Acesso Gratuito A Internet - Uma proposta de cadastro e autenticao para acesso Internet em locais pblicos

Marcelo de Borba UNISINOS celoborba@gmail.com

ResumoIniciativas de prover uma estrutura de cidade digital e consequentemente, fornecer Internet gratuita populao vem se tornando uma caracterstica comum de muitos gestores pblicos no Brasil. Porm, em muitos projetos que foram ou esto sendo postos em operao, pode-se encontrar diversas falhas e vulnerabilidades, como por exemplo, falta de autenticao e criptograa. Estas caractersticas propiciam a ocorrncia de graves problemas de segurana alm de prover um cenrio ideal para a prtica de crimes na Internet. Diante deste cenrio o presente artigo prope uma soluo segura para o fornecimento de Internet em locais pblicos.

Rafael Bohrer vila UNISINOS rbavila@unisinos.br

Tabela I C ONSOLIDADO G ERAL - SOLUES DE ACESSO PBLICO I NTERNET SOLUES DE ACESSO Cidade Cripto. Autent. Cad. Garibaldi-RS NO NO NO S. J. da Varginha-MG NO NO NO Manoel Vitorino-BA SIM NO NO Ribeiro Preto-SP NO SIM PRVIO Alvorada-RS NO SIM SIM Santa Isabel-SP NO NO NO Porto Alegre-RS NO NO NO Seattle-EUA NO NO NO Atenas-Grcia NO NO NO

I. I NTRODUO Atualmente as tecnologias de informao e comunicao esto convergindo para uma soluo nica, cujo objetivo principal prover uma infraestrutura dotada dos mais diversos servios populao. cada vez mais comum o desenvolvimento de solues pblicas para acesso Internet e demais servios eletrnicos, entretanto, os modelos de concesso de acesso a Internet que esto sendo implantados em diversos municpios demonstram um elevado grau de despreparo das empresas, gestores e tcnicos em relao segurana da informao [1], [2]. A utilizao de ferramentas e processos devidamente estruturados para estabelecer segurana s solues de acesso gratuito muitas vezes so deixados de lado em virtude dos custos elevados e a complexidade para implantao e gerenciamento da soluo. A falta de mo-deobra qualicada em conjunto com a ausncia de legislao especca para a rea de tecnologia e Internet tambm contribuem para a ausncia de segurana. Em um cenrio onde esto envolvidas pessoas das mais diversas classes econmicas, faixas etrias, servios, alm das etapas envolvidas no processo de acesso e utilizao da Internet, importante que a soluo desenvolvida possa prover um cenrio que abranja os requisitos bsicos de segurana como autenticao e criptograa, e ao mesmo tempo, oferea facilidade e transparncia na sua utilizao em virtude das caractersticas referentes ao conhecimento tcnico da maioria dos usurios. Considerando este contexto, o objetivo principal deste trabalho propor uma soluo segura, alm de permitir um processo automatizado para entrada de novos usurios na rede, utilizando bancos de dados comuns a todas as prefeituras brasileiras como por exemplo, o banco de dados dos usurios do SUS - CADSUS e o banco de dados referentes ao cadastro de imveis e proprietrios - IPTU [3], [4].

T. Uso SIM NO NO NO SIM NO NO SIM NO

O artigo inicia por uma anlise das solues atualmente empregadas conforme apresentada na seo a seguir. II. S OLUES ATUAIS Para o levantamento de solues atualmente implantadas foi efetuado uma pesquisa por cenrios semelhantes ao proposto neste artigo levando-se em considerao a utilizao de criptograa, cadastramento, autenticao e termo de uso, conforme especicado na Tabela I . Os projetos apresentados a seguir foram selecionados em virtude da quantidade de informaes disponveis, visto que diversas prefeituras no possuem informaes tcnicas a respeito de seus projetos implementados. As cidades de Garibaldi [5], So Jos da Varginha [6], Manoel Vitorino [7], Ribeiro Preto [8], Alvorada [9], Santa Isabel [10], Porto Alegre [11], Seattle [12] e Atenas [1] so utilizadas para comparao com a soluo proposta por este artigo. Atravs dessa pesquisa e possvel identicar particularidades que as diferem no quesito de segurana da rede. A utilizao de criptograa presente na soluo do municpio de Manoel Vitorino possibilita uma camada adicional de proteo aos dados trafegados dicultando, por exemplo, a captura de dados atravs de ataques como o parking lot [13], porm, a ausncia de cadastro e autenticao individual impossibilita a identicao dos usurios e consequentemente, a responsabilizao em caso de incidentes de segurana. importante ressaltar que nesse contexto a utilizao de criptograa se torna inecaz medida que a chave de acesso se torna pblica. A utilizao de um protocolo criptogrco como WEP e WPA na verso pessoal, implica em compartilhamento das informaes de autenticao

