aula 6 - segurança em redes wireless
TRANSCRIPT
REDES WIRELESS
Segurança em Redes Wireless – Parte IEng.º Milton Aguiar
O Desafio
• Numa rede “sem fios” não existe o conceito de rede privada, qualquer individuo com equipamento wireless pode ligar-se desde que tenha “sinal”
Considerações
• Controlar quem pode aceder• Controlar Access Points inválidos• Garantir que todo o tráfego está protegido• Que a informação não é alterada• Gestão dos Acess Points
Ameaças• Divulgação de informação confidencial • Acesso desautorizado a dados• Personificação de um cliente autorizado• Interrupção de serviço• Acesso desautorizado à Internet• Acessos wireless domésticos inseguros• Implementações de Access Points não
autorizados
Tipos de Ameaças
• Ad hoc networks (Redes Ad hoc): Uma rede ad hoc é uma rede sem fios formado entre dois clientes. O risco de segurança está relacionado com a ignoração das políticas de segurança corporativas. – Um invasor/atacante pode formar uma rede adhoc com um
cliente confiável, roubar informações, e até mesmo usá-lo como um meio de atacar a rede corporativa devido a conseguir uma ligação segura com a LAN sem fios
Tipos de Ameaças• ROGUE AP
– Um rogue AP não faz parte da infra-estrutura corporativa. Pode ser um AP que foitrazido de casa ou um AP que está em uma rede vizinha.
– Alguma coisa a considerar quando se olha para APs é o que acontece com clientes que podemconectar os APs. Se um cliente se conecta a um rogue AP, deve ser considerado umcliente desonesto. A razão é que APs normalmente são instalados com configurações padrão,o que significa que qualquer cliente que se conecta ignora qualquer política de segurança corporativa.
Tipos de Ameaças• Missassociated Client
• Quando um cliente se conecta a um AP, utilitários do sistema operacional normalmente permitir ao cliente salvar o SSID. No futuro, quando o SSID é visto novamente, o cliente pode criar uma conexãoautomaticamente.
• Considerar o seguinte cenário:
– Um atacante aprende o SSID da rede da empresa. Utilizando esta informação, ele envia beacons a anunciar seu SSID. A estação sem fio noalcance do AP não autorizado (rogue AP) se conecta ao AP. O AP permite a conectividade com a Internet, masnão está realmente na sua rede corporativa com fio. Usando as ferramentas que estão facilmente disponíveis na Internet, um outro cliente conectado ao mesmo rogue AP ataca o misassociated client e rouba valiosos dados corporativos.
Ataques Wireless• Não é novidade que as redes em geral, são constantemente bombardeadas com ataque;
• Alguns destes ataques são únicos para redes sem fios, como é o caso da falsificação de quadros de gestão spoofing (management frame spoofing). Com a falsificação de quadros de gestão, um rogue AP anuncia um SSID conhecido para o cliente em uma tentativa conseguir com que o cliente se conecte ao “falso” AP.
• Existem outros tipos de ataques que tanto se aplicam às redes cabladas como às redes sem fios:
– Ataques de reconhecimento (reconnaissance attacks) : um invasor tenta obter informações sobre sua rede.Inicialmente, o método de combater este tipo de ataques consistia em esconder o SSID não o transmitindo em quadros/tramas de sinalização;
– Ataques de acesso: um invasor tenta obter acesso a dados, dispositivos e / ou da rede. Inicialmente, o método de prevenir o acesso à rede envolvia a utilização de autenticação baseada em MAC bem como a utilização do WEP (Wired Equivalent Privacy). O problema com a utilização do WEP actualmente é que as chaves podem ser quebradas em 4 a 7 minutos;
– Ataques DOS - Denial-of-Service (DoS) attacks : um invasor tenta manter os utilizadores legítimospara que obtenham serviços de que necessitam. Hoje em dia, o uso de sistemas de detecção/prevenção de intrusão (IDS / IPS) na rede com fio pode ajudar a mitigar este tipo de ataques.
Métodos de Autenticação Simples
• Open Authentication:– Autenticação Aberta á tão simples como o próprio nome indica. O termo "autenticação" é usado
livremente aqui porque é parte do processo de associação, embora realmente não exista qualquer tipo de autenticação:
O cliente envia uma solicitação de autenticação para o AP, e o AP responde com umconfirmação e regista o cliente.
Em seguida, o pedido de associação e de confirmação tomalugar. Este tipo de autenticação aberta é comum ser usado em hot spots. Normalmente nas configurações de uma WLAN escolhe-se a opção “None” no guia segurança, como podemos observar na figura
Métodos de Autenticação Simples
• Preshared Key Authentication with Wired Equivalent Privacy (WEP)– Com WEP estático os utilizadores não são
autenticados. Simplesmente é verificado se eles têm uma chave. Não sabemos quem são os utilizadores. Apenas sabemos que eles “sabem” a chave .
