Baixe o app para aproveitar ainda mais
Prévia do material em texto
11 Segurança em Redes Wi-Fi (um Estudo de Caso)(um Estudo de Caso) EwertonEwerton L. Madruga ( L. Madruga (PUC-RioPUC-Rio)) Seminário de Capacitação e InovaçãoSeminário de Capacitação e Inovação Rede Nacional de Pesquisa - RNPRede Nacional de Pesquisa - RNP Recife – PE, Dezembro 2004Recife – PE, Dezembro 2004 22 TópicosTópicos nn Redes Redes Wi-FiWi-Fi (IEEE 802.11) (IEEE 802.11) nn Problemas criptográficos do WEPProblemas criptográficos do WEP nn Infra-Estrutura de Chaves Públicas (PKI)Infra-Estrutura de Chaves Públicas (PKI) nn Certificados DigitaisCertificados Digitais nn IEEE 802.1x – IEEE 802.1x – EAP/TLSEAP/TLS nn A Rede da A Rede da PUC-RioPUC-Rio nn ConclusãoConclusão 33 Redes Redes Wi-FiWi-Fi nn Redes Redes WirelessWireless:: nn WiFiWiFi (IEEE 802.11) (IEEE 802.11) nn BluetoothBluetooth nn WiMAXWiMAX (IEEE 802.16) (IEEE 802.16) nn Redes Redes Wi-FiWi-Fi nn 2.4 GHz2.4 GHz nn atéaté 11 Mbps 11 Mbps nn direct sequence spread spectrum (DSSS) direct sequence spread spectrum (DSSS) nana camadacamada físicafísica.. 44 Redes Redes Wi-FiWi-Fi nn Usuário se conecta através de um APUsuário se conecta através de um AP ((infraestruturainfraestrutura) ou de outro usuário () ou de outro usuário (ad-ad- hochoc)) nn EstaçãoEstação de Base = “Access Point” (AP) de Base = “Access Point” (AP) nn Basic Service Set (BSS)Basic Service Set (BSS) nn Laptops e Laptops e iPAQsiPAQs de usuários de usuários nn Access point (AP): Access point (AP): estaçãoestação de base de base nn BSS’sBSS’s agrupadasagrupadas parapara formarformar um um SistemaSistema de de DistribuiçãoDistribuição (DS) (DS) 55 Modos de OperaçãoModos de Operação Modo “Infra-Estrutura” Modo “Ad-Hoc” 66 TópicosTópicos nn Redes Redes Wi-FiWi-Fi (IEEE 802.11) (IEEE 802.11) nn Problemas criptográficos do WEPProblemas criptográficos do WEP nn Infra-Estrutura de Chaves Públicas (PKI)Infra-Estrutura de Chaves Públicas (PKI) nn Certificados DigitaisCertificados Digitais nn IEEE 802.1x – IEEE 802.1x – EAP/TLSEAP/TLS nn A Rede da A Rede da PUC-RioPUC-Rio nn ConclusãoConclusão 77 WEPWEP nn Criptografia com WEP (“Criptografia com WEP (“WiredWired EquivalentEquivalent PrivacyPrivacy”)”) nn ObjetivosObjetivos do do ProtocoloProtocolo:: nn ConfidencialidadeConfidencialidade: : ninguémninguém “ “espiaespia” dados” dados nn ControleControle de de AcessoAcesso: : apenasapenas usuáriosusuários autorizadosautorizados.. nn IntegridadeIntegridade de Dados: de Dados: evitarevitar modificaçãomodificação nn Infelizmente, WEP não atinge objetivosInfelizmente, WEP não atinge objetivos 88 Modelo da RedeModelo da Rede Internet 99 CriptografandoCriptografando com WEP com WEP Mensagem CRC(M) RC4(k,IV) CifradoIV 1010 Problemas WEPProblemas WEP nn Previsibilidade dos elementos doPrevisibilidade dos elementos do algoritmoalgoritmo nn Cartões PCMCIA comuns iniciam Cartões PCMCIA comuns iniciam IVsIVs com com Zero e incrementam seu valor por 1 aZero e incrementam seu valor por 1 a cada pacote.cada pacote. nn IV tem apenas 24 bits: IV tem apenas 24 bits: APsAPs com alto com alto tráfego permitem que este espaço setráfego permitem que este espaço se acabe em algumas dezenas de minutos.acabe em algumas dezenas de minutos. 1111 TópicosTópicos nn Redes Redes Wi-FiWi-Fi (IEEE 802.11) (IEEE 802.11) nn Problemas criptográficos do WEPProblemas criptográficos do WEP nn Infra-Estrutura de Chaves PúblicasInfra-Estrutura de Chaves Públicas (PKI)(PKI) nn Certificados DigitaisCertificados Digitais nn IEEE 802.1x – IEEE 802.1x – EAP/TLSEAP/TLS nn A Rede da A Rede da PUC-RioPUC-Rio nn ConclusãoConclusão 1212 Infra-Estrutura de ChavesInfra-Estrutura de Chaves PúblicasPúblicas nn Uso do par de chaves <Uso do par de chaves <pública/privadapública/privada> é> é uma ótima solução para:uma ótima solução para: nn Distribuição de chavesDistribuição de chaves nn Assinatura digitalAssinatura digital nn Entretanto, o problema de administrar eEntretanto, o problema de administrar e gerenciar chaves é uma “dor-de-cabeça”gerenciar chaves é uma “dor-de-cabeça” 1313 Infra-Estrutura de ChavesInfra-Estrutura de Chaves PúblicasPúblicas nn Para enviar mensagem para cliente, usa-Para enviar mensagem para cliente, usa- se a chave pública dele.se a chave pública dele. nn Para verificar assinatura de cliente,Para verificar assinatura de cliente, também usa-se a chave pública dele.também usa-se a chave pública dele. nn Problema: como saber se a chave públicaProblema: como saber se a chave pública é realmente do cliente ?