ARQUITETURA DE REDES SEM FIO Aula 08

Prévia do material em texto

REDES SEM FIO
Aula 8: Segurança em redes 802.11
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
Conteúdo Programático da Disciplina
Aula 1 - Histórico e Contextualização das Redes Sem Fio
Aula 2 - Fundamentos de transmissão de sinais digitais
Aula 3 - Fundamentos de rádio comunicação - Parte I
Aula 4 - Fundamento de radio comunicação – Parte II
Aula 5 - Arquiteturas em redes sem fio e redes lan sem fio (WLAN)
Aula 6 - Redes WLAN padrão IEEE 802.11 (wi-Fi)
Aula 7 - Projeto de uma rede 802.11
Aula 8 - Segurança em redes 802.11
Aula 9 - Instalação e configuração
Aula 10 - Outras Redes sem Fios Utilizadas em Transmissão de Dados
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
Conteúdo Programático desta aula
Ao final desta aula, você será capaz de:
Entender os problemas inseridos pelas redes sem fio que não existem em redes cabeadas.
Compreender os principais padrões e requisitos de segurança existentes.
Entender a fragilidade do WEP e a necessidade de utilização do WPA2.
Entender o funcionamento dos protocolos 802.1x e 802.11i na complementação dos requisitos de segurança em uma rede sem fio padrão 802.11.
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
Introdução
Quanto maior a utilização de redes WLAN, maior se torna a responsabilidade por parte das equipes de suporte, principalmente as ligados a área de segurança de redes de computadores, vulnerabilidades desconhecidas são desafios superados somente com capacitação de pessoal.
As razões para o crescimento do uso dessas tecnologias são bastante atraentes como: mobilidade, redução de custos de instalação, rede provisória e conexões de nós remotos.
As facilidades das redes sem fio, como a de encontrar as possíveis conexões automaticamente são apontadas como uma possível brecha na segurança dessas redes. 
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
Boas Práticas de Segurança Wireless
Com a finalidade de minimizar impactos na segurança, algumas boas práticas devem ser seguidas:
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
Boas Práticas de Segurança Wireless
O firewall deve ser posicionado entre a rede sem fio e os servidores de dados corporativos.
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
Boas Práticas de Segurança Wireless
O menor nível de segurança, com WEP, deve ser instalado, pois apesar de diversas falhas de segurança, deterá uma parte dos espiões casuais
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
Boas Práticas de Segurança Wireless
WEP2 deve ser preferencialmente instalado,  aumentando bastante a segurança da rede WiFi
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
Boas Práticas de Segurança Wireless
APs devem ser instalados preferencialmente ser instalados em switches (equipamentos de camada 2), pois em HUBs (equipamento de camada 1) não há a possibilidade de filtragem de tráfego e controle de banda.
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
Boas Práticas de Segurança Wireless
Relatórios devem ser realizados mensurando o  nível de exposição da rede;
• Preferencialmente utilize VPN para acessar essa rede;
• Use filtro nas camadas 2 e 3 para acesso de segurança; 
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
Boas Práticas de Segurança Wireless
O problema de segurança em redes sem fio é que os administradores de redes não se encontram adequadamente preparados e destinam pouco tempo as mesmas. 
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
Captura de tráfego
A captura de tráfego pode ser realizada em redes cabeada ou sem fio, e se não estiverem utilizando qualquer tipo de criptografia, os dados ficam altamente vulneráveis.
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
Captura de tráfego
Ferramentas específicas ou o simples Tcpdump (ou Windump), que são ferramentas conhecidas como Sniffers, são capazes de capturar o tráfego da rede. 
A captura pode ser utilizada para funções nobres como resolver problemas da rede ou obter acesso a dados, como usuários e senhas, sem autorização do proprietário e pior, descobrir para futura exploração falhas na rede.
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
Captura de tráfego
Outro exemplo de comando é o ifconfig, no Linux e o ipconfig no windows, que retorna diversas informações da rede, exemplo endereço MAC, endereço IP etc.
Tem que ser lembrado que a maioria dos serviços foram concebidos para trabalharem em texto claro como TELNET, POP, IMAP, FTP etc. 
Um exemplo de ferramenta especializada em captura de tráfego é o WIRESHARK, com versões para Linux e Windows.
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
Captura de tráfego
Existem também ferramentas utilizadas com objetivos mais específicos como quebrar as chaves WEP e WPA com diferentes graus de dificuldade e eficiência, como visto a seguir:
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
Captura de tráfego
Airsnort.
Eficaz na quebra de chaves simples, em rede com tráfego intenso. 
Pode ser usado em conjunto com o wepcrack.
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
Captura de tráfego
Wepcrack.
Trabalha em conjunto com Airsnort, explorando as vulnerabilidades do protocolo WEP, sendo multiplataforma.