– O processo de autenticação WEP é como se segue
Métodos de Autenticação Simples
Preshared Key Authentication with Wired Equivalent Privacy (WEP)
No WEP três comprimentos de chave podem ser usados:■ chave de 40 bits■ chave de 104 bits■ chave de 128 bits
Métodos de Autenticação Simples
Métodos de Autenticação Simples
MAC ADDRESS FILTERING – Filtragem de Endereços MAC
Filtragem de endereço MAC é uma forma simples de autenticar o dispositivo que está se conectando.Filtragem de endereço MAC implica a definição de endereços MAC que têm permissão para se conectar.
Embora esta seja uma maneira fácil de garantir que as pessoas com o endereço MAC definido são permitidosna rede, o perigo é que os endereços MAC podem ser facilmente falsificados, logo estemétodo não é recomendado.
Para configurar a filtragem de endereços MAC, basta verificar uma caixa na página de configuração do WEP estático, como mostrado na figura
Autenticação centralizada é o ato de verificar a identidade do utilizador por outro meio sem ser apenasas definições locais.
Neste cenário, uma infra-estrutura de Chave Pública (PKI) é geralmente utilizada.
PKI utiliza certificados digitais que são criptograficamente assinados por uma terceira parte confiável (trusted third party).
O trusted third party é chamado de Autoridade Certificadora (CA).
A primeira coisa que se necessita é um certificado que identifica quem o utilizador “é”.O certificado de identidade de pessoas pode ser obtido de entidades como a VeriSign ou a Entrust.
Também é possível obter o certificado de um servidor configurado por nós (por exemplo, o Microsoft Server tem um CA que se pode administrar por conta própria)
Um certificado contém as seguintes informações:■ Nome de Utilizador■ Chave pública■ O número de série■ As datas de validade■ A informação da Autoridade Certificadora (CA )
Autenticação CentralizadaCertificados Digitais
●Quando se utiliza certificados digitais, temos um certificado de CA e um certificado de servidor que é emitido pela CA.● Cada dispositivo que deseja se comunicar usa o certificado CA para verificar a assinatura do certificado da outra parte . Se a assinatura corresponde, consegue-se a autenticação..Como alternativa, pode ser utilizado um certificado auto-assinado;Esses certificados são usados para autenticação 802.1x. ●Este é um método de autenticação centralizada que pode usar vários EAP (Extensible Authentication Protocol ), métodos de autenticação de um cliente para um servidor AAA ( Authentication, Authorization, and Accounting).Os certificados também podem ser utilizados para os dados de controlo do protocolo LWAPP. No entanto não é o mesmo certificado que o utilizado para o 802.1x. ●Além disso, os certificados são também usados para autenticação web, mas, novamente, é importante salientar que não é o mesmo certificado que o utilizado pelo 802.1x
Autenticação CentralizadaCertificados Digitais
802.1X e sua Utilização●802.1x é o padrão de autenticação definido pelo IEEE. ●Tem sido utilizado durante algum tempo do lado das redes com fio, por isso foi uma escolha lógica para redes sem fio. ●No seu nível mais básico, 802.1x é um método de abrir ou fechar uma porta, com base em uma condição:
✗ a condição aqui é que um servidor AAA verificou a identidade do cliente. ✗ 802.1x é um quadro que usa vários métodos EAP na sua comunicação.
✗
✗ Analisando o facto de o 802.1x ter sido usado em redes com fio durante algum tempo, podemos ver na figura seguinte que o dispositivo que quer entrar na rede com fio é chamado o suplicante.
✗ Um suplicante é um dispositivo que pode usar um método EAP para provar a sua identidade com o servidor de autenticação.
✗ O servidor de autenticação é um servidor de AAA que tem uma lista de utilizadores (de uma forma ou outra) de maneira a que possa verificar o suplicante.
✗ Entre os dois está o autenticador, que neste exemplo é o switch. ✗ O switch utiliza EAP over LAN (EAPoL) entre o suplicante entre si. e, em seguida, RADIUS (com EAP)
entre sie o servidor de autenticação.
Agora se o switch for trocado por um AP, como mostra a Figura 17-8, temos o mesmo cenário que o anterior, excepto que neste caso o protocolo entre o suplicante sem fio e o AP é o EAPoWLAN
802.1X e sua Utilização
802.1X e sua Utilização
O Processo EAP
O servidor de autenticação pode ser externo ou pode ser um ACS (Cisco Secure Access Control Server) ou talvez um servidor RADIUS gratuito.
Realmente não importa o que se utiliza como servidor de autenticação, desde que suporte o método EAP configurado no controlador e utilizado pelo suplicante/cliente e pelo AP;
É necessário definir a localização do servidor RADIUS no interface do controlador.
Observe a figura:
Servidor de Autenticação
Quando se definir o servidor RADIUS, digite o endereço IP do servidor e a shared secret (uma passphrase predeterminada na configuração)
O próximo passo para permitir a autenticação 802.1x é definir o método de EAP, conforme descritonas seções seguintes.
Servidor de Autenticação
