Baixe o app para aproveitar ainda mais
Leia os materiais offline, sem usar a internet. Além de vários outros recursos!
W Aula 10
Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original
SISTEMA WIRELESS APLICADO À AUTOMAÇÃO INDUSTRIAL Aula 10: Segurança nas Redes 802.11 ( WiFi) e ISA 100.11a. Tema da Apresentação Segurança nas Redes 802.11 e ISA 100.11ª-Aula 10 SISTEMA WIRELESS APLICADO À AUTOMAÇÃO INDUSTRIAL Conteúdo Programático desta aula Aula 10: Aprender sobre a Segurança nas redes 802.11 (Wi-Fi) e ISA100.11ª. Tema da Apresentação Segurança nas Redes 802.11 e ISA 100.11ª-Aula 10 SISTEMA WIRELESS APLICADO À AUTOMAÇÃO INDUSTRIAL A SEGURANÇA NA TECNOLOGIA WIRELESS Tema da Apresentação Segurança nas Redes 802.11 e ISA 100.11ª-Aula 10 SISTEMA WIRELESS APLICADO À AUTOMAÇÃO INDUSTRIAL A SEGURANÇA NA TECNOLOGIA WIRELESS Configurações inseguras Em uma rede wireless, o hub é substituído pelo ponto de acesso (access-point em inglês, comumente abreviado como "AP" ou "WAP", de wireless access point), que tem a mesma função central que o hub desempenha nas redes com fios: retransmitir os pacotes de dados, de forma que todos os micros da rede os recebam. A topologia é semelhante à das redes de par trançado, com o hub central substituído pelo ponto de acesso. A diferença no caso é que são usados transmissores e antenas em vez de cabos. Tema da Apresentação Segurança nas Redes 802.11 e ISA 100.11ª-Aula 10 SISTEMA WIRELESS APLICADO À AUTOMAÇÃO INDUSTRIAL A SEGURANÇA NA TECNOLOGIA WIRELESS Configurações inseguras Figura 1 - modelo de Acess Point Tema da Apresentação Segurança nas Redes 802.11 e ISA 100.11ª-Aula 10 SISTEMA WIRELESS APLICADO À AUTOMAÇÃO INDUSTRIAL A SEGURANÇA NA TECNOLOGIA WIRELESS Configurações inseguras Muitas instituições aumentam o nível de segurança de suas WLANs com a utilização de VPNs e erroneamente pensam que esta se torna à prova de invasões. Deixando de lado as configurações de segurança dos dispositivos da rede sem fio. Entretanto, um hacker mais experiente,ao invés de tentar quebrar a VPN, vai atacar os dispositivos para redes sem fio como, por exemplo, um acess point ou um cliente. As configurações inseguras, que costumam ser mantidas no caso anterior, podem ser comparadas a uma casa com portas de aço e paredes de vidro. Bruce Scheneier define a segurança como uma corrente, a qual é tão forte quanto seu elo mais fraco. Portanto, esta rede continua insegura. Tema da Apresentação Segurança nas Redes 802.11 e ISA 100.11ª-Aula 10 SISTEMA WIRELESS APLICADO À AUTOMAÇÃO INDUSTRIAL A SEGURANÇA NA TECNOLOGIA WIRELESS Configurações inseguras Sistemas de segurança em redes de computadores como os SDIs (Sistemas detectores de Intrusão), firewalls e VPNs, endereçam redes de computadores comumente conhecidas. Entretanto, os diferentes tipos de redes de computadores necessitam de diferentes ferramentas para segurança.Algumas ferramentas podem ser utilizadas para propósitos comuns, já outras são desenvolvidas para um único tipo específico de rede. Tema da Apresentação Segurança nas Redes 802.11 e ISA 100.11ª-Aula 10 SISTEMA WIRELESS APLICADO À AUTOMAÇÃO INDUSTRIAL A SEGURANÇA NA TECNOLOGIA WIRELESS Figura 2–Comparações entre uma Rede Ethernet e uma Rede 802.11x Tema da Apresentação Segurança nas Redes 802.11 e ISA 100.11ª-Aula 10 SISTEMA WIRELESS APLICADO À AUTOMAÇÃO INDUSTRIAL A SEGURANÇA DAS REDES Wi-Fi 802.11 Uma das formas de prevenir uma entrada indevida, ou uma invasão em uma rede sem fio, é cadastrando o endereço MAC (Media Access Control) de cada dispositivo da rede no controlador da rede, que pode ser um roteador,um ponto de acesso, entre outro. Esse controlador da rede, só permitirá a entrada dos cadastrados em sua base de dados, ignorando outros que porventura possa tentar entrar em sua