sistema de prevenção de intrusão em redes sem fio italo bruno territory sales manager...
TRANSCRIPT
Sistema de Prevenção de Intrusão em Redes sem Fio
Italo BrunoTerritory Sales Manager
[email protected](61) 9276-4608
• Preciso de WLAN?- Mobilidade;- Visitantes;- BYOD;- Demanda Superior.
Por que WLAN?
relutar por quê?
Se eu preciso, então..
VOCÊ SABE O QUE VOCÊ NÃO SABE?
VOCÊ PODE VER O QUE NÃO PODE VER?
Wireless LANs Introduziu Novos Riscos
Risco de Segurança
• WLANs pode ultrapassar segurança tradissional e expor a corporação
• Ameaças wireless precisam ser rapidamente diagnosticadas e paradas
Risco Operacional
• WLAN não deveria roubar banda cabeada
• Dificuldade em diagnosticar problemas na performance WLAN
Novas Tecnologias
• Wireless VoIP• Wireless “N”• Wireless “ac”• BYOD
Risco Regulatório
• Conformidade com leis e regulamentos auditáveis
Desafios à Wireless nas Corporações
• Quão eficientemente é o planejamento, implantação e otimização de redes 802.11n?, 802.11ac?
• Onde posicionar Pontos de Acesso (APs) para melhor performance?
• Como gerenciar ameaças à segurança?
• Como realizar diangóstico (throubleshooting) eficiente?
• Minha rede WLAN comportará VoIP sobre WiFi?, VDI?, BYOD?
• Está minha rede em conformidade com padrões internacionais?
BYOD – Mais de 500 respostas de múltiplos segmentos verticais ao redor do mundo:
• 82% das organizações permitem uso de dispositivos móveis (BYOD) na rede WLAN corporativa;
• 51% das organizações estão preocupadas sobre como BYOD irá afetar o consumo de banda;
• 52% das organizações recebem diversas reclamações por dia dos colaboradoes tendo dificuldades em conectar na rede WLAN corporativa com seus dispositivos móveis pessois;
• 71% das reclamações são sobre conectividade e performance;
• Aproximadamente 50% das organizações estão planejando um redesenho da rede para acomodar o crescimento de BYOD *According to an internal survey of Fluke
Networks customers/prospects
Vulnerabilidades WLAN
• Redes Sem Fio são vulneráveis a ataques especializados:- Muitos dos ataques exploram fraquezas na tecnologia desde que segurança
WLAN 802.11 é relativamente nova comparada à tradicional segurança às redes cabeadas e o próprio perímetro de defesa.
- Má configuração, configuração incompleta e os próprios usuários.- Bem conhecidos e documentados parâmetros defaults em equipamentos.
DriftNetCommView
Mas o que é segurança?
• Segurança da Informação refere-se a garantir que os usuários possam realizar apenas as tarefas que eles estão autorizados a fazer e acessar apenas a informação à qual eles estão autorizados a ter.
Ameaças Wireless – Quatro Classes Principais
Existem quatro principais classes de ameaças à segurança em redes sem fio:
1. AMEAÇAS NÃO ESTRUTURADAS2. AMEAÇAS ESTRUTURADAS3. AMEAÇAS EXTERNAS4. AMEAÇAS INTERNAS
Ameaças Wireless
1. Ameaças Não Estruturadas- Indivíduos facilmente utilizando ferramentas de hacking.
- Netstumbler- Inssider
- Característica:- Oportunistas por natureza.- Tipicamente pouco competente tecnicamente e pouco persistente.
Ameaças Wireless
2. Ameaças Estruturadas• Hackers que são altamente
motivados e tecnicamente competentes;
• Eles sabem e pesquisam vulnerabilidades nos sistemas wireless.
• Eles entendem e desenvolvem códigos de exploração, scripts e programas.
Ameaças Wireless• Alguns WiFi APs em hardware compacto.• Quão fácil seria colocar um dispositivo destes for a da vista
numa sala de conferência ou embaixo de uma mesa?
