sistema de prevenção de intrusão em redes sem fio italo bruno territory sales manager...

Sistema de Prevenção de Intrusão em Redes sem Fio

Italo BrunoTerritory Sales Manager

italo.bruno@flukenetworks.com(61) 9276-4608

• Preciso de WLAN?- Mobilidade;- Visitantes;- BYOD;- Demanda Superior.

Por que WLAN?

relutar por quê?

Se eu preciso, então..

VOCÊ SABE O QUE VOCÊ NÃO SABE?

VOCÊ PODE VER O QUE NÃO PODE VER?

Wireless LANs Introduziu Novos Riscos

Risco de Segurança

• WLANs pode ultrapassar segurança tradissional e expor a corporação

• Ameaças wireless precisam ser rapidamente diagnosticadas e paradas

Risco Operacional

• WLAN não deveria roubar banda cabeada

• Dificuldade em diagnosticar problemas na performance WLAN

Novas Tecnologias

• Wireless VoIP• Wireless “N”• Wireless “ac”• BYOD

Risco Regulatório

• Conformidade com leis e regulamentos auditáveis

Desafios à Wireless nas Corporações

• Quão eficientemente é o planejamento, implantação e otimização de redes 802.11n?, 802.11ac?

• Onde posicionar Pontos de Acesso (APs) para melhor performance?

• Como gerenciar ameaças à segurança?

• Como realizar diangóstico (throubleshooting) eficiente?

• Minha rede WLAN comportará VoIP sobre WiFi?, VDI?, BYOD?

• Está minha rede em conformidade com padrões internacionais?

BYOD – Mais de 500 respostas de múltiplos segmentos verticais ao redor do mundo:

• 82% das organizações permitem uso de dispositivos móveis (BYOD) na rede WLAN corporativa;

• 51% das organizações estão preocupadas sobre como BYOD irá afetar o consumo de banda;

• 52% das organizações recebem diversas reclamações por dia dos colaboradoes tendo dificuldades em conectar na rede WLAN corporativa com seus dispositivos móveis pessois;

• 71% das reclamações são sobre conectividade e performance;

• Aproximadamente 50% das organizações estão planejando um redesenho da rede para acomodar o crescimento de BYOD *According to an internal survey of Fluke

Networks customers/prospects

Vulnerabilidades WLAN

• Redes Sem Fio são vulneráveis a ataques especializados:- Muitos dos ataques exploram fraquezas na tecnologia desde que segurança

WLAN 802.11 é relativamente nova comparada à tradicional segurança às redes cabeadas e o próprio perímetro de defesa.

- Má configuração, configuração incompleta e os próprios usuários.- Bem conhecidos e documentados parâmetros defaults em equipamentos.

DriftNetCommView

Mas o que é segurança?

• Segurança da Informação refere-se a garantir que os usuários possam realizar apenas as tarefas que eles estão autorizados a fazer e acessar apenas a informação à qual eles estão autorizados a ter.

Ameaças Wireless – Quatro Classes Principais

Existem quatro principais classes de ameaças à segurança em redes sem fio:

1. AMEAÇAS NÃO ESTRUTURADAS2. AMEAÇAS ESTRUTURADAS3. AMEAÇAS EXTERNAS4. AMEAÇAS INTERNAS

Ameaças Wireless

1. Ameaças Não Estruturadas- Indivíduos facilmente utilizando ferramentas de hacking.

- Netstumbler- Inssider

- Característica:- Oportunistas por natureza.- Tipicamente pouco competente tecnicamente e pouco persistente.

Ameaças Wireless

2. Ameaças Estruturadas• Hackers que são altamente

motivados e tecnicamente competentes;

• Eles sabem e pesquisam vulnerabilidades nos sistemas wireless.

• Eles entendem e desenvolvem códigos de exploração, scripts e programas.

Ameaças Wireless• Alguns WiFi APs em hardware compacto.• Quão fácil seria colocar um dispositivo destes for a da vista

numa sala de conferência ou embaixo de uma mesa?