área de atuação As redes 802.11 possuem diversos mecanismos para que se evite ataques triviais, mas nenhum deles é realmente efetivo quando se lida com hackers profissionais. Os mecanismos básicos de segurança disponibilizados pelos diversos fabricantes de Access Points são os seguintes: Tema da Apresentação Segurança nas Redes 802.11 e ISA 100.11ª-Aula 10 SISTEMA WIRELESS APLICADO À AUTOMAÇÃO INDUSTRIAL A SEGURANÇA DAS REDES Wi-Fi 802.11 Filtragem MAC Como não existe qualquer tipo de criptografia no cabeçalho da camada de enlace, basta que alguém com um adaptador Wi-Fi em modo promíscuo faça sniffering na rede e fique coletando o tráfego, observando quando algum dispositivo autorizado entrar na rede, e copiar seu MAC Address, que é um endereço formado por apenas 12 dígitos hexadecimais. Uma vez que o endereço MAC é divulgado na rede sem nenhuma proteção, é muito fácil coletá-lo via sniffer e basta emular esse endereço MAC legítimo em um novo adaptador Wi-Fi para poder entrar na rede. Tema da Apresentação Segurança nas Redes 802.11 e ISA 100.11ª-Aula 10 SISTEMA WIRELESS APLICADO À AUTOMAÇÃO INDUSTRIAL A SEGURANÇA DAS REDES Wi-Fi 802.11 Não divulgação do SSID Conforme visto em aulas anteriores, redes wireless usam pacotes Beacon em quadros específicos, para, entre outras funcionalidades, prover a temporização e gerenciamento da rede. As redes 802.11 também se utilizam desse tipo de pacotes, que são adicionais aos quadros que carregam os pacotes de dados. Tema da Apresentação Segurança nas Redes 802.11 e ISA 100.11ª-Aula 10 SISTEMA WIRELESS APLICADO À AUTOMAÇÃO INDUSTRIAL A SEGURANÇA NA TECNOLOGIA WIRELESS Beacon Interval: O beacon é um frame de sincronismo enviado periodicamente pelo ponto de acesso. Ele tem a função de avisar os clientes de que a rede está presente, avisar sobre frames gravados no buffer do access point (aguardando transmissão) e também sincronizar a transmissão dos dados. Por default, o beacon é transmitido a cada 100 milisegundos, mas na maioria dos pontos de acesso é possível especificar qualquer valor entre 10 e 1000 milisegundos. O principal efeito prático sobre o desempenho da rede é que, ao usar algum sistema de gerenciamento de energia para as placas wireless nos clientes o beacon faz com que a placa acorde periodicamente, para verificar se o ponto de acesso tem dados a transmitir. Tema da Apresentação Segurança nas Redes 802.11 e ISA 100.11ª-Aula 10 SISTEMA WIRELESS APLICADO À AUTOMAÇÃO INDUSTRIAL A SEGURANÇA DAS REDES Wi-Fi 802.11 Os Access Points usam a rotina de enviar um quadro de beacon para se anunciar e transmitir informações, como temporização, SSID, e outros parâmetros.Os dispositivos Wi-Fi continuamente verificam todos os canais de rádio 802.11 e para ouvir os pacotes beacon, para escolher qual ponto de acesso é melhor para se associar. Na verdade, com a “não-divulgação do SSID” só não se divulga o SSID nesses pacotes beacon que vêm do Acces Point. Ainda restam quatro outros mecanismos de divulgação do SSID sem qualquer tipo de criptografia: pedidos de probe, as respostas aos pedidos de probe, os pedidos de associação e os pedidos de reassociação. Tema da Apresentação Segurança nas Redes 802.11 e ISA 100.11ª-Aula 10 SISTEMA WIRELESS APLICADO À AUTOMAÇÃO INDUSTRIAL A SEGURANÇA DAS REDES Wi-Fi 802.11 Autenticação 802.11 É um processo pelo qual o Access Point aceita ou rejeita a identidade (ID) de um dispositivo Wi-Fi. O dispositivo inicia o processo enviando um quadro de autenticação (Authentication Frame) para o Access Point, contendo sua identidade. Com a autenticação do tipo sistema aberto (Open System Authentication), o dispositivo Wi-Fi envia apenas um quadro de autenticação, e o Access Point responde com um quadro de autenticação contendo uma resposta indicando