implementando segurança em redes wireless alberto oliveira – lanlink mcse:security, security+...
TRANSCRIPT
Implementando Implementando segurança em redes segurança em redes
wirelesswireless
Alberto Oliveira – LanlinkAlberto Oliveira – Lanlink
MCSE:Security, Security+MCSE:Security, Security+
João Carlos Manzano – MicrosoftJoão Carlos Manzano – Microsoft
Security SpecialistySecurity Specialisty
AgendaAgenda
IntroduçãoIntrodução Tendências Necessidades e DesafiosTendências Necessidades e Desafios Padrões e TecnologiasPadrões e Tecnologias Solução: Windows Server 2003Solução: Windows Server 2003 Implementando a SoluçãoImplementando a Solução Novidades do Longhorn/VistaNovidades do Longhorn/Vista
Redes WirelessRedes Wireless
Personal AreaPersonal AreaBluetoothBluetoothHomeRFHomeRF
Local AreaLocal AreaWireless LAN (WLAN)Wireless LAN (WLAN)
HiperLAN/2HiperLAN/2
Wide Area & Metro AreaWide Area & Metro AreaCellular-based mobile data Cellular-based mobile data
Global & Universal AreaGlobal & Universal AreaSatellite Data NetworksSatellite Data Networks
Visão sobre WirelessVisão sobre Wireless
Extende o poder das aplicações e serviços, Extende o poder das aplicações e serviços, através da ativação de conectividade sem fio através da ativação de conectividade sem fio confiável, segura, presente e transparente.confiável, segura, presente e transparente. WWANWWAN
Conectividade de Dados através do CelularConectividade de Dados através do Celular
WLANWLAN Rede Local, baseado em WiFi (802.11a/b/g) e hotspotsRede Local, baseado em WiFi (802.11a/b/g) e hotspots
PANPAN Rede local usando Bluetooth (UWB)Rede local usando Bluetooth (UWB)
Plataforma de serviços de localizaçãoPlataforma de serviços de localização Permitir localizaça de dados de todas as origens Permitir localizaça de dados de todas as origens
wireless (incluindo GPS) para permitir uma rica wireless (incluindo GPS) para permitir uma rica experiência em Windowsexperiência em Windows
Tendência em Redes WirelessTendência em Redes Wireless
Explosão no crescimento de dispotivos Explosão no crescimento de dispotivos wirelesswireless Crescente aumento nas vendas de Crescente aumento nas vendas de
handheldshandhelds
Aumento da banda em WLANAumento da banda em WLAN Até 54MbpsAté 54Mbps
Suporte wireless de fábricaSuporte wireless de fábrica A maioria dos Laptops e PDA’s possuem A maioria dos Laptops e PDA’s possuem
esse recurso.esse recurso.
Necessidade de Redes WirelessNecessidade de Redes Wireless
Produtividade dos FuncionáriosProdutividade dos Funcionários Acesso habilitado de qualquer lugar da Acesso habilitado de qualquer lugar da
empresa para os recursos e aplicações empresa para os recursos e aplicações críticas, de forma rápida e seguracríticas, de forma rápida e segura
““Os usuários móveis dos EUA devem Os usuários móveis dos EUA devem dobrar entre 2001-2006 “dobrar entre 2001-2006 “
(IDC)(IDC)
“ “ Acesso Wireless aos funcionários em uma Acesso Wireless aos funcionários em uma
rede corporativa aumenta a produtividade em 30%” rede corporativa aumenta a produtividade em 30%”
(Gartner)(Gartner)
Requisitos da soluçãoRequisitos da solução
Conectividade SeguraConectividade Segura Qualquer Lugar Qualquer Lugar
Internet hotspots, redes de parceiros, filiaisInternet hotspots, redes de parceiros, filiais
Qualquer Dispositivo Qualquer Dispositivo Computadores, PDA’sComputadores, PDA’s
Qualquer ConexãoQualquer Conexão Wired, Wireless, Dial-up, VPNWired, Wireless, Dial-up, VPN
