atualizados. Os dispositivos que estiverem fora de
conformidade so negados de acessarem os recursos da rede, sendo colocados em
uma rea de quarentena, ou seja, ter acesso restrito aos recursos da rede, mantendo
os outros ns (dispositivos da rede) livres de infeco.
2.2 DYNAMIC HOST CONFIGURATION PROTOCOL 9
O principal componente do Cisco NAC o Cisco Trusted Agent. Este reside nos
dispositivos, coletando informaes referentes ao estado de segurana e enviando as
informaes para os roteadores Cisco. Posteriormente, as informaes so enviadas
para o Cisco Secure Access Control Server (Cisco ACS). Neste decide-se o que deve
ser feito em relao a determinado dispositivo, orientando o roteador Cisco a restringir
o acesso deste dispositivo.
2.2 DYNAMIC HOST CONFIGURATION PROTOCOL
Dynamic Host Configuration Protocol (DHCP) um protocolo Dinmico de Con-

figurao de Host [Droms 1997], ou seja, um protocolo baseado no modelo cli-
ente/servidor que possibilita aos computadores em uma rede obterem configuraes
Transmission Control Protocol/Internet Protocol (TCP/IP), tais como: endereo IP,
DNS, gateway, mscara de rede, entre outros de forma automtica.
O protocolo DHCP uma evoluo do antigo protocolo BOOTstrap Protocol (BO-

OTP), este bastante utilizado em sistemas Unix. O BOOTP permitia a configurao
automtica de dispositivos em uma rede, como impressoras e mquinas clientes.
No incio da dcada de 90, a Internet Engineering Task Force (IETF) trabalhou

para desenvolver um protocolo que superasse as limitaes do BOOTP com adies
de novos recursos, surgindo assim o DHCP. O protocolo DHCP est definido na RFC
2131 [Droms 1997].
O DHCP permite o envio de vrios parmetros por meio de um campo existente

no cabealho do protocolo, de nome "option". Entretanto, possvel alm de enviar as
configuraes, receber determinadas informaes referente ao cliente, por exemplo,
sistema operacional e outros.
Para se obter as informaes do cliente como, por exemplo: o sistema operacional,

necessrio que se ative o uso da "option code 61", as opes so definidas na RFC
2132 [Alexander e Droms 1997]. Atrves do uso deste parmetro, possvel receber
a informao do cliente referente a qual sistema operacional o mesmo est utilizando,
essa tcnica conhecida como DHCP Fingerprint, sendo explanado a seguir.
2.2.1 DHCP Fingerprint
DHCP Fingerprint um identificador quase nico para um determinado sistema

operacional especfico ou dispositivo [FingerBank 2011]. Atravs desse identificador
possvel saber o sistema operacional do cliente.
Esse identificador a ordem em que o cliente solicita as opes referente s con-

figuraes, como gateway, mscara de rede, DNS, entre outras. Atrves dessa ordem
de opes, possvel reconhecer o sistema operacional do cliente, pois cada sistema
operacional possui um identificador nico.
Devido difuso do protocolo DHCP, essa a maneira mais simples de se obter

informao referente ao cliente. Como definido na RFC 2132, obter a identificao do
cliente possvel com o uso da opo "Option Code 61 - Client Identification".
Atualmente, existe um projeto [FingerBank 2011] que disponibiliza esses identifi-

cadores capturados pelo projeto. Estes identificadores esto disponveis atrves de
um arquivo contendo vrios identificadores, chamados de assinaturas fingerbank.
A maioria das ferrramentas de anlise de rede, como sniffers de rede, analisadores

de protocolo, e solues NAC fazem uso destas assinaturas.
2.2.1.1 Como Funciona
O protocolo DHCP possui alguns tipos de mensagem utilizadas para a realiza-

o dos procedimentos de comunicao entre o cliente e o servidor para obteno
das informaes. Estas mensagens possuem um tipo especfico na comunicao
entre o cliente e o servidor DHCP, os tipos de mensagem so: DHCPDISCOVER,
DHCPOFFER, DHCPREQUEST, DHCPACK, DHCPNAK, DHCPDECLINE, DHCPRE-
LEASE e DHCPINFORM. Alguns dos tipos de mensagem no sero abordados no
teor de nosso trabalho.
O cliente envia uma mensagem em difuso, ou seja, em broadcast na rede, con-

tendo uma mensagem do tipo DHCPDISCOVER. O servidor ao receber essa men-
sagem, retorna com uma mensagem do tipo DHCPOFFER , ou seja, ofertando as
informaes necessrias para a configurao do cliente, estas embutidas na mensa-
gem. Posteriormente, o cliente envia uma mensagem do tipo DHCPREQUEST, a fim
de iniciar a negociao, a partir de ento, o cliente aguarda pela confirmao. Esta
confirmao enviada pelo servidor contendo a mensagem do tipo DHCPACK, esta
para confirmar o recebimento, a partir deste momento, o cliente passa a ter endereo
IP e todas as configuraes referentes solicitao. Desta forma, finalizam-se as
etapas para a obteno dos parmetros de configurao, inicialmente solicitados pelo
cliente.
Conforme demonstrado na Figura 1:
F IGURA 1 Etapas envolvidas em uma comunicao entre o cliente e o servidor DHCP

Fonte: Autoria prpria
A partir do momento que o cliente envia uma mensagem do tipo DHCPDISCOVER,

possvel obter algumas informaes do cliente, tais como: Host Name; Vendor Class
(classe referente ao sistema operacional); Fully Qualified Domain Name (FQDN); Cli-
ent Identification; e outros. Atravs deste tipo de mensagem, o cliente solicita uma lista
de parmetros de configuraes, na qual existe uma ordem do pedido dos parmetros,
a partir dessa ordem de parmetros possvel saber qual o sistema operacional do
cliente. Essa tcnica conhecida como DHCP Fingerprint.
Na Figura 2, apresentado uma mensagem do tipo DHCPDISCOVER na qual o

cliente envia e solicita informaes, sendo que, atravs da opo "Option 12 - Host
Name", possvel saber o nome do host. Existe uma opo "Option 55 - Parameter
Request List" que utilizada para solicitar os parmetros de configurao, ou seja, a
lista dos parmetros.
Com a lista dos parmetros identificada a assinatura do sistema operacional.

Essa identificao realizada atravs da ordem dos parmetros na lista, e atravs
desta possvel reconhecer qual sistema operacional o cliente est utilizando, por
exemplo: Microsoft Windows 7, Linux Ubuntu, entre outros, como mostra a Figura 3.
2.3 CAPTIVE PORTAL 12
F IGURA 2 Pacote do tipo DHCP Discover

F IGURA 3 Lista de parmetros de um DHCP Discover

A Figura 3, representa os parmetros capturados de um pedido de DHCPDIS-

COVER; a lista de parmetros representa a identificao da assinatura do sistema
operacional Linux Ubuntu 10.10.
2.3 CAPTIVE PORTAL
Captive portal o nome de um software responsvel por gerenciar o acesso

Internet em redes pblicas, por exemplo, em locais como restaurantes, aeroportos,
provedores de Internet sem-fio, entre outros. Captive portal consiste de um aplicativo
de firewall que captura os pacotes do cliente e redireciona o trfego para uma pgina
Web que solicita uma autenticao. Atrves do uso do Captive portal permitido
limitar ou restringir o acesso rede.
Quando um usurio tenta acessar qualquer pgina da Web com o uso de um na-
2.4 RADIUS 13
vegador, ele automaticamente redirecionado para o Captive portal, pedindo uma

autenticao. Aps fornecer as crednciais como usurio, senha ou certificado digital,
o Captive portal comunica com o servidor de autenticao enviando as credenciais
digitadas pelo usurio. Caso as crednciais sejam validadas pelo servidor de auten-
ticao, o mesmo retorna para o Captive portal a mensagem como sendo vlidas as
crednciais, autorizando o acesso rede pelo Captive portal.
Um Captive portal consiste de um roteador, ou seja, sendo o gateway padro

da rede ou subrede que est a proteger. Captive portal comumente utilizado para
proteger redes sem-fio, sendo tambm possvel ser utilizado para prover a segurana
da rede cabeada.
A patente de [Zampiello et al. 2007], implementa um sistema e mtodo escalvel

de Captive Portal.
2.4 RADIUS
Remote Authentication Dial In User Service (RADIUS) um protocolo Authentica-

tion Authorization Accounting (AAA), ou seja, um protocolo que trata os procedimen-
tos de autenticao, autorizao e auditoria (registro, contabilizao, gerenciamento e
etc.) [UFRJ 2011]. A autenticao verifica a identidade de um usurio, enquanto que
a autorizao garante que um usurio autenticado somente ter acesso aos recursos
autorizados, e a auditoria coleta as informaes referentes ao uso dos recursos de
rede pelo usurio, por exemplo, gerenciamento, planejamento e cobrana.
RADIUS baseado no modelo cliente/servidor, definido na RFC 2865 [Rigney et

al. 2000] . Alm de ser um sistema utilizado para prover autenticao centralizada, ele
utilizado em redes dial-up, Virtual Private Network (VPN) e redes sem-fio. Existem
solues RADIUS proprietrias, ou seja, solues pagas, a exemplo do DIAMETER.
Tambm existem solues gratuitas, como o FreeRADIUS.
O FreeRADIUS um software desenvolvido sob a licena General Public License

verso 2 (GPLv2). Ele est em constante desenvolvimento e atualizao, ao qual so
acrescentadas melhorias medida que surge a necessidade.
Em uma rede de computadores, que utiliza RADIUS, existem funes especifica-

mente distintas de equipamentos, por exemplo, Cliente, Network Authentication Ser-
ver (NAS) e Servidor RADIUS, sendo que:
2.5 IEEE 802.1X 14
Cliente - um host que tenta utilizar um recurso da rede;
NAS - um host que recebe uma solicitao de autenticao de um cliente e

autentica esse pedido no Servidor RADIUS.
Servidor RADIUS - o host que validar o pedido NAS. A resposta referente ao

pedido poder ser positiva ou negativa.
Os dados que so transmitidos entre o cliente (usurio) e o servidor RADIUS so

autenticados atravs do uso da shared secret (segredo compartilhado). Este nunca
enviado pela rede, desta forma se faz necessrio o conhecimento prvio do shared
secret tanto entre o NAS quanto no servidor RADIUS, para que seja possvel haver a
autenticao entre eles.
As senhas do usurio so criptografadas, garantindo que nenhum usurio malici-

oso que esteja a escutar a rede, ou seja "sniffer", possa descobrir a senha do usurio.
RADIUS um protocolo flexvel, pois suporta vrios mtodos de autenticao do

usurio, tais como: Password Authentication Protocol (PAP); Challenge Handshake
Authentication Protocol (CHAP); login Unix; e outros mecanismos de autenticao.
RADIUS extensvel, pois permite adicionar novos atributos de tamanho variveis

sem que haja a possibilidade de dificultar a implementao do protocolo, estendendo
aos novos mecanismos de autenticao.
2.5 IEEE 802.1X
O protocolo Institute of Electrical and Electronics Engineers (IEEE) 802.1X foi pro-
posto pelo IEEE 802 LAN/WAN, e utilizado em redes Ethernet como um mecanismo
de controle de porta de acesso [H3C Technologies 2011].
Quando conectado um dispositivo a um ativo de rede por exemplo, um switch,

e se esse switch estiver com 802.1x habilitado em sua porta fsica, o acesso dos
recursos da rede s poder ser feito aps a autenticao. Deste modo possvel
controlar quem pode acessar a rede cabeada.
De acordo com [H3C Technologies 2011], o funcionamento do protocolo a arqui-

tetura cliente/servidor tpica, nesse caso so definidas trs entidades: Cliente, Dispo-
sitivo e o Servidor, como demonstrado na Figura 4, a seguir:
2.5 IEEE 802.1X 15
F IGURA 4 EAPOL
Fonte: http://www.h3c.com
Cliente uma entidade que busca acesso LAN, comumente o dispositivo de

usurio final tal como um Notebook. A autenticao 802.1X acionada quando o
cliente executa um aplicativo, tambm chamado suplicante, capaz de fazer tal auten-
ticao. Esse aplicativo deve suportar Extensible Authentication Protocol over LAN
(EAPOL).
O dispositivo geralmente um equipamento de rede com suporte ao protocolo

802.1X e fornece portas de acesso fsicas (redes cabeadas) e lgicas (redes sem fio
wireless) para clientes que pretendem acessar a LAN, um exemplo de dispositivo e
o switch.
A ltima entidade, o servidor, fornece servios de autenticao para os disposi-

tivos. Esse equipamento normalmente executa Remote Authentication Dial In User
Service (RADIUS). Esse servio prove autenticao, autorizao e contabilidade de
servios para os usurios.
Esse sistema utiliza o Extensible Authentication Protocol (EAP) para trocar infor-
maes de autenticao entre o cliente e dispositivo e servidor de autenticao. Entre
o cliente e o dispositivo, os pacotes EAP so encapsulados utilizando o EAPOL (EAP
sobre LAN) para serem transferidos na rede.
Entre o dispositivo e o servidor RADIUS, os pacotes EAP podem ser trocados de

dois modos: EAP relay e EAP termination. No modo relay, os pacotes so encap-
sulados em EAP sobre RADIUS (EAPOR) no dispositivo, e ento transmitidos pelo
dispositivo para o servidor RADIUS, conforme a Figura 5. J no modo termination, os
pacotes so terminados no dispositivo, e convertidos em pacotes RADIUS que com o
Password Authentication Protocol (PAP) ou Challenge Handshake Authentication Pro-
tocol (CHAP) atribuido, so depois transferidos para o servidor RADIUS, conforme a
Figura 6.
2.5 IEEE 802.1X 16
F IGURA 5 EAPOL Relay