para todos os usurios de um determinado ponto de acesso fazendo com que os mesmos sejam divulgados ou compartilhados em diversos meios, como por exemplo, em redes sociais. A utilizao de certicados digitais para prover condencialidade pode ser implantada de forma satisfatria, porm, como soluo de autenticao se torna invivel pois cada cidado necessita possuir seu prprio certicado digital. A adoo desse modelo torna-se invivel a medida que o custo de implantao e manuteno tornam-se elevados, alm de que inapropriado impor a aquisio de um certicado digital cada cidado, ou at mesmo, a Prefeitura Municipal tornar-se uma autoridade certicadora provendo de forma gratuita certicados toda populao. Tambm se faz necessrio ressaltar a diculdade de utilizao desse modelo para cidados sem conhecimentos tcnicos ou especializados. Nas solues analisadas tambm se pode vericar que a ausncia de autenticao acompanhada da falta de cadastro dos usurios, conforme demonstrado na Tabela I. Dos nove municpios analisados, somente dois apresentaram mecanismos de autenticao, o que demonstra a necessidade de um modelo adequado para acesso gratuito Internet. Sem a presena de autenticao e um processo de cadastro convel, praticamente invivel efetuar a correta identicao dos usurios da rede e prover a auditoria dos acessos. Os diferentes processos de cadastro de usurios nas solues avaliadas possuem algumas caractersticas que comprometem a sua eccia e a autenticidade dos dados informados, entre as quais se pode citar: 1) Falta de mecanismos para conrmao e validao dos dados enviados no cadastro; 2) Processos estatizados demandando alocao de recursos humanos para validao e anlise de documentao; 3) Ausncia ou gerao inadequada de senhas para o primeiro acesso, comprometendo a condencialidade das mesmas; 4) Utilizao de email pessoal como meio para conrmao da autenticidade dos dados informados no cadastro. De maneira geral, possvel destacar mecanismos para formulao de uma soluo adequada, mecanismos de cadastro, autenticao e criptograa, quando utilizados em conjunto so capazes de propiciar um nvel de segurana adequado para acesso pblico a Internet. Por m observa-se que tanto o processo de cadastro e autenticao dos usurios quanto a navegao na rede devem ser protegidos, ou seja, as informaes devem ser trafegadas sob canais seguros dotados de criptograa. Com base no contedo exposto, a abordagem proposta apresenta uma soluo que atende as demandas elencadas. III. P ROPOSTA PARA IMPLEMENTAO DE CONCESSAO DE ACESSO I NTERNET GRATUITA PARA A POPULAO A partir do conjunto de fatores at ento apresentados, este trabalho prope uma soluo que visa fornecer um

Figura 1.

Fluxo de cadastro e autenticao.

modelo tcnico para implementao de acesso gratuito Internet de forma segura. Utilizando recursos adicionais que fazem parte da realidade de rgos pblicos municipais, como por exemplo, banco de dados existentes, possvel prover a sua aplicabilidade na maioria dos municpios brasileiros sem alteraes signicativas na soluo a ser proposta. Atualmente o governo federal mantm vrios servios que utilizam banco de dados nacionais como fonte de alimentao, porm, o acesso aos dados nem sempre facilitado ou no possui acesso universalizado s prefeituras. Assim, as bases de dados escolhidas para a soluo so o cadastro de imveis do municpio e o cadastro nacional de usurios do Sistema nico de Sade - SUS, presentes na quase totalidade de municpios do territrio brasileiro. Tais fontes de dados possuem atualizao constante, abrangncia em todas as faixas etrias e geralmente possuem um processo de contato direto com o cidado. O escopo deste trabalho est delimitado ao processo de concesso de Internet gratuita em locais pblicos como praas e escolas, envolvendo apenas as etapas do acesso do usurio rede pblica. A. Fluxo de Cadastro e Autenticao As bases de dados mencionadas podem ser utilizadas na construo de um mecanismo seguro e automatizado para cadastramento de usurios. Atravs de conexo segura utilizando o protocolo HTTPS, os usurios efetuam seu cadastramento ou autenticao, conforme uxo demonstrado na Figura 1. Ao efetuar a conexo de seu dispositivo ao PAP (Ponto de Acesso Pblico), o usurio direcionado ao portal de Acesso Gratuito, este portal possui as opes de autenticao e cadastramento, cabendo ao usurio a escolha apropriada. Ao se tratar de um novo usurio, o mesmo deve selecionar a opo de autocadastramento, conforme demonstrado na Figura 1, o usurio ser ento redirecionado para uma