Ameaças Wireless

3. Ameaças Externas• Hackers criam um modo para invadir a rede principalmente fora das edificações,

tais como em estacionamentos, construções próximas ou áreas comuns.

Ameaças Wireless

4. Ameaças Internas:• Acesso interno não autorizado e mau uso do acesso

por 60% a 80% de incidentes reportados de acordo com um estudo feito pelo FBI;

• Usuários instalam APs com pouca ou nenhuma segurança configurada;

• Dispositivos móveis com má configuração dos parâmetros de rede sem fio;

• Exessivo vasamento de sinal 802.11;• Política de segurança fraca ou inexistente. Não

seguimento de padrões internacionais de segurança;• Usuário não intencionado induzindo vulnerabilidades.

Mas o que exatamente eles fazem?

Antes de discutir remediação e/ou mitigação das Vulnerabilidades em Redes sem Fio, uma boa prática seria visualizar brevemente a metodologia básica dos Ataques às Redes sem Fio.

Métodos de Ataques Wireless

• Métodos de ataques Wireless podem ser divididos em 3 principais categorias:1. Reconhecimento;2. Ataque acesso;3. Negação de Serviço (DoS).

Simpático, não?

2.4 GHz Wireless Receiver

Câmera no urso

Pequena câmera dentro do urso

E agora, continua simpático?

Como você identifica um

dispositivo invasor e

dispositivos fora do padrão

802.11 que podem

comprometer a

performance e segurança

da WLAN?

*AirMagnet Enterprise solved this problem for a financial services company

Reconhecimento

• Reconhecimento é um descobrimento não autorizado e o mapeamento de sistemas, sinais, serviços ou vulnerabilidades;

• É também conhecido como coleta de informações que comumente precedem uma efetiva tentativa de acesso ou ataque DoS;

• Reconhecimento é similar ao ladrão rondando a vizinhança por casas inseguras.• Reconhecimento wireless é comumente chamado de wardriving or

warchalking.

Reconhecimento

• Reconhecimento:- É ilegal em alguns países podendo resultar em punição.

O projeto War Driving Day

• A sexta edição do projeto War Driving Day, quarta ocorrida no Centro da Cidade do Rio de Janeiro, teve cobertura do Jornal O Globo.

http://www.seginfo.com.br/war-driving-day-seguranca-redes-sem-fio/#wdd4

Resultados descobertos

• O número de redes abertas, sem qualquer proteção de senha para acesso, ainda é grande.

• A variação é pequena ao longo das edições, sendo 50% em 2010 e 45% em 2013.

• Como o número de redes quase triplicaram desde a primeira edição, o número de redes sem proteção está consideravelmente alto, sendo 4.507 redes desprotegidas, número este maior do que o total registrado em 2011 (4.094).

Acesso

• Sistemas de acesso e/ou intrusão, neste contexto, trazem a habilidade para um intruso não autorizado de ganhar acesso ao dispositivo ao qual não tem permissão.

• Acessando sistemas aos quais não tem acesso não raro envolvem processar um script ou ferramenta de exploração a vulnerabilidades conhecidas em sistemas ou aplicações.

• Incluem:- Exploração de senhas fracas ou inexistentes;- Exploração de serviços (HTTP, FTP, SNMP, CDP e Telnet);- Engenharia Social.

• São práticas ilegais.

AirSnort

Acesso – Ataque Rogue AP

• A maioria dos clientes irão associar-se ao Ponto de Acesso com sinal mais forte. Se um AP não autorizado, usualmente um AP rougue, tem o sinal mais forte, o cliente irá associar-se a este AP;

• O rogue AP terá então acesso ao tráfego da rede e aos usuários associados;• O AP rogue pode também utilizar de ARP Poisoning e IP Spoofing para enganar

clientes a enviarem senhas e informações sigilosas.