F IGURA 6 EAPOL Termination

2.5 IEEE 802.1X 17
Os conceitos bsicos envolvidos no 802.1X so: porta controlada/porta no con-

trolada; estado autorizada/no autorizada; e direo de controle.
Porta controlada e no controlada quando um dispositivo fornece porta para os

clientes acessarem a rede, cada porta fsica pode ser considerada como duas portas
lgicas, que seria uma porta controlada e uma porta no controlada. Todos os dados
que chegam porta fsica so visveis para ambas as portas lgicas.
Uma porta no modo no controlada est aberta em ambas as direes de entrada

e sada, isso permite a passagem de pacotes do protocolo EAPOL. Desse modo, o
cliente pode enviar e receber pacotes de autenticao.
Quando a porta est no modo aberta controlada, ela permite o trfego de dados
somente quando ela est no estado autorizado, ou seja, aps autenticao.
Estado autorizado e no autorizado a porta controlada que pode estar em qual-

quer estado, autorizado ou no autorizado. O estado depende do resultado da auten-
ticao, com sucesso a porta fica no estado autorizado, seno, ela ficar no estado
no autorizado.
De acordo com [H3C Technologies 2011], o estado de autorizao da porta pode

ser controlado de trs formas: forar autorizao - permite o acesso de clientes no
autenticados -; Forar a no autorizada - a porta fica no estado no autorizada e ne-
gando todos os pedidos de acesso dos clientes -; e, por ltimo, o modo auto - nesse
modo a porta fica inicialmente no estado autorizada para permitir apenas pacotes EA-
POL para permitir a autenticao de clientes, aps a autenticao, o estado da porta
passa o estado autorizada. Est escolha mais comum, pois permite que qualquer
cliente utilize a porta para autenticao.
Controle de direo indica o estado da porta controlada e no autorizada que pode

ser configurada para negar o trfego de e para o cliente ou apenas o trfego do cliente.
2.5.1 Extensible Authentication Protocol
O Extensible Authentication Protocol (EAP) um conjunto de padres definidos

pelo IETF e descrito na RFC3478 [Leelanivas, Rekhter e Aggarwal 2003] e revisado
na RFC5247 [Aboba, Simon e Eronen 2008].
Esse protocolo comumente utilizado em redes sem fio (WiFi) mas tambm pode
ser utilizado para autenticar clientes em redes cabeada. Ele padroniza a troca de men-
2.5 IEEE 802.1X 18
sagens para que o servidor autentique o cliente utilizando mtodos de autenticao

suportado por ambas as partes.
No EAP so definidos quatro tipos de pacotes: request, response, success e fai-

lure [JANET 2011]. Ao conectar um dispositivo em uma porta com o 802.1x habilitado,
acontece o procedimento descrito na Figura 7.
F IGURA 7 EAP Supplicant

Fonte: http://www.ja.net
So especificados trs tipos de autenticao: EAP (MD5-Challenge, Generic To-

ken Card (GTC) e One-Time Password (OTP) ) e trs de no autenticao (Identity,
Negative Acknowledgement (NAK) e Notification). O tipo Identity utilizado pelo au-
tenticador para solicitar ao suplicante o nome de usurio. O NAK utilizado pelo par
(suplicante) para indicar que o protocolo proposto pelo autenticador no suportado,
o autenticador pode tentar outro protocolo que seja suportado pelo suplicante. O tipo
Notification usado para retornar mensagem que ser apresentada ao usurio.
De acordo com [JANET 2011], o EAP faz uso do pass-through, ou seja, permite
que o autenticador repasse as respostas, usando o protocolo RADIUS para o servidor
EAP. A partir desse momento, o servidor assume o papel de autenticador para o res-
tante da sesso EAP, e tenta fazer a autenticao do suplicante, no caso da Figura 7,
utilizando um banco de dados centralizado para autenticao.
Alm dos trs tipos de autenticao citados, tambm pode ser usado o Transport
Layer Security (TLS) , Tunneled Transport Layer Security (TTLS) e o Protected Ex-
tensible Authentication Protocol (PEAP). O EAP-TLS baseado no TLS e usa um
certificado de usurio para autenticar o suplicante. O EAP-TTLS tambm utiliza o
TLS, mas diferente do primeiro o EAP-TLS no utiliza um certificado de usurio para
fazer a autenticao. O PEAP tambm utiliza TLS mas difere dos demais, pois s
pode proteger outros tipos de EAP.
2.6 SIMPLE NETWORK MANAGEMENT PROTOCOL 19
2.6 SIMPLE NETWORK MANAGEMENT PROTOCOL
Com o crescimento das redes de computadores, de pequenas redes domsticas

para grandes redes espalhadas geograficamente e somado a isso vrios equipamen-
tos de fabricantes diferentes, a gerncia dessas infraestruturas fica cada vez mais
complexa. O protocolo Simple Network Manager Protocol (SNMP) traz para os admi-
nistradores de redes a minimizao dessas complexidades.
O SNMP comeou a ser desenvolvido no incio da dcada de 80 pelo IETF com

o objetivo de simplificar a gerncia de redes. Com esse protrocolo possvel ge-
renciar switches, roteadores, softwares ou qualquer dispositivo que permita recuperar
informaes de SNMP [Douglas e Kevin 2001].
2.6.1 Arquitetura
Software de gerncia de redes no segue o modelo de cliente/servidor, modelo em

que somente o cliente faz requisio ao servidor, e sim o conceito de gerente e agente
[Douglas e Kevin 2001]. Nesse modelo, as requisies podem ser feitas pelo gerente
ao agente (operaes GET e SET) ou pelo agente ao gerente (operao TRAP).
Por padro, a comunicao entre as duas entidades feita atravs do protocolo

User Datagram Protocol (UDP). So utilizadas as portas 161 para enviar e receber
solicitaes e 162 para que os agentes envie traps ao gerente.
2.6.2 Gerente
A aplicao gerente responsvel pelo monitoramento e gerenciamento dos dis-

positivos gerenciados e tambm por fornecer a interface para o gerente humano. O
gerente tambm conhecido como Network Management Stations (NMS), respon-
svel pelas operaes de pull (ou pulling) e receber traps [Douglas e Kevin 2001].
Pull ao realizada pela NMS para ler dados na base de dados dos agentes
e trap a ao realizada pelos agentes para enviar dados (eventos) dos dispositivos
gerenciados para o gerente ou NMS. No necessrio que a NMS envie algum tipo de
solicitao para que o agente envie uma trap. Esse processo assncrono, ou seja,
o agente informa ao gerente automaticamente quando algo acontece no dispositivo
gerenciado.
2.6 SIMPLE NETWORK MANAGEMENT PROTOCOL 20
2.6.3 Agente
A aplicao que armazenada nos dispositivos gerenciados responsvel em

coletar eventos e informar ao gerente o que acontece no dispositivo. Para coletar es-
sas informaes, o agente faz a varredura do disposito monitorado, por exemplo, se
colocar um agente para monitorar um servidor de banco de dados, e se o uso do pro-
cessador desse servidor aumentar alm do que foi configurado como quantidade limite
de operao, o agente imediatamente envia uma trap para o gerente NMS, sendo que
ela seria tratada, informando-o do evento que est acontecendo, e a NMS pode, se
estiver configurado, enviar um email avisando o responsvel pelo servidor sobre o que
est acontecendo com aquele servidor.
2.6.4 MIB
A Management Information Base (MIB) a base de informao do objeto gerenci-

ado. na MIB que esto as informaes coletadas pelos agentes [UFRJ 2011].
Quando uma NMS consulta informaes de um dispositivo gerenciado, na MIB

que so consultadas essas informaes.
So definidas trs tipos de MIBs padro: MIB II, MIB Experimental e MIB Privada.
MIB II: Evoluo da MIB I, descrita pela RFC 1213 [McCloghrie e Rose 1991];
MIB Experimental: utilizada para desenvolvimento e testes de novas funcio-

nalidades de gerenciamento;
MIB Privada: Fornece informaes especficas dos dispositivos gerenciados.
Todos os agentes contm a MIB II, pois essa MIB implementa os recursos neces-
srios para monitoramento do protocolo TCP/IP, porm o agente pode implementar os
vrios tipos de MIBs.
Alm dessas MIBs padro, existem outras especficas para determinados tipos de
servios, por exemplo, DNS Server MIB definida na RFC 1611 [Austein e Saperia 1994]
especfica para servidores que executam servios DNS.
A construo da estrutura das MIBs baseada em regras descritas atravs da

Structure of Management Information (SMI) - Estrutura de Informaes de Gerencia-
2.7 NETFLOW / IPFIX 21
mento. Segundo [Douglas e Kevin 2001], SMI define os objetos gerenciados e a MIB
a juno desses objetos.
2.6.5 Verses
O protocolo SNMP contm trs verses: SNMPv1; SNMPv2; e SNMPv3.
A verso 1 definida pela RFC 1157 [Case et al. 1990]. verso mais simples
do protocolo. Sua segurana baseada em string de texto puro, ou seja, o nome da
comunidade implementada no agente. Esse mtodo permite que qualquer software
que interprete dados SNMP consiga ter acesso s informaos de gerenciamento do
dispositivo.
A verso 2 definida pela RFC 1905 [Case et al. 1996], 1906 [Case et al. 1996] e
1907 [Case et al. 1996]. Essa verso implementou melhorias de desempenho, gern-
cia distribuda e bulk, mas continuou com o problema da segurana que foi resolvido
na verso 3.
J a verso 3, a comunicao entre o gerente e agente (nessa verso so deno-

minados como entidades do SNMP) criptografada. Tambm necessrio configurar
usurio e senha no agente e os mesmos no gerente. Essa verso descrita pela RFC
1905, 1906, 1907, 2572, 2573, 2574 e 2575.
2.7 NETFLOW / IPFIX
Netflow um protocolo de rede desenvolvido pela Cisco Systems para executar

no Cisco IOS, ou seja, para funcionar com o sistema operacional Cisco IOS nos equi-
pamentos de rede fabricados por esta como, por exemplo: switches, roteadores e
outros.
Netflow um protocolo que captura o fluxo de rede nos equipamentos, este de-
finido na RFC 3954 [Claise 2004]. Atravs dessa coleta de informaes possvel
gerar grficos para demonstrar o nvel de uso de um determinado equipamento, por
exemplo, consumo de banda; distribuio dos protocolos (porta, protocolo e endereo
IP); mapeamento de aplicativos, ou seja, saber quais aplicativos esto em uso na
rede. Desta forma possvel ajustar as polticas de Quality of Service (QoS), pois,
atravs destes mapeamentos possvel saber qual trfego a ser priorizado de um
2.8 IEEE 802.1Q 22
determinado aplicativo na organizao.
Fluxo de rede uma sequncia unidirecional de pacotes passando por um ponto

de observao na rede durante um determinado intervalo de tempo. Todos os pacotes
em um fluxo possuem propriedades comuns, tais como: endereo IP de origem e
destino; porta de origem e destino; e outros.
Os equipamentos da Cisco com o servio NetFlow podero exportar os paco-

tes coletados por meio do protocolo UDP ou Stream Control Transmission Proto-
col (SCTP), este ltimo definido na RFC 4960 [Stewart 2007].
NetFlow um servio flexvel e extensvel, a verso 9 em especfico est sendo

utilizada como base para a criao de um novo padro. Este padro est sendo
padronizado pelo IETF, sendo chamado de Internet Protocol Flow Information Export
(IPFIX) [Claise 2004].
O padro IPFIX, est definido nas seguintes RFCs: 3917, 5101, 5102, 5103, 5153,
5470, 5472, 5473, 5474, 5610, 5655, 5815, 5982, 6183, 6235, 6313.
O IPFIX um protocolo para exportar informao de fluxo do trfego observado

de um dispositivo, tais como, roteador, switch e outros. Com base na verso 9 do
protocolo Cisco NetFlow, o IPFIX est prestes a se tornar o padro da indstria
[Leinen 2004]. Desta forma, todos os fabricantes podero utilizar o IPFIX como o
protocolo para a gravao e coleta de informaes de fluxo, para anlise posterior.
Atravs destas informaes, possvel utilizar para gerao de grficos.
2.8 IEEE 802.1Q
Em alguns ambientes corporativos pode haver a necessidade de criar segmentos

distintos em uma rede local, isso pode ser feito atravs de redes fsicas distintas ou
Virtual LAN (VLAN).
De acordo com [Prado 1998], para controle de pacotes em VLANs so utilizados

trs modelos bsicos: VLAN baseada em portas; em endereo MAC; e em protocolos,
sendo:
- VLAN baseada em porta: cada porta Ethernet do dispositivo pode ser associado
a uma VLAN, exemplo de dispositivo switch;
2.8 IEEE 802.1Q 23
- VLAN baseada em MAC: Nesse modelo a VLAN associada ao endereo MAC

do dispositivo cliente;
- VLAN baseada em protocolo: Nesse caso a VLAN definida por protocolos (IP,
IPX, ...) e endereos da camada 3 do modelo OSI.
Como as abordagens iniciais eram baseadas em portas e endereos MAC, as

VLANs estavam restritas a um nico switch ou um empilhamento com switch contro-
lador.
Para estabelecer VLANs que atravessam o limite fsico de um switch foi criado o
padro IEEE 802.1Q.
A especificao IEEE 802.1Q define os padres, operao, administrao da topo-

logia de VLAN dentro da infraestrutura LAN. A norma descreve como quebrar grandes
redes em partes menores para trfego broadcast e multicast, tambm ajuda a fornecer
um maior nvel de segurana para a estrutura de VLAN.
As funes descritas anteriores so possveis graas s tags do 802.1Q, conforme

a Figura 8. Portas compatveis com 802.1Q so configuradas para transmitir quadros
identificados ou no. O campo tag contm a identificao da VLAN, pois cada VLAN
tem uma identificao (ID). Ao conectar um equipamento (switch) em uma porta, am-
bos compatveis com 802.1Q, os quadros transmitidos entre os equipamentos con-
tm informaes da VLAN que os originou. Isso faz com que a VLAN abranja vrios
segmentos de redes. possvel configurar para que no sejam transmitidas essas
informaes, isso necessrio por que h alguns equipamentos, por exemplo impres-
soras, que no tm suporte ao 802.1Q, estes equipamentos devem estar conectados
a portas sem tag, ou seja, untagged.
F IGURA 8 VLAN Tag

2.9 INTRUSION DETECTION SYSTEM 24
2.9 INTRUSION DETECTION SYSTEM
Intrusion Detection System (IDS) - Sistema de Deteco de Intruso abrange

ferramentas utilizadas para identificar ataques (tentativas de acesso sem autorizao)
aos sistemas. Esses ataques podem ser originados de usurios que no fazem parte
da organizao ou por usurios legtimos da organizao.
As ferramentas de IDS identificam essas tentativas de acesso e informam ao ad-

ministrador sobre o ocorrido. Essas identificaes podem ser feitas atravs de assina-
turas ou aprendendo o comportamento da rede ou sistemas e, atravs dessa aprendi-
zagem, identificar aes fora do padro.
Os sistemas de IDS so compostos de sensores que so responsveis por monito-

rar o comportamento da rede e de sistemas. Os sensores estticos so configurados
inicialmente de acordo com a poltica de segurana da empresa, essa contm as as-
sinaturas de ataques j conhecidas. Os sensores inteligentes so responsveis por
identificar mutao de ataques existentes de acordo com as assinaturas conhecidas.
Tambm conseguem aprender (analisar) como uma determinada rede ou sistema se
comporta em um determinado perodo de tempo. Essa anlise fica armazenada para
comparaes futuras, pois, se for identificada alguma ao fora do comportamento
analisado, o IDS qualifica essa ao como sendo um ataque.
A console de monitoramento apresenta ao administrador de redes os eventos e

alertas do IDS. atravs dessa que o administrador controla todos os sensores, po-
dendo aplicar novas assinaturas, instalar novos sensores e configurar os j existentes.
Como ferramenta de IDS o PacketFence utiliza o Snort, esta ser descrita a se-
guir.
2.9.1 Snort
O Snort um Sistema de Deteco de Intruso de Rede (Network Intrusion De-

tection System (NIDS)), open source desenvolvido inicialmente por Martin Roesch,
e mantida por colaboradores espalhados pelo mundo. A comunidade do software
composta de vrios tipos de contribuintes, desde usurios comuns at desenvolvedo-
res que mantm o software sempre atualizado [Roesch 1999].
Entre outras caractersticas da ferramenta esto: vasta quantidade de assinaturas;

