rede sem fio

Prévia do material em texto

I Workshop do POP-MG
Rede sem fio
Pollyana do Amaral Ferreira
polly@pop-mg.rnp.br
2/36
 
I Workshop do POP-MG Rede sem fio
Sumário
Introdução
Principais aplicações
O padrão IEEE 802.11
Segurança e suas diferentes 
necessidades
Conclusão
3/36
 
I Workshop do POP-MG Rede sem fio
Introdução
Comodidade
Aumento da produtividade
ROI – até 70 minutos por dia
APs de baixo custo disponíveis no 
mercado
Instalações inadequadas expõe a rede
Administradores devem implantar 
WLAN com segurança
4/36
 
I Workshop do POP-MG Rede sem fio
Principais aplicações
5/36
 
I Workshop do POP-MG Rede sem fio
Padrão IEEE 802.11
802.11a 5GHz, 54Mbps
802.11b 2,4GHz, 11Mbps
802.11c Protocolo para bridges
802.11d Wold Mode (Europa 20dB, EUA/BRA 36dB)
802.11e Qualidade de Serviço (QoS)
802.11f Inter-Access Point Protocol (IAPP)
802.11g 2,4GHz, 54Mbps, modulação digital
802.11h Seleção dinâmica de freqüência
802.11i Autenticação e segurança
6/36
 
I Workshop do POP-MG Rede sem fio
802.11a
5GHz
54Mbps
8 canais
Mais caro
1/3 da área de cobertura
Consome mais energia (4 a 5x)
7/36
 
I Workshop do POP-MG Rede sem fio
802.11b
2,4GHz
11Mbps
Canais
11 canais – EUA
13 canais – Brasil
14 canais – Japão
Aprovado praticamente no em todo 
o mundo
8/36
 
I Workshop do POP-MG Rede sem fio
802.11g
2,4GHz
54Mbps
11 canais: Compatível com 
802.11b
Mesma modulação do 802.11a: 
OFDM
9/36
 
I Workshop do POP-MG Rede sem fio
Segurança (802.11i)
Melhorias do WPA:
Autenticação: 802.1x
Criptografia
Substitui WEP por TKIP
Feito no firmware
Substitui WEP por AES (WPA2)
Requer substituição do hardware
10/36
 
I Workshop do POP-MG Rede sem fio
Níveis de Segurança
11/36
 
I Workshop do POP-MG Rede sem fio
Acesso Público
Necessidade:
Facilidade de uso
Logo, não utiliza 
nenhum dos 
mecanismos de 
segurança do 802.11
12/36
 
I Workshop do POP-MG Rede sem fio
Segurança Básica
13/36
 
I Workshop do POP-MG Rede sem fio
Segurança Padrão 802.11
Autenticação:
SSID
Autenticação Open
Autenticação Mac
Privacidade:
WEP estática
14/36
 
I Workshop do POP-MG Rede sem fio
SSID
Usado para separar redes wireless
logicamente. 
15/36
 
I Workshop do POP-MG Rede sem fio
Criptografia WEP
Wired Equivalent Privacy
Baseado no protocolo RC4 da RSA
Protocolo seguro, utilizado por bancos
Chaves de 40, 104 ou 128bits
Porém o padrão prevê 40 bits
Deve ser configurado em todos os 
clientes e APs.
16/36
 
I Workshop do POP-MG Rede sem fio
Autenticação Open
Autenticação orientada a 
dispositivo
Utiliza autenticação nula: Toda 
requisição é aceita
Sem WEP, a rede está aberta para 
qualquer usuário
Com WEP, ele é um “autenticador” 
indireto.
17/36
 
I Workshop do POP-MG Rede sem fio
Autenticação MAC
Somente os MACs autorizados 
conseguem conectar-se
Não faz parte do padrão 802.11
A implementação é específica de 
cada fabricante.
18/36
 
I Workshop do POP-MG Rede sem fio
Segurança Avançada
19/36
 
I Workshop do POP-MG Rede sem fio
Vulnerabilidades do 802.11
SSID
Autenticação MAC
WEP Estática
20/36
 