Ameaças Wireless
3. Ameaças Externas• Hackers criam um modo para invadir a rede principalmente fora das edificações,
tais como em estacionamentos, construções próximas ou áreas comuns.
Ameaças Wireless
4. Ameaças Internas:• Acesso interno não autorizado e mau uso do acesso
por 60% a 80% de incidentes reportados de acordo com um estudo feito pelo FBI;
• Usuários instalam APs com pouca ou nenhuma segurança configurada;
• Dispositivos móveis com má configuração dos parâmetros de rede sem fio;
• Exessivo vasamento de sinal 802.11;• Política de segurança fraca ou inexistente. Não
seguimento de padrões internacionais de segurança;• Usuário não intencionado induzindo vulnerabilidades.
Mas o que exatamente eles fazem?
Antes de discutir remediação e/ou mitigação das Vulnerabilidades em Redes sem Fio, uma boa prática seria visualizar brevemente a metodologia básica dos Ataques às Redes sem Fio.
Métodos de Ataques Wireless
• Métodos de ataques Wireless podem ser divididos em 3 principais categorias:1. Reconhecimento;2. Ataque acesso;3. Negação de Serviço (DoS).
Simpático, não?
2.4 GHz Wireless Receiver
Câmera no urso
Pequena câmera dentro do urso
E agora, continua simpático?
Como você identifica um
dispositivo invasor e
dispositivos fora do padrão
802.11 que podem
comprometer a
performance e segurança
da WLAN?
*AirMagnet Enterprise solved this problem for a financial services company
Reconhecimento
• Reconhecimento é um descobrimento não autorizado e o mapeamento de sistemas, sinais, serviços ou vulnerabilidades;
• É também conhecido como coleta de informações que comumente precedem uma efetiva tentativa de acesso ou ataque DoS;
• Reconhecimento é similar ao ladrão rondando a vizinhança por casas inseguras.• Reconhecimento wireless é comumente chamado de wardriving or
warchalking.
Reconhecimento
• Reconhecimento:- É ilegal em alguns países podendo resultar em punição.
O projeto War Driving Day
• A sexta edição do projeto War Driving Day, quarta ocorrida no Centro da Cidade do Rio de Janeiro, teve cobertura do Jornal O Globo.
http://www.seginfo.com.br/war-driving-day-seguranca-redes-sem-fio/#wdd4
Resultados descobertos
• O número de redes abertas, sem qualquer proteção de senha para acesso, ainda é grande.
• A variação é pequena ao longo das edições, sendo 50% em 2010 e 45% em 2013.
• Como o número de redes quase triplicaram desde a primeira edição, o número de redes sem proteção está consideravelmente alto, sendo 4.507 redes desprotegidas, número este maior do que o total registrado em 2011 (4.094).
Acesso
• Sistemas de acesso e/ou intrusão, neste contexto, trazem a habilidade para um intruso não autorizado de ganhar acesso ao dispositivo ao qual não tem permissão.
• Acessando sistemas aos quais não tem acesso não raro envolvem processar um script ou ferramenta de exploração a vulnerabilidades conhecidas em sistemas ou aplicações.
• Incluem:- Exploração de senhas fracas ou inexistentes;- Exploração de serviços (HTTP, FTP, SNMP, CDP e Telnet);- Engenharia Social.
• São práticas ilegais.
AirSnort
Acesso – Ataque Rogue AP
• A maioria dos clientes irão associar-se ao Ponto de Acesso com sinal mais forte. Se um AP não autorizado, usualmente um AP rougue, tem o sinal mais forte, o cliente irá associar-se a este AP;
• O rogue AP terá então acesso ao tráfego da rede e aos usuários associados;• O AP rogue pode também utilizar de ARP Poisoning e IP Spoofing para enganar
clientes a enviarem senhas e informações sigilosas.