2.9 INTRUSION DETECTION SYSTEM 25
cdigo fonte pequeno e atualizaes freqentes tanto no cdigo fonte como as assina-
turas que, consequentemente, fazem o Snort aceito entre os administradores de redes
e utilizado em conjunto com outras aplicaes como, por exemplo, o PacketFence.
O Snort utilizado para realizar varreduras em redes de computadores, coletando

e analisando pacotes TCP/IP. Ao ser executada, a ferramenta coloca a placa de rede
do computador em modo promiscuo, ou seja, captura todos os dados que por ela pas-
sar. H trs formas de executar a ferramenta: Sniffer : esse modo faz a captura de
pacotes TCP/IP e mostra o resultado na tela do computador, j no modo Packet Log-
ger o resultado no aparece na tela e sim so gravados em forma de log no disco. O
terceiro modo, Network Intrusion Detection System, a juno dos dois ltimos modos
e mais, pois a ferramenta analisa os pacotes TCP/IP capturados a procura de carac-
tersticas que sinalizam ataque. Os dados do cabealho do pacote so comparados
com as assinaturas, caso seja encontrado indcio de ataque, ou seja, a assinatura
igual aos dados do cabealho, o Snort capaz de executar aes configuradas pelo
administrador da rede nas regras da aplicao.
Para realizar essas tarefas, o Snort tem em sua arquitetura trs subsistemas: De-
codificador de pacote; Engenharia de Deteco; e Subsistema de login e alerta.
O decodificador de pacote trabalha nas camadas dois, trs e quatro da pilha do

protocolo TCP/IP, fazendo a classificao dos dados coletados, colocando marcao
nos pacotes que posteriormente sero utilizados pelo subsistema Engenharia de
Deteco. O decodificador trabalha com dados do tipo Ethernet, Serial Line Internet
Protocol (SLIP), Point-to-Point Protocol (PPP) e Asynchronous Transfer Mode (ATM).
O subsistema Engenharia de Deteco armazena as regras do Snort. Essas re-

gras so mantidas em duas listas: Chain Headers (Cadeia de Cabealhos) e Chain
Options (Cadeia de Opes). Na Chain Headers esto armazenados os atributos co-
muns de uma regra, por exemplo, endereo de IP de origem e destino, porta. O Chain
Options armazena padres de ataques, esses padres sero pesquisados nos paco-
tes capturados, e se o ataque for detectado essa Chain contm as aes que sero
tomadas.
O Subsistema de login/alerta grava o que est ocorrendo na rede e gera os alertas

para o administrador em tempo real.
A opo de login grava os dados em arquivos de texto que pode ser utilizado por
multi-plataformas (Windows, Mac, etc.) ou envia essas informaes para o syslog
2.10 NESSUS 26
(programa responsvel por gerar e armazenar logs nos sistemas Linux/Unix). A opo
de login tambm pode ser configurada para armazenar pacotes decodificados, em
formato legvel para ser humano.
De acordo com [Roesch 1999], a criao do arquivo texto de alerta pode ser feito
de trs maneiras. A primeira a criao desse arquivo com informaes completas
do alerta, essas informaes registradas so passadas pelo protocolo do nvel de
transporte. A segunda registra um subconjunto condensado de informaes, fazendo
com que o desempenho seja maior do que a primeira e a terceira utilizada para
desconsiderar alertas, essa utilizada quando a rede est passando por testes de
segurana.
2.10 NESSUS
O Nessus um scanner robusto de vulnerabilidade. O projeto da ferramenta Nes-

sus teve incio em 1998, com Renaud Deraison. No incio do projeto a ferramenta
era open source. Com o lanamento do Nessus 3, em Dezembro de 2005, a Tenable
Network Security Inc., empresa por trs do Nessus, passou a cobrar por atualizaes,
ou seja, o software em si permanece livre, mas as atualizaes sobre vulnerabilidades
tm um custo [Deraison 2004].
O Sistema modular, ideal para grandes redes de computadores, pois o administra-

dor de redes tem a liberdade de escolher qual modo quer usar. Esses mdulos esto
na forma de plugins que so adicionados ao Nessus.
As atualizaes da ferramenta so mantidas pela comunidade, isso traz ao Nessus

atualizaes frequentes de vulnerabilidades.
A arquitetura do software composta pelo servidor (nessusd), cliente, os plugins

e a base de conhecimento. A base de conhecimento ajuda o Nessus a aprender
com os scanners j realizados, ou seja, ela guarda informaes de vulnerabilidades
j detectadas pelo Nessus. Os plugins so scripts escritos na linguagem prpria do
Nessus, a Nessus Attack Scripting Language (NASL) e so programados para execu-
tar determinada tarefa, como por exemplo, varrer a rede a procura de computadores
que estejam com vrus.
A arquitetura Cliente/Servidor est presente no Nessus, isso traz ferramenta a

flexibilidade de ser executada em quase todos os Sistemas Operacionais, basta que
2.10 NESSUS 27
este tenha o cliente para conectar ao servidor.

28
3 INTRODUO AO PACKETFENCE
3.1 O QUE PACKETFENCE ?
PacketFence um software gratuito e uma soluo open source para Controle de

Acesso Rede [INVERSE INC. 2011]. PacketFence desenvolvido sob tecnologias e
padres abertos, ou seja, nenhuma empresa fechar estes padres utilizados, garan-
tindo assim maior confiabilidade no desenvolvimento da ferramenta. PacketFence
desenvolvida e mantida pela INVERSE INC, cujos desenvolvedores esto localizados
na Amrica do Norte. Por ser um software gratuito, a comunidade poder, caso tenha
interesse, contribuir com o projeto da ferramenta.
PacketFence tem a responsabilidade de garantir que qualquer dispositivo ou usu-

rio somente ter acesso rede aps ser registrado. Desta forma, garante-se uma
maior segurana rede e dados de uma organizao. Atravs do PacketFence pos-
svel centralizar o gerenciamento das redes tanto com fio quanto sem-fio, sendo este
utilizado para garantir a segurana desde uma rede pequena uma rede muito grande
e heterognea.
3.1.1 Viso Geral
O PacketFence conta com:
- Captive portal: este sendo bastante utilizado para o registro e remediao dos
dispositivos, ele possui: suporte ao padro IEEE 802.1X, suporte a Voz over In-
ternet Protocol (VoIP), isolamento de dispositivos problemticos na camada 2
do modelo Open Systems Interconnection (OSI), ou seja, dispositivos que pos-
suem vrus em geral, falhas de segurana e vulnerabilidades, possui integrao
com o Snort;
- Snort: este utilizado para detectar diferentes tipos de ataques ou atividades

3.1 O QUE PACKETFENCE ? 29
anormais na rede;
- Nessus: este ltimo sendo utilizado para scanner de vulnerabilidades, ou seja,

verifica se o dispositivo possui falhas de segurana ou vulnerabilidades.
Conforme a Figura 9 a seguir, um fluxograma demonstrando a integrao das

tecnologias, equipamentos e softwares ao PacketFence.
F IGURA 9 Diagrama PacketFence

Fonte: PacketFence Administration Guide
3.1.2 Modos PacketFence
Out-of-Band: PacketFence uma soluo totalmente Out-of-Band (fora de li-

nha), ou seja, permite uma soluo de escala geogrfica e mais resistente s
falhas, quando usado de forma correta com a tecnologia porta de segurana
(port-security ). Atravs deste modo, um nico servidor PacketFence pode ser
usado para gerenciar switches e muitos ns (dispositivos) conectados a ele.
Inline: O modo Inline (em linha) suportado pelo PacketFence para agregar
equipamentos de rede com fio e sem-fio que no so gerenciveis, ou seja, o
PacketFence no consegue gerenciar estes dispositivos, tal como: mudar de
VLAN; aplicar o recurso de porta de segurana (port-security ); entre outros.
Neste modo, todo o trfego direcionado ao PacketFence. O modo Inline pode
muito bem coexistir com o modo Out-of-Band.
3.1.3 Integrao Wireless
PacketFence integra perfeitamente com redes sem-fio atravs do modulo FreeRa-

dius. Este permite segurana em redes com fio e sem-fio, alm de fazer uso de uma
mesma base de dados para fornecer autenticao tanto em redes com fio quanto em
redes sem-fio atravs do Captive portal, deixando, desta forma, a autenticao cen-
tralizada. A integrao suporta vrios Access Points (AP) e controladores sem-fio de
diferentes fabricantes, tornando o ambiente heterogneo.
3.1.4 Registro de Dispositivos
PacketFence utiliza uma soluo similar ao Captive portal para realizar o registro
dos dispositivos. Diferentemente de solues comuns de Captive portal, a soluo
do PacketFence recorda os usurios previamente registrados, pois este verifica se o
usurio est devidamente registrado juntamente com o dispositivo na base de dados
do PacketFence. Caso exista o registro do dispositivo, o mesmo no ser interceptado
pelo Captive portal e consequentemente no ser pedido para se registrar novamente.
Desta forma, o usurio consegue acesso sem outra autenticao. Contudo, os usu-
rios no podero ter acesso rede sem primeiramente aceitar a Poltica de Uso.
3.1.5 Deteco de Atividade Anormal
O PacketFence capaz de identificar e bloquear atividades maliciosas na rede,

tais como: computador com vrus; worms; spyware e outras pragas virtuais. Isso
possvel devido a integrao com o Snort. Estas atividades maliciosas podem ser
detectadas com a execuo local do Snort, ou seja, no mesmo servidor do Packet-
Fence ou remotamente, este ltimo sendo executado em outro servidor diferente do
PacketFence.
A base de assinaturas do Snort, este possui vrios tipos de assinaturas de ata-

ques e outros, tais como: ataques ao Shell; ataques Web; ataques de vrus; entre
outros tipos de ataques. Tornando assim uma ferramenta de extrema necessidade
para manter a segurana da rede.
3.1.6 Remediao de Dispositivos
PacketFence realiza a remediao dos dispositivos atravs do Captive portal. Ini-

cialmente, todo o trfego do dispositivo interceptado e finalizado e, redirecionado
para o Captive portal. A remediao realizada com base no status do dispositivo, ou
seja, no registrado, violao, etc.
Se o dispositivo est com o status de no registrado, o usurio ser redirecio-

nado para o Captive portal e, atravs deste, o usurio poder registrar o dispositivo.
Entretanto, se o dispositivo est com o status de violao, o mesmo tambm ser redi-
recionado para o Captive portal, porm no sendo demonstrada a opo para registro
e sim, informaes para a correo da situao do dispositivo em particular e, atravs
destes, reduzindo os custos e intervenes da parte de Help Desk.
3.1.7 Gerenciamento Baseado em Linha de Comando e Web
O PacketFence oferece dois modos de gerenciamento da ferramenta, gerencia-

mento baseado em linha de comando e baseado na Web.
Independentemente do modo de gerenciamento, todas as tarefas do PacketFence

podem ser realizadas em linha de comando quanto no ambiente Web. A administrao
Web suporta diferentes nveis de permisso para autenticao de usurios, sendo
possvel usar autenticao Lightweight Directory Access Protocol (LDAP) ou Microsoft
Active Directory.
3.1.8 Gerenciamento Flexvel de VLAN
O PacketFence faz uso da tcnica de VLAN definido no padro IEEE 802.1Q. Esta
tcnica bastante utilizada para segmentao de uma rede de maneira mais eficaz,
pois, com o uso desta tcnica, possvel segmentar uma rede em vrias VLANs,
podendo segmentar um switch em VLANs diferentes, ou seja, vrias redes distintas
em um mesmo equipamento.
PacketFence possui um gerenciamento flexvel de VLAN, pois sua topologia de

VLAN poder ser mantida da forma que est e apenas duas novas VLANs tero de
ser adicionadas em toda a sua rede. As VLANs que tero de serem adicionadas so:
VLAN de Registro e VLAN de Isolamento.
A VLAN de Registro ser utilizada para o registro de dispositivos e usurios. Essa

VLAN est separada das demais, no possuindo acesso rede principal e Internet.
A VLAN de Isolamento utilizada para isolar dispositivos que estejam com problemas,
sejam estes problemas de segurana, vrus ou at um software Peer-to-Peer (P2P)
que est em execuo no dispositivo. Desta forma, atribui-se a VLAN de Isolamento
para a correo dos problemas, alm de isolar estes dispositivos problemticos da
rede principal.
3.1.9 Tipos de Violao
O PacketFence poder usar o Snort e Nessus como fonte de informaes para

bloquear dispositivos em sua rede de computadores. Para realizar estes bloqueios,
o PacketFence poder usar uma combinao dos mecanismos de deteco, ou seja,
dos tipos de violao, tais como: DHCP Fingerprint, User-Agent e MAC Address.
Com o uso do DHCP Fingerprint possvel saber qual o sistema operacional do

dispositivo. Essa assinatura nica, ou seja, cada dispositivo possui a sua identifi-
cao; este mecanismo ser explanado posteriormente. Ento, o PacketFence po-
der bloquear os dispositivos baseando-se em sua assinatura. Atravs do mecanismo
User-Agent, o PacketFence bloqueia o dispositivo com base no navegador de Internet,
por exemplo: Safari, Internet Explorer, Mozilla Firefox, entre outros. J o bloqueio pelo
mecanismo de MAC Address, o PacketFence bloqueia os dispositivos com base no
fabricante do dispositivo de rede.
3.1.10 Registro Automtico
O PacketFence tem vrias formas para registrar um cliente ou dispositivo de forma

automtica. Estas formas ou mecanismos para registrar um cliente ou dispositivo so:
DHCP Fingerprint, User-Agent e MAC Address. O DHCP Fingerprint baseia-se na
assinatura do dispositivo, User-Agent baseia-se no tipo de navegador de Internet e o
MAC Address baseia-se no endereo de hardware do dispositivo.
3.1.11 Expirao
O tempo de acesso rede poder ser controlado com o PacketFence, com os

