Anda di halaman 1dari 23

REDES WIRELESS

Segurana em Redes Wireless Parte I Eng. Milton Aguiar

O Desafio

Numa rede sem fios no existe o conceito de rede privada, qualquer individuo com equipamento wireless pode ligar-se desde que tenha sinal

Consideraes

Controlar quem pode aceder Controlar Access Points invlidos Garantir que todo o trfego est protegido Que a informao no alterada Gesto dos Acess Points

Ameaas

Divulgao de informao confidencial Acesso desautorizado a dados Personificao de um cliente autorizado Interrupo de servio Acesso desautorizado Internet Acessos wireless domsticos inseguros Implementaes de Access Points no autorizados

Tipos de Ameaas

Ad hoc networks (Redes Ad hoc): Uma rede ad hocuma rede sem fiosformado entredois clientes.O riscode segurana est relacionado com a ignorao das polticas de segurana corporativas.

Um invasor/atacante podeformaruma rede adhoc com um clienteconfivel,roubar informaes,e at mesmous-lo comoum meiode atacar a rede corporativa devido a conseguir uma ligao segura com a LAN sem fios

Tipos de Ameaas

ROGUE AP

Umrogue APno faz parteda infra-estruturacorporativa.Pode trazido decasaou umAPque est emuma redevizinha.

ser umAPque foi

Alguma coisa a considerarquando se olha paraAPso que acontece comclientes que podem conectarosAPs.Se um clientese conecta a umrogue AP, deveser considerado um clientedesonesto.A razo queAPsnormalmenteso instalados comconfiguraes padro, o que significa quequalquercliente que se conectaignora qualquerpoltica de segurana corporativa.

Tipos de Ameaas

Missassociated Client Quando um clientese conecta a umAP,utilitrios do sistema operacionalnormalmente permitir ao cliente salvar oSSID.No futuro,quando oSSID vistonovamente, o clientepode criar uma conexo automaticamente. Considerar o seguinte cenrio:

Um atacanteaprende oSSIDda rede da empresa.Utilizando esta informao, eleenviabeacons a anunciar seuSSID.Aestao sem fiono alcance doAPno autorizado (rogue AP)se conecta aoAP.OAPpermitea conectividade com a Internet, mas no est realmente na sua rede corporativacom fio.Usando as ferramentasque esto facilmente disponveisna Internet, um outrocliente conectado aomesmorogueAPataca omisassociated client e roubavaliososdados corporativos.

Ataques Wireless

No novidadeque as redesem geral, soconstantemente bombardeadas com ataque; Alguns destes ataquesso nicos pararedes sem fios,como o casoda falsificao de quadros de gesto spoofing (management frame spoofing).Coma falsificaode quadrosde gesto,um rogue APanuncia umSSID conhecido para o clienteem uma tentativa conseguir com que o cliente se conecte ao falso AP. Existem outros tipos de ataques que tanto se aplicam s redes cabladas como s redes sem fios:

Ataquesde reconhecimento (reconnaissance attacks) : um invasortentaobter informaessobre sua rede. Inicialmente, o mtodode combater este tipo de ataques consistia em esconder oSSIDno o transmitindo em quadros/tramas de sinalizao; Ataquesde acesso:um invasor tentaobter acesso a dados, dispositivos e/ou da rede. Inicialmente, omtodode prevenir o acesso redeenvolvia a utilizao de autenticao baseada em MAC bem comoa utilizao do WEP (Wired Equivalent Privacy).O problema com a utilizao do WEP actualmente que as chaves podem serquebradasem 4a 7 minutos; Ataques DOS - Denial-of-Service (DoS)attacks : uminvasor tentamanter os utilizadoreslegtimos para que obtenhamserviosde que necessitam.Hoje em dia,o uso de sistemasde deteco/preveno de intruso(IDS /IPS)na redecom fio podeajudar a mitigar este tipo de ataques.

Mtodos de Autenticao Simples

Open Authentication:

Autenticao Aberta to simples como o prprio nome indica.O termo"autenticao" usado livrementeaqui porque parte do processo deassociao, emborarealmente no existaqualquer tipo de autenticao:

O cliente enviauma solicitao de autenticaopara oAP,e oAPresponde com um confirmao eregista o cliente. Em seguida, opedidode associao e de confirmaotoma lugar.Este tipo deautenticao aberta comum ser usadoem hot spots. Normalmente nas configuraes de uma WLAN escolhe-se a opo None no guia segurana, como podemos observar na figura

Mtodos de Autenticao Simples

Preshared Key Authentication with Wired Equivalent Privacy (WEP)

ComWEPesttico os utilizadores no so autenticados. Simplesmente verificado se eles tm uma chave. No sabemos quem so os utilizadores. Apenas sabemos que eles sabem a chave. O processo deautenticao WEP como se segue

Preshared Key Authentication with Wired Equivalent Privacy (WEP)

Mtodos de Autenticao Simples

Mtodos de Autenticao Simples


No WEP trs comprimentos de chave podem ser usados: chave de 40 bits chave de 104 bits chave de 128 bits

Mtodos de Autenticao Simples

MAC ADDRESS FILTERING Filtragem de Endereos MAC


Filtragem de endereo MAC uma forma simples de autenticar o dispositivo que est se conectando. Filtragem de endereo MAC implica a definio de endereos MAC que tm permisso para se conectar. Embora esta seja uma maneira fcil de garantir que as pessoas com o endereo MAC definido so permitidos na rede, o perigo que os endereos MAC podem ser facilmente falsificados, logo este mtodo no recomendado. Para configurar a filtragem de endereos MAC, basta verificar uma caixa na pgina de configurao do WEP esttico, como mostrado na figura

Autenticao Centralizada Certificados Digitais


Autenticao centralizada o ato de verificar a identidade do utilizador por outro meio sem ser apenas as definies locais. Neste cenrio, uma infra-estrutura de Chave Pblica (PKI) geralmente utilizada. PKI utiliza certificados digitais que so criptograficamente assinados por uma terceira parte confivel (trusted third party). O trusted third party chamado de Autoridade Certificadora (CA). A primeira coisa que se necessita um certificado que identifica quem o utilizador . O certificado de identidade de pessoas pode ser obtido de entidades como a VeriSign ou a Entrust. Tambm possvel obter o certificado de um servidor configurado por ns (por exemplo, o Microsoft Server tem um CA que se pode administrar por conta prpria)
Um certificado

contm as seguintes informaes: Nome de Utilizador Chave pblica O nmero de srie As datas de validade A informao da Autoridade Certificadora (CA )

Autenticao Centralizada Certificados Digitais


Quando se utiliza certificados digitais, temos um certificado de CA e um certificado de servidor que emitido pela CA.

Cada dispositivo que deseja se comunicar usa o certificado CA para verificar a assinatura do certificado da outra parte . Se a assinatura corresponde, consegue-se a autenticao.. Como alternativa, pode ser utilizado um certificado auto-assinado; Esses certificados