Negação de Serviço (DoS)
• DoS ocorre quando um ataquante desabilida ou corrompe a rede wireless, sistemas ou serviços com a intenção de negar os serviços a usuários autorizados;
• Ataques DoS podem ter várias forams;• Na maioria das vezes envole apenas rodar um script ou utilizar uma ferramenta.
• Envio de falsos frames de desassociação / desautenticação que força o cliente a desconectar do ponto de acesso;
• Jamming (congestionamento):- Um atacante simplesmente sobrecarrega a potência do sinal do AP válido;
• Interferência intencional- Frequência 2.4Ghz possui apenas 3 canais não sobrepostos, com isso canais
802.11b/g e n em 2.4Ghz são especialmente suscetíveis a este tipo de ataque.
Negação de Serviço (DoS) – Ataques
Ataques adicionais
• Man-In-The-Middle
- Espionagem da sessão wireless;
- Manipulação da sessão wireless.
• MAC Spoofing
- Explora fraquezas no filtro de endereços MAC.
• Engenharia Social.
Princípios de Segurança
• Modelo CID de Segurança- Confidencialidade
- Permitir o acesso aos recursos apenas a quem precisa tem permissão para uso.
- Integridade- Prática em garantir que o dado em trânsito permaneça inalterado;- Garantir que os comunicadores são quem dizem ser.
- Disponibilidade- Garantir que o acesso à informação será concedido apenas a pessoas
autorizadas, por motivos autorizados e em localização autorizada.
Princípios de Segurança• AAA:
- Autenticação:- Prática de validar e verificar a identidade:
- 3 Fatores:- Algo que você conhece –ID do usuário e Senha;- Algo que você tem – SecureID Smart Cards, Tokens
- Algo que você é – Biometria, Leitura de retina, impressão digital.
- Autorização- Prática em prover acesso à informação a usuários autenticados
baseados no nível pré-definido de acesso autorizado, também chamado de acesso baseado em regras;
- Accounting (Auditing)- Prática de garantir que o acesso ao dado será autidável e que a
integridade do dado auditado ou mecanismo será mantido;
Fato #1- 802.11 MAC é enviado em texto claro• O planejamento básico do protocolo 802.11 deixa
pouco para a imaginação:- A maioria do tráfego de gerenciamento flui em texto claro;- Torna fácil interferir no estado da conexão dos dispositivos,
até mesmo capturar fragmentos de fluxos.
100m
Fato #2:Hackers Precisam estar no range do espectro RF WLAN• Para tentar um ataque ao tentar uma conexão o
atacante precisará usar WLAN.
400m
O que é único sobre segurança WLANInsideOutside
NEIGHBORS
HACKERS
EAVESDROPPERS
Wired Security
Few, heavily secured entry points
Wireless Security
Unlimited entry points
All devices are critical to security
Entretanto, sua WLAN pode ser observada à distância
AP Coverage (11b @ 1.0 Mbps
edge)
AP Coverage (11g @ 54
Mbps service)
I see your Beacon!
Boa notíciaHacker precisa estar na cobertura de RF
• Boa notícia: Hackers precisam estar bem próximo da edificação (ou do dispositivo móvel);
• Má notícia: Quase impossível de prevenir em áreas densamente urbanas ou industriais.
Ainda assim
• Medo não deve impedir o progresso
Ações para Mitigação
• Segurança Física;• Minimizar vazamento de sinal RF;• Utilizar padrões fortes de criptografia/autenticação.
IMPLANTAR 24x7x365 Enterprise WIDS/WIPS.
Sua rede está sendo ‘hackeada’? Ou…
• Quantos ataques criam sintomas notórios para usuários autorizados?
• Que dizer de interferência / ruído de RF?• Novos Ataques?
SEM WIPS NUNCA IRÁ SABER!!!
O que WIPS pode fazer por sua WLAN?