parmetros de configurao. A durao do tempo de acesso poder ser uma data
absoluta (por exemplo, Ter 15 Nov 2011), um perodo de tempo (por exemplo, 4 sema-
nas a contar a partir do primeiro acesso) ou assim que o dispositivo se tornar inativo
na rede. Aps a expirao os dispositivos que estiverem registrados estes passaram
para status de dispositivos no registrados.
Ser apresentado o seguinte exemplo:
Um Consultor est a visitar a sua empresa, ele precisar utilizar os recursos da sua
rede de computadores para acessar a Internet e este ficar em sua empresa somente
por um perodo mximo de 8 horas, ou seja, uma jornada de trabalho. Ao se passar o
perodo de 8 horas, o cadastro do Consultor expirar e da, prxima vez que este estiver
em sua empresa, no conseguir acessar os recursos da sua rede de computadores,
pois o status aps a expirao passa a ser de no registrado. Desta forma, sua rede
se torna mais segura, sendo que o Consultor precisar de autorizao, ou seja, de
registro para acessar os recursos da sua rede de computadores.
3.1.12 Acesso a Visitantes
Atualmente, as empresas precisam fornecer aos seus Consultores acesso Inter-

net, pois estes requerem o acesso para a realizao de seus trabalhos. Alm disso, di-
ficilmente necessria a eles terem acesso a infraestrutura corporativa interna. Desta
forma, evita-se encargos administrativos como, por exemplo, auditoria, pois ao regis-
trar um usurio na infraestrutura corporativa interna, este passa por auditoria, uma vez
que cada recurso alocado gera despesas, tendo ento, que justificar este registro em
uma auditoria interna.
O PacketFence suporta acesso a visitante ou convidado, sendo este gerenciado

em uma VLAN especial para convidado, a qual somente ter acesso Internet. O
convidado ou visitante somente ir para Internet depois que este estiver registrado.
Para isso, o PacketFence utiliza uma VLAN de Registro e um Captive Portal, sendo
este ltimo utilizado para explicar aos clientes, ou seja, convidados ou vistantes, como
se registrar para o acesso Internet e como funciona o seu acesso.
Para registrar um convidado, existem vrias possibilidades, tais como: registro ma-
nual, auto-registro, acesso ao visitante com ativao por email e ativao por telefone
celular via Short Message Service (SMS).
35
4 IMPLEMENTAO E CONFIGURAO
Este captulo descreve os passos necessrios para implementar a ferramenta Pac-

ketFence para o controle de acesso rede cabeada. O ambiente proposto dever
migrar dispositivos para diferentes VLANs de acordo com as polticas adotadas, que
sero descritas no tpico 4.2.
4.1 CONFIGURAO DE HARDWARE
A implementao e configurao da ferramenta foi realizada utilizando-se de tec-

nologia para virtualizao1 , ou seja, fazendo uso de mquina virtual para a realizao
de todos os procedimentos, a fim de obter os resultados esperados pela proposta da
ferramenta. A seguir, a configurao utilizada pela mquina virtual:
- Processador: Intel;
- Memria: 1,5 GB de RAM;
- Hard Disk: 20GB;
- Rede: 2 interfaces, sendo uma para gerenciamento e outra para monitoramento.
4.2 MODELO DE TOPOLOGIA
Na Tabela 1, demonstrado as informaes propostas, referentes topologia a

ser implementada.
1
uma tcnica que separa a Aplicao e Sistema Operacional dos componentes fsicos, ou seja,
do hardware. Em uma definio livre, virtualizao capacidade de executar diferentes sistemas ope-
racionais em um nico hardware.
4.2 MODELO DE TOPOLOGIA 36
VLAN Descrio PacketFence Rede Interface

1 Gerenciamento 10.0.10.1 10.0.10.0/24 eth0
2 Registro 192.168.2.10 192.168.2.0/24 eth0.2
3 Isolao 192.168.3.10 192.168.3.0/24 eth0.3
10 Normal 192.168.1.10 192.168.1.0/24 eth0.10
TABELA 1 Dados da Topologia
A Figura 10 uma representao grfica da topologia apresentada na Tabela 1,

e a seguir, uma breve descrio dos tipos de VLAN adotadas para a implementao
desta topologia:
F IGURA 10 Topologia
Fonte: Autoria Prpria
4.3 CONFIGURAES 37
- VLAN 1 - Gerenciamento: a VLAN utilizada para o gerenciamento do Pac-

ketFence aos switches, ou seja, nesta que esto todos os dispositivos que o
PacketFence gerencia;
- VLAN 2 - Registro: a VLAN utilizada para o registro dos dispositivos que no

esto registrados na base de dados do PacketFence, atravs desta VLAN os
clientes somente tero acesso ao Captive Portal para a realizao do registro;
- VLAN 3 - Isolao: a VLAN utilizada para isolar dispositivos que estejam com
problemas, ou seja, vulnerabilidades, vrus, execuo de software P2P. A fim de
re-mediar estes dispositivos, ou seja, corrigir estes problemas, sendo utilizado
o Captive Portal para apresentar informaes aos clientes de como resolver os
problemas, em particular para cada dispositivo;
- VLAN 10 - Normal: a VLAN na qual est toda a rede corporativa, ou seja, a

rede na qual esto os servidores e estaes dos funcionrios, sendo possvel
acessar todos os servios fornecidos pela empresa.
4.3 CONFIGURAES
O sistema operacional utilizado para a implementao e configurao da ferra-

menta PacketFence foi o Community ENTerprise Operating System (CentOS) 6. Este
foi escolhido por ser open source, ou seja, de uso gratuito, no sendo necessrio
realizar algum tipo de pagamento para utilizar o sistema operacional.
A ferramenta PacketFence suportada pelos seguintes sistemas operacionais:

Red Hat Enterprise Linux (RHEL) e CentOS nas verses 5.x/6.x, respectivamente,
nas arquiteturas i386 e x86_64, ou seja, 32bits e 64bits [Inverse 2011].
A instalao do PacketFence no ser abordada nesta parte do trabalho, porm

consulte a seo Apndice A para saber como instalar a ferramenta.
4.3.1 Interface de Rede
Os arquivos de configurao das interfaces de rede, esto localizados dentro de

/etc/sysconfig/network-scripts/, este local poder mudar dependendo do sistema ope-
racional a ser utilizado. A seguir, a descrio dos parmetros a serem utilizados nas
configuraes das interfaces de rede:
4.3 CONFIGURAES 38
- DEVICE: Identifica o dispositivo de rede, ou seja, a interface de rede;
- BOOTPROTO: Informa o tipo de configurao a ser utilizada, sendo static, essas

configuraes so manual ou esttica, sendo dhcp, significa que as configura-
es sero automticas via servidor DHCP e none, sem nenhuma configurao,
ou seja, a interface ficar em bridge;
- ONBOOT: Ativa o dispositivo ao ligar o computador, ou seja, no momento do

boot a placa de rede ser carregada para uso;
- IPADDR: Identifica o endereo IP do computador;
- NETMASK: Identifica a mscara da rede;
- MTU: a abreviao para Maximum Transmission Unit, indica o tamanho do

maior datagrama que uma camada de um protocolo de comunicao pode trans-
mitir.
Ser configurado a interface eth0, para isso ser necessrio editar o arquivo ifcfg-
eth0, deixando-o, de acordo com o contedo a seguir:
DEVICE="eth0"
BOOTPROTO="static"
ONBOOT="yes"
IPADDR="10.0.10.1"
NETMASK="255.255.255.0"
A VLAN 2 ser adicionada interface eth0, para isso, dever ser criado o arquivo
ifcfg-eth0.2, sendo adicionado o contedo a seguir:
DEVICE="eth0.2"
VLAN="yes"
BOOTPROTO="static"
ONBOOT="yes"
IPADDR="192.168.2.10"
NETMASK="255.255.255.0"
MTU="1442"
4.3 CONFIGURAES 39
A VLAN 3 ser adicionada interface eth0, para isso, dever ser criado o arquivo
ifcfg-eth0.3 e sendo adicionado o contedo a seguir:
DEVICE="eth0.3"
VLAN="yes"
BOOTPROTO="static"
ONBOOT="yes"
IPADDR="192.168.3.10"
NETMASK="255.255.255.0"
MTU="1442"
A VLAN 10 tambm dever ser adicionada interface eth0, para isso, ser criado
o arquivo ifcfg-eth0.10, sendo adicionado o contedo a seguir:
DEVICE="eth0.10"
VLAN="yes"
BOOTPROTO="static"
ONBOOT="yes"
IPADDR="192.168.1.10"
NETMASK="255.255.255.0"
MTU="1442"
4.3.2 SELinux
Security-Enhanced Linux (SELinux) uma implementao de uma fle-
xvel e refinada arquitetura Mandatory Access Control (MAC). SELinux
prov uma poltica de segurana sobre todos os processos e objetos
do sistema baseando suas decises em etiquetas contendo uma vari-
edade de informaes relevantes segurana. A lgica da poltica de
tomada de decises encapsulada dentro de um simples componente
conhecido como servidor de segurana (security server ) com uma in-
terface geral de segurana [Wikipdia 2005].
O SELinux uma caracterstica que poder ser requerida por algumas organiza-
es, porm o PacketFence no ser executado corretamente se o SELinux estiver
definido para enforced [Inverse 2011].
Para desativar o SELinux, dever ser editado o arquivo /etc/selinux/config, dei-

xando a diretiva SELINUX, conforme a seguir:
4.3 CONFIGURAES 40
SELINUX=disabled
4.3.3 MySQL
O MySQL um Sistema de Gerenciamento de Banco de Dados (SGBD), que

utiliza a linguagem Structured Query Language (SQL) como interface, este no sendo
abordado no escopo deste trabalho.
Aps iniciar o banco de dados, ser necessrio executar a ferramenta de admi-

nistrao do MySQL (mysqladmin) para alterar a senha do usurio root, conforme o
comando a seguir:
mysqladmin -u root password suasenha
4.3.4 PacketFence
Para iniciar a configurao do PacketFence, deve-se executar o instalador /usr/lo-

cal/pf/installer.pl. Ao executar o instalador, so realizadas algumas perguntas, tais
como: usurio e senha do bando de dados, dados da empresa para gerar o certificado
Secure Sockets Layer (SSL), entre outras perguntas. De acordo com as respostas,
que o instalador, prepar a estrutura da base de dados do PacketFence, os certificados
a serem utilizados a fim de garantir uma maior segurana aos acesso Web, a criao
do usurio administrador do gerenciamento Web, e outros.
O contedo apresentado na Figura 11, se refere aceitao aos termos propostos

pelos desenvolvedores da ferramenta.
F IGURA 11 Tela dos termos de uso do PacketFence

Fonte: Script da Ferramenta PacketFence
4.3 CONFIGURAES 41
O contedo apresentado na Figura 12, se refere verificao das configuraes,

tais como: endereo IP, porta e nome do banco de dados, para o acesso e criao de
um usurio para o PacketFence, bem como a criao do schema, ou seja, a estrutura
do banco de dados.
F IGURA 12 Tela de configurao dos parmetros do banco de dados

As informaes apresentadas na Figura 13, so referentes s informaes digitas

para o acesso do banco de dados e criao de um usurio e schema para o Packet-
Fence.
F IGURA 13 Tela de confirmao das configuraes do banco de dados

4.3 CONFIGURAES 42
O script de configurao compilar as linguagens, ou seja, as tradues do Pac-

ketFence, para a possvel utilizao posterior. Conforme demonstrado na Figura 14.
F IGURA 14 Tela compilao dos idiomas do PacketFence

Algumas perguntas demonstradas na Figura 15, referem-se aos dados necess-

rios para a gerao de um certificado auto-assinado, sendo tambm possvel utilizar
um certificado comercial, para fornecer segurana ao acesso do Captive Portal.
F IGURA 15 Tela gerao do certificado auto-assinado do PacketFence

4.3 CONFIGURAES 43
A pergunta demonstrada na Figura 16, se refere criao de um usurio adminis-

trativo, afim de acessar a interface de administrao web do PacketFence.
F IGURA 16 Tela criao de usurio para acessar a administrao do PacketFence

Na Figura 17, demonstrada uma pergunta que se refere baixar os arquivos de

regras do Snort, ou seja, baixar as ltimas atualizaes de regras disponveis.
F IGURA 17 Tela pergunta para baixar as regras do snort

Conforme demonstrado na Figura 18, a pergunta desta figura se refere baixar

o arquivo contendo as assinaturas DHCP fingerprints mais recente, ou seja, a ltima
atualizao.
F IGURA 18 Tela pergunta para baixar as assinaturas fingerprint

Para finalizar a execuo do script, perguntado se deseja obter a ltima verso

dos prefixos OUI, estes so usados para identificar os fabricantes das interfaces de
rede. E por ltimo, altera a permisso do diretrio /usr/local/pf e do aplicativo de ge-
renciamento do PacketFence em linha de comando /usr/local/pf/bin/pfcmd, conforme
mostra a Figura 19.
4.3 CONFIGURAES 44
F IGURA 19 Tela pergunta para baixar o arquivo OUI

O script /usr/local/pf/configurator.pl utilizado para configurar o PacketFence. Por-

tanto, a fim de realizar as configuraes iniciais, ser executado o comando a seguir:
/usr/local/pf/configurator.pl
Ao executar o script de configurao, fornecido as opes de configurao do

PacketFence, ou seja, os modos que deseja ativar, devendo escolher uma opo para
prosseguir. Estas opes podem ser observadas na Figura 20.
Ao escolher uma das opes apresentadas na Figura 20, por exemplo a opo 4,
posteriormente apresentada as opes que se referem aos modos VLAN ou Inline,
conforme demonstrado na Figura 21, ou seja, com a opo de VLAN para ser usado
com equipamentos gerenciveis e a opo Inline para equipamentos no gerenciveis.
4.3 CONFIGURAES 45
F IGURA 20 Tela de execuo do script configurator.pl

F IGURA 21 Tela de escolha dos modos de configurao do PacketFence

4.3 CONFIGURAES 46
Na Figura 22, perguntado o nome do host, sem o domnio.
F IGURA 22 Tela o nome do host do PacketFence

A Figura 23, apresenta a pergunta referente ao nome de domnio do PacketFence,

ou seja, qual o nome de domnio a ser utilizado.
F IGURA 23 Tela o nome de domnio do PacketFence

Na Figura 24, perguntado os endereos IP dos servidores DHCP a serem utili-

zados, estes so os endereos IP do PacketFence em cada VLAN.
F IGURA 24 Tela servidores DHCP a serem utilizados

A Figura 25, apresenta a pergunta referente a qual porta a ser utilizada para a
administrao web do PacketFence, sendo a 1443 a padro a ser configurada.
F IGURA 25 Tela configurao da porta WebGUI do PacketFence

Na Figura 26, perguntado qual o endereo de e-mail, para que seja enviado as
notificaes de violaes.
4.3 CONFIGURAES 47
F IGURA 26 Tela configurao de envio de notificao do PacketFence

Neste momento, conforme apresentado na Figura 27, perguntado se deseja ati-

var a notificao por e-mail, caso os servios do PacketFence no estejam em execu-
o.
F IGURA 27 Tela ativao de envio de notificao do PacketFence