nova pgina de cadastro onde dever preencher as informaes bsicas para incio do processo de cadastramento. As informaes bsicas solicitadas podem ser personalizadas de acordo com cada projeto ou ponto de acesso, sendo obrigatrio o fornecimento de no mnimo, o nome completo e um documento de identicao como RG ou CPF. A partir do momento do envio destas informaes aplicao, entra em funcionamento o mecanismo de busca e validao dos dados, este mecanismo efetua buscas nas bases de dados cadastrados na soluo e seleciona os registros cujos dados informados pelo usurio sejam idnticos aos encontrados pelo mecanismo de busca. Aps efetuar a busca e encontrar ao menos um cadastro vlido, a aplicao apresenta ao usurio um questionamento referente aos dados relativos ao cadastro encontrado cabendo ao usurio respond-las e envi-las novamente para a aplicao. Os dados selecionados podem variar conforme a base de dados selecionado, quando utilizado a base da dados do CADSUS pode-se utilizar os campos relativos ao nome da me, nmero do carto do sus e parte do endereo. Quando utilizada a base de dados referente aos imveis (IPTU) possivel utilizar dados como o numero de cadastro do imvel, endereo ou o prprio cdigo de ativao enviado anteriromente na emissao do tributo ao cidado. Ao receber as informaes complementares informadas pelo usurio o mecanismo efetua a validao das mesmas mediante comparao com os dados armazenados na aplicao. Se o processo de validao ocorrer com xito ento apresentado os termos de uso da rede, mediante a aceitao do usurios a aplicao gera as credenciais de acesso apresentando-as na tela do usurio.Aps conrmar o recebimento das informaes o usurio redirecionado para o portal de autenticao da soluo. Nos casos onde o mecanismo de validao no consegue encontrar dados sucientes, ou quando as perguntas no so respondidas adequadamente o sistema deve abortar as operaes seguintes orientando o usurio a reiniciar o processo de cadastramento, ou ento, efetuar o cadastro de forma presencial junto ao rgo responsvel pela rede de acesso no municpio. Aps a complementao de informaes e a validao dos dados informados, o usurio redirecionado ao portal de autenticao onde poder efetuar o seu login para acesso Internet. Para a proteo do trfego dos dados, a soluo utiliza uma aplicao de webproxy disponvel sobre o protocolo SSL. Atravs de conguraes especcas no rewall somente o trfego atravs deste servio permitido, fornecendo assim, uma camada de proteo contra snifng de pacotes ou ataques do tipo parking lot [13], [14]. A soluo de auto-cadastro e validao deve ser desenvolvida de acordo com cada soluo utilizada para o gerenciamento das bases de dados especicadas anteriormente, em virtude das diversas aplicaes utilizadas para gerenciamento desse tipo de dados preciso adaptar os mecanismos de consulta nas bases de dados.

Figura 2.

Portal de Autenticao.

IV. P ROTTIPO DA S OLUO Para implementao da soluo descrita na seo anterior so utilizadas solues existentes no mercado: a distribuio Pfsense [15], baseada no sistema operacional FreeBSD [16] e o aplicativo Glype [17], responsvel pelo servio de webproxy. A escolha das ferramentas para apresentao do prottipo levam em considerao a facilidade de implementao, bem como, o alto grau de documentao de suporte disponveis nos sites respectivos de cada soluo. A. Portal de Acesso Desenvolvido utilizando-se a soluo Pfsense o portal tem por objetivo prover a autenticao dos usurios, a Figura 2 demonstra o portal de autenticao que ser utilizado na implementao da soluo. Atravs da utilizao da prpria ferramenta Pfsense foi desenvolvido um portal para interface do usurio com o mecanismo de autenticao da rede suportanto autenticao em base local, Radius ou at mesmo, integrao com o servio Active Directory da Microsoft [18]. Aps a autenticao ser efetuada com sucesso o portal de autenticao redireciona o trfego do cliente autenticado para o proxy seguro da rede, o qual ser o ponto de navegao para a Internet. B. Webproxy A soluo utilizada para prover um sistema de webproxy operando exclusivamente pela porta 443 utilizando protocolo SSL [19] foi desenvolvida utilizando um servidor Apache em conjunto com a ferramenta Glype. Toda navegao via protocolo HTTP ou HTTPS redirecionada para o webproxy em questo. Os esforos na construo do soluo levaram em conta a transparncia e a facilidade de utilizao, visto que o usurio no precisa efetuar quaisquer alteraes em seu navegador bastanto apenas, digitar os endereos desejados no formulrio disponvel no prprio webproxy, conforme demonstrado na Figura 3. Durante a navegao o usurio pode visualizar, na parte superior do navegador, uma barra de ferramentas disponibilizada para permitir a mudana de site sem ter que retornar pgina principal do webproxy, conforme demonstrado na Figura 4.

Figura 3.

Pgina de acesso - Webproxy.