Negação de Serviço (DoS)

• DoS ocorre quando um ataquante desabilida ou corrompe a rede wireless, sistemas ou serviços com a intenção de negar os serviços a usuários autorizados;

• Ataques DoS podem ter várias forams;• Na maioria das vezes envole apenas rodar um script ou utilizar uma ferramenta.

• Envio de falsos frames de desassociação / desautenticação que força o cliente a desconectar do ponto de acesso;

• Jamming (congestionamento):- Um atacante simplesmente sobrecarrega a potência do sinal do AP válido;

• Interferência intencional- Frequência 2.4Ghz possui apenas 3 canais não sobrepostos, com isso canais

802.11b/g e n em 2.4Ghz são especialmente suscetíveis a este tipo de ataque.

Negação de Serviço (DoS) – Ataques

Ataques adicionais

• Man-In-The-Middle

- Espionagem da sessão wireless;

- Manipulação da sessão wireless.

• MAC Spoofing

- Explora fraquezas no filtro de endereços MAC.

• Engenharia Social.

Princípios de Segurança

• Modelo CID de Segurança- Confidencialidade

- Permitir o acesso aos recursos apenas a quem precisa tem permissão para uso.

- Integridade- Prática em garantir que o dado em trânsito permaneça inalterado;- Garantir que os comunicadores são quem dizem ser.

- Disponibilidade- Garantir que o acesso à informação será concedido apenas a pessoas

autorizadas, por motivos autorizados e em localização autorizada.

Princípios de Segurança• AAA:

- Autenticação:- Prática de validar e verificar a identidade:

- 3 Fatores:- Algo que você conhece –ID do usuário e Senha;- Algo que você tem – SecureID Smart Cards, Tokens

- Algo que você é – Biometria, Leitura de retina, impressão digital.

- Autorização- Prática em prover acesso à informação a usuários autenticados

baseados no nível pré-definido de acesso autorizado, também chamado de acesso baseado em regras;

- Accounting (Auditing)- Prática de garantir que o acesso ao dado será autidável e que a

integridade do dado auditado ou mecanismo será mantido;

Fato #1- 802.11 MAC é enviado em texto claro• O planejamento básico do protocolo 802.11 deixa

pouco para a imaginação:- A maioria do tráfego de gerenciamento flui em texto claro;- Torna fácil interferir no estado da conexão dos dispositivos,

até mesmo capturar fragmentos de fluxos.

100m

Fato #2:Hackers Precisam estar no range do espectro RF WLAN• Para tentar um ataque ao tentar uma conexão o

atacante precisará usar WLAN.

400m

O que é único sobre segurança WLANInsideOutside

NEIGHBORS

HACKERS

EAVESDROPPERS

Wired Security

Few, heavily secured entry points

Wireless Security

Unlimited entry points

All devices are critical to security

Entretanto, sua WLAN pode ser observada à distância

AP Coverage (11b @ 1.0 Mbps

edge)

AP Coverage (11g @ 54

Mbps service)

I see your Beacon!

Boa notíciaHacker precisa estar na cobertura de RF

• Boa notícia: Hackers precisam estar bem próximo da edificação (ou do dispositivo móvel);

• Má notícia: Quase impossível de prevenir em áreas densamente urbanas ou industriais.

Ainda assim

• Medo não deve impedir o progresso

Ações para Mitigação

• Segurança Física;• Minimizar vazamento de sinal RF;• Utilizar padrões fortes de criptografia/autenticação.

IMPLANTAR 24x7x365 Enterprise WIDS/WIPS.

Sua rede está sendo ‘hackeada’? Ou…

• Quantos ataques criam sintomas notórios para usuários autorizados?

• Que dizer de interferência / ruído de RF?• Novos Ataques?

SEM WIPS NUNCA IRÁ SABER!!!

O que WIPS pode fazer por sua WLAN?

Como / Quem

Nível de risco

Frequência / Plano de Detecção

Como Prevenir

O queLegenda: Análise da Segurança WLAN

Rogue AP- “Vizinho transitório”

Como / Quem: Pode ser um AP rogue malicioso com intuito em hackear. Pode ser apenas um vizinho benigno.