Na Figura 28, perguntado se deseja ativar o recurso de reiniciar os servios do

PacketFence, caso estes fiquem desativados.
F IGURA 28 Tela monitoramento de servios do PacketFence

Na Figura 29, apresentado a pergunta que se refere ao registro de dispositivos,

ou seja, se deseja forar o registro dos dispositivos.
F IGURA 29 Tela registro do dispositivo no log do PacketFence

A Figura 30, apresenta a pergunta para configurar o servio de alta disponibili-

dade, para ativar esta opo, deve ter uma placa de rede adicional para realizar a
configurao deste servio.
4.3 CONFIGURAES 48
F IGURA 30 Tela configurao de alta disponibilidade do PacketFence

Na Figura 31, apresenta a pergunta referente ao Snort, ou seja, qual interface

gostaria de ativar o monitoramento do Snort.
F IGURA 31 Tela configurao da interface do Snort do PacketFence

Na Figura 32, perguntado o endereo IP, porta, usurio e senha para o Nessus,
ou seja, informaes para a comunicao com o Nessus, a fim de enviar tarefas para
o escaneamento dos dispositivos.
F IGURA 32 Tela configurao do Nessus

perguntado na Figura 33, se deseja ativar criptografia SSL para a comunicao

com o servidor, ou seja, garantir uma maior segurana na comunicao.
4.3 CONFIGURAES 49
F IGURA 33 Tela configurao para ativar SSL do Nessus

apresentado na Figura 34, se deseja ativar o escaneamento para novos disposi-

tivos, ou seja, ao registrar novos dispositivos, estes sero escaneados.
F IGURA 34 Tela para ativar o escaneamento do Nessus

Na Figura 35, so realizadas perguntas referentes configurao do banco de

dados, ou seja, perguntado o endereo IP, a porta, o usurio, banco de dados, e a
senha para a conexo do PacketFence.
F IGURA 35 Tela configurao banco de dados do PacketFence

A seguir, na Figura 36, as configuraes iniciais realizadas pelo script foram en-
cerradas com a finalizao da execuo do script, devendo configurar os arquivos
4.3 CONFIGURAES 50
networks.conf e switches.conf, estes sendo explorados mais adiante.
F IGURA 36 Tela finalizando a configurao do PacketFence

4.3.4.1 pf.conf
As configuraes dos parmetros do PacketFence devem ser configuradas no ar-

quivo pf.conf que se encontra dentro de /usr/local/pf/conf. Neste arquivo possvel
habilitar/desabilitar o monitoramento do Snort, escaneamento do Nessus, configurar
as interfaces de rede, entre outros parmetros. Para saber mais sobre os parmetros
de configurao, acesse a documentao que est em /usr/local/pf/conf/, o nome do
arquivo documentation.conf.
Aps a execuo do aplicativo configurador do PacketFence o /usr/local/pf/configu-

rator.pl, este gera as configuraes com as quais foram respondidas nas perguntas
durante a execuo do configurador. As configuraes geradas pelo configurador so
apresentadas a seguir:
[general]
domain=redes.local
hostname=pf
4.3 CONFIGURAES 51
dhcpservers=192.168.2.10,192.168.3.10,192.168.1.10
[trapping]
range=192.168.2.0/24,192.168.3.0/24,192.168.1.0/24
detection=enabled
[scan]
pass=admin
[database]
pass=pfdb123
[interface eth1]
type=monitor
necessrio configurar as interfaces no arquivo pf.conf. Porm nas configuraes

das interfaces do PacketFence, existem algumas possibilidades de tipos de interface,
a serem declaradas como valor do parmetro type. A seguir, algumas opes a serem
utilizadas:
[interface]
type= ?
- management: Gerenciamento do PacketFence
- internal: Rede interna para uso com parmetro enforcement (vlan, inline)
- monitor: Utilizado para monitoramento do Snort
- dhcp-listener: Recebe todo trfego dhcp
Afim de realizar as configuraes, deve-se adicionar as seguintes linhas ao final

do arquivo:
[interface eth0]
ip=10.0.10.1
mask=255.255.255.0
type=management
gateway=10.0.10.1
4.3 CONFIGURAES 52
[interface eth0.2]
ip=192.168.2.10
mask=255.255.255.0
type=internal
enforcement=vlan
gateway=192.168.2.1
[interface eth0.3]
ip=192.168.3.10
mask=255.255.255.0
type=internal
enforcement=vlan
gateway=192.168.3.1
[interface eth0.10]
ip=192.168.1.10
mask=255.255.255.0
type=internal
enforcement=vlan
gateway=192.168.1.1
4.3.4.2 networks.conf
Atravs do arquivo networks.conf so configurados os parmetros dos servios

de DNS e DHCP oferecidos pelo PacketFence. Este arquivo est localizado dentro do
diretrio /usr/local/pf/conf/. O arquivo por padro est vazio, ou seja, sem nenhuma
informao configurada no mesmo.
Afim de realizar as devidas configuraes, ser adicionado as seguintes informa-

es, a seguir:
[192.168.2.0]
type=vlan-registration
netmask=255.255.255.0
gateway=192.168.2.10
next_hop=
named=enabled
4.3 CONFIGURAES 53
domain-name=registration.redes.local
dns=192.168.2.10
dhcpd=enabled
dhcp_start=192.168.2.11
dhcp_end=192.168.2.254
dhcp_default_lease_time=300
dhcp_max_lease_time=300
[192.168.3.0]
type=vlan-isolation
netmask=255.255.255.0
gateway=192.168.3.10
next_hop=
named=enabled
domain-name=isolation.redes.local
dns=192.168.3.10
dhcpd=enabled
dhcp_start=192.168.3.11
dhcp_end=192.168.3.254
[192.168.1.0]
type=Normal
netmask=255.255.255.0
gateway=192.168.1.10
pf_gateway=
named=disabled
domain-name=production.redes.local
dns=8.8.8.8,8.8.4.4
dhcpd=enabled
dhcp_start=192.168.1.11
dhcp_end=192.168.1.254
4.3 CONFIGURAES 54
4.3.4.3 switches.conf
As configuraes dos switches gerenciados so colocados no arquivo switches.conf,

este sendo localizado em /usr/local/pf/conf/. Dever ser alterado na declarao default,
os seguintes parmetros, a seguir:
[default]
vlans = 2,3,4,10
normalVlan = 10
registrationVlan = 2
isolationVlan = 3
macDetectionVlan = 4
O switch dever possuir o servio de telnet habilitado, pois o PacketFence se co-

necta ao switch por meio deste para realizar configuraes no mesmo. Portanto, ao
final do arquivo switches.conf, ser adicionado as seguintes configuraes referentes
ao switch:
[10.0.10.4]
type = ThreeCom::Switch_4200G
mode=production
uplink = 25
cliTransport = Telnet
cliUser = admin
cliPwd =
4.3.5 Configurao do Switch
As configuraes do switch podem ser realizadas de duas formas: porta console

ou via acesso remoto usando telnet. Este ltimo deve-se saber o endereo IP do
equipamento. Atravs da porta console, conectado um cabo serial na porta console
do equipamento e a outra ponta do cabo deve ser conectada na porta serial do com-
putador. Para acessar o switch ser necessrio um software, por exemplo, o Hyper
Terminal.
Ser demonstrado a seguir dois modos de configurao do switch com o Packet-

Fence, o modo access e modo com autenticao 802.1x.
4.3 CONFIGURAES 55
4.3.5.1 Modo Access
As portas do switch ao serem configuradas em modo access, permitem ao Pac-

ketFence utilizar qualquer mtodo de autenticao para o registro do usurio, dife-
rentemente do modo 802.1X (port-security ), sendo obrigatrio o uso de autenticao
RADIUS. A seguir, ser apresentando os comandos para a configurao do switch em
modo access.
Criando as VLANs:
A VLAN 1 no precisar ser configurada, pois esta j vem configurada por padro
no switch, sendo que a VLAN 1 por padro vem em modo access.
system-view
vlan 2
vlan 3
vlan 4
vlan 10
quit
system-view - entra no modo de configurao do switch;
vlan x - adiciona a VLAN, sendo x um nmero que pode variar de 1 4096.
Habilitando o SNMP:
O SNMP dever ser habilitado no switch para que este envie traps ao PacketFence
ao detectar a mudana do status da porta, ou seja, linkup e linkdown.
snmp-agent
snmp-agent target-host trap address udp-domain 10.0.10.1 params
securityname public
snmp-agent trap enable standard linkup linkdown
quit
- snmp-agent - configura o agent snmp do switch;
- target-host - configura o IP que o switch enviar as traps;
- trap - configura o tipo de trap a ser ativada.

4.3 CONFIGURAES 56
Configurando as portas em modo access, elas devem ser configuradas em cada

interface. A seguir, os comandos a serem executado no switch para realizar as confi-
guraes, sendo x substitudo por um nmero inteiro, ou seja, o nmero da porta do
switch na qual se deseja configurar.
interface ethernet 1/0/X

port link-type access
port access vlan 4
quit
Configurando a porta do roteador da rede principal, este dever ficar na VLAN

10, pois nessa VLAN que ficar a rede principal, ou seja, a rede que ter acesso
Internet.
interface ethernet 1/0/1

port link-type access
port access vlan 10
quit
Configurando a porta do PacketFence, este dever ficar em uma porta como trunk,
pois deve permitir que o trfego das outras VLANs cheguem ao PacketFence.
interface ethernet 1/0/12

port link-type trunk
port trunk permit vlan 2
quit
4.3.5.2 Modo 802.1x
No modo de autenticao 802.1x, se deve utilizar o mtodo de autenticao RA-

DIUS.
As configuraes que devem ser realizadas no switch para habilitar este modo:
configurar um schema radius, sendo que neste informado o endereo IP do servidor
RADIUS e a porta; configurar a shared secret a ser utilizada para a comunicao
4.3 CONFIGURAES 57
do switch e o RADIUS; informar que os logins sero sem o prefixo do domno, por
exemplo, usuario@redes.local; informar o domnio; ativar o schema para este domnio,
no caso o redes.local; atribuir VLAN por string, ou seja, por texto; habilitar o domnio
redes.local como sendo o domnio padro a ser utilizado; e especificar o mtodo de
autenticao, alm de ativar a port-security, ou seja, segurana por porta.
Configurao Global:
A seguir, os comandos necessrios para realizar as configuraes descritas ante-

riormente, a fim de habilitar o modo 802.1x no switch:
system-view
radius scheme Redes
server-type standard
primary authentication 10.0.10.1 1812
primary accounting 10.0.10.1 1812
accounting optional
key authentication pfsecret123
user-name-format without-domain
quit
domain redes.local
radius-scheme Redes
vlan-assignment-mode string
quit
domain default enable redes.local
dot1x authentication-method eap
port-security enable
quit
Para finalizar a configurao do modo 802.1x, dever ativar a port-security nas

interfaces que se deseja habilitar essa segurana, configurando a autenticao por
MAC Address ou usurio e senha e desabilitando os trap de linkUp e linkDown. A
seguir, os comandos necessrios para realizao desta configurao:
system-view
interface etthernet 1/0/x
port-security port-mode mac-else-userlogin-secure-ext
4.3 CONFIGURAES 58
undo enable snmp trap updown

quit
quit
4.3.6 Autenticao
A fim de registrar os dispositivos, primeiramente, devem-se criar os usurios, so-

mente posterior a este procedimento, realizar o registro do dispositivo. Para criar o
arquivo de usurios e senhas, ser utilizado o utilitrio htpasswd, este serve para rea-
lizar a criao de usurios com a senha em hash.
4.3.6.1 Local
O PacketFence por padro utiliza o mtodo de registro local, ou seja, armazena os

registros em arquivo de texto puro, sendo este o arquivo user.conf, localizado dentro
do diretrio conf do PacketFence. No entanto, este arquivo no existe, devendo ser
criado. Para criar o arquivo e adicionar um novo usurio, ser executado o seguinte
comando, a seguir:
htpasswd -c /usr/local/pf/conf/user.conf diego
Aps a criao do arquivo user.conf, para todos os outros usurios que se deseja
cadastrar, deve-se executar o comando acima sem o parmetro -c (create). Esse
parmetro utilizado para criar o arquivo, adicionando a este um novo usurio. Para
inserir novos usurios ao arquivo, o comando ficar da seguinte forma, a seguir:
htpasswd /usr/local/pf/conf/user.conf andre
A fim de ativar a autenticao, ou seja, registrar os equipamentos ao usurio, deve-

se adicionar um parmetro no arquivo pf.conf. A seguir, o parmetro a ser adicionado
dentro da declarao [trapping]:
[trapping]
registration=enabled
Ao realizar qualquer alterao nos arquivos de configurao do PacketFence para

que a alterao seja vlidada, ser necessrio reiniciar o servio novamente:
4.3 CONFIGURAES 59
service packetfence restart
4.3.6.2 RADIUS
Para habilitar a autenticao RADIUS, primeiramente, ser adicionado a seguinte

declarao ao arquivo pf.conf :
[registration]
auth=radius
Agora, ser criado um usurio administrativo para o RADIUS, executando o se-

guinte comando:
htpasswd /usr/local/pf/conf/admin.conf webservice
Neste momento necessrio adicionar o usurio e senha recm-criados dentro

do arquivo /etc/raddb/packetfence.pm, a seguinte configurao deve ser realizada:
WS_USER => webservice,