Como / Quem
Nível de risco
Frequência / Plano de Detecção
Como Prevenir
O queLegenda: Análise da Segurança WLAN
Rogue AP- “Vizinho transitório”
Como / Quem: Pode ser um AP rogue malicioso com intuito em hackear. Pode ser apenas um vizinho benigno.
Nível de Risco: BAIXO Se o AP for um vizinho benigno, haverá pouca chance de problemas.
Frequência: MÉDIA Full-time / Full-coverage monitoramento WIDS requerido
Como Prevenir: Não há como prevenir
O que: Rogue AP é detectado, mas seu estado muda constantemente.
Diagnóstico cuidadoso é necessário.
“Vizinho” Rogue AP
T TAP no
escritório ao lado
• Como saber se é um vizinho?
Situação: #1, Terça 16:30
Então…
• AP Rogue surge às 16:30, fica por 30 min.• Mesmo comportamento no próximo dia.• Uma investigação revela:
- mesmo comportamento, mesmo SSID em 2 outras unidades da empresa em cidades diferentes!
• Um leitor móvel no notebook poderá ajudar?
-- OU –
• Implemente dispositivo WIPS/WIDS.
Redes WLAN Ad-hoc
Como / Quem: Pode ser proveniente de computadores de colaboradores configurado
erroneamente.
Nível de Risco: Alto Hacker poderia estabelecer uma conexão ad-hoc, levantar ataques no laptop e
potencialmente conectar-se a outras conexões de rede ativas.
Frequência: ALTA Full-time / full-coverage monitoramento WIDS pode instantaneamente detectar e
localizar o dispositivo
Como prevenir: Educar os colaboradores. Utilizar função WIPS para localizar e bloquear nós ad-hoc ativos.
O que: MS Windows permite o adaptador WLAN operar como ad-hoc (ponto a ponto). A
maioria dos laptops tem esta função ativada por default. fault. Nova falha pode piorar a exploração deste tipo de conexão.
Perigo real
Terceirizado
Auditor Externo!!
Visitante
Laptops conectados à rede cabeada COM ad-hoc WLAN ativo.Hackers podem adentrar à rede cabeada.
Rogue AP – Usuários avançados
Como / Quem: Colaboradores iniciando rede WLAN temporária. Colaborador “esperto” tentando burlar as regras de segurança.
Nível de Risco: ALTO Acesso não autorizado WLAN à rede corporativa. Algumas configurações podem causar dano severo à rede.
Frequência: BAIXA Full-time / full-coverage monitoramento WIDS requerido.
Como prevenir: Educar os colaboradores. Uso de WIPS para monitorar WLAN e a rede Cabeada.
O que: “usuários avançados” conectam APs não autorizados à rede
cabeada sem qualquer recurso de segurança.
SITUAÇÃO REAL: Grande Problema!!!
• Colaboradores conectam AP à rede utilizando baixa ou nenhuma segurança.
• Utilizam o esquema de IP conhecido.
• Resultado: 4 horas de inatividade.
Mitigando Vulnerabilidades WLAN
O que considerar?
• Aplique boas práticas de segurança na configuração de WIPS;- Criptografia;- AAA;- Cobertura do sinal.
- OU não tenha WLAN.; Resolve?
WIDS / WIPS – Sistema indispensável
WIPS – Detecção de ameaças
• Dispositivos não controlados;• Dispositivos falsificados;• Ataques de DoS;• Detecção de ferramentas de invasão;• Ataque de força bruta.
MAIS IMPORTANTECONSTANTE ATUALIZAÇÃO DE ASSINATURAS
WIPS – Localização
• Localização em mapa real ou planta baixa baseado em técnicas de triangulação;
• Disparo de alarmes de invasor com base na localização do dispositivo.
WIPS – Arquitetura
• Seu firewall também é seu switch?• Seu balanceador também é seu roteador de WAN?• Seu IPS também é seu Core de Rede?
POR QUE SEU ACCESS POINT DEVERIA SER SEU SENSOR DE WIPS
- Sistema Autônomo;- Sistema Dedicado 100% 24x7;- Sistema Agnóstico;- Tolerante a falhas.