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
Captura de tráfego
Wepattack. 
Este é um programa opensource desenvolvido para rodar somente em ambiente Linux e seu ataque é baseado na forma de dicionário podendo utilizar qualquer um disponível que contenha informações para a quebra da chave WEP. 
Sua principal característica é a possibilidade de integrar seu trabalho com outras ferramentas para obter um melhor resultado, como o Tcpdump, o Indump, etc.
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
Captura de tráfego
Ethereal ou Wireshark. 
Capturadores de tráfego com versões para ambiente Linux e Windows.
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
Captura de tráfego
Weplab 
Possui 3 métodos de ataque: 
1- ataque de dicionários (ainda não implementada); 
2- força bruta; 
3- quebra de chaves, onde é feita a análise de falhas na geração de chaves de iniciação. 
Uma das suas principais características é a velocidade na quebra da chave WEP
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
Captura de tráfego
Aircrack
É a ferramenta considerada uma das mais eficientes para quebra de chaves WEP devido sua alta eficiência e seu algoritmo.
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
Captura de tráfego
BackTrack 
Uma distribuição Linux que contém todas as ferramentas anteriores e diversas outras voltadas para análise forense. 
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
Captura de tráfego
Vídeo 8 minutos:
Demonstração de invasão WEP e WPA
link:
http://www.youtube.com/watch?feature=endscreen&v=OuOpq0ox9_w&NR=
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
Segurança básica
Uma rede cabeada é uma rede por meios guiados, ou seja, utilizam cabos que conduzem os sinais de um determinado ponto específico para outro. 
Neste tipo de rede pode-se saber exatamente de onde saem os dados e onde exatamente eles vão chegar, o que já não acontece emuma rede sem fio, onde pode-se acessar a mesma de vários lugares, desde que se esteja localizado dentro do raio de irradiação da radiofrequência da mesma.
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
WEP (Wired Equivalent Privacy)
Este padrão foi criado com a intenção de igualar a segurança da rede cabeada, o WEP é utilizado na camada de enlace de dados, fornece autenticação e criptografia de dados entre a estação e o AP, utilizando chaves simétricas, ou seja, a mesma chave para autenticar, criptografar e descriptografar os dados. 
Essa simetria é reconhecida como um risco à segurança.  
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
WEP (Wired Equivalent Privacy)
A norma IEEE 802.11 estabelece dois tipos de autenticação WEP que são:
 Autenticação Open System
 Autenticação Shared Key
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
WEP (Wired Equivalent Privacy)
Autenticação Open System
É o sistema de autenticação padrão, qualquer estação será aceita na rede, bastando requisitar uma autorização. Também conhecido como sistema de autenticação nulo;
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
WEP (Wired Equivalent Privacy)
Autenticação Shared Key
Nesta autenticação, ambas as estações (requisitante e autenticadora) devem compartilhar uma chave secreta.
A forma de obtenção desta chave não é especificada no padrão, ficando a cargo dos fabricantes a criação deste mecanismo.
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
WEP (Wired Equivalent Privacy)
Para provar a fragilidade da WEP, podem ser encontrados softwares na Internet, que garantem quebrar o WEP com chaves de 40 bits de tamanho em 15 minutos, como exemplo o AirSnort e o WepCrack. 
Foram desenvolvidos na mesma época e rodam sobre a plataforma Linux.
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
WEP (Wired Equivalent Privacy)
O software NetStumbler tem a função de testar se o WEP está ou não habilitado, roda sobre o Windows e é capaz de listar todos os pontos de acessos existentes na região, informando quais estão com o WEP habilitado. 
E ainda identificar a posição destes APs se for acoplado a um GPS.
O AirSnort pode encontrar a chave utilizada pelo WEP em poucos segundos, após capturar uma quantidade de tráfego entre 100 Mb e 1Gb.
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
WPA (Wi-Fi Protected Access)
Para aumentar a segurança da camada MAC do 802.11, em 2001, foi criado o comitê 802.11i. 
Devido a sua complexidade provavelmente o desenvolvimento levaria um longo tempo, então a Aliança Wi-Fi lançou a certificação “Wi-Fi Protected Access” (WPA).
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
WPA (Wi-Fi Protected Access)
O WPA foi uma espécie de lançamento antecipando a finalização do 802.11i, que autorizava os fabricantes a produzirem equipamentos “pré-802.11i”, compatíveis com a certificação WPA. 
Os produtos de diferentes fabricantes que fossem certificados WPA, deveriam ser compatíveis atingindo o objetivo de aumentar e corrigir a segurança do sistema WEP nas redes sem fio.
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
WPA (Wi-Fi Protected Access)
Embora o WPA defina modalidades avançadas de criptografia, autenticação e inclua o uso de 802.1X/EAP e de TKIP, ele inclui também o uso de WEP compatível com estações “non-WPA”. 
