[03/07]
:. Resumo do dia [03/07] :. Problemas graves com os links da Telefonica em SP [03/07] :. Texas Instruments integra projetor em BlackBarry [03/07] :. Willcom 9: celular pequeno e integrado ao Google [03/07] :. SSDs consomem mais energia que HDs convencionais [03/07] :. Firefox entrou para o Guinness Book [02/07] :. Revista GIMPZINE nº 8 [02/07] :. Os críticos estão errados: o KDE 4 não precisa de um fork [02/07] :. Resumo do dia [02/07] :. Everex preparando Cloudbook de 10,2 polegadas [02/07] :. AMD Phenom de 45 nm poderá suportar memória DDR3 [02/07] :. Instalando o VMWare Workstation 6.x no Mandriva Linux [01/07] :. Um ano de GPLv3: estudos sobre a adoção da licença [01/07] :. Google e MPF entram em acordo sobre pedofilia no Orkut [01/07] :. Fotos do Eee Monitor: o 'iMac' da Asus :. Mais noticias » |
Este artigo demonstra como implementar uma camada de segurança realmente eficaz na sua rede sem fio. Vamos supor que você tenha toda uma rede montada, sua estrutura é composta por cabos, switches, vários computadores (incluindo um servidor com Linux, que é o ponto mais importante deste artigo) e pelo menos um Access Point. Um Access Point nada mais é do que um switch sem fio e uma ponte entre as duas redes (sem fio e cabeada), ele está ligado diretamente ao backbone da rede por meio de um dos switches presentes. Iremos isolar o Access Point desconectando-o do switch e conectando-o em uma placa de rede adicional instalada no servidor. Configurando as interfaces do servidor
Instale o pacote "bridge-utils": $ apt-get install bridge-utils
Edite o arquivo "/etc/network/interfaces", substitua a interface "eth0" pela "br0" (bridge), configure também a interface "eth1". Exemplo do novo "/etc/network/interfaces": # Loopback Reinicie a rede: $ /etc/init.d/network stop $ /etc/init.d/network start Configurando o servidor VPN
Não pretendo me aprofundar muito no OpenVPN com este artigo, iremos utilizar chaves estáticas, o que é mais simples de implementar, porém, a melhor maneira de explorar os recursos do programa, é utilizando certificados (é muito mais seguro), maiores detalhes em http://www.openvpn.net. Instale o OpenVPN: $ apt-get install openvpn
Configure o OpenVPN: Crie o arquivo "/etc/openvpn/servidor-cliente1.conf", este servirá para atender o primeiro participante da rede sem fio que irá utilizar a VPN, é possível executar um único daemon para atender vários clientes, porém, na minha opinião, fica mais fácil controlar os mesmos com um daemon para cada um. Conteúdo do "/etc/openvpn/servidor-cliente1.conf": # Endereço e porta do serviço Gere a chave secreta: $ openvpn --genkey --secret /etc/openvpn/chave_secreta1.key Crie o arquivo "/etc/openvpn/servidor-cliente1.up" com o conteúdo abaixo e torne-o executável: #!/bin/sh $ chmod 755 /etc/openvpn/servidor-cliente1.up Reinicie o OpenVPN: $ /etc/init.d/openvpn restart
Configurando o Access Point
Configure o endereço IP do seu Access Point para 10.0.0.253, conecte-o à interface "eth1" do servidor Linux, execute o "ping" para verificar se a rede entre o Access Point e o servidor Linux está operante. Mesmo que os recursos de segurança do Access Point/redes sem fio não sejam suficientes (essa é a razão deste artigo), configure-os para ficar da maneira mais "apertada" possível, habilite a criptografia WEP/WPA, desabilite o broadcast do SSID e faça o controle de acesso por MAC. Configurando a interface do cliente
Pressupondo que o cliente consiga ingressar na rede sem fio, basta especificar o endereço IP e a máscara de sub-rede do mesmo, veja o exemplo abaixo: Endereço IP: 10.0.0.1 Máscara de sub-rede: 255.255.255.0 Não é necessário especificar o gateway padrão, esta configuração acima serve apenas para o cliente poder conectar no servidor VPN e estabelecer o link seguro, que será o responsável pelo tráfego dos dados que realmente nos interessam, configure também o "/etc/resolv.conf", apontando os servidores DNS. Configurando a VPN no cliente
A configuração da VPN no cliente é bastante similar à do servidor, o que muda são apenas algumas linhas. Crie o arquivo "/etc/openvpn/cliente1-servidor.conf" com o seguinte conteúdo: # Endereço e porta do serviço Copie a chave secreta do servidor para o cliente (no diretório "/etc/openvpn"), utilizando um meio de transporte seguro. A chave deverá ter a permissão "600", e pertencer ao usuário "root" e grupo "root". Script para adição do gateway padrão
O script "/etc/openvpn/cliente1-servidor.up", serve apenas para adicionar o gateway padrão, opcionalmente você poderá incluir outros comandos, veja o conteúdo abaixo: #!/bin/sh Agora torne-o executável: $ chmod 755 /etc/openvpn/cliente1-servidor.up Reinicie o OpenVPN: $ /etc/init.d/openvpn/restart Sua rede sem fio segura está pronta! Notas
Para que sua rede sem fio seja realmente segura, é necessário que você configure o firewall do cliente para não permitir tráfego algum na interface real (sem fio), exceto aquele destinado ao endereço IP da interface "eth1" no servidor, porta UDP 1194. O tráfego na interface "tap0" deverá ser liberado. Configure também o firewall do servidor para não permitir tráfego na interface "eth1" que não seja destinado ao uso do VPN, o roteamento entre as interfaces "br0" e "eth1" deverá ser proibido. Suponha alguém consiga invadir sua rede sem fio e capturar seus dados, não há motivos para se preocupar, os mesmos estão encapsulados na VPN, onde a criptografia é de alto nível. Caso seu Access Point tenha a opção de isolar os clientes sem fio (impedir a comunicação entre eles), habilite-a, isto evitará que sua infra-estrutura seja utilizada como "playground" pelos invasores, O máximo que poderá acontecer no caso de uma invasão é exatamente *nada*, (isso mesmo), a isolação é realmente segura por causa do modelo de conexão utilizado para com a rede cabeada/Access Point, e por causa da VPN utilizada. Todo o procedimento acima deverá ser executado como "root". » Gostou do texto? Veja nossos livros impressos
|