LegadoLegado
Apps WebApps Web
emailemail
Serv. AqruivosServ. Aqruivos
DesafiosDesafios
WirelessWireless
AtacanteAtacante
Active Active DirectoryDirectory
Rogue APRogue AP
Dictionary Attack
Ataque de Denial of service
Muitos WAP’s insegurosMuitos WAP’s inseguros Chave WEP facilmente quebradaChave WEP facilmente quebrada Ataques aos WAP’s são difíceis de Ataques aos WAP’s são difíceis de
detectardetectar
Segurança FracaSegurança Fraca
Linha do TempoLinha do Tempo
Original 802.11 Security:
• Autenticação Autenticação nativa 802.11nativa 802.11
• Criptografia Criptografia WEP estáticaWEP estática
WPA• Autenticação Autenticação
802.1X802.1X• Gerenciamento Gerenciamento
de chavesde chaves 802.1X 802.1X aumentadaaumentada
• Proteçao Proteçao baseado em baseado em TKIPTKIP
802.11i (WPA2)• Autenticação Autenticação
802.1X802.1X• Gerenciamento Gerenciamento
de chaves de chaves 802.1X 802.1X aumentadaaumentada
• Proteção de Proteção de dados baseado dados baseado em AESem AES
• Pré-Pré-AutenticaçãoAutenticação
802.1X with WEP
• AutenticaçãoAutenticação 802.1X802.1X
• Gerenciamento Gerenciamento de chaves de chaves 802.1X802.1X
• Proteção de Proteção de dados WEP dados WEP dinâmicadinâmica
19919999
20020011
20020033
20020044
Alternativas de Segurança Fracas:Alternativas de Segurança Fracas:
•Filtro de Endereços MAC – Não pode Escalar.Filtro de Endereços MAC – Não pode Escalar.
•VPN – Permite acesso total a Rede.VPN – Permite acesso total a Rede.
•Tunelamento IPSec – Solução Proprietária.Tunelamento IPSec – Solução Proprietária.
Padrão IEEEPadrão IEEE
PadrãoPadrão DescriçãoDescrição
802.11802.11 Especificação base que define os conceitos de Especificação base que define os conceitos de transmissão em redes Wirelesstransmissão em redes Wireless
802.11a802.11a Velocidade de trasmissão de até 5.4 megabits Velocidade de trasmissão de até 5.4 megabits (Mbps) por segundo(Mbps) por segundo
802.11b802.11bVelocidade de transmissão de até 11 MbpsVelocidade de transmissão de até 11 Mbps
Boa faixa de abrangência, mas suscetível a Boa faixa de abrangência, mas suscetível a interferência de sinais de rádiointerferência de sinais de rádio
802.11g802.11gVelocidade de transmissão de até 54 Mbps Velocidade de transmissão de até 54 Mbps
Faixas de abrangência mais curtas que 802.11bFaixas de abrangência mais curtas que 802.11b
802.1X - Um padrão que define os mecanismos de controle de acesso baseado em portas para a autenticação na rede, e opcionalmente, para gerenciar chaves usadas para proteger o tráfego
802.1X - Um padrão que define os mecanismos de controle de acesso baseado em portas para a autenticação na rede, e opcionalmente, para gerenciar chaves usadas para proteger o tráfego
Autenticação WEPAutenticação WEPWired Equivalent PrivacyWired Equivalent Privacy Mecanismo de segurança com 2 níveis Mecanismo de segurança com 2 níveis
de Criptografia: 64-bit and 128-bitde Criptografia: 64-bit and 128-bit Melhor do que não ter segurança mas é Melhor do que não ter segurança mas é
um protocolo relativamente fácil de um protocolo relativamente fácil de quebrar (muitas ferramentas na quebrar (muitas ferramentas na Internet)Internet)
Segurança pode ser aumentada Segurança pode ser aumentada rotacionando chaves randomicamente rotacionando chaves randomicamente ou separando a rede com fio da rede ou separando a rede com fio da rede Wireless “menos segura”.Wireless “menos segura”.
