Baixe o app para aproveitar ainda mais
Prévia do material em texto
I Workshop do POP-MG Rede sem fio Pollyana do Amaral Ferreira polly@pop-mg.rnp.br 2/36 I Workshop do POP-MG Rede sem fio Sumário Introdução Principais aplicações O padrão IEEE 802.11 Segurança e suas diferentes necessidades Conclusão 3/36 I Workshop do POP-MG Rede sem fio Introdução Comodidade Aumento da produtividade ROI – até 70 minutos por dia APs de baixo custo disponíveis no mercado Instalações inadequadas expõe a rede Administradores devem implantar WLAN com segurança 4/36 I Workshop do POP-MG Rede sem fio Principais aplicações 5/36 I Workshop do POP-MG Rede sem fio Padrão IEEE 802.11 802.11a 5GHz, 54Mbps 802.11b 2,4GHz, 11Mbps 802.11c Protocolo para bridges 802.11d Wold Mode (Europa 20dB, EUA/BRA 36dB) 802.11e Qualidade de Serviço (QoS) 802.11f Inter-Access Point Protocol (IAPP) 802.11g 2,4GHz, 54Mbps, modulação digital 802.11h Seleção dinâmica de freqüência 802.11i Autenticação e segurança 6/36 I Workshop do POP-MG Rede sem fio 802.11a 5GHz 54Mbps 8 canais Mais caro 1/3 da área de cobertura Consome mais energia (4 a 5x) 7/36 I Workshop do POP-MG Rede sem fio 802.11b 2,4GHz 11Mbps Canais 11 canais – EUA 13 canais – Brasil 14 canais – Japão Aprovado praticamente no em todo o mundo 8/36 I Workshop do POP-MG Rede sem fio 802.11g 2,4GHz 54Mbps 11 canais: Compatível com 802.11b Mesma modulação do 802.11a: OFDM 9/36 I Workshop do POP-MG Rede sem fio Segurança (802.11i) Melhorias do WPA: Autenticação: 802.1x Criptografia Substitui WEP por TKIP Feito no firmware Substitui WEP por AES (WPA2) Requer substituição do hardware 10/36 I Workshop do POP-MG Rede sem fio Níveis de Segurança 11/36 I Workshop do POP-MG Rede sem fio Acesso Público Necessidade: Facilidade de uso Logo, não utiliza nenhum dos mecanismos de segurança do 802.11 12/36 I Workshop do POP-MG Rede sem fio Segurança Básica 13/36 I Workshop do POP-MG Rede sem fio Segurança Padrão 802.11 Autenticação: SSID Autenticação Open Autenticação Mac Privacidade: WEP estática 14/36 I Workshop do POP-MG Rede sem fio SSID Usado para separar redes wireless logicamente. 15/36 I Workshop do POP-MG Rede sem fio Criptografia WEP Wired Equivalent Privacy Baseado no protocolo RC4 da RSA Protocolo seguro, utilizado por bancos Chaves de 40, 104 ou 128bits Porém o padrão prevê 40 bits Deve ser configurado em todos os clientes e APs. 16/36 I Workshop do POP-MG Rede sem fio Autenticação Open Autenticação orientada a dispositivo Utiliza autenticação nula: Toda requisição é aceita Sem WEP, a rede está aberta para qualquer usuário Com WEP, ele é um “autenticador” indireto. 17/36 I Workshop do POP-MG Rede sem fio Autenticação MAC Somente os MACs autorizados conseguem conectar-se Não faz parte do padrão 802.11 A implementação é específica de cada fabricante. 18/36 I Workshop do POP-MG Rede sem fio Segurança Avançada 19/36 I Workshop do POP-MG Rede sem fio Vulnerabilidades do 802.11 SSID Autenticação MAC WEP Estática 20/36 I Workshop do POP-MG Rede sem fio Vulnerabilidades: SSID SSID pode ser rastreado com sniffer, mesmo com broadcast desabilitado. Desabilitar broadcast do SSID pode impactar a compatibilidade WiFi. 21/36 I Workshop do POP-MG Rede sem fio Vulnerabilidades: MAC Endereços MAC são enviados em clear text Podem ser rastreados. 22/36 I Workshop do POP-MG Rede sem fio Vulnerabilidades: WEP WEP utiliza um protocolo robusto Porém a implementação no padrão 802.11 é vulnerável: Todas as APs e clientes utilizam a mesma chave WEP As chaves são estáticas, não mudam Gerenciamento e distribuição de chaves é problemático 23/36 I Workshop do POP-MG Rede sem fio Vulnerabilidades: WEP chave ⊗ texto aberto => texto criptografado chave ⊗ texto criptografado => texto aberto texto aberto ⊗ texto criptografado => chave 24/36 I Workshop do POP-MG Rede sem fio Vulnerabilidades: WEP A chave WEP pode ser derivada, utilizando análise estática, com 1M a 4M de frames O ataque é passivo, apenas escuta a rede wireless Implementado no AirSnort 25/36 I Workshop do POP-MG Rede sem fio Vulnerabilidades do 802.11 Os mecanismos de segurança foram desenvolvidos em 1997 e são vulneráveis! SSID Autenticação MAC WEP estática OK para o uso residencial, mas NÃO para o uso corporativo! 26/36 I Workshop do POP-MG Rede sem fio Autenticação e Criptografia Fortes WPA Wi-Fi Protected Access TKIP Key Integrity Protocol AES Advanced Encryption Standart 27/36 I Workshop do POP-MG Rede sem fio Autenticação Forte 802.1x para 802.11 Mecanismo de autenticação para acesso à redes Criado para redes cabeadas Bloqueia toda a comunicação, permitindo apenas a autenticação Passagem do protocolo EAP (Extensible Authentication Protocol) 28/36 I Workshop do POP-MG Rede sem fio Tipos de EAP LEAP EAP-TLS PEAP/EAP-FAST 29/36 I Workshop do POP-MG Rede sem fio Tipos de EAP: LEAP Lightweight EAP Mais usado (aprox. 60%) Suporta principais SOs Proprietário da CISCO 30/36 I Workshop do POP-MG Rede sem fio Tipos de EAP: EAP-TLS EAP-Transport Layer Security Utilização de cert. Digitais (PKI) Não proprietário Suportado em Win2000,XP, Linux Mac Mais complexo de implementar Certificado Digital em todos os clientes. 31/36 I Workshop do POP-MG Rede sem fio Tipos de EAP: PEAP PEAP/EAP-FAST Protected EAP Utiliza PKI apenas na infraestrutura Estabelece túnel seguro (similar SSL) 32/36 I Workshop do POP-MG Rede sem fio Criptografia Forte Temporal Key Integrity Protocol (TKIP) Aumenta segurança da criptografia WEP Chaves novas por pacotes Message Integrity Check Advanced Encryption Standart (AES) Mais novo padrão de criptografia Requer substituição do hardware VPN over Wireless Criptografia – Seguro e confiável 33/36 I Workshop do POP-MG Rede sem fio Segurança Fim a Fim 34/36 I Workshop do POP-MG Rede sem fio Segurança de Acesso Remoto - VPNs 35/36 I Workshop do POP-MG Rede sem fio VPN over 802.11 Impacto no desempenho Necessidade de vários concentradores de VPN Suporta apenas Unicast 36/36 I Workshop do POP-MG Rede sem fio Conclusão Diferentes utilizações para as redes Wireless tem necessidade de segurança diferentes. Sua rede Wireless pode ser tão segura quanto sua necessidade. Políticas e procedimentos de segurança são tão importantes quanto tecnologias.
Compartilhar