aceitação ou rejeição. Tema da Apresentação Segurança nas Redes 802.11 e ISA 100.11ª-Aula 10 SISTEMA WIRELESS APLICADO À AUTOMAÇÃO INDUSTRIAL A SEGURANÇA DAS REDES Wi-Fi 802.11 Autenticação 802.11 Com uma autenticação do tipo chave compartilhada , o dispositivo Wi-Fi envia um quadro de autenticação inicial, e o Access Point responde com um quadro de autenticação contendo um texto de desafio. O dispositivo deverá, então, enviar ao Access Point uma versão criptografada do texto de desafio (usando sua chave – WEP, WAP, etc.) em um novo quadro de autenticação. Tema da Apresentação Segurança nas Redes 802.11 e ISA 100.11ª-Aula 10 SISTEMA WIRELESS APLICADO À AUTOMAÇÃO INDUSTRIAL A SEGURANÇA DAS REDES Wi-Fi 802.11 Autenticação 802.11 O Access Point verifica que o dispositivo Wi-Fi tem a chave correta (que é a base para a autenticação), vendo se o texto do desafio recuperado após a descriptografia é o mesmo que foi enviado anteriormente. Com base nos resultados desta comparação, o Access Point responde ao dispositivo Wi-Fi com um último quadro de autenticação contendo o resultado de autenticação (positiva ou rejeitada). Tema da Apresentação Segurança nas Redes 802.11 e ISA 100.11ª-Aula 10 SISTEMA WIRELESS APLICADO À AUTOMAÇÃO INDUSTRIAL A SEGURANÇA DAS REDES Wi-Fi 802.11 Autenticação 802.11 Outra dica é que um AP não configurado é um alvo fácil para qualquer um, já que os SSIDs usados por default são bem conhecidos e a maioria trabalha por default em modo "open", aceitando a conexão de qualquer cliente. Se o ponto de acesso utiliza uma antena destacável, você pode removê-la durante a fase de configuração. Mesmo sem a antena, o AP emitirá um sinal fraco, suficiente para que você consiga conectar um notebook posicionado próximo a ele, mas que não irá muito longe. Em alguns APs você encontra a opção "Wireless Radio" ou "Turn Radio On", que permite desativar o transmissor via software. Tema da Apresentação Segurança nas Redes 802.11 e ISA 100.11ª-Aula 10 SISTEMA WIRELESS APLICADO À AUTOMAÇÃO INDUSTRIAL A SEGURANÇA DAS REDES Wi-Fi 802.11 Desativação do DHSP Embora haja recomendações quanto à desativação da atribuição automática de endereços IP, DNS, etc., isso não representa uma medida real de segurança, uma vez que o hacker pode simplesmente escutar a rede e verificar quais endereços IPs estão sendo utilizados pelos dispositivos, uma vez que não há criptografia no cabeçalho IP. Tema da Apresentação Segurança nas Redes 802.11 e ISA 100.11ª-Aula 10 SISTEMA WIRELESS APLICADO À AUTOMAÇÃO INDUSTRIAL A SEGURANÇA DAS REDES Wi-Fi 802.11 Desativação do DHSP Chegamos, então à conclusão que o padrão 802.11 não é nativamente seguro e protegido contra ataques. As medidas de segurança realmente eficazes dependem de senhas com complexidade muita alta para serem “decoradas” pelos seres humanos, e mesmo assim podem ser violadas. A total confidencialidade dos dados e sua integridade somente poderão ser garantidos com a utilização de servidores de segurança dedicados e medidas extras de segurança nos dispositivos, que proporcionem tunelamento e criptografia dos dados. Tema da Apresentação Segurança nas Redes 802.11 e ISA 100.11ª-Aula 10 SISTEMA WIRELESS APLICADO À AUTOMAÇÃO INDUSTRIAL A SEGURANÇA DAS REDES Wi-Fi 802.11 Desativação do DHSP Embora haja recomendações quanto à desativação da atribuição automática de endereços IP, DNS, etc., isso não representa uma medida real de segurança, uma vez que o hacker pode simplesmente escutar a rede e verificar quais endereços IPs estão sendo utilizados pelos dispositivos, uma vez que não há criptografia no cabeçalho IP. Tema da Apresentação Segurança nas Redes 802.11 e ISA 100.11ª-Aula 10 SISTEMA WIRELESS APLICADO À AUTOMAÇÃO INDUSTRIAL A SEGURANÇA DAS REDES Wi-Fi 802.11 Figura 3-Ameaças