WS_PASS => pfweb,
Deve-se criar um usurio que ser utilizado para registrar um dispositivo, para isso
ser adicionado a seguinte linha a seguir, ao final do arquivo /etc/raddb/users:
"andre" Cleartext-Password := "123456"
Ser alterado as informaes referente ao banco de dados do PacketFence, no

arquivo /etc/raddb/sql.conf, a seguir:
server = "localhost"
port = 3306
login = "pf"
password = "pfdb123"
radius_db = "pf"
Deve-se adicionar na configurao do switch em switches.conf o seguinte parme-

tro e seu valor:
4.3 CONFIGURAES 60
[10.0.10.4]
radiusSecret = pfsecret123
A fim de validar a configurao realizada, ser reiniciado o servio do PacketFence

novamente.
service packetfence restart
4.3.7 Acesso Internet
Com base na topologia a qual foi seguida para montar a infraestrutura do Pac-
ketFence e demais dispositivos, para o cliente na rede principal conseguir acessar a
Internet, dever ser realizado as seguintes configuraes no PacketFence:
1. Ativar o roteamento do sistema operacional;
echo "1" > /proc/sys/net/ipv4/ip_forward
2. Adicionar a rota padro de sada para o roteador, este deve ser o IP do roteador
da rede da organizao que tem uma conexo direta com a internet;
route add default gw 192.168.1.1
3. Adicionar uma regra ao iptables, para permitir o redirecionamento.
iptables -t filter -A FORWARD -s 192.168.1.0/24 -j ACCEPT
4.3.8 Habilitando o Snort
Para habilitar o Snort, necessrio adicionar declarao [trapping] que est

localizada no arquivo pf.conf, o seguinte parmetro e seu valor:
[trapping]
detection=enabled
4.3 CONFIGURAES 61
Com a diretiva acima habilitada, o Snort notifica o PacketFence sobre a violao,

com base em suas assinaturas. Para habilitar o bloqueio de uma violao, ou seja,
enviar o cliente para a VLAN de Isolamento (VLAN 3), deve-se habilitar as regras do
tipo de deteco no arquivo violation.conf que est localizado no diretrio conf do
PacketFence. A fim de habilitar qualquer regra contida neste arquivo, proceda da
seguinte forma:
enabled=Y
Sendo: Y para habilitado e N para desabilitado.
A seguir, um exemplo:
[1100004]
desc=Browser isolation example
url=/remediation.php?template=banned_devices
trigger=USERAGENT::101,USERAGENT::102
actions=trap,email,log
enabled=N
4.3.9 Habilitando o Nessus
Para habilitar o escaneamento do Nessus ao dispositivo do cliente, necessrio

adicionar alguns parmetros ao arquivo pf.conf. A seguir, a declarao [scan] e seus
parmetros:
[scan]
user=admin
pass=admin
port=1241
ssl=enabled
A fim de habilitar o escaneamento do Nessus aos dispositivos logo aps o seu

registro, deve-se adicionar o seguinte parmetro declarao [scan]:
[scan]
registration=enabled
62
5 RESULTADOS OBTIDOS
As figuras apresentadas nesta parte do documento, foram retiradas do log de

acesso do PacketFence. Este arquivo de log do PacketFence poder ser localizado
dentro do diretrio /usr/local/pf/log, com o nome packetfence.log.
Inicialmente as portas de conexes do switch aos dispositivos dos clientes esto

na VLAN de deteco de MAC, ou seja, a VLAN 4.
Ao conectar um dispositivo em uma porta do switch, este envia um trap ao Packet-

Fence com o endereo MAC conectado na porta. O PacketFence recebe esse trap,
verifica se o dispositivo existe em sua base de dados, no existindo ele altera a VLAN
do dispositivo, para a VLAN de registro (VLAN 2). Esse procedimento poder ser
observado na Figura 37, a seguir:
F IGURA 37 Log com trap indicando novo MAC que colocado na VLAN de registro
Aps a alterao do dispositivo para a VLAN de registro, este solicita configura-

es ao servidor de DHCP, a fim de se obter de forma automtica as configuraes.
No momento em que esta solicitao chega ao PacketFence, este por sua vez, verifica
a lista de parmetros enviados pelo dispositivo em uma mensagem de DHCPDISCO-
VER, compara com a base de assinaturas de DHCP Fingerprint que o mesmo possui,
identificando assim, o sistema operacional do dispositivo. Depois, segue as demais
etapas, conforme demonstrado na Figura 1, at o dispositivo receber a confirmao

do servidor de DHCP, com uma mensagem DHCPACK. Ao receber essa confirmao,
finaliza-se a obteno das configuraes requeridas pelo dispositivo.
Para uma melhor visualizao este processo apresentado na Figura 38, a seguir:
F IGURA 38 Log demonstrando o DHCP Fingerprint

O cliente ao abrir o navegador de Internet e este tentando abrir qualquer site, o

PacketFence redireciona-o para o Captive portal, identifica qual o navegador utilizado
e sua verso, depois redireciona-o para a pgina de autenticao, como mostra a
Figura 39:
F IGURA 39 Log demonstrando o redirecionamento para o Captive Portal

O cliente deve possuir um cadastro para que este seja utilizado para o registro do
dispositivo. Digitando as informaes de usurio e senha no Captive portal e estes
sendo vlidos, ento, o dispositivo ser registrado.
Para uma melhor visualizao, a Figura 40 demonstra essa ao:
F IGURA 40 Log demonstrando o registro do dispositivo

A partir do momento em que o dispositivo j estiver registrado, o PacketFence

preparar um pedido de alterao de VLAN, como mostra a Figura 41:
F IGURA 41 Log demonstrando a alterao da VLAN de registro para a VLAN normal

A partir de ento, o PacketFence envia uma solicitao com o pedido de alterao

de VLAN na porta, na qual o dispositivo esteja conectado. O switch ao receber essa
solicitao, por sua vez, se preparar para atender a solicitao, de modo que este
iniciar a alterao da VLAN de registro para a VLAN normal (VLAN 10), ou seja, para
a VLAN da rede principal. A Figura 42, demonstra esse processo.
Aps a alterao de VLAN, o dispositivo solicitar as configuraes ao servidor

de DHCP, para saber o funcionamento, observe a Figura 1, somente depois que o
dispositivo receber a mensagem de DHCPACK, este j estar pronto com as devidas
configuraes referentes a VLAN normal, ou seja, a partir deste momento o cliente
poder acessar a Internet bem como utilizar os outros recursos da rede principal,
como mostra a Figura 43.
F IGURA 42 Log demonstrando recebimento de trap

F IGURA 43 Log demonstrando a comunicao do DHCP

Caso os parmetros de escaneamento do Nessus estejam configurados e habili-

tados, aps o registro do dispositivo, este ser verificado pelo Nessus. Neste caso,
somente aps a verificao do Nessus que o PacketFence alterar o dispositivo da
VLAN de registro para a VLAN normal.
Adicionando a violao aps o registro, para isto, ser apresentado a seguir, a

Figura 44:
F IGURA 44 Log demonstrando uma violao sendo adicionada

A Figura 45, demonstra a alterao da pgina do Captive Portal para apresentar

as informaes ao usurio de que ele est em quarentena e o mesmo ser verificado.
F IGURA 45 Log demonstrando o redirecinamento para o Captive Portal

O PacketFence enviar a tarefa para segundo plano, para ser executada pelo Nes-
sus, ou seja, a partir deste momento foi solicitado o escaneamento do dispositivo. Esta
tarefa poder ser observada na Figura 46.
F IGURA 46 Log demonstrando o envio do escaneamento para segundo plano

A Figura 47, demonstra informaes do escaneamento e redirecionamento do cli-

ente para o Captive Portal.
F IGURA 47 Log demonstrando o escaneamento

Finalizando o processo de escaneamento do Nessus. A fim de mostrar esse pro-

cesso, apresentado a Figura 48.
Aps finalizar o escaneamento, a violao fechada, ou seja, foi verificado se

o dispositivo estava com alguma vulnerabilidade. Posteriormente, preparado um
pedido de solicitao ao switch para realizar a alterao da VLAN, como mostra a
Figura 49.
Aps a alterao da VLAN do dispositivo, o cliente solicita configuraes ao servi-

dor de DHCP, a fim de se obter as configuraes de forma automtica. Este procedi-
mento o mesmo apresentado na Figura 43.
F IGURA 48 Log demonstrando o fechamento da violao

F IGURA 49 Log demonstrando a alterao de VLAN aps o escaneamento no registro

Se ocorrer qualquer violao o PacketFence altera a VLAN do dispositivo para a

VLAN de Isolao (VLAN 3), ou seja, este somente sair aps a correo do problema,
voltando assim para a VLAN normal.
Depois que o dispositivo do cliente no se encontra mais conectado ao switch, o

PacketFence altera a VLAN daquela porta onde o dispositivo do cliente estava conec-
tado, retornando-a para a VLAN 4.
Os dados apresentados na seo 5 at aqui demonstraram os logs de acesso do

servidor PacketFence, a fim de demonstrar o que ocorre ao cliente no momento da
autenticao, apresentado a Figura 50, esta demonstra o Captive Portal do Packet-
Fence, nesse momento solicitado usurio e senha, e para completar, ser necess-
rio aceitar o termo de uso, ou seja, as polticas da empresa.
F IGURA 50 Autenticao Captive Portal

A Figura 51, demonstra o escaneamento do Nessus aps o registro do dispositivo.
F IGURA 51 Scan do Nessus

A Figura 52, demonstra o Snort em ao, aps encontrar uma violao no cliente.
5.1 Traduo 70
F IGURA 52 Quarentena Estabelecida

5.1 Traduo
Como escopo deste trabalho, foi realizado a traduo da documentao da ferra-

menta PacketFence [Inverse 2011], nas verses: 2.2.1, 3.0.2 e 3.0.3. Sendo que a
traduo anexada ao trabalho a verso 3.0.2.
A fim de contribuir com o projeto PacketFence, foi enviado um e-mail a equipe de

desenvolvimento do projeto, como mostra a Figura 53.
F IGURA 53 Tela do e-mail enviado ao membro do projeto

Um membro da equipe de desenvolvimento do projeto retornou ao e-mail enviado,

como mostra a Figura 54.
5.1 Traduo 71
F IGURA 54 Tela do e-mail de resposta do membro do projeto

A traduo foi aceita e adicionada ao repositrio do projeto e tambm publicada no

site do projeto, ou seja, a traduo faz parte da documentao oficial, como mostra a
Figura 55. Com a publicao da traduo, esta uma enorme contribuio em idioma
portugus do Brasil com o projeto e com a comunidade brasileira.
F IGURA 55 Tela retorno ao e-mail de resposta do membro do projeto

72
6 CONSIDERAES FINAIS
O controle de pontos de redes algo extremamente importante, pois uma tomada

RJ-45 fmea ligada a um equipamento de rede (switch) somado com um servio de
DHCP pode trazer para dentro da rede da organizao pessoas com o objetivo de
roubar dados sensveis ao negcio da empresa. Porm, para fazer esse controle
so necessrias ferramentas que consigam de forma automatizada controlar quem
pode ou no utilizar esse ponto de rede, pois, dependendo da quantidade de pontos
existentes, fica humanamente difcil fazer esse controle.
Para fazer esse controle de forma automatizada, foi pesquisado o funcionamento

da ferramenta PacketFence, os pontos relevantes foram: como a ferramenta atua no
caso de adio de novo dispositivo na rede; como so feitas as varreduras nesse
dispositivo a procura de algum software que possas trazer risco infraestrutura; e
qual seria a ao caso fosse encontrado algum problema nesse dispositivo. Para que
os objetivos fossem alcanados, foi necessria a construo de um ambiente real,
mas parcialmente virtual para os testes.
Foi aplicado nesse ambiente o conhecimento adquirido com a pesquisa explorat-

ria da documentao do PacketFence e tambm de outros pesquisados na Internet.
A documentao da ferramenta no explica de forma clara algumas configuraes,

porm, como a ferramenta open source, foi feita uma verificao no cdigo fonte da
mesma para averiguar como seria o funcionamento correto, por exemplo, o modelo
do switch que foi utilizado no est na relao de equipamentos suportados pelo Pac-
ketFence, foi necessrio fazer configuraes no cdigo fonte para que o mesmo fosse
suportado.
Aps as configuraes da ferramenta, como demonstrado na seo 4, foi possvel

utiliz-la de forma a coibir pessoas no autorizadas ou equipamentos com falhas de
segurana a utilizar a rede.
Esse bloqueio foi alcanado graas a integrao das ferramentas Nessus e Snort,
6 CONSIDERAES FINAIS 73
somado com os protocolos 802.1Q e 802.1X juntamente com o PacketFence. Esse

conjunto de ferramentas integradas foi o necessrio para bloquear acessos s portas
do switch utilizado na topologia.
O PacketFence oferece suporte s redes sem fio (Wireless), infelizmente no foi

possvel testar as funcionalidades da ferramenta nesse tipo de ambiente. Outro ponto
o controle de visitante que no foi abordado. Foi explicado que h uma configurao
especfica, o que no foi realizado, para que fosse possvel realizar esse tipo de con-
trole, pois esse controle interessante para empresas ou locais onde a rotatividade
de pessoas constante - este controle requer apenas um simples e rpido cadastro
do usurio que utilizar a rede por um curto perodo, por exemplo, um vendedor que
queira apenas acessar a Internet para enviar um pedido a empresa na qual trabalha,
esse usurio teria de fazer um pequeno cadastro como visitante, pois, ao tentar aces-
sar qualquer site, ele ser redirecionado ao Captive Portal do PacketFence, neste
possvel realizar o cadastro, a partir desse cadastro gerado um cdigo que poder
ser enviado, em forma de mensagem, para o celular do usurio e esse cdigo ter
uma validade, o tempo necessrio para o vendendor enviar o e-mail com o pedido.
O PacketFence poderoso recurso open source, ou seja, sem custo de licencia-

mento. O nico custo seria a mo de obra para implementao e suporte do mesmo.
Com o contedo deste trabalho possvel fazer a instalao e usar a ferramenta

sem dificuldades, pois alm de conter o detalhamento da implementao real tambm
h documentao da ferramenta em anexo e totalmente em portugus.
Sendo sugerido para futuros trabalhos quanto ferramenta a uma maior explora-
o da ferramenta PacketFence e seu uso em no controle de acesso rede sem-fio,
segurana no controle de acesso rede, explorao dele para uma integrao total
de controle rede e integrao do PacketFence no controle de acesso aos visitantes.
74
Referncias
[Aboba, Simon e Eronen 2008]ABOBA, B.; SIMON, D.; ERONEN, P. Extensible

Authentication Protocol (EAP) Key Management Framework. IETF, ago. 2008.
RFC 5247 (Proposed Standard). (Request for Comments, 5247). Disponvel em:
<http://www.ietf.org/rfc/rfc5247.txt>.
[Alexander e Droms 1997]ALEXANDER, S.; DROMS, R. DHCP Options and BOOTP

Vendor Extensions. IETF, mar. 1997. RFC 2132 (Draft Standard). (Request for Com-
ments, 2132). Updated by RFCs 3442, 3942, 4361, 4833, 5494. Disponvel em:
[Austein e Saperia 1994]AUSTEIN, R.; SAPERIA, J. DNS Server MIB Extensions.