Se possível, devem-se configurar todos os pontos de acesso com WPA, para rejeitarem associações de estações usando WEP (o AP deve permitir isto) e devem ajustar todas as estações-cliente para usar exclusivamente WPA.
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
WPA (Wi-Fi Protected Access)
WPA melhora a segurança em redes WiFi (802.11), pois utiliza o protocolo de criptografia AES e o padrão 802.11i.
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
WPA2/802.11i
O 802.11i define o aperfeiçoamento da segurança da Camada MAC para redes sem fio. 
Ele lida com as fraquezas de criptografia anteriores em alguns modos, também com a autenticação 802.11 e fornecer um padrão unificado para outros tipos relacionados de criptografia e autenticação 802.11.
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
WPA2/802.11i
Algumas partes do 802.11i descrevem tecnologias que são completamente novas para 802.11 (tais como a criptografia tipo AES), e outras partes mantém tecnologias desenvolvidas anteriormente (como 802.1X). 
A Aliança Wi-Fi lançou a certificação WPA2, que é baseada no padrão 802.11i finalizado e ambos (802.11i e WPA2) são essencialmente similares.
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
WPA2/802.11i
As características dos mecanismos de autenticação mútua são: 
• WPA Enterprise: cada usuário assina uma credencial única e é necessário um servidor AAA – 802.1x com suporte a EAP   para autenticar o usuário. As chaves são únicas para cada sessão dos usuários.
• WPA Personal: Modo não gerenciado de autenticação utilizando PSK e permitindo a entrada da chave (passphrase) manualmente,   que pode ser compartilhada pelos usuários na rede. Não é necessário um servidor de autenticação. As chaves também são   únicas por cada sessão.
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
IEEE 802.1x Port Based Network Acess Control
É um padrão IEEE para controle de acesso à rede baseada em portas. 
Provê um mecanismo de autenticação para dispositivos que desejam juntar-se à uma porta na LAN, seja estabelecendo uma conexão ponto-a-ponto ou prevenindo acesso para esta porta se a autenticação falhar. 
É usado para a maioria dos AP e é baseado no Protocolo de Autenticação Extensiva (EAP).
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
IEEE 802.1x Port Based Network Acess Control
Uma estação precisa autenticar-se antes de ter acesso aos recursos da LAN. 
O 802.1X prevê uma autenticação baseada em portas, que envolve comunicação entre a estação requisitante, o autenticador e o servidor de autenticação.
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
IEEE 802.1x Port Based Network Acess Control
O requisitante é a estação-cliente, o autenticador é um Switch Ethernet ou AP, e a autenticação, geralmente uma base de dados RADIUS. 
O autenticador atua como uma proteção secundária à rede.
Não é permitido a estação-requisitante acesso através do autenticador ao lado protegido da rede até que a identidade do requisitante seja autorizada.
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
IEEE 802.1x Port Based Network Acess Control
Com a autenticação baseada em portas 802.1X, o requisitante provê credenciais como nome de usuário / senha ou certificado digital, ao autenticador, e ele encaminha as credenciais até o servidor de autenticação para verificação. 
Se as credenciais são válidas (na base de dados do servidor de autenticação), a estação-requisitante recebe permissão de acesso os recursos localizados no lado protegido da rede.
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
IEEE 802.1x Port Based Network Acess Control
Quando detecta um novo cliente, a porta do swtich (autenticador) é habilitada e muda para o estado “não autorizado”. 
Neste estado, apenas tráfego 802.1x é permitido; outros tráfegos, como DHCP e HTTP, são bloqueados na camada de enlace.  
O autenticador envia a identidade de autenticação EAP-request ao requisitante, que por sua vez responde com o pacote EAP-response, entãoo autenticador encaminha ao servidor de autenticação.
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
IEEE 802.1x Port Based Network Acess Control
Se o servidor de autenticação aceitar a requisição, o autenticador muda o estado da porta para o modo “autorizado” e o tráfego normal passa a ser aceito. 
Quando o requisitante efetua um logoff, envia uma mensagem EAP-logoff para o autenticador. 
O autenticador então, muda sua porta para o estado “não-autorizado”, bloqueando novamente todo o tráfego não-EAP.
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
IEEE 802.1x Port Based Network Acess Control
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
Fases de Autenticação 802-11i
Descoberta
O AP anuncia sua presença, as formas de autenticação e os tipos de criptografias que podem ser oferecidas aos clientes;
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
Fases de Autenticação 802-11i
2. Autenticação mútua e geração de chave mestra (Master Key – MK) 
A autenticação ocorre entre a estação cliente e o servidor de autenticação. 
O AP serve apenas como passagem. 