Nível de Risco: BAIXO Se o AP for um vizinho benigno, haverá pouca chance de problemas.

Frequência: MÉDIA Full-time / Full-coverage monitoramento WIDS requerido

Como Prevenir: Não há como prevenir

O que: Rogue AP é detectado, mas seu estado muda constantemente.

Diagnóstico cuidadoso é necessário.

“Vizinho” Rogue AP

T TAP no

escritório ao lado

• Como saber se é um vizinho?

Situação: #1, Terça 16:30

Então…

• AP Rogue surge às 16:30, fica por 30 min.• Mesmo comportamento no próximo dia.• Uma investigação revela:

- mesmo comportamento, mesmo SSID em 2 outras unidades da empresa em cidades diferentes!

• Um leitor móvel no notebook poderá ajudar?

-- OU –

• Implemente dispositivo WIPS/WIDS.

Redes WLAN Ad-hoc

Como / Quem: Pode ser proveniente de computadores de colaboradores configurado

erroneamente.

Nível de Risco: Alto Hacker poderia estabelecer uma conexão ad-hoc, levantar ataques no laptop e

potencialmente conectar-se a outras conexões de rede ativas.

Frequência: ALTA Full-time / full-coverage monitoramento WIDS pode instantaneamente detectar e

localizar o dispositivo

Como prevenir: Educar os colaboradores. Utilizar função WIPS para localizar e bloquear nós ad-hoc ativos.

O que: MS Windows permite o adaptador WLAN operar como ad-hoc (ponto a ponto). A

maioria dos laptops tem esta função ativada por default. fault. Nova falha pode piorar a exploração deste tipo de conexão.

Perigo real

Terceirizado

Auditor Externo!!

Visitante

Laptops conectados à rede cabeada COM ad-hoc WLAN ativo.Hackers podem adentrar à rede cabeada.

Rogue AP – Usuários avançados

Como / Quem: Colaboradores iniciando rede WLAN temporária. Colaborador “esperto” tentando burlar as regras de segurança.

Nível de Risco: ALTO Acesso não autorizado WLAN à rede corporativa. Algumas configurações podem causar dano severo à rede.

Frequência: BAIXA Full-time / full-coverage monitoramento WIDS requerido.

Como prevenir: Educar os colaboradores. Uso de WIPS para monitorar WLAN e a rede Cabeada.

O que: “usuários avançados” conectam APs não autorizados à rede

cabeada sem qualquer recurso de segurança.

SITUAÇÃO REAL: Grande Problema!!!

• Colaboradores conectam AP à rede utilizando baixa ou nenhuma segurança.

• Utilizam o esquema de IP conhecido.

• Resultado: 4 horas de inatividade.

Mitigando Vulnerabilidades WLAN

O que considerar?

• Aplique boas práticas de segurança na configuração de WIPS;- Criptografia;- AAA;- Cobertura do sinal.

- OU não tenha WLAN.; Resolve?

WIDS / WIPS – Sistema indispensável

WIPS – Detecção de ameaças

• Dispositivos não controlados;• Dispositivos falsificados;• Ataques de DoS;• Detecção de ferramentas de invasão;• Ataque de força bruta.

MAIS IMPORTANTECONSTANTE ATUALIZAÇÃO DE ASSINATURAS

WIPS – Localização

• Localização em mapa real ou planta baixa baseado em técnicas de triangulação;

• Disparo de alarmes de invasor com base na localização do dispositivo.

WIPS – Arquitetura

• Seu firewall também é seu switch?• Seu balanceador também é seu roteador de WAN?• Seu IPS também é seu Core de Rede?

POR QUE SEU ACCESS POINT DEVERIA SER SEU SENSOR DE WIPS

- Sistema Autônomo;- Sistema Dedicado 100% 24x7;- Sistema Agnóstico;- Tolerante a falhas.