IETF, maio 1994. RFC 1611 (Historic). (Request for Comments, 1611). Disponvel
em: <http://www.ietf.org/rfc/rfc1611.txt>.
[Case et al. 1990]CASE, J. et al. Simple Network Management Protocol (SNMP). IETF,
maio 1990. RFC 1157 (Historic). (Request for Comments, 1157). Disponvel em:
[Case et al. 1996]CASE, J. et al. Management Information Base for Version 2 of the
Simple Network Management Protocol (SNMPv2). IETF, jan. 1996. RFC 1907 (Draft
Standard). (Request for Comments, 1907). Obsoleted by RFC 3418. Disponvel em:
[Case et al. 1996]CASE, J. et al. Protocol Operations for Version 2 of the Simple
Network Management Protocol (SNMPv2). IETF, jan. 1996. RFC 1905 (Draft Stan-
dard). (Request for Comments, 1905). Obsoleted by RFC 3416. Disponvel em:
[Case et al. 1996]CASE, J. et al. Transport Mappings for Version 2 of the Simple
Network Management Protocol (SNMPv2). IETF, jan. 1996. RFC 1906 (Draft Stan-
dard). (Request for Comments, 1906). Obsoleted by RFC 3417. Disponvel em:
[Claise 2004]CLAISE, B. Cisco Systems NetFlow Services Export Version 9. IETF,

out. 2004. RFC 3954 (Informational). (Request for Comments, 3954). Disponvel em:
[Deraison 2004]DERAISON, R. Nessus Network Auditing. 2. ed. Rockland-MA: Syn-

gress, 2004.
[Douglas e Kevin 2001]DOUGLAS, M. R.; KEVIN, S. J. SNMP Essencial. 1. ed. Rio de

Janeiro-RJ: Campus, 2001.
Referncias 75
[Droms 1997]DROMS, R. Dynamic Host Configuration Protocol. IETF, mar. 1997. RFC
2131 (Draft Standard). (Request for Comments, 2131). Updated by RFCs 3396, 4361,
5494. Disponvel em: <http://www.ietf.org/rfc/rfc2131.txt>.
[Edwards 2008]EDWARDS, J. The essential guide to nac. IT Security,
Jun 2008. Disponvel em: <http://www.itsecurity.com/features/
essential-guide-nac-062308/>. Acesso em: 10 Out. 2011.
[FingerBank 2011]FINGERBANK. DHCP fingerprints. Mar 2011. Disponvel em:
<http://www.fingerbank.org>. Acesso em: 27 Set. 2011.
[H3C Technologies 2011]H3C TECHNOLOGIES. 20-802.1X Configuration. 2011.
Disponvel em: <http://www.h3c.com/portal/Technical_Support___Documents/
Technical_Documents/Switches/H3C_S5120_Series_Switches/Configuration/
Operation_Manual/H3C_S5120-SI_CG-Release_1101-6W105/201108/723588_1285_
0.htm>. Acesso em: 30 Out. 2011.
[Harris, Jackson e Petty 1987]TELELOGIC, INC. William J. Harris, Joseph M. Jackson
e David C. Petty. Automatic dialer for telephone network access control. 1987. US
4447676, 08 Mai. 1984.
[INTEROP LABS 2006]INTEROP LABS. What is NAC. May 2006. Disponvel em:
<http://www.interop.com/archive/pdfs/NAC.pdf>. Acesso em: 19 Set. 2011.
[Inverse 2011]INVERSE. PacketFence Administration Guide. Out. 2011. Disponvel
em: <http://www.packetfence.org/downloads/PacketFence/doc/PacketFence_
Administration_Guide-3.0.2.pdf>.
[INVERSE INC. 2011]INVERSE INC. Site PacketFence. Jul 2011. Disponvel em:
<http://www.packetfence.org>. Acesso em: 23 Jul. 2011.
[JANET 2011]JANET. Extesible Authentication Protocol (EAP). 2011. Disponvel
em: <http://www.ja.net/documents/publications/factsheets/065-eap.pdf>.
Acesso em: 28 Out. 2011.
[Leelanivas, Rekhter e Aggarwal 2003]LEELANIVAS, M.; REKHTER, Y.; AGGARWAL,
R. Graceful Restart Mechanism for Label Distribution Protocol. IETF, fev. 2003.
[Leinen 2004]LEINEN, S. Evaluation of Candidate Protocols for IP Flow Information
Export (IPFIX). IETF, out. 2004. RFC 3955 (Informational). (Request for Comments,
3955). Disponvel em: <http://www.ietf.org/rfc/rfc3955.txt>.
[Manlio 2009]MANLIO, F. NAC 2.0: A new model for a more secure future.
Dec 2009. Disponvel em: <http://www.articlesbase.com/security-articles/
nac-20-a-new-model-for-a-more-secure-future-1579991.html>. Acesso em: 20
Set. 2011.
[McCloghrie e Rose 1991]MCCLOGHRIE, K.; ROSE, M. Management Information
Base for Network Management of TCP/IP-based internets:MIB-II. IETF, mar. 1991.
RFC 1213 (Standard). (Request for Comments, 1213). Updated by RFCs 2011, 2012,
2013. Disponvel em: <http://www.ietf.org/rfc/rfc1213.txt>.
Referncias 76
[Prado 1998]PRADO, F. F. d. Trabalho sobre a norma tcnica IEEE - 802.1q Vir-

tual LANs. 1998. Disponvel em: <http://www.gta.ufrj.br/grad/98_2/fernando/
fernando.html>. Acesso em: 18 Nov. 2011.
[Rigney et al. 2000]RIGNEY, C. et al. Remote Authentication Dial In User Ser-

vice (RADIUS). IETF, jun. 2000. RFC 2865 (Draft Standard). (Request for
Comments, 2865). Updated by RFCs 2868, 3575, 5080. Disponvel em:
[Roesch 1999]ROESCH, M. Lightweight Intrusion Detection For Networks. 1999.

Disponvel em: <http://www.usenix.org/event/lisa99/full_papers/roesch/
roesch.pdf>. Acesso em: 15 Nov. 2011.
[Sahita et al. 2010]SAHITA, R. et al. PB-TNC: A Posture Broker (PB) Proto-

col Compatible with Trusted Network Connect (TNC). IETF, mar. 2010. RFC
5793 (Proposed Standard). (Request for Comments, 5793). Disponvel em:
[Sangster e Narayan 2010]SANGSTER, P.; NARAYAN, K. PA-TNC: A Posture Attribute

(PA) Protocol Compatible with Trusted Network Connect (TNC). IETF, mar. 2010.
[Stewart 2007]STEWART, R. Stream Control Transmission Protocol. IETF, set. 2007.

RFC 4960 (Proposed Standard). (Request for Comments, 4960). Updated by RFCs
6096, 6335. Disponvel em: <http://www.ietf.org/rfc/rfc4960.txt>.
[UFRJ 2011]UFRJ, G. Management Information Base (MIB). 2011. Disponvel em:

<http://www.gta.ufrj.br/grad/04_1/snmp/mib.htm>. Acesso em: 10 Out. 2011.
[UFRJ 2011]UFRJ, G. RADIUS. 2011. Disponvel em: <http://www.gta.ufrj.br/

grad/08_1/radius/Introduo.html>. Acesso em: 15 Out. 2011.
[Wikipdia 2005]WIKIPDIA. SELinux. Nov. 2005. Disponvel em: <http://pt.

wikipedia.org/wiki/SELinux>. Acesso em: 20 Nov. 2011.
[Zampiello et al. 2007]SBC KNOWLEGDE VENTURES LP. Geoffrey Zampiello, Jimmy

Forsyth, Andy Prince e Taso Devetzis. Scalable Captive Portal Redirect. 2007. US
0214265, 13 Set. 2007.
77
APNDICE A -- Instalando o PacketFence
A fim de realizar a instalao do PacketFence, deve-se inicialmente possuir uma

instalao de algum sistema operacional suportado pelo PacketFence. So suporta-
dos os seguintes sistemas operacionais nas arquiteturas i386 ou x86_64:
- Red Hat Enterprise Linux (RHEL) 5.x/6.x Server;
- Community ENTerprise Operating System (CentOS) 5.x/6.x
O sistema operacional escolhido para a realizao da instalao do PacketFence

foi o CentOS 6 x86_64. Partindo do pressuposto que foi realizado uma instalao
limpa com a opo "minimal", ou seja, somente o bsico deste sistema operacional.
A seguir ser descrito os procedimentos para obter a instalao do PacketFence com
todos os softwares necessrios para o seu funcionamento.
A.1 Procedimentos para Instalao
1. Deve-se baixar o pacote rpmforge do repositrio REPOFORGE, este pacote

contm configuraes para adicionar ao YUM o repositrio repoforge.
wget http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.2-
2.el6.rf.x86_64.rpm
2. Instalar o pacote baixado anteriormente.
rpm -ivh rpmforge-release-0.5.2-2.el6.rf.x86_64.rpm
3. Desabilite o repositrio padro repoforge para isso edite o arquivo /etc/yum.rep-

os.d/rpmforge.repo, deixando a diretiva enabled = 0.
A.1 Procedimentos para Instalao 78
[rpmforge]
name=RHEL $releasever - RPMforge.net - dag
baseurl=http://apt.sw.be/redhat/el6/en/$basearch/rpmforge
mirrorlist=http://apt.sw/be/redhat/el6/en/mirrors-rpmforge
enabled=0
protect=0
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-rpmforge-dag
gpgcheck=1
4. Baixe o pacote EPEL do repositrio fedoraproject.
wget http://download.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-
5.noarch.rpm
5. Instalar o pacote EPEL baixado anteriormente.
rpm -ivh epel-release-6-5.noarch.rpm
6. Crie um arquivo de repositrio do PacketFence, em /etc/yum.repos.d/packet-

fence.repo com as informaes a seguir:
[PacketFence]
name=PacketFence Repository
baseurl=http://inverse.ca/downloads/PacketFence/RHEL$releasever/$basearch
enabled=0
gpgcheck=0
7. Atualize a lista de repositrio.
yum --enablerepo=PacketFence,rpmforge update
8. Instalao do PacketFence completo. A instalao completa, contar com os

seguintes softwares: Banco de Dados Mysql, DNS, DHCP, RADIUS e Snort.
yum --enablerepo=PacketFence,rpmforge groupinstall Packetfence-complete