aos dispositivos Wireless Tema da Apresentação Segurança nas Redes 802.11 e ISA 100.11ª-Aula 10 SISTEMA WIRELESS APLICADO À AUTOMAÇÃO INDUSTRIAL Figura 4 –Sistemas de Proteção comntra acessos WIPS: Proteção contras as ameaças Tema da Apresentação Segurança nas Redes 802.11 e ISA 100.11ª-Aula 10 SISTEMA WIRELESS APLICADO À AUTOMAÇÃO INDUSTRIAL Figura 5 –Sistemas de Proteção comntra acessos WIPS: Proteção contras as ameaças Tema da Apresentação Segurança nas Redes 802.11 e ISA 100.11ª-Aula 10 SISTEMA WIRELESS APLICADO À AUTOMAÇÃO INDUSTRIAL A SEGURANÇA DAS REDES ISA100.11a Segurança nas redes ISA100.11a Os mecanismos de segurança incorporados no padrão ISA100.11a devem atender aos seguintes requisitos e restrições: A- Autenticação de mensagens deve garantir que as mensagens recebidas são originadas por um dispositivo autorizado e não tenham sido modificadas por uma entidade externa à rede; B- A confidencialidade dos dados deve ser garantida através de criptografia AES-128, (considerada “estado da arte”). Tema da Apresentação Segurança nas Redes 802.11 e ISA 100.11ª-Aula 10 SISTEMA WIRELESS APLICADO À AUTOMAÇÃO INDUSTRIAL A SEGURANÇA DAS REDES ISA100.11a C- Garantir a integridade dos dados transferidos através da rede wireless. D-Fornecer proteção contra ataques de replay e que causem latência, aspectos vitais para aplicações industriais. Com base nesses requisitos e restrições, foram implantadas medidas de segurança em duas camadas do Modelo OSI, as camadas de Enlace e de Transporte: Tema da Apresentação Segurança nas Redes 802.11 e ISA 100.11ª-Aula 10 SISTEMA WIRELESS APLICADO À AUTOMAÇÃO INDUSTRIAL A SEGURANÇA DAS REDES ISA100.11a • Camada de Enlace A segurança está associada com autenticação e criptografia hop-a-hop: Sub-redes ISA100.11 são multi-hop de arquitetura “mesh”, com pacotes de dados sendo encaminhados através de múltiplos dispositivos ao ponto de extração da sub-rede. Cada roteador autentica e criptografa / descriptografa os pacotes que ele encaminha para as respectivas rotas. Camada de Transportes A segurança está associada com autenticação e criptografia fim-a-fim dos dados: O dispositivo de origem autentica e criptografa o pacote enviado à camada de transporte, e apenas o dispositivo de destino autentica e descriptografa o pacote. Tema da Apresentação Segurança nas Redes 802.11 e ISA 100.11ª-Aula 10 SISTEMA WIRELESS APLICADO À AUTOMAÇÃO INDUSTRIAL A SEGURANÇA DAS REDES ISA100.11a Segurança via “timestamps” • Redes ISA100.11a operam com uma base de tempo bem sincronizada, referenciada ao TAI (tempo atômico internacional) e todos os dispositivos da rede são continuamente sincronizados com a TAI. Tema da Apresentação Segurança nas Redes 802.11 e ISA 100.11ª-Aula 10 SISTEMA WIRELESS APLICADO À AUTOMAÇÃO INDUSTRIAL A SEGURANÇA DAS REDES ISA100.11a Para fornecer proteção contra uma variedade de ataques, o padrão ISA100.11a emprega “timestamps” (selos de tempo) em sua política de segurança, incluindo-os no mecanismo da criptografia AES-128. A aplicação de segurança na Camada de Transporte dá-se via os “timestamps” que indicam quando os pacotes de dados foram criados. O dispositivo de destino tentará autenticar o pacote de dados, mas se o pacote foi criado há mais de “N” segundos (parâmetro configurável), o destinatário irá descartar o pacote. Tema da Apresentação Segurança nas Redes 802.11 e ISA 100.11ª-Aula 10 SISTEMA WIRELESS APLICADO À AUTOMAÇÃO INDUSTRIAL A SEGURANÇA DAS REDES ISA100.11a Chaves Chaves simétricas são usadas para criptografia de dados e autenticação. Chaves assimétricas podem ser usadas para o processo de associação. Cada chave tem um tempo de expiração, e devem ser atualizadas. Certificados de segurança de chaves assimétricas são opcionais. Tema da Apresentação Segurança nas