Segurança WLAN

Prévia do material em texto

Plano de Aula: 12 - Segurança em redes 802.11
REDES SEM FIO
Título
12 - Segurança em redes 802.11 
Número de Aulas por Semana
4 
Número de Semana de Aula
12 
Tema
Unidade 8. Segurança em redes 802.11
Objetivo
O aluno deverá ser capaz de:
Entender os problemas inseridos pelas redes sem fio que não existem em redes cabeadas
Compreender os principais padrões e requisitos de segurança existentes
Entender a fragilidade do WEP e a necessidade de utilização do WPA2 
Entender o funcionamento dos protocolos 802.1x e 802.11i na complementação dos requisitos de segurança em uma rede sem fio padrão 802.11 
Desenvolver uma política de segurança para os usuários da rede
Estrutura do Conteúdo
8.1 Captura de tráfego 
8.2 Segurança básica
8.3 Padrões de WEP, WPA e WPA2
8.4 IEEE 802.1x   Port Based Network Acess Control
8.5 IEEE 802.11i  Authentication and Security
8.6 Medidas adicionais de segurança (filtro de MAC, firewall, etc.)
 
Aplicação Pratica Teorica
Aplicar os conceitos trabalhados em sala no desenvolvimento de um projeto de segurança de redes 
Procedimento de Ensino
Sugestão:
 
Referências:
-Redes e Sistemas de Comunicação de Dados – 5ª. Edição Willian Stallings Editora Campus
(Capitulo 11 página 242 )
-Redes de Computadores e a Internet – 3ª. Edição – James Kurose e Keith W. Ross Pearson
(Capitulo 8 – páginas 560 à 564 )
 
Aula Teórica: expositiva e dialogada
A utilização de uma WLAN aumenta a responsabilidade das equipes de suporte tendo que os mesmos capacitar-se para tal responsabilidade.
As razões para o uso já foram descritas: mobilidade, redução de custos de instalação, rede provisória e conexões de nós remotos. Muitas empresas adotam no raciocínio a brecha de segurança que as redes sem fio introduz na organização. 
Os dispositivos sem fio possuem a capacidade ( nem sempre desejada ) de encontrar as conexões automáticas. 
Algumas boas práticas devem ser adotas:
- instale os AP fora do firewall da empresa de forma a garantir que os dados corporativos não sejam propagados
- Ative o WEP. Ele pode ter graves de segurança mas irá deter a maioria dos espiões casuais
- Ative o WAP2 . Está é a geração atual de segurança em redes WiFi
- instale os pontos de acesso em switches do que em HUBs para fornecer filtragem de tráfego e controle de banda
- Realize um levantamento no site para ver o nível de exposição da rede
 - De preferência utilie uma VPN para esta rede
- Utilize filtro nas camadas 2 e 3  para acesso de segurança 
- Entenda que a maioria dos problemas (maliciosos ou acidentais) não vem de hackers mas de usuários internos
 
O verdadeiro problema de segurança em redes sem fio é que os administradores de redes gastam pouco tempo com elas. 
 
Padrões de WEP, WPA e WPA2.
WEP (Wired Equivalent Privacy) Privacidade Equivalente sem fio, fornece autenticação e cripotografia de dados entre a estação e o AP por meio de chaves simétricas. Ele não especifica um algoritmo de gerenciamento das chaves e admiti-se que ambos os envolvidos concordam com a chave por meio de um método externo. O processo tem 4 fases:
1.    Uma estação requisita autenticação em um AP
2.    O AP responde com um nonce de 128 bytes
3.    A estação criptografa o nonce usando uma chave simétrica que compartilha com o AP
4.    O AP decripta o nonce criptografado pela estação
Se o nonce decriptado corresponder ao nonce enviado originalmente a estação, então será autenticado pelo ponto de acesso.
 Este processo atualmente é facilmente quebrado por softwares encontrados na Internet .
 
WPA ( WiFi Protected Acess) é geração atual de segurança em redes WiFi (802.11) e utiliza o protocolo de criptografia AES e o padrão 802.11i .
WPA2 tem sido largamente aceita devido a quatro fatores:
- Autenticação mútua – utiliza 802.1X (WPA2-Enterprise) e PSK (WPA-2 Personal)
- Criptografia forte – utiliza oAES 128 bits
- Interoperabilidade – o sistema é baseado em padrões reconhecidos
- Fácil de utilizar 
 
Existem duas configurações: WPA-2-Enterprise e WPA-2-Personal
- Enterprise: cada usuário assina uma credencial única e é necessário um servidor AAA – 802.1x com suporte a EAP. As chaves são únicas para cada sessão.
- Personal: Modo não gerenciado de aute4nticação utilizando PSK permitindo a entrada do  passphrase manualmente que pode ser compartilhada pelos usuários na rede. Não é necessário um servidor de autenticação. As chaves são únicas por cada sessão
 
 IEEE 802.1x   Port Based Network Acess Control
 
 É um padrão IEEE para controle de acesso à rede com base em portas; Provê um mecanismo de autenticação para dispositivos que desejam juntar-se à uma porta na LAN, seja estabelecendo uma conexão ponto-a-ponto ou prevenindo acesso para esta porta se a autenticação falhar. É usado para a maioria dos AP  é baseado no Protocolo de Autenticação Extensiva (EAP). 
Uma estação precisa autenticar-se antes de poder ter acesso aos recursos da LAN. 802.1X prevê autenticação baseada em portas, que envolve comunicação entre a estação requisitante, o autenticador e o servidor de autenticação. 
 