O protocolo EAP é trocado entre a estação e o AP bem como entre o AP e o servidor (Protocolo RADIUS) via uma rede cabeada. 
O servidor pode escolher um entre vários modos de efetuar a autenticação. 
O mais utilizado é o EAP-TLS (chaves públicas) de forma a permitir a autenticação mútua entre servidor e a estação-cliente;
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
Fases de Autenticação 802-11i
3. Geração de Chave mestra de Par (Pairwise Master Key – PMK)
A MK é um segredo compartilhado entre o servidor e a estação cliente e eles a utilizam para gerar uma segunda chave, a PMK. O servidor a envia então ao AP. 
Assim a estação cliente e o AP tem agora uma chave compartilhada (o que não ocorria no WEP) e agora autenticam-se mutuamente e estão prontos a operar;
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
Fases de Autenticação 802-11i
4. Geração da chave Temporária (Temporal Key – TK)
Com a PMK, a estação-cliente e o AP podem agora gerar chaves adicionais que serão utilizadas na comunicação. 
Esta chave TK será utilizada para a criptografia na camada de enlace.
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
AES
O AES (Advanced Encription Standard) é um algoritmo de encriptação de blocos de dados.
O algoritmo do AES combina uma chave e um bloco de dados de 128 bits para gerar outro bloco de 128 bits completamente diferente do original. 
A chave utilizada neste processo é o Data Encryption/Integrity Key de 128 bits.
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
AES
Uma característica interessante do AES é que o processo utilizado para encriptação dos dados é o mesmo utilizado para a desencriptação dos dados, significando que os fabricantes precisam apenas implementar o processo de encriptação (e não o de desencriptação) em seus equipamentos.
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
Medidas adicionais de segurança
Atualmente os Access Points e roteadores WiFi, em sua grande maioria, possuem o recurso denominado Filtro de Endereço MAC. 
Esse recurso por default vem desativado pelo fabricante, por necessitar de conhecimentos de como descobrir o endereço MAC da interface de rede wireless e principalmente que o fabricante não teria como prever os endereços das placas de sua rede sem fio.
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
Medidas adicionais de segurança
O filtro de endereço MAC é uma ferramenta altamente recomendada quando se deseja aumentar o nível de segurança da rede.
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
Medidas adicionais de segurança
Sem o filtro de endereço MAC, qualquer dispositivo com capacidade WiFi pode se ligar à sua rede bastando saber o nome da rede e alguns parâmetros sobre chaves de criptografia. 
Quando o filtro de MAC é habilitado, porém, seu Access Point ou roteador efetua uma pequena validação adicional, que faz uma grande diferença na segurança da sua rede. 
Essa medida é mais uma camada de segurança e protege sua rede em caso de violação das senhas de criptografia do sinal. 
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
Medidas adicionais de segurança
Para instalar o filtro de endereço MAC você, como administrador da rede WLAN, deve elaborar uma lista com os endereços físicos das placas WiFi dos dispositivos que terão acesso à rede. 
Primeiramente, identificar o endereço MAC de cada cliente com o utilitário do seu sistema operacional ou com o software que acompanha sua placa WiFi. 
Daí, você precisará acessar o módulo de gerenciamento do Access Point ou Roteador WiFi e ativar a opção Filtrar endereços MAC. 
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
Medidas adicionais de segurança
Com a habilitação do filtro, sempre que o Access Point ou roteador WiFi receber um pedido para se ligar à WLAN, ele compara o endereço MAC do cliente com a lista implementada pelo administrador. 
Os clientes que estão na lista acessam a rede normalmente; os que não estão na lista têm acesso negado a qualquer recurso da WLAN.
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
Medidas adicionais de segurança
O endereço físico na interface wireless de clientes de redes WiFi não podem ser trocado ou alterado, já que esse endereço fica localizado na NIC (placa de rede). 
No entanto, alguns softwares de redes WiFi permitem que seu endereço MAC seja "personalizado" ou "spoofed". 
É possível que um hacker determinado a invadir sua rede WiFi configure seu cliente para fazer spoofing até obter um endereço MAC válido. 
Embora o filtro de endereço MAC não seja infalível, ainda assim funciona como mais uma camada de defesa que melhora segurança geral de sua rede WiFi.
Interconexão de redes locais
REDES SEM FIO
Segurança em redes 802.11 – AULA 08 - *
Resumo da Aula
Nessa aula, você:
Entendeu os problemas inseridos pelas redes sem fio que não existem em redes cabeadas.
Compreendeu os principais padrões e requisitos de segurança existentes.
Entendeu a fragilidade do WEP e a necessidade de utilização do WPA2.
Entendeu o funcionamento dos protocolos 802.1x e 802.11i na complementação dos requisitos de segurança em uma rede sem fio padrão 802.11.
Interconexão de redes locais