I Workshop do POP-MG Rede sem fio
Vulnerabilidades: SSID
SSID pode ser rastreado com 
sniffer, mesmo com broadcast 
desabilitado.
Desabilitar broadcast do SSID pode 
 impactar a compatibilidade WiFi.
21/36
 
I Workshop do POP-MG Rede sem fio
Vulnerabilidades: MAC
Endereços MAC são enviados em 
clear text
Podem ser rastreados.
22/36
 
I Workshop do POP-MG Rede sem fio
Vulnerabilidades: WEP
WEP utiliza um protocolo robusto
Porém a implementação no padrão 
802.11 é vulnerável:
Todas as APs e clientes utilizam a 
mesma chave WEP
 As chaves são estáticas, não mudam
Gerenciamento e distribuição de 
chaves é problemático
23/36
 
I Workshop do POP-MG Rede sem fio
Vulnerabilidades: WEP
chave ⊗ texto aberto => texto criptografado
chave ⊗ texto criptografado => texto aberto
texto aberto ⊗ texto criptografado => chave
24/36
 
I Workshop do POP-MG Rede sem fio
Vulnerabilidades: WEP
A chave WEP pode ser derivada, 
utilizando análise estática, com 1M 
a 4M de frames
O ataque é passivo, apenas escuta 
a rede wireless
Implementado no AirSnort
25/36
 
I Workshop do POP-MG Rede sem fio
Vulnerabilidades do 802.11
Os mecanismos de segurança 
foram desenvolvidos em 1997 e 
são vulneráveis!
SSID
Autenticação MAC
WEP estática
OK para o uso residencial, mas 
NÃO para o uso corporativo!
26/36
 
I Workshop do POP-MG Rede sem fio
Autenticação e 
Criptografia Fortes
WPA Wi-Fi Protected Access
TKIP Key Integrity Protocol
AES Advanced Encryption 
Standart 
27/36
 
I Workshop do POP-MG Rede sem fio
Autenticação Forte
802.1x para 802.11
Mecanismo de autenticação para 
acesso à redes
Criado para redes cabeadas
Bloqueia toda a comunicação, 
permitindo apenas a autenticação
Passagem do protocolo EAP 
(Extensible Authentication Protocol)
28/36
 
I Workshop do POP-MG Rede sem fio
Tipos de EAP
LEAP
EAP-TLS
PEAP/EAP-FAST
29/36
 
I Workshop do POP-MG Rede sem fio
Tipos de EAP: LEAP
Lightweight EAP
Mais usado (aprox. 60%)
Suporta principais SOs
Proprietário da CISCO
30/36
 
I Workshop do POP-MG Rede sem fio
Tipos de EAP: EAP-TLS
EAP-Transport Layer Security
Utilização de cert. Digitais (PKI)
Não proprietário
Suportado em Win2000,XP, Linux 
Mac
Mais complexo de implementar
Certificado Digital em todos os 
clientes.
31/36
 
I Workshop do POP-MG Rede sem fio
Tipos de EAP: PEAP
PEAP/EAP-FAST
Protected EAP
Utiliza PKI apenas na infraestrutura
Estabelece túnel seguro (similar 
SSL)
32/36
 
I Workshop do POP-MG Rede sem fio
Criptografia Forte
Temporal Key Integrity Protocol (TKIP)
Aumenta segurança da criptografia WEP
Chaves novas por pacotes
Message Integrity Check
Advanced Encryption Standart (AES)
Mais novo padrão de criptografia
Requer substituição do hardware
VPN over Wireless
Criptografia – Seguro e confiável
33/36
 
I Workshop do POP-MG Rede sem fio
Segurança Fim a Fim
34/36
 
I Workshop do POP-MG Rede sem fio
Segurança de 
Acesso Remoto - VPNs
35/36
 
I Workshop do POP-MG Rede sem fio
VPN over 802.11
Impacto no desempenho
Necessidade de vários 
concentradores de VPN
Suporta apenas Unicast
36/36
 
I Workshop do POP-MG Rede sem fio
Conclusão
Diferentes utilizações para as redes 
Wireless tem necessidade de 
segurança diferentes.
Sua rede Wireless pode ser tão 
segura quanto sua necessidade.
Políticas e procedimentos de 
segurança são tão importantes 
quanto tecnologias.