WIPS – Análise Forense

• O que passou ainda pode ser análisado;• WIPS com captura:

- Cabeçalho RF;- Pacote de Dados;- Ativado automaticamente dado ameaça detectada.

WIPS – Diagnóstico e Troubleshooting

• Investigação profunda dentro dos problemas ou conexões inseguras;

• Conjunto de ferramentas de diagnóstico e throubleshooting para analizar problemas de conectividade, interferência e mobilidade.

WIPS – BYOD

• Classificação e agrupamento automático dos dispositivos;

• Informação detalhada de SO e nome do Modelo;

• Relatório dos Dispositivos.

Esqueceu de algo?WIPS – Espectro de Frequência

• 802.11 é um serviço dentro da RF.• Alguém mais utiliza?

- Bluetooth;- Telefone sem fio;- Forno Microondas.

SOLUÇÕES

Planning

Deployment &

Verification

Troubleshooting

& Interference

24x7 Performance

& Security

Wired/WLAN Analysis WLAN Test & Analysis

OptiView XG ®

Spectrum Analysis

AirMagnetSpectrum XT

AirCheck™ Wi-Fi Tester

AirMagnetVoFi Analyzer

AirMagnetWi-Fi

Analyzer

Soluções Wireless

AirMagnetEnterprise

AirMagnetPlanner

AirMagnetSurvey

AirMedic® USB

One Touch AT

• Monitoramento 24x7

AIR MAGNET ENTERPRISE

AME Architecture do Sistema – Sensor SmartEdge

Servidores AME no Data Center

Console em NOC / SOC ou remotamente

PRIMARY HOT STANDBY

Todo o tráfego WLAN é

processado dentro do Sensor

<5 Kbps necessários por sensor por

servidor,Captura 100% de Performance &

Eventos de Segurança

Site Remoto

Site Local

AME System Architecture- Fault Tolerance

AME Servers in Data Center

PRIMARY HOT STANDBY

Servidor Hot Backup Automaticamente

assume em caso de falha do primário

Sensor continua a armazenar eventos

mesmo que a conexão com o servidor é

interrompida.

X

Remote Site

Local Site

Inteligente, um click para atualização de todos os sensores;

Dual-Boot previne falha na atualização em

queda de alimentação

Servidores AME no Data Center

Console em NOC / SOC ou remotamente

X

Completa Visibilidade Wireless

• Contínua análise em todos os canais wireless, dispositivos e tráfego;- Necessário para visualizar ataques complexos (man-in-the middle);- Necessário para visualizar comportamento do cliente.

• Escaneamento de todos os canais incluindo 200 canais adicionais- Garante que nenhum rougue ficará escondido.

• Análise de Espectro visualiza mais fundo que WiFi- Expõe ataques DoS em camada 1 e outros dispositivos wireless

como Bluetooth ou cameras wireless.

Livraria completa de ataques

• Detecção de centenas de ataques únicos e ferramentas de ataque

• Múltiplas técnicas de detecção• Cobertura de todas as áreas de vulnerabilidades,

políticas de segurança e técnicas de intrusão- Vulnerabilidades na configuração;- Auditoria das Políticas de Autenticação e encriptação;- Ataques de DoS;- Ferramentas de hacking e intrusão;

- Injection attacks, dictionary attacks, MITM

- Dispositivos Rogue.

Monitoramento do Ar 24x7

• Requerimento: - Sensores Dedicados – 100% monitorando 24/7:

- Captura de todos os dispositivos relevantes e ataques;

- Imediatamente gerar evento para notificação.

• OptiView XG;- Diagnóstico de rede sem fio e cabeado;- Site Survey;- Análise de espectro.

• AirCheck;- Qualidade da Rede sem fio simples e

pontual.

Solução de Diagnóstico Portátil

Solução de Diagnóstico Portátil

Deseja saber mais? Fale comigo

Italo BrunoTerritory Sales Manager

italo.bruno@flukenetworks.com(61) 9276-4608