é realmente do cliente ? nn CríticoCrítico: confiança entre partes.: confiança entre partes. 1414 TópicosTópicos nn Redes Redes Wi-FiWi-Fi (IEEE 802.11) (IEEE 802.11) nn Problemas criptográficos do WEPProblemas criptográficos do WEP nn Infra-Estrutura de Chaves Públicas (PKI)Infra-Estrutura de Chaves Públicas (PKI) nn Certificados DigitaisCertificados Digitais nn IEEE 802.1x – IEEE 802.1x – EAP/TLSEAP/TLS nn A Rede da A Rede da PUC-RioPUC-Rio nn ConclusãoConclusão 1515 Certificados DigitaisCertificados Digitais nn Certificado = Chave Pública + AssinaturaCertificado = Chave Pública + Assinatura entidade idônea.entidade idônea. nn Autoridade Certificadora (CA): assinaAutoridade Certificadora (CA): assina certificados digitalmente (SERPRO, Caixa,certificados digitalmente (SERPRO, Caixa, CertSignCertSign)) nn Assume-se:Assume-se: nn CA verificou identidade do cliente.CA verificou identidade do cliente. nn CA é instituição idônea.CA é instituição idônea. 1616 AplicaçõesAplicações nn Certificados emitidos para:Certificados emitidos para: nn IndivíduosIndivíduos nn Servidores (SSL)Servidores (SSL) nn Aplicativos (Aplicativos (ActiveXActiveX, Java , Java jarsjars)) nn Certificados para Concentradores de Certificados para Concentradores de VPNsVPNs nn Listas de Revogação de Certificados.Listas de Revogação de Certificados. 1717 TópicosTópicos nn Redes Redes Wi-FiWi-Fi (IEEE 802.11) (IEEE 802.11) nn Problemas criptográficos do WEPProblemas criptográficos do WEP nn Infra-Estrutura de Chaves Públicas (PKI)Infra-Estrutura de Chaves Públicas (PKI) nn Certificados DigitaisCertificados Digitais nn IEEE 802.1x – IEEE 802.1x – EAP/TLSEAP/TLS nn A Rede da A Rede da PUC-RioPUC-Rio nn ConclusãoConclusão 1818 IEEE 802.1x - EAPIEEE 802.1x - EAP Internet Servidor de Autenticação 1919 Autenticação ExtensívelAutenticação Extensível nn IEEE 802.1XIEEE 802.1X nn Autenticação Mútua de Cliente e ServidorAutenticação Mútua de Cliente e Servidor nn Chave WEP por sessão, e derivadaChave WEP por sessão, e derivada dinamicamente.dinamicamente. nn Diferentes métodos (PEAP, Diferentes métodos (PEAP, MD5MD5, TLS), TLS) nn EAP-TLSEAP-TLS nn Uso de Certificado Digital para autenticarUso de Certificado Digital para autenticar Cliente e ServidorCliente e Servidor 2020 EAP-TLS (1)EAP-TLS (1) Cliente Autenticador EAP Request <Identity> EAP Response <Identity (MyID)> EAP Request, type = EAP-TLS <TLS Start> EAP Response, type = EAP-TLS <TLS Client Hello> EAP Request, type = EAP-TLS <TLS Server Hello, TLS Certificate, TLS Certificate Request, TLS Server Done> 2121 EAP-TLS (2)EAP-TLS (2) Cliente Autenticador EAP Response, type = EAP-TLS <TLS Certificate, TLS Client Key Exchange, TLS CCS, Certificate verify, TLS FIN> EAP Request, type = EAP-TLS <TLS CCS, TLS FIN> EAP Response, type = EAP-TLS EAP Success / EAP Failure 2222 TópicosTópicos nn Redes Redes Wi-FiWi-Fi (IEEE 802.11) (IEEE 802.11) nn Problemas criptográficos do WEPProblemas criptográficos do WEP nn Infra-Estrutura de Chaves Públicas (PKI)Infra-Estrutura de Chaves Públicas (PKI) nn Certificados DigitaisCertificados Digitais nn IEEE 802.1x – IEEE 802.1x – EAP/TLSEAP/TLS nn A Rede da A Rede da PUC-RioPUC-Rio nn ConclusãoConclusão 2323 Rede da Rede da PUC-RioPUC-Rio nn Total de 10.500 alunos de graduaçãoTotal de 10.500 alunos de graduação nn Total de 8 AP’sTotal de 8 AP’s nn Professores, Alunos e FuncionáriosProfessores, Alunose Funcionários recebem certificado digitalrecebem certificado digital nn Servidor de Certificados (Servidor de Certificados (OpenSSLOpenSSL)) nn Servidor de Autenticação: Servidor de Autenticação: FreeRADIUSFreeRADIUS 2424 TopologiaTopologia APs 2525 ConclusõesConclusões nn Uso de Certificados Digitais tem auxiliadoUso de Certificados Digitais tem auxiliado no controle de acesso à rede.no controle de acesso à rede. nn Usuários não precisam se preocupar comUsuários não precisam se preocupar com espiões de tráfego “sem-fio”.espiões de tráfego “sem-fio”. nn Escolha e implementação de mecanismosEscolha e implementação de mecanismos de segurança dão muito trabalho !de segurança dão muito trabalho !
Compartilhar