9. Lista de Pacotes e dependncias:

Pacote Arquitetura Verso Repositrio Tamanho
Instalao:
bind x86_64 32:9.7.0-5.P2.el6_0.1 updates 3.5 M
dhcp x86_64 12:4.1.1-12.P1.el6_0.4 updates 887 K
freeradius x86_64 2.1.11-1.el6 PacKetFence 2.4 M
freeradius-perl x86_64 2.1.11-1.el6 PacKetFence 82 K
freeradius-utils x86_64 2.1.11-1.el6 PacKetFence 150 K
mysql-server x86_64 5.1.52-1.el6_0.1 updates 8.1 M
pacKetfence noarch 3.0.2-1.el6 PacKetFence 6.3 M
pacKetfence-freeradius2 noarch 3.0.2-1.el6 PacKetFence 23 K
snort x86_64 1:2.9.1.2-1.el6 PacKetFence 2.2 M
Dependncias:
apr x86_64 1.3.9-3.el6_0.1 updates 124 K
apr-util x86_64 1.3.9-3.el6_0.1 updates 87 K
apr-util-ldap x86_64 1.3.9-3.el6_0.1 updates 15 K
bind-libs x86_64 32:9.7.0-5.P2.el6_0.1 updates 829 K
cairo x86_64 1.8.8-3.1.el6 base 309 K
cvs x86_64 1.11.23-11.el6_0.1 updates 713 K
daq x86_64 0.6.2-1.el6 PacKetFence 135 K
dejavu-fonts-common noarch 2.30-2.el6 base 59 K
dejavu-lgc-sans-mono-fonts noarch 2.30-2.el6 base 393 K
dejavu-sans-mono-fonts noarch 2.30-2.el6 base 450 K
fontconfig x86_64 2.8.0-3.el6 base 186 K
fontpacKages-filesystem noarch 1.41-1.1.el6 base 8.8 K
freeradius-mysql x86_64 2.1.11-1.el6 PacKetFence 64 K
freetype x86_64 2.3.11-6.el6_0.2 updates 359 K
gettext x86_64 0.17-16.el6 base 1.8 M
httpd x86_64 2.2.15-5.el6.centos base 811 K
httpd-tools x86_64 2.2.15-5.el6.centos base 68 K
libX11 x86_64 1.3-2.el6 base 582 K
libX11-common noarch 1.3-2.el6 base 188 K
libXau x86_64 1.0.5-1.el6 base 22 K
libXft x86_64 2.1.13-4.1.el6 base 49 K
libXpm x86_64 3.5.8-2.el6 base 59 K
libXrender x86_64 0.9.5-1.el6 base 27 K
libdnet x86_64 1.12-6.el6 epel 28 K
Continuao:
libedit x86_64 2.11-4.20080712cvs.1.el6 base 74 K
libgomp x86_64 4.4.4-13.el6 base 108 K
libjpeg x86_64 6b-46.el6 base 134 K
libpcap x86_64 14:1.0.0-6.el6 base 126 K
libpng x86_64 2:1.2.44-1.el6 base 180 K
libthai x86_64 0.1.12-3.el6 base 183 K
libtool-ltdl x86_64 2.2.6-15.5.el6 base 44 K
libxcb x86_64 1.5-1.el6 base 100 K
lm_sensors-libs x86_64 3.1.1-10.el6 base 37 K
mailcap noarch 2.1.31-1.1.el6 base 27 K
mod_perl x86_64 2.0.4-10.el6 base 3.2 M
mod_ssl x86_64 1:2.2.15-5.el6.centos base 85 K
mysql x86_64 5.1.52-1.el6_0.1 updates 889 K
net-snmp x86_64 1:5.5-27.el6_0.1 updates 297 K
net-snmp-libs x86_64 1:5.5-27.el6_0.1 updates 1.5 M
pango x86_64 1.28.1-3.el6_0.5 updates 351 K
perl x86_64 4:5.10.1-115.el6 base 10 M
perl-Apache-Htpasswd noarch 1.8-3.el6 epel 16 K
perl-AppConfig noarch 1.66-6.el6 base 87 K
perl-Authen-Krb5-Simple x86_64 0.42-1.el6.rf rpmforge 34 K
perl-Authen-SASL noarch 2.13-2.el6 base 51 K
perl-BSD-Resource x86_64 1.29.03-3.el6 base 35 K
perl-Bit-Vector x86_64 7.1-2.el6 base 169 K
perl-CGI x86_64 3.49-115.el6 base 191 K
perl-CGI-Session noarch 4.35-5.el6 base 120 K
perl-Cache-Cache noarch 1.06-2.el6 epel 89 K
perl-Carp-Clan noarch 6.03-2.el6 base 25 K
perl-Class-Accessor noarch 0.31-6.1.el6 base 26 K
perl-Class-Accessor-Fast-Contained noarch 1.01-1.el6.rf rpmforge 9.9 K
perl-Class-Data-Inheritable noarch 0.08-3.1.el6 base 10 K
perl-Class-Gomor noarch 1.02-1.el6.rf rpmforge 23 K
perl-Compress-Raw-Zlib x86_64 2.023-115.el6 base 66 K
perl-Compress-Zlib x86_64 2.020-115.el6 base 42 K
perl-Config-IniFiles noarch 2.68-1.el6 epel 46 K
perl-Convert-ASN1 noarch 0.22-1.el6 base 43 K
Continuao:
perl-Crypt-DES x86_64 2.05-9.el6 epel 19 K
perl-Crypt-GeneratePassword noarch 0.03-16.el6 epel 213 K
perl-Crypt-Rijndael x86_64 1.09-2.el6 epel 31 K
perl-DBD-MySQL x86_64 4.013-3.el6 base 134 K
perl-DBD-Pg x86_64 2.15.1-3.el6 base 197 K
perl-DBI x86_64 1.609-4.el6 base 705 K
perl-Data-HexDump noarch 0.02-1.2.el6.rf rpmforge 8.8 K
perl-Data-PhrasebooK noarch 0.29-1.el6.rf rpmforge 60 K
perl-Data-PhrasebooK-Loader-YAML noarch 0.09-1.el6.rf rpmforge 24 K
perl-Date-Manip noarch 5.54-4.el6 base 177 K
perl-Devel-StacKTrace noarch 1:1.22-4.el6 base 26 K
perl-Digest-HMAC noarch 1.01-22.el6 base 22 K
perl-Digest-SHA1 x86_64 2.12-2.el6 base 49 K
perl-Email-Date-Format noarch 1.002-5.el6 base 16 K
perl-Error noarch 1:0.17015-4.el6 base 29 K
perl-Exception-Class noarch 1.29-1.1.el6 base 37 K
perl-ExtUtils-MaKeMaKer x86_64 6.55-115.el6 base 289 K
perl-ExtUtils-ParseXS x86_64 1:2.2003.0-115.el6 base 41 K
perl-File-Tail noarch 0.99.3-8.el6 epel 23 K
perl-FreezeThaw noarch 0.45-5.el6 base 19 K
perl-GSSAPI x86_64 0.26-5.el6 base 64 K
perl-HTML-Parser x86_64 3.64-2.el6 base 109 K
perl-HTML-Tagset noarch 3.20-4.el6 base 17 K
perl-IO-Compress-Base x86_64 2.020-115.el6 base 65 K
perl-IO-Compress-Zlib x86_64 2.020-115.el6 base 132 K
perl-IO-SocKet-SSL noarch 1.31-2.el6 base 69 K
perl-IO-Tty x86_64 1.08-3.el6 epel 39 K
perl-IPC-Cmd x86_64 1:0.56-115.el6 base 42 K
perl-IPC-ShareLite x86_64 0.17-1.el6.rf rpmforge 63 K
perl-IPTables-ChainMgr noarch 0.9-1 PacKetFence 17 K
perl-IPTables-Parse noarch 0.7-4.el6 epel 16 K
perl-IPTables-libiptc x86_64 0.51-2.el6.rf rpmforge 86 K
perl-JSON noarch 2.15-5.el6 base 97 K
perl-LDAP noarch 1:0.40-1.el6 base 354 K
perl-List-MoreUtils x86_64 0.22-10.el6 base 53 K
Continuao:
perl-Locale-MaKetext-Simple x86_64 1:0.18-115.el6 base 27 K
perl-Log-Dispatch noarch 2.27-1.el6 epel 71 K
perl-Log-Dispatch-FileRotate noarch 1.19-4.el6 epel 24 K
perl-Log-Log4perl noarch 1.30-1.el6 epel 392 K
perl-MIME-Lite noarch 3.027-2.el6 base 82 K
perl-MIME-Lite-TT noarch 0.02-1.el6.rf rpmforge 7.7 K
perl-MIME-Types noarch 1.28-2.el6 base 32 K
perl-Mail-Sender noarch 0.8.16-3.el6 epel 54 K
perl-Mail-Sendmail noarch 0.79-12.el6 epel 28 K
perl-MailTools noarch 2.04-4.el6 base 101 K
perl-Math-Base85 noarch 0.2-6.el6 epel 13 K
perl-Module-Load x86_64 1:0.16-115.el6 base 24 K
perl-Module-Load-Conditional x86_64 0.30-115.el6 base 30 K
perl-Module-Pluggable x86_64 1:3.90-115.el6 base 36 K
perl-Net-Appliance-PhrasebooK noarch 1.8-1.el6.rf rpmforge 17 K
perl-Net-Appliance-Session noarch 1.36-1.el6.rf rpmforge 121 K
perl-Net-Frame noarch 1.07-1 PacKetFence 36 K
perl-Net-Frame-Simple noarch 1.04-1 PacKetFence 14 K
perl-Net-IPv4Addr noarch 0.10-6.el6 epel 16 K
perl-Net-IPv6Addr noarch 0.2-6.el6 epel 13 K
perl-Net-Interface x86_64 1.011-1.el6.rf rpmforge 132 K
perl-Net-LibIDN x86_64 0.12-3.el6 base 35 K
perl-Net-MAC noarch 1.5-1.el6.rf rpmforge 21 K
perl-Net-MAC-Vendor noarch 1.18-1.el6.rf rpmforge 14 K
perl-Net-NetmasK noarch 1.9015-8.el6 epel 25 K
perl-Net-Pcap x86_64 0.16-2.el6 epel 80 K
perl-Net-SNMP noarch 5.2.0-4.el6 epel 100 K
perl-Net-SSLeay x86_64 1.35-9.el6 base 173 K
perl-Net-Telnet noarch 3.03-11.el6 base 56 K
perl-Net-Write noarch 1.05-1 PacKetFence 16 K
perl-Params-ChecK x86_64 1:0.26-115.el6 base 32 K
perl-Params-Validate x86_64 0.92-3.el6 base 75 K
perl-Parse-Nessus-NBE noarch 1.1-1 PacKetFence 10 K
perl-Parse-RecDescent noarch 1.965-1.el6 epel 189 K
perl-Pod-Escapes x86_64 1:1.04-115.el6 base 29 K
Continuao:
perl-Pod-POM noarch 0.25-2.el6 base 75 K
perl-Pod-Simple x86_64 1:3.13-115.el6 base 208 K
perl-RadiusPerl noarch 0.15-1.el6.rf rpmforge 19 K
perl-Readonly noarch 1.03-11.el6 base 22 K
perl-Readonly-XS x86_64 1.05-3.el6 base 14 K
perl-Regexp-Common noarch 2010010201-2.el6.rf rpmforge 168 K
perl-SOAP-Lite noarch 0.710.10-2.el6 base 328 K
perl-SocKet6 x86_64 0.23-3.el6 base 23 K
perl-Template-ToolKit x86_64 2.22-5.el6 base 1.3 M
perl-TermReadKey x86_64 2.30-10.el6 base 31 K
perl-Test-Harness x86_64 3.17-115.el6 base 228 K
perl-Test-Simple x86_64 0.92-115.el6 base 109 K
perl-Text-CSV noarch 1.21-1.el6.rf rpmforge 50 K
perl-Text-CSV_XS x86_64 0.85-1.el6 epel 71 K
perl-Text-Iconv x86_64 1.7-6.el6 base 22 K
perl-Thread-Conveyor noarch 0.17-1.el6.rf rpmforge 28 K
perl-Thread-Conveyor-Monitored noarch 0.12-1.el6.rf rpmforge 20 K
perl-Thread-Pool noarch 0.32-1.el6.rf rpmforge 39 K
perl-Thread-Serialize noarch 0.11-1.el6.rf rpmforge 11 K
perl-Thread-Tie noarch 0.12-1.el6.rf rpmforge 34 K
perl-Time-HiRes x86_64 4:1.9721-115.el6 base 45 K
perl-TimeDate noarch 1:1.16-11.1.el6 base 34 K
perl-Try-Tiny noarch 0.09-1.el6.rf rpmforge 18 K
perl-UNIVERSAL-require noarch 0.13-1.el6.rf rpmforge 11 K
perl-URI noarch 1.40-2.el6 base 117 K
perl-XML-DOM noarch 1.44-7.el6 base 136 K
perl-XML-Filter-BufferText noarch 1.01-8.el6 base 9.6 K
perl-XML-LibXML x86_64 1:1.70-5.el6 base 364 K
perl-XML-NamespaceSupport noarch 1.10-3.el6 base 17 K
perl-XML-Parser x86_64 2.36-7.el6 base 224 K
perl-XML-RegExp noarch 0.03-7.el6 base 9.8 K
perl-XML-SAX noarch 0.96-7.el6 base 78 K
perl-XML-SAX-Writer noarch 0.50-8.el6 base 24 K
perl-YAML noarch 0.70-4.el6 base 81 K
perl-devel x86_64 4:5.10.1-115.el6 base 419 K
Continuao:
perl-gettext x86_64 1.05-16.el6 epel 21 K
perl-libs x86_64 4:5.10.1-115.el6 base 576 K
perl-libwww-perl noarch 5.833-2.el6 base 387 K
perl-load noarch 0.19-1.el6.rf rpmforge 26 K
perl-suidperl x86_64 4:5.10.1-115.el6 base 46 K
perl-version x86_64 3:0.77-115.el6 base 48 K
php x86_64 5.3.2-6.el6_0.1 updates 1.1 M
php-cli x86_64 5.3.2-6.el6_0.1 updates 2.2 M
php-common x86_64 5.3.2-6.el6_0.1 updates 516 K
php-gd x86_64 5.3.2-6.el6_0.1 updates 103 K
php-ldap x86_64 5.3.2-6.el6_0.1 updates 35 K
php-pear noarch 1:1.9.0-2.el6 base 391 K
php-pear-Auth-SASL noarch 1.0.4-1.el6 epel 12 K
php-pear-Log noarch 1.12.7-1.el6 epel 58 K
php-pear-MDB2 noarch 2.5.0-0.3.b3.el6 epel 125 K
php-pear-Mail noarch 1.2.0-1.el6 epel 29 K
php-pear-Net-SMTP noarch 1.6.1-1.el6 epel 22 K
php-pear-Net-SocKet noarch 1.0.10-1.el6 epel 12 K
php-pear-db noarch 1.7.13-2.el6.rf rpmforge 101 K
pixman x86_64 0.18.4-1.el6_0.1 updates 146 K
pKgconfig x86_64 1:0.23-9.1.el6 base 70 K
postgresql-libs x86_64 8.4.7-1.el6_0.1 updates 193 K
rrdtool x86_64 1.3.8-6.el6 base 293 K
rrdtool-perl x86_64 1.3.8-6.el6 base 36 K
zlib-devel x86_64 1.2.3-25.el6 base 43 K
10. Baixe o nessus em http://www.tenable.com/products/nessus/nessus-down-

load-agreement e depois instale-o.
rpm -ivh Nessus-4.4.1-es6.x86_64.rpm
11. Obtenha um serial registrando o produto em http://www.tenable.com/prod-

ucts/nessus/nessus-homefeed, posteriormente ative o serial com o comando, a se-
guir:
/opt/nessus/bin/nessus-fetch --register XXXX-XXXX-XXXX-XXXX-XXXX

Aps a execuo do comando demonstrado anteriormente, o nessus vai baixar os

plugins mais recentes, a fim de deixar o software atualizado.
O comando a seguir, utilizado para adicionar usurios com privilgios de admi-

nistrador ou no ao Nessus.
/opt/nessus/sbin/nessus-adduser
86
ANEXO A -- Traduo da Documentao do

PacketFence

Controle de Acesso A Rede Com PacketFenc PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Controle de Acesso A Rede Com PacketFenc PDF

Uploaded by

Copyright:

Available Formats

FACULDADE DE TECNOLOGIA SENAI DE DESENVOLVIMENTO

Andr Luiz Ramos de Souza

Controle de Acesso Rede

Controle de Acesso Rede

Trabalho de concluso de curso apresen-

Andr Luiz Ramos de Souza

Controle de Acesso Rede

Trabalho de concluso de curso apresentado Faculdade de Tecnologia SENAI de

Prof. MSc. Maurcio Severich

Prof. MSc. Rafael Leal Martins

Prof. MSc. Diogo Nunes de Oliveira

Aos nossos pais, esposas, filhos e

Agradecemos a Deus em primeiro lugar, que nos deu a oportunidade de ini-

"As pessoas que so loucas o

Comercial Pense Diferente da Apple,

Este trabalho tem como escopo demonstrar atravs de implementao a utilizao

Lista de Siglas xiv

2 FERRAMENTAS, PADRES, PROTOCOLOS E TECNOLOGIAS 5

2.1 O QUE NETWORK ACCESS CONTROL ? . . . . . . . . . . . . . . . . . 5

2.1.1 Tipos de NAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

2.1.2 NAC: Primeira Gerao . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

2.1.3 NAC: Segunda Gerao . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

2.1.4 O que Network Access Protection ? . . . . . . . . . . . . . . . . . . . 8

2.1.5 O que Network Admission Control ? . . . . . . . . . . . . . . . . . . 8

2.2 DYNAMIC HOST CONFIGURATION PROTOCOL . . . . . . . . . . . . . . 9

2.2.1 DHCP Fingerprint . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

2.2.1.1 Como Funciona . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

2.3 CAPTIVE PORTAL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

2.5 IEEE 802.1X . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

2.5.1 Extensible Authentication Protocol . . . . . . . . . . . . . . . . . . . . 17

2.6 SIMPLE NETWORK MANAGEMENT PROTOCOL . . . . . . . . . . . . . . 19

2.7 NETFLOW / IPFIX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

2.8 IEEE 802.1Q . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

2.9 INTRUSION DETECTION SYSTEM . . . . . . . . . . . . . . . . . . . . . . 24

3.1 O QUE PACKETFENCE ? . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

3.1.1 Viso Geral . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

3.1.2 Modos PacketFence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

3.1.3 Integrao Wireless . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

3.1.4 Registro de Dispositivos . . . . . . . . . . . . . . . . . . . . . . . . . . 30

3.1.5 Deteco de Atividade Anormal . . . . . . . . . . . . . . . . . . . . . . 31

3.1.6 Remediao de Dispositivos . . . . . . . . . . . . . . . . . . . . . . . . 31

3.1.7 Gerenciamento Baseado em Linha de Comando e Web . . . . . . . . 31

3.1.8 Gerenciamento Flexvel de VLAN . . . . . . . . . . . . . . . . . . . . . 32

3.1.9 Tipos de Violao . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

3.1.10 Registro Automtico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

3.1.12 Acesso a Visitantes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

4.1 CONFIGURAO DE HARDWARE . . . . . . . . . . . . . . . . . . . . . . 35

4.2 MODELO DE TOPOLOGIA . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

4.3.1 Interface de Rede . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

4.3.5 Configurao do Switch . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

4.3.5.1 Modo Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55

4.3.5.2 Modo 802.1x . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

4.3.7 Acesso Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

4.3.8 Habilitando o Snort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

4.3.9 Habilitando o Nessus . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

Apndice A -- Instalando o PacketFence 77

A.1 Procedimentos para Instalao . . . . . . . . . . . . . . . . . . . . . . . . . 77

Anexo A -- Traduo da Documentao do PacketFence 86

FIGURA 1 Etapas envolvidas em uma comunicao entre o cliente e o

FIGURA 2 Pacote do tipo DHCP Discover . . . . . . . . . . . . . . . . . . 12

FIGURA 3 Lista de parmetros de um DHCP Discover . . . . . . . . . . . 12

FIGURA 5 EAPOL Relay . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

FIGURA 6 EAPOL Termination . . . . . . . . . . . . . . . . . . . . . . . . 16