O requisitante é a estação-cliente, o autenticador é um Switch Ethernet ou AP, e a autenticação geralmente uma base de dados RADIUS. O autenticador atua como uma proteção secundária à rede. Não é permitido a estação-requisitante acesso através do autenticador ao lado protegido da rede até que a identidade do requisitante seja autorizada. Com a autenticação baseada em portas 802.1X, o requisitante provê credenciais como nome de usuário / senha ou certificado digital, ao autenticador, e ele encaminha as credenciais até o servidor de autenticação para verificação. Se as credenciais são válidas (na base de dados do servidor de autenticação), a estação-requisitante é permitido acessar os recursos localizados no lado protegido da rede.
Sob detecção de um  novo cliente, a porta na swtich (autenticador) é habilitada e mudada para o estado “não-autorizado”. Neste estado, apenas tráfego 802.1x é permitido; outros tráfegos, como DHCP e HTTP, são bloqueados na camada de enlace.  O autenticador envia a identidade de autenticação EAP-request' ao requisitante, que por sua vez responde com o pacote EAP-response que o autenticador encaminha ao servidor de autenticação. Se o servidor de autenticação aceitar a requisição, o autenticador muda o estado da porta para o modo “autorizado” e o tráfego normal é autorizado. Quando o requisitante efetua um logoff, envia uma mensagem EAP-logoff para o autenticador. O autenticador  então, muda sua porta para o estado “não-autorizado”, bloqueando novamente todo o tráfego não-EAP.
 
 
 IEEE 802.11i  Authentication and Security
Como o WEP oferecia criptografia relativamente fraca, somente um único modo de oferecer autenticação e nenhum mecanismo de distribuição de chaves, o padrão 802.11i fornece formas de criptografias muito mais robustas, um conjunto extensível de mecanismo de autenticação de chaves e um mecanismo de distribuição de chaves .
( um esquema pode ser visto em Kurose – figura 8.36 página 563 ).
Além da estação cliente e do AP, devemos definir um servidor de autenticação com o qual o AP possa se comunicar. O funcionamento do padrão 802.11i apresenta 4 fase:
1.    Descoberta:O AP se anuncia sua presença e as formas de autenticação e criptografias podem ser oferecidas aos clientes
2.    Autenticação mútua e geração de chave mestra ( Master Key – MK) A autenticação ocorre entre a estação cliente e o servidor de autenticação. O AP serve apenas como passagem. O protocolo EAP é trocado entre a estação e o AP bem como entre o AP e o servidor (Protocolo RADIUS) via uma rede cabeada. O servidor pode escolher um ente vários modos de efetuar a autenticação. O mais utilizado é o EAP-TLS (chaves públicas) de forma a permitir a autenticação mútua entre servidor e a estação-cliente
3.    Geração de Chave mestra de Par ( Pairwise Master Key – PMK) . A MK é um segredo compartilhado entre o servidor e a estação cliente e eles a utilizam para gerar uma segunda chave, a PMK.  O servidor a envia então ao AP. Assim a estação cliente e o AP tem agora uma chave compartilhada(o que não ocorria no WEP )e agora autenticam-se mutuamente e estão prontos a operar.
4.    Geração da chave Temporária (Temporal Key – TK). Com a PMK, a estação cliente e o AP podem agora gerar chaves adicionais que serão utilizadas na comunicação. Esta chave TK será utilizada para a criptografia na camada de enlace
 
Medidas adicionais de segurança (filtro de MAC, firewall, etc.)
 
 
Aula Prática:
Configurar um esquema de autenticação com base no padrão 802.11i. Utilize o padrão FreeRadius ou similar em uma servidor virtual e execute as configurações necessárias para que as estações clientes estejam. 
 
Se o switch onde o AP estiver ligado tiver suporte ao protocolo 802.1x, incluir a autenticação da porta. Utilizar um analisador de tráfego para analisar os pacotes intercambiados
Recurso Físico
Desejável:
 
Datashow com computador acoplado.
Laboratório de Redes
01 AP no padrão 802.11 b, g, duas estações com placa de rede e um notebook com  placa de rede sem fio e um servidor de autenticação com software Radius.
Aplicação Pratica Teorica
Aplicar os conceitos trabalhados em sala no desenvolvimento de um projeto de segurança de redes 
Avaliação
Participação em atividade de laboratório