congresso wi-fi
DESCRIPTION
Congresso Wi-Fi. Desenvolvimentos Tecnológicos e Implementações de QOS e Protocolos de Segurança em Redes Wi-Fi. André Docena Corrêa Lucinski [email protected] [email protected]. Agenda. 802.11 – Padrões / Grupos de Trabalho 802.11e - QOS WEP / WEP 2 802.1x - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: Congresso Wi-Fi](https://reader036.vdocuments.com.br/reader036/viewer/2022081506/5681521f550346895dc06357/html5/thumbnails/1.jpg)
Congresso Wi-Fi
Desenvolvimentos Tecnológicos e Implementações de QOS e Protocolos de Segurança em Redes Wi-Fi
André Docena CorrêaLucinski
[email protected]@pobox.com
![Page 2: Congresso Wi-Fi](https://reader036.vdocuments.com.br/reader036/viewer/2022081506/5681521f550346895dc06357/html5/thumbnails/2.jpg)
Agenda
802.11 – Padrões / Grupos de Trabalho
802.11e - QOS
WEP / WEP 2
802.1x
Riscos associadoas a utilização de redes Wi-Fi e medidas de Segurança
Q&A
![Page 3: Congresso Wi-Fi](https://reader036.vdocuments.com.br/reader036/viewer/2022081506/5681521f550346895dc06357/html5/thumbnails/3.jpg)
802.11 – Padrões e Grupos de Trabalho
802.11a - 5GHz UNIIOFDM (Ortogonal Frequency Division
Multiplexing)6 to 54Mbps
802.11b - 2.4GHzCCK (Complementary Code Keying)1 to 11Mbps
![Page 4: Congresso Wi-Fi](https://reader036.vdocuments.com.br/reader036/viewer/2022081506/5681521f550346895dc06357/html5/thumbnails/4.jpg)
802.11 – Padrões e Grupos de Trabalho
802.11gHigher Rate Extensions na banda de
2.4GHzAumento da velocidade em relação a
802.11b - até 54MbpsOFDM (Frequency Division Multiplexing)RTS / CTSCompatível com 802.11b
![Page 5: Congresso Wi-Fi](https://reader036.vdocuments.com.br/reader036/viewer/2022081506/5681521f550346895dc06357/html5/thumbnails/5.jpg)
802.11 – Padrões e Grupos de Trabalho
802.11c - Bridge Operation Procedures
802.11d - Global HarmonizationRegulamentação: U.S., Europa e Japão
802.11e - MAC Enhancements for QoSQOS focado em aplicações multimídiaCompatível com qualquer 802.11 PHYs
![Page 6: Congresso Wi-Fi](https://reader036.vdocuments.com.br/reader036/viewer/2022081506/5681521f550346895dc06357/html5/thumbnails/6.jpg)
802.11 – Padrões e Grupos de Trabalho
802.11f - Inter Access Point Protocol (IAPP) Roaming entre Access Points APs de fabricantes diferentes podem não operar em
conjunto
802.11h - Spectrum Managed 802.11a Seleção dinâmica de canais (Europa)
802.11i - MAC Enhancements for Enhanced Security Resolução de problemas relativos ao WEP Incorpora o 802.1x e técnicas avançadas de
criptografia
![Page 7: Congresso Wi-Fi](https://reader036.vdocuments.com.br/reader036/viewer/2022081506/5681521f550346895dc06357/html5/thumbnails/7.jpg)
802.11e
QOS (Quality of Service) em 802.11
Trabalha na camada MAC
Desejável para aplicações multimídia
Cooperação com IEEE 1394
Aplicável e compatível com 802.11a, 802.11b e 802.11g (PHY)
![Page 8: Congresso Wi-Fi](https://reader036.vdocuments.com.br/reader036/viewer/2022081506/5681521f550346895dc06357/html5/thumbnails/8.jpg)
802.11e
Soluções que funcionam em redes cabeadas podem não funcionar em redes wireless pelos seguintes motivos:Taxa de erro pode chegar de 10 a 20%Taxa de transmissão varia de acordo com
as condições do canal utilizado Impossível determinar a banda exata que
pode ser utilizada devido a sua variação
![Page 9: Congresso Wi-Fi](https://reader036.vdocuments.com.br/reader036/viewer/2022081506/5681521f550346895dc06357/html5/thumbnails/9.jpg)
802.11e
Ë comum definir como constante o tráfego multimídia, mas ele se torna “bursty” em situações onde existe elevada taxa de erro.
Protocolos da camada MAC somente podem cuidar da priorização do tráfego, não da reserva de banda
![Page 10: Congresso Wi-Fi](https://reader036.vdocuments.com.br/reader036/viewer/2022081506/5681521f550346895dc06357/html5/thumbnails/10.jpg)
802.11e
Reserva de banda Redes IP geralmente utilizam RSVP Muitas aplicações não utilizam esse protocol RSVP está sendo descontinuado por alguns
fabricantes (Exemplo: MS Windows XP)802.11e deve suportar 802.1p (priority marking)802.11e não deve assumir a utilização de RSVP mas deve se beneficiar caso este esteja disponível
![Page 11: Congresso Wi-Fi](https://reader036.vdocuments.com.br/reader036/viewer/2022081506/5681521f550346895dc06357/html5/thumbnails/11.jpg)
802.11e - Draft
Focado em duas aplicações Audio/vídeo – deve suportar: até 3 canais
simultâneos MPEG-2 em DVD rate; ou um canal MPEG-2 em HDTV rate, em redes 802.11a
QOS para redes corporativas, provendo priorização de tráfego e integração com a infra-estrutura de gerenciamento existente
Backwards compatible com Clientes/APs que não utilizem 802.11eAtua também sobre o tráfego entre Clientes
![Page 12: Congresso Wi-Fi](https://reader036.vdocuments.com.br/reader036/viewer/2022081506/5681521f550346895dc06357/html5/thumbnails/12.jpg)
802.11e
Tentativas anteriores para WLAN QOSHiperlan 1 (1996): frágil na presença de
erros e clientes “hidden”Hiperlan 2: frágil em situações com bursts
de tráfego. Implementação complexaHomeRF: ineficiente para tráfego de vídeo;
problemas com a camada PHY
![Page 13: Congresso Wi-Fi](https://reader036.vdocuments.com.br/reader036/viewer/2022081506/5681521f550346895dc06357/html5/thumbnails/13.jpg)
802.11e - HCF
Tráfegos diferentes necessitam de soluções diferentes para QOS
802.11e apresenta o conceito: “Hybrid Coordination Function”
802.11e – HCF utiliza funcionalidades das tecnologias CSMA/CA e PCF (Point Coordination Function)
![Page 14: Congresso Wi-Fi](https://reader036.vdocuments.com.br/reader036/viewer/2022081506/5681521f550346895dc06357/html5/thumbnails/14.jpg)
802.11e - HCF
CSMA/CA (DCF) (Scheduling) Eficiência e baixa latência para tráfego com burst Controle de acesso ao canal por pacote, não utilizando
otimização por previsão de tráfego
PCF (Reservation) Controle de acesso ao canal por “stream” Eficiência na previsão de tráfego
802.11e Utiliza uma combinação das duas tecnologias Eficiente acesso ao canal para tráfego previsível Eficiente para tráfego com bursts e retransmissões
![Page 15: Congresso Wi-Fi](https://reader036.vdocuments.com.br/reader036/viewer/2022081506/5681521f550346895dc06357/html5/thumbnails/15.jpg)
802.11e
802.11e está baseado em mais de uma década de experiência em protocolos WLAN
802.11e foi desenvolvido com foco nas condições reais de utilização de redes wireless. Robusto em condições adversas
Backwards compatible com Clientes e APs 802.11
![Page 16: Congresso Wi-Fi](https://reader036.vdocuments.com.br/reader036/viewer/2022081506/5681521f550346895dc06357/html5/thumbnails/16.jpg)
WEP
WEP (Wired Equivalent Privacy): Opcional para 802.11 - MAC LayerBusca resolver os seguintes problemas: Impedir que intrusos consigam ler os
dados transmitidos Impedir que intrusos consigam modificar
dados transmitidos Impedir que intrusos tenham acesso a
rede wireless
![Page 17: Congresso Wi-Fi](https://reader036.vdocuments.com.br/reader036/viewer/2022081506/5681521f550346895dc06357/html5/thumbnails/17.jpg)
WEP
Como funciona o WEP Shared Secret (WEP Key) – 40/104 bits Criptografia RC4 stream cipher (simétrica) do
payload dos pacotes 802.11 (corpo + CRC) Seed = Shared Secret + Randon 24 bit (IV) IV muda para cada pacote (sequêncial ou
randômico dependendo da implementação) IV é enviado em clear text no cabeçalho do
pacote 802.11
![Page 18: Congresso Wi-Fi](https://reader036.vdocuments.com.br/reader036/viewer/2022081506/5681521f550346895dc06357/html5/thumbnails/18.jpg)
WEP
O que está errado com o WEPShared Key estáticaNão possui necamismo de distribuição ou
renovação de chaves de criptografia IV relativamente pequeno (24 bits) IV sequêncial em diversas implementações
![Page 19: Congresso Wi-Fi](https://reader036.vdocuments.com.br/reader036/viewer/2022081506/5681521f550346895dc06357/html5/thumbnails/19.jpg)
WEP
![Page 20: Congresso Wi-Fi](https://reader036.vdocuments.com.br/reader036/viewer/2022081506/5681521f550346895dc06357/html5/thumbnails/20.jpg)
WEP2
Definições compatível com WEP Força chaves de 128 bits Suporte a Kerberos V
Problemas Permite a reutilização do IV Não possui autenticação mútua Suporte a Kerberos V permite dictionary attacks Possível DOS pois autenticação/desautenticação
não são seguras
![Page 21: Congresso Wi-Fi](https://reader036.vdocuments.com.br/reader036/viewer/2022081506/5681521f550346895dc06357/html5/thumbnails/21.jpg)
802.1x
Controle de acessoAutenticação mútuaUtilização de Servidor de Autenticação centralizada (RADIUS)Distribuição dinâmica de chaves de criptografiaEAP (Extensible Authentication Protocol – RFC2284) permitindo a utilização de diversos métodos de autenticação: Token Cards, Kerberos, one-time passwords, certificados digitais e PKI
![Page 22: Congresso Wi-Fi](https://reader036.vdocuments.com.br/reader036/viewer/2022081506/5681521f550346895dc06357/html5/thumbnails/22.jpg)
802.1x
Componentes:Supplicant (Cliente)Autenticador (AP)Servidor de Autenticação (RADIUS)
Possíveis ataques demonstrados:Session Hijacking Man-in-the-middle
![Page 23: Congresso Wi-Fi](https://reader036.vdocuments.com.br/reader036/viewer/2022081506/5681521f550346895dc06357/html5/thumbnails/23.jpg)
802.1x1. Cliente envia pedido de autenticação ao AP2. AP responde pedindo a identificação do Cliente3. Cliente envia sua identificação que é redirecionada pelo AP
ao servidor de autenticação4. Servidor de autenticação verifica a identidade do Cliente e
envia uma mensagem de aceitação/negação ao AP5. Se a identificação for aceita o AP libera o tráfego do Cliente
![Page 24: Congresso Wi-Fi](https://reader036.vdocuments.com.br/reader036/viewer/2022081506/5681521f550346895dc06357/html5/thumbnails/24.jpg)
802.1x - EAP
EAP – TLS Autenticação mútua baseada em certificados Chaves de criptografia são geradas
EAP – TTLS Cliente não necessita de certificado digital,
mas pode ser autenticado utilizando senhas Servidor de autenticação utiliza certificado
digital Chaves de criptografia são geradas
![Page 25: Congresso Wi-Fi](https://reader036.vdocuments.com.br/reader036/viewer/2022081506/5681521f550346895dc06357/html5/thumbnails/25.jpg)
802.1x - EAP
EAP – SRP Cliente e servidor de autenticação são
autenticados utilizando senhas Chaves de criptografia são geradas
EAP – MD5 Cliente é autenticado através de senha Servidor de autenticação não é autenticado Não são geradas chaves de criptografia
![Page 26: Congresso Wi-Fi](https://reader036.vdocuments.com.br/reader036/viewer/2022081506/5681521f550346895dc06357/html5/thumbnails/26.jpg)
Riscos associados
Perda de confiança dos clientes
Perda de confiança dos acionistas e investidores
Danos a marca
Diminuição dos lucros
Implicações legais
![Page 27: Congresso Wi-Fi](https://reader036.vdocuments.com.br/reader036/viewer/2022081506/5681521f550346895dc06357/html5/thumbnails/27.jpg)
Medidas de Segurança
Habilite WEP como nível mínimo de segurança Utilize chaves de 128 bits Altere a chave WEP frequêntemente Não assuma que o WEP é seguro
Se possível utilize 802.1x
Se possível desabilite broadcast de SSID
Altere o SSID e a senha default dos APs
![Page 28: Congresso Wi-Fi](https://reader036.vdocuments.com.br/reader036/viewer/2022081506/5681521f550346895dc06357/html5/thumbnails/28.jpg)
Medidas de Segurança
Altere os nomes e senhas das comunities SNMP dos APsTrate sua rede wireless como uma rede públicaUtilize filtros por MAC addressColoque sua rede wireless em uma DMZ e de forma isoladaDesabilite compartilhamento de arquivos em clientes wireless
![Page 29: Congresso Wi-Fi](https://reader036.vdocuments.com.br/reader036/viewer/2022081506/5681521f550346895dc06357/html5/thumbnails/29.jpg)
Medidas de Segurança
Se usuários wireless tiverem de utilizar serviços em sua rede local, utilize outros algorítimos de autenticação e criptografia, como por exemplo: VPN, IPSec, SSHPromova regularmente "Access Point Discovery“Utilize IDS na rede wireless
![Page 30: Congresso Wi-Fi](https://reader036.vdocuments.com.br/reader036/viewer/2022081506/5681521f550346895dc06357/html5/thumbnails/30.jpg)
Q&A
![Page 31: Congresso Wi-Fi](https://reader036.vdocuments.com.br/reader036/viewer/2022081506/5681521f550346895dc06357/html5/thumbnails/31.jpg)
Referências
IEEE 802.11 Work Groups
SAMS Reading Room
Cisco
802.11 Planet
Intel
ISS
CWNP
IBM