Redes 802.11 e ISA 100.11ª-Aula 10 SISTEMA WIRELESS APLICADO À AUTOMAÇÃO INDUSTRIAL A SEGURANÇA DAS REDES ISA100.11a Figura 6 – Processo de criptografia por chave secreta. Tema da Apresentação Segurança nas Redes 802.11 e ISA 100.11ª-Aula 10 SISTEMA WIRELESS APLICADO À AUTOMAÇÃO INDUSTRIAL A SEGURANÇA DAS REDES ISA100.11a Vários níveis de autenticação e criptografia podem ser habilitados, tanto para a Camada de Rede como para a de Enlace. Estes níveis são herdados das políticas de segurança nativas da norma IEEE 802.15.4. Políticas de segurança divulgadas via material criptográfico permitem aplicação de níveis de segurança específicos; • O “Security Manager” controla as políticas de todos os materiais criptográficos que ele mesmo gera; • O padrão ISA100.11.a usa criptografia baseada em AES-128, considerada “estado da arte”. Tema da Apresentação Segurança nas Redes 802.11 e ISA 100.11ª-Aula 10 SISTEMA WIRELESS APLICADO À AUTOMAÇÃO INDUSTRIAL A SEGURANÇA DAS REDES ISA100.11a TABELA Security Policy – Authentication Method-Encryption IC - 32 4 bytes OFF MIC - 64 8 bytes OFF MIC - 128 16 bytes OFF ENC-MIC-32 4 bytes ON ENC-MIC-64 8 bytes ON Tema da Apresentação Segurança nas Redes 802.11 e ISA 100.11ª-Aula 10 SISTEMA WIRELESS APLICADO À AUTOMAÇÃO INDUSTRIAL A SEGURANÇA DAS REDES ISA100.11a Por serem baseadas nas especificações IEE802.15.4, as redes ISA100.11a puderam aproveitar-se das implementações nativas de criptografia AES de 128 bits e modos de CCM de segurança das camadas inferiores (MAC e LLC) 802.15.4. Já nas Camadas de Enlace, Rede e Aplicação, há implementações com criptografia AES de 128 bits e chaves de criptografia diferenciadas para os níveis Global, Associação, Master, Enlace e Sessão, de forma a prover a segurança. Tema da Apresentação Segurança nas Redes 802.11 e ISA 100.11ª-Aula 10 SISTEMA WIRELESS APLICADO À AUTOMAÇÃO INDUSTRIAL A SEGURANÇA DAS REDES ISA100.11a As chaves simétricas usadas incluem: Chave Global Todos os dispositivos a compartilham e é a mesma "chave de rede" comum utilizada pelos outros protocolos, que não será utilizado para garantir qualquer segurança real. Chave de Associação É uma chave recebida na conclusão do processo de aprovisionamento de chave simétrica. É usado para a associação de um novo dispositivo à rede, para a partir daí receber a chave mestra (master key). Tema da Apresentação Segurança nas Redes 802.11 e ISA 100.11ª-Aula 10 SISTEMA WIRELESS APLICADO À AUTOMAÇÃO INDUSTRIAL A SEGURANÇA DAS REDES ISA100.11a Chave Mestra Uma chave derivada primeiramente quando da conclusão do esquema de negociação de chave (key agreement scheme), e usada para a comunicação entre o gerenciador de segurança (security manager) e os dispositivos. Ela expira de tempos em tempos e precisa ser atualizada periodicamente. Chave de Enlaçe Uma chave usada para calcular o MIC na camada de enlace. Ela também expira e precisa ser atualizada periodicamente. Chave de Sessão Uma chave opcional usada para criptografar e / ou autenticar PDUs na camada de transporte. Ela também expira e precisa ser atualizada periodicamente. Tema da Apresentação Segurança nas Redes 802.11 e ISA 100.11ª-Aula 10 SISTEMA WIRELESS APLICADO À AUTOMAÇÃO INDUSTRIAL A SEGURANÇA DAS REDES ISA100.11a - O Gerenciamento da Chave Mestra, das “Chaves de Associação” e do “Update de Chaves” é realizado pelo Gerenciador de Segurança (Security Manager), um servidor de rede dedicado. Tema da Apresentação Segurança nas Redes 802.11 e ISA 100.11ª-Aula 10 SISTEMA WIRELESS APLICADO À AUTOMAÇÃO INDUSTRIAL Pudemos ver nesta aula : 1. Aprender os princípios básicos de segurança adotados pelas Redes 802.11 Wi-Fi e ISA 100.11a Tema da Apresentação
Compartilhar
Continue navegando
Materiais relacionados
Perguntas relacionadas
Compartilhar