seguranca_em_redes

Prévia do material em texto

11
Segurança em Redes Wi-Fi
(um Estudo de Caso)(um Estudo de Caso)
EwertonEwerton L. Madruga ( L. Madruga (PUC-RioPUC-Rio))
Seminário de Capacitação e InovaçãoSeminário de Capacitação e Inovação
Rede Nacional de Pesquisa - RNPRede Nacional de Pesquisa - RNP
Recife – PE, Dezembro 2004Recife – PE, Dezembro 2004
22
TópicosTópicos
nn Redes Redes Wi-FiWi-Fi (IEEE 802.11) (IEEE 802.11)
nn Problemas criptográficos do WEPProblemas criptográficos do WEP
nn Infra-Estrutura de Chaves Públicas (PKI)Infra-Estrutura de Chaves Públicas (PKI)
nn Certificados DigitaisCertificados Digitais
nn IEEE 802.1x – IEEE 802.1x – EAP/TLSEAP/TLS
nn A Rede da A Rede da PUC-RioPUC-Rio
nn ConclusãoConclusão
33
Redes Redes Wi-FiWi-Fi
nn Redes Redes WirelessWireless::
nn WiFiWiFi (IEEE 802.11) (IEEE 802.11)
nn BluetoothBluetooth
nn WiMAXWiMAX (IEEE 802.16) (IEEE 802.16)
nn Redes Redes Wi-FiWi-Fi
nn 2.4 GHz2.4 GHz
nn atéaté 11 Mbps 11 Mbps
nn direct sequence spread spectrum (DSSS) direct sequence spread spectrum (DSSS) nana
camadacamada físicafísica..
44
Redes Redes Wi-FiWi-Fi
nn Usuário se conecta através de um APUsuário se conecta através de um AP
((infraestruturainfraestrutura) ou de outro usuário () ou de outro usuário (ad-ad-
hochoc))
nn EstaçãoEstação de Base = “Access Point” (AP) de Base = “Access Point” (AP)
nn Basic Service Set (BSS)Basic Service Set (BSS)
nn Laptops e Laptops e iPAQsiPAQs de usuários de usuários
nn Access point (AP): Access point (AP): estaçãoestação de base de base
nn BSS’sBSS’s agrupadasagrupadas parapara formarformar um um SistemaSistema
de de DistribuiçãoDistribuição (DS) (DS)
55
Modos de OperaçãoModos de Operação
Modo “Infra-Estrutura” Modo “Ad-Hoc”
66
TópicosTópicos
nn Redes Redes Wi-FiWi-Fi (IEEE 802.11) (IEEE 802.11)
nn Problemas criptográficos do WEPProblemas criptográficos do WEP
nn Infra-Estrutura de Chaves Públicas (PKI)Infra-Estrutura de Chaves Públicas (PKI)
nn Certificados DigitaisCertificados Digitais
nn IEEE 802.1x – IEEE 802.1x – EAP/TLSEAP/TLS
nn A Rede da A Rede da PUC-RioPUC-Rio
nn ConclusãoConclusão
77
WEPWEP
nn Criptografia com WEP (“Criptografia com WEP (“WiredWired EquivalentEquivalent
PrivacyPrivacy”)”)
nn ObjetivosObjetivos do do ProtocoloProtocolo::
nn ConfidencialidadeConfidencialidade: : ninguémninguém “ “espiaespia” dados” dados
nn ControleControle de de AcessoAcesso: : apenasapenas usuáriosusuários
autorizadosautorizados..
nn IntegridadeIntegridade de Dados: de Dados: evitarevitar modificaçãomodificação
nn Infelizmente, WEP não atinge objetivosInfelizmente, WEP não atinge objetivos
88
Modelo da RedeModelo da Rede
Internet
99
CriptografandoCriptografando com WEP com WEP
Mensagem CRC(M)
RC4(k,IV)
CifradoIV
1010
Problemas WEPProblemas WEP
nn Previsibilidade dos elementos doPrevisibilidade dos elementos do
algoritmoalgoritmo
nn Cartões PCMCIA comuns iniciam Cartões PCMCIA comuns iniciam IVsIVs com com
Zero e incrementam seu valor por 1 aZero e incrementam seu valor por 1 a
cada pacote.cada pacote.
nn IV tem apenas 24 bits: IV tem apenas 24 bits: APsAPs com alto com alto
tráfego permitem que este espaço setráfego permitem que este espaço se
acabe em algumas dezenas de minutos.acabe em algumas dezenas de minutos.
1111
TópicosTópicos
nn Redes Redes Wi-FiWi-Fi (IEEE 802.11) (IEEE 802.11)
nn Problemas criptográficos do WEPProblemas criptográficos do WEP
nn Infra-Estrutura de Chaves PúblicasInfra-Estrutura de Chaves Públicas
(PKI)(PKI)
nn Certificados DigitaisCertificados Digitais
nn IEEE 802.1x – IEEE 802.1x – EAP/TLSEAP/TLS
nn A Rede da A Rede da PUC-RioPUC-Rio
nn ConclusãoConclusão
1212
Infra-Estrutura de ChavesInfra-Estrutura de Chaves
PúblicasPúblicas
nn Uso do par de chaves <Uso do par de chaves <pública/privadapública/privada> é> é
uma ótima solução para:uma ótima solução para:
nn Distribuição de chavesDistribuição de chaves
nn Assinatura digitalAssinatura digital
nn Entretanto, o problema de administrar eEntretanto, o problema de administrar e
gerenciar chaves é uma “dor-de-cabeça”gerenciar chaves é uma “dor-de-cabeça”
1313
Infra-Estrutura de ChavesInfra-Estrutura de Chaves
PúblicasPúblicas
nn Para enviar mensagem para cliente, usa-Para enviar mensagem para cliente, usa-
se a chave pública dele.se a chave pública dele.
nn Para verificar assinatura de cliente,Para verificar assinatura de cliente,
também usa-se a chave pública dele.também usa-se a chave pública dele.
nn Problema: como saber se a chave públicaProblema: como saber se a chave pública
é realmente do cliente ?é realmente do cliente ?
nn CríticoCrítico: confiança entre partes.: confiança entre partes.