Autenticação IEEE 802.1XAutenticação IEEE 802.1X
Padrão para segurança de rede Padrão para segurança de rede baseado em portas, mas não define baseado em portas, mas não define o atual mecanismo de autenticaçãoo atual mecanismo de autenticação
Encapsula o protocolo EAP para Encapsula o protocolo EAP para redes com ou sem fio (wireless)redes com ou sem fio (wireless)
Usando o EAPUsando o EAPExtensible Authentication Protocol Extensible Authentication Protocol EAP-TLS (Transport Layer Security )EAP-TLS (Transport Layer Security )
Utiliza certificados tanto em clientes Utiliza certificados tanto em clientes quanto em servidores para autenticaçãoquanto em servidores para autenticação
Utiliza mecanismo de autenticação similar Utiliza mecanismo de autenticação similar ao do HTTPSao do HTTPS
Requer infra-estrutura de gerenciamento Requer infra-estrutura de gerenciamento de chaves extensade chaves extensa
PEAP (Protected EAP)PEAP (Protected EAP) Utiliza o PKI para negociar a conexão Utiliza o PKI para negociar a conexão
inicial com o access pointinicial com o access point Feito sobre a implementação de EAP-TLSFeito sobre a implementação de EAP-TLS
A conexão com a rede é liberada apenas A conexão com a rede é liberada apenas após autenticação do usuário e senhaapós autenticação do usuário e senha
WPAWPAWi-FI Protected AccessWi-FI Protected Access Aumenta a segurança mantendo o Aumenta a segurança mantendo o
hardware existentehardware existente Absorve alguns recursos do 802.11i:Absorve alguns recursos do 802.11i:
Message Integrity Check (MIC)Message Integrity Check (MIC) Temporal Key Integrity Protocol (TKIP)Temporal Key Integrity Protocol (TKIP)
Aperfeicoamento do WEP com a Aperfeicoamento do WEP com a introdução de novos algoritmosintrodução de novos algoritmos
Consiste em dois Certificados:Consiste em dois Certificados: WPA-PersonalWPA-Personal WPA-EnterpriseWPA-Enterprise
IEEE 802.11iIEEE 802.11i
Alteração na especificação existente para o Alteração na especificação existente para o padrão 802.11 que aumenta a segurança na padrão 802.11 que aumenta a segurança na camada MAC (Media Access Control)camada MAC (Media Access Control)
Chamado de WPA2 pela Wi-Fi AllianceChamado de WPA2 pela Wi-Fi Alliance Introduz o protocolo de nome Robust Introduz o protocolo de nome Robust
Security Network (RSN)Security Network (RSN) Pode usar dois tipos possiveis de Pode usar dois tipos possiveis de
protocolos de criptografia baseados no AES protocolos de criptografia baseados no AES (Advanced Encryption Standard ):(Advanced Encryption Standard ): Counter Mode with Cipher Block Chaining Counter Mode with Cipher Block Chaining
Message Authentication Code Protocol (CCMP) Message Authentication Code Protocol (CCMP) Wireless Robust Authenticated ProtocolWireless Robust Authenticated Protocol
Windows Server 2003Windows Server 2003
CapacidadeCapacidade Windows Windows NT 4.0NT 4.0
Windows Windows 2000 Server2000 Server
Windows Windows Server 2003Server 2003
Integrado com o Active DirectoryIntegrado com o Active Directory ** ++
PKI integrada para autenticação de smartcardPKI integrada para autenticação de smartcard ++
Log XML ricoLog XML rico
RADIUS Load BalancingRADIUS Load Balancing 802.1X para autenticação segura de redes com e 802.1X para autenticação segura de redes com e sem fio (wireless)sem fio (wireless)
PEAP para autenticação da rede usando senhaPEAP para autenticação da rede usando senha
Quarantena de RedeQuarantena de Rede
NAT Traversal para VPNS usando IPSECNAT Traversal para VPNS usando IPSEC
Pilha de rede IPv6 integradaPilha de rede IPv6 integrada
– – Inluido no produto Windows ServerInluido no produto Windows Server+ - Inlui melhorias da versão anterior+ - Inlui melhorias da versão anterior* Integrado com o Windows NT 4.0 User Domains* Integrado com o Windows NT 4.0 User Domains
Segurança aumentadaSegurança aumentada