WIPS – Análise Forense
• O que passou ainda pode ser análisado;• WIPS com captura:
- Cabeçalho RF;- Pacote de Dados;- Ativado automaticamente dado ameaça detectada.
WIPS – Diagnóstico e Troubleshooting
• Investigação profunda dentro dos problemas ou conexões inseguras;
• Conjunto de ferramentas de diagnóstico e throubleshooting para analizar problemas de conectividade, interferência e mobilidade.
WIPS – BYOD
• Classificação e agrupamento automático dos dispositivos;
• Informação detalhada de SO e nome do Modelo;
• Relatório dos Dispositivos.
Esqueceu de algo?WIPS – Espectro de Frequência
• 802.11 é um serviço dentro da RF.• Alguém mais utiliza?
- Bluetooth;- Telefone sem fio;- Forno Microondas.
SOLUÇÕES
Planning
Deployment &
Verification
Troubleshooting
& Interference
24x7 Performance
& Security
Wired/WLAN Analysis WLAN Test & Analysis
OptiView XG ®
Spectrum Analysis
AirMagnetSpectrum XT
AirCheck™ Wi-Fi Tester
AirMagnetVoFi Analyzer
AirMagnetWi-Fi
Analyzer
Soluções Wireless
AirMagnetEnterprise
AirMagnetPlanner
AirMagnetSurvey
AirMedic® USB
One Touch AT
• Monitoramento 24x7
AIR MAGNET ENTERPRISE
AME Architecture do Sistema – Sensor SmartEdge
Servidores AME no Data Center
Console em NOC / SOC ou remotamente
PRIMARY HOT STANDBY
Todo o tráfego WLAN é
processado dentro do Sensor
<5 Kbps necessários por sensor por
servidor,Captura 100% de Performance &
Eventos de Segurança
Site Remoto
Site Local
AME System Architecture- Fault Tolerance
AME Servers in Data Center
PRIMARY HOT STANDBY
Servidor Hot Backup Automaticamente
assume em caso de falha do primário
Sensor continua a armazenar eventos
mesmo que a conexão com o servidor é
interrompida.
X
Remote Site
Local Site
Inteligente, um click para atualização de todos os sensores;
Dual-Boot previne falha na atualização em
queda de alimentação
Servidores AME no Data Center
Console em NOC / SOC ou remotamente
X
Completa Visibilidade Wireless
• Contínua análise em todos os canais wireless, dispositivos e tráfego;- Necessário para visualizar ataques complexos (man-in-the middle);- Necessário para visualizar comportamento do cliente.
• Escaneamento de todos os canais incluindo 200 canais adicionais- Garante que nenhum rougue ficará escondido.
• Análise de Espectro visualiza mais fundo que WiFi- Expõe ataques DoS em camada 1 e outros dispositivos wireless
como Bluetooth ou cameras wireless.
Livraria completa de ataques
• Detecção de centenas de ataques únicos e ferramentas de ataque
• Múltiplas técnicas de detecção• Cobertura de todas as áreas de vulnerabilidades,
políticas de segurança e técnicas de intrusão- Vulnerabilidades na configuração;- Auditoria das Políticas de Autenticação e encriptação;- Ataques de DoS;- Ferramentas de hacking e intrusão;
- Injection attacks, dictionary attacks, MITM
- Dispositivos Rogue.
Monitoramento do Ar 24x7
• Requerimento: - Sensores Dedicados – 100% monitorando 24/7:
- Captura de todos os dispositivos relevantes e ataques;
- Imediatamente gerar evento para notificação.
• OptiView XG;- Diagnóstico de rede sem fio e cabeado;- Site Survey;- Análise de espectro.
• AirCheck;- Qualidade da Rede sem fio simples e
pontual.
Solução de Diagnóstico Portátil
Solução de Diagnóstico Portátil