1414
TópicosTópicos
nn Redes Redes Wi-FiWi-Fi (IEEE 802.11) (IEEE 802.11)
nn Problemas criptográficos do WEPProblemas criptográficos do WEP
nn Infra-Estrutura de Chaves Públicas (PKI)Infra-Estrutura de Chaves Públicas (PKI)
nn Certificados DigitaisCertificados Digitais
nn IEEE 802.1x – IEEE 802.1x – EAP/TLSEAP/TLS
nn A Rede da A Rede da PUC-RioPUC-Rio
nn ConclusãoConclusão
1515
Certificados DigitaisCertificados Digitais
nn Certificado = Chave Pública + AssinaturaCertificado = Chave Pública + Assinatura
entidade idônea.entidade idônea.
nn Autoridade Certificadora (CA): assinaAutoridade Certificadora (CA): assina
certificados digitalmente (SERPRO, Caixa,certificados digitalmente (SERPRO, Caixa,
CertSignCertSign))
nn Assume-se:Assume-se:
nn CA verificou identidade do cliente.CA verificou identidade do cliente.
nn CA é instituição idônea.CA é instituição idônea.
1616
AplicaçõesAplicações
nn Certificados emitidos para:Certificados emitidos para:
nn IndivíduosIndivíduos
nn Servidores (SSL)Servidores (SSL)
nn Aplicativos (Aplicativos (ActiveXActiveX, Java , Java jarsjars))
nn Certificados para Concentradores de Certificados para Concentradores de VPNsVPNs
nn Listas de Revogação de Certificados.Listas de Revogação de Certificados.
1717
TópicosTópicos
nn Redes Redes Wi-FiWi-Fi (IEEE 802.11) (IEEE 802.11)
nn Problemas criptográficos do WEPProblemas criptográficos do WEP
nn Infra-Estrutura de Chaves Públicas (PKI)Infra-Estrutura de Chaves Públicas (PKI)
nn Certificados DigitaisCertificados Digitais
nn IEEE 802.1x – IEEE 802.1x – EAP/TLSEAP/TLS
nn A Rede da A Rede da PUC-RioPUC-Rio
nn ConclusãoConclusão
1818
IEEE 802.1x - EAPIEEE 802.1x - EAP
Internet
Servidor
de
Autenticação
1919
Autenticação ExtensívelAutenticação Extensível
nn IEEE 802.1XIEEE 802.1X
nn Autenticação Mútua de Cliente e ServidorAutenticação Mútua de Cliente e Servidor
nn Chave WEP por sessão, e derivadaChave WEP por sessão, e derivada
dinamicamente.dinamicamente.
nn Diferentes métodos (PEAP, Diferentes métodos (PEAP, MD5MD5, TLS), TLS)
nn EAP-TLSEAP-TLS
nn Uso de Certificado Digital para autenticarUso de Certificado Digital para autenticar
Cliente e ServidorCliente e Servidor
2020
EAP-TLS (1)EAP-TLS (1)
Cliente Autenticador
EAP Request
<Identity>
EAP Response
<Identity (MyID)>
EAP Request, type = EAP-TLS
<TLS Start>
EAP Response, type = EAP-TLS
<TLS Client Hello>
EAP Request, type = EAP-TLS
<TLS Server Hello, TLS Certificate, TLS Certificate Request,
TLS Server Done>
2121
EAP-TLS (2)EAP-TLS (2)
Cliente Autenticador
EAP Response, type = EAP-TLS
<TLS Certificate, TLS Client Key Exchange, TLS CCS,
Certificate verify, TLS FIN>
EAP Request, type = EAP-TLS
<TLS CCS, TLS FIN>
EAP Response, type = EAP-TLS
EAP Success / EAP Failure
2222
TópicosTópicos
nn Redes Redes Wi-FiWi-Fi (IEEE 802.11) (IEEE 802.11)
nn Problemas criptográficos do WEPProblemas criptográficos do WEP
nn Infra-Estrutura de Chaves Públicas (PKI)Infra-Estrutura de Chaves Públicas (PKI)
nn Certificados DigitaisCertificados Digitais
nn IEEE 802.1x – IEEE 802.1x – EAP/TLSEAP/TLS
nn A Rede da A Rede da PUC-RioPUC-Rio
nn ConclusãoConclusão
2323
Rede da Rede da PUC-RioPUC-Rio
nn Total de 10.500 alunos de graduaçãoTotal de 10.500 alunos de graduação
nn Total de 8 AP’sTotal de 8 AP’s
nn Professores, Alunos e FuncionáriosProfessores, Alunose Funcionários
recebem certificado digitalrecebem certificado digital
nn Servidor de Certificados (Servidor de Certificados (OpenSSLOpenSSL))
nn Servidor de Autenticação: Servidor de Autenticação: FreeRADIUSFreeRADIUS
2424
TopologiaTopologia
APs
2525
ConclusõesConclusões
nn Uso de Certificados Digitais tem auxiliadoUso de Certificados Digitais tem auxiliado
no controle de acesso à rede.no controle de acesso à rede.
nn Usuários não precisam se preocupar comUsuários não precisam se preocupar com
espiões de tráfego “sem-fio”.espiões de tráfego “sem-fio”.
nn Escolha e implementação de mecanismosEscolha e implementação de mecanismos
de segurança dão muito trabalho !de segurança dão muito trabalho !