[3] CARTAONET. (2012) Portal de cadastros nacionais. Disponvel em: http://cartaonet.datasus.gov.br. Acesso em 15 de abril de 2012. [4] Brasil, Lei 10.257 de 10 de julho de 2001. regulamenta os artigos 182 e 183 da constituio federal, estabelece diretrizes gerais da poltica urbana e d outras providencias. Braslia, DF., 2001. [5] P. M. de Garibaldi. (2011) Internet para todos. Garibaldi RS. Disponvel em: http://internetparatodos.garibaldi.rs.gov.br. Acesso em 23 dezembro 2012. [6] P. M. de So Jos da Varginha. (2012) Internet grtis na praa so jos. So Jos da Varginha - MG. Disponvel em: http://www.saojosedavarginha.mg.gov.br/destaques/internetgratis-na-praca-sao-jose. Acesso em 22 de Abril de 2012. [7] P. M. de Manoel Vitorino, Site institucional, Manoel Vitorino - BA., 2012, disponvel em: http://manoelvitorino.com. Acesso em 22 de Abril de 2012. [8] P. M. de Ribeiro Preto. (2012) Ribeiro digital. Ribeiro Preto - SP. Disponvel em: http://www.ribeiraopreto.sp.gov.br/cidadao/i99rdigital.php. Acesso em 20 de abril de 2012. Acesso em 22 de Abril de 2012.

Figura 4.

Navegando com WebProxy.

A aplicao pode ser congurada para efetuar o log de todas as conexes efetuadas, fornecendo uma alternativa para efetuar a auditoria dos acessos. Em conjunto com os dados da autenticao possvel identicar todo o trfego oriundo de um mesmo usurio, os logs armazenados apresentam as informaes referentes ao IP de origem, data e hora do acesso e o endereo acessado na Internet. V. C ONCLUSES F INAIS Prover um meio alternativo, dotado de requisitos de segurana com baixo custo e com elevado nvel de compatibilidade com a infraestutura de redes pblicas existentes uma das principais premissas da soluo apresentada, a prxima etapa deste trabalho consiste na aplicao do mecanismo de auto-cadastramento, os detalhes de funcionamento esto sendo ajustados e a integrao com base de dados semelhantes as do Carto do SUS e IPTU do municpio de Garibaldi j esto em fase de testes. A unio das ferramentas propostas num nico ambiente em conjunto com os requisitos de cadastramento seguro, autenticao e e auditoria sero implementadas ao longo do segundo semestre de 2012 como projeto piloto no municpio de Garibaldi em duas das principais praas da cidade. R EFERNCIAS
[1] D. Ztoupis, K. Zaris, I. Stavrakakis, and C. Xenakis, Towards a security framework for an established autonomous network, in Wireless Pervasive Computing, 2008. ISWPC 2008. 3rd International Symposium on, may 2008, pp. 749 754. [2] G. Camponovo and A. Picco-Schwendener, Motivations of hybrid wireless community participants: A qualitative analysis of swiss fon members, in Mobile Business (ICMB), 2011 Tenth International Conference on, june 2011, pp. 253 262.

[9] P. M. de Alvorada, Atendenet, 2012, disponvel em: http://177.43.243.105/atendenet/>. Acesso em 05 de maio de 2012. [10] P. M. de Santa Isabel. (2012) Site institucional. Santa Isabel SP. Disponvel em: http://www.santaisabel.sp.gov.br/internet. Acesso em 22 de Abril de 2012. [11] PROCEMPA., Procempa livre e gratuita, 2012, disponvel em: http://www.procempa.com.br/default.php?p_secao=76. Acesso em 19 de maio de 2012. [12] G. Seattle, Wi in seattle, Seattle - EUA., 2012, disponvel em: http://www.seattle.gov/html/citizen/wi.htm. Acesso em 22 de Abril de 2012. [13] H. K. INFOSEC., Wireless network security, 2010, disponvel em: http://www.infosec.gov.hk/english/technical/les/wireless.pdf. Acesso em: 1 abril 2012. [14] M. Mallick, Mobile and Wireless Design Essentials. New York, NY, USA: John Wiley & Sons, Inc., 2003. [15] B. P. LLC, pfsense open source rewall, 2012, disponvel em:http://www.pfsense.org/. Acesso em: 12 julho 2012. [16] FreeBSD, The power to server, 2012, disponvel em:http://www.freebsd.org/. Acesso em: 12 junho 2012. [17] Glype, Glype proxy script, 2012, disponvel em:http://www.glype.com/. Acesso em: 12 junho 2012. [18] Microsoft, Active directory overview, 2012, disponvel em: http://www.microsoft.com/en-us/servercloud/windows-server/active-directory-overview.aspx. Acesso em: 20 julho 2012. [19] C. Peikari and A. Chuvakin, Security warrior - know your enemy. OReilly, 2004.