Solução Windows Server 2003Solução Windows Server 2003
LegadoLegado
AppsApps WebWeb
emailemail
Serv. ArquivosServ. Arquivos
HackerHacker
Salvaguarda contra AP falsosSalvaguarda contra AP falsosCriptografia forte para proteçao contra DoSCriptografia forte para proteçao contra DoSMudança de chaves dinâmicasMudança de chaves dinâmicas
XXWirelessWireless
Verifica um Certificado x509 válidoVerifica um Certificado x509 válido
Windows Server 2003Windows Server 2003• SeguroSeguro• GerenciávelGerenciável• InteroperávelInteroperável• Melhor CustoMelhor Custo
Windows Server 2003Windows Server 2003
Serviços de segurança inclusos, como Certification Serviços de segurança inclusos, como Certification AuthorityAuthority
Acesso ao wireless baseado em senhas e segurasAcesso ao wireless baseado em senhas e seguras
Suporta métodos de autenticação de terceirosSuporta métodos de autenticação de terceiros
Seguro contra ataques de senha (dicionário)Seguro contra ataques de senha (dicionário)
Seguro InteroperávelGerenciável Melhor Custo
Windows Server 2003Windows Server 2003
Seguro Interoperável Gerenciável Melhor Custo
Implementação fácil usando guiasImplementação fácil usando guias
Gerenciamento de clientes centralizadoGerenciamento de clientes centralizado
Relatórios e monitoração detalhadas da redeRelatórios e monitoração detalhadas da rede
Fácil deployment com o recurso zero client configurationFácil deployment com o recurso zero client configuration
Windows Server 2003Windows Server 2003
DHCP, DNS e pilha TCP/IP usando padrõesDHCP, DNS e pilha TCP/IP usando padrões
Suporte aos principais protocolos de redeSuporte aos principais protocolos de rede
Interoperabilidade com dispositivos WiFi certificadosInteroperabilidade com dispositivos WiFi certificados
Seguro InteroperávelGerenciável Melhor Custo
Windows Server 2003Windows Server 2003
Mesma infra-estrutura para conexões Dial-Up, VPN, Mesma infra-estrutura para conexões Dial-Up, VPN, com fio (wired) e sem fio (Wireless)com fio (wired) e sem fio (Wireless)
Single Sign on para os recursos de redeSingle Sign on para os recursos de rede
Mesmo cliente para todos os métodos de acessoMesmo cliente para todos os métodos de acesso
Seguro InteroperávelGerenciável Melhor Custo
Elementos da rede WirelessElementos da rede Wireless
FilialFilial
Escritório CentralEscritório Central
Clientes WLAN
Domain Controller (DC)RADIUS (IAS)Certification Authority (CA)DHCP Services (DHCP)DNS Services (DNS)
DHCP
IAS/DNS/DC
LAN
LAN
Access Points
Access Points
IAS/CA/DC
IAS/DNS/DC
Primário
Secundário
Pirmário
Secundário
Clientes WLAN
IAS ServerIAS Server
Melhorias no servidor IAS do Windows 2000 para wirelessMelhorias no servidor IAS do Windows 2000 para wireless Autenticação usando Certificados (EAP-TLS) e Senhas Seguras Autenticação usando Certificados (EAP-TLS) e Senhas Seguras
(PEAP)(PEAP) Suporte a autenticação da estaçãoSuporte a autenticação da estação
Para ambas as soluções EAP-TLS e PEAPPara ambas as soluções EAP-TLS e PEAP
Windows 2003 IAS ServerWindows 2003 IAS Server Melhorias de performance quando usando distribuiçao de Melhorias de performance quando usando distribuiçao de
certificadoscertificados Registro dos AP’s com servidores RADIUSRegistro dos AP’s com servidores RADIUS Melhoria na captura de eventos (logging) usando tanto com SQL Melhoria na captura de eventos (logging) usando tanto com SQL
quanto o formato XMLquanto o formato XML Scaling up – RADIUS Proxy fail over e fail backScaling up – RADIUS Proxy fail over e fail back Scale out através da exportação e restauração da configuraçãoScale out através da exportação e restauração da configuração
Active DirectoryActive Directory
Windows 2000 ADWindows 2000 AD Apenas auto enrollment e renovação dos Apenas auto enrollment e renovação dos
certificadoscertificados
Windows 2003 ADWindows 2003 AD Auto enrollment e renovação para Auto enrollment e renovação para
estaçõesestações Auto enrollment e renovação para Auto enrollment e renovação para
usuáriosusuários Suporte de Group Policy para Suporte de Group Policy para
configurações Wirelessconfigurações Wireless
Novidades no LonghornNovidades no Longhorn
Suporte nativo a WPA2Suporte nativo a WPA2 Perfis de wireless melhoradosPerfis de wireless melhorados Suporte as opções de autenticação Suporte as opções de autenticação
WPA2 via GPOWPA2 via GPO Lista de redes wireless permitidas e Lista de redes wireless permitidas e
negadasnegadas Integração com o NAP (Network Access Integração com o NAP (Network Access
Protection)Protection)
O que aprendemosO que aprendemos
Visão geral sobre wirelessVisão geral sobre wireless Protocolos de segurançaProtocolos de segurança Padrões de mercadoPadrões de mercado Modelos de ambienteModelos de ambiente Novidades para o Longhorn/VistaNovidades para o Longhorn/Vista
Próximos passos:Próximos passos: Acesse:Acesse:
Documentação sobre Wireless: Documentação sobre Wireless: http://www.microsoft.com/technet/itsolutions/network/wifi/default.http://www.microsoft.com/technet/itsolutions/network/wifi/default.mspxmspx
Documentação sobre IAS: Documentação sobre IAS: http://www.microsoft.com/iashttp://www.microsoft.com/ias WLAN Device Driver development: WLAN Device Driver development:
http://www.microsoft.com/hwdev/tech/network/wirelesshttp://www.microsoft.com/hwdev/tech/network/wireless 802.1X Authentication: 802.1X Authentication:
http://msdn.microsoft.com/library/en-us/wceddk40/htm/http://msdn.microsoft.com/library/en-us/wceddk40/htm/cmcon8021Xauthentication.aspcmcon8021Xauthentication.asp
Wireless Network Security within 802.1X: Wireless Network Security within 802.1X: http://www.microsoft.com/WINDOWSXP/pro/evaluation/overhttp://www.microsoft.com/WINDOWSXP/pro/evaluation/overviews/8021X.aspviews/8021X.asp
Set up 802.1X Authentication on Windows XP Client: Set up 802.1X Authentication on Windows XP Client: http://www.microsoft.com/windowsxp/home/using/productdhttp://www.microsoft.com/windowsxp/home/using/productdoc/en/8021X_client_configure.aspoc/en/8021X_client_configure.asp
Associações:Associações: Wireless LAN: Wireless LAN: http://www.ieee.orghttp://www.ieee.org IEEE 802.11 & 802.1X: http://www.ieee.org IEEE 802.11 & 802.1X: http://www.ieee.org Wi-Fi Alliance: Wi-Fi Alliance: http://www.wi-fi.orghttp://www.wi-fi.org
Próximos passosPróximos passos
1.1. Treinamentos de segurança:Treinamentos de segurança:http://www.microsoft.com/seminar/events/security.mshttp://www.microsoft.com/seminar/events/security.mspxpx
2.2. Sign up for security communications:Sign up for security communications:http://www.microsoft.com/technet/security/signup/ http://www.microsoft.com/technet/security/signup/ default.mspxdefault.mspx
3.3. Find additional e-learning clinicsFind additional e-learning clinicshttps://www.microsoftelearning.com/security https://www.microsoftelearning.com/security
4.4. Get additional security information on Get additional security information on Exchange Server 2003:Exchange Server 2003:http://www.microsoft.com/technet/prodtechnol/exchanhttp://www.microsoft.com/technet/prodtechnol/exchange/ default.mspxge/ default.mspx
Para mais informações.Para mais informações. Visite-nos emVisite-nos em www.technetbrasil.com.brwww.technetbrasil.com.br Nossa página de segurançaNossa página de segurança www.microsoft.com/brasil/segurancawww.microsoft.com/brasil/seguranca www.microsoft.com/securitywww.microsoft.com/security
Aprenda e ensine mais sobre segurança Aprenda e ensine mais sobre segurança na internet para crianças, jovens e na internet para crianças, jovens e adultos em:adultos em:
www.navegueprotegido.orgwww.navegueprotegido.org
© 2003 Microsoft Corporation. All rights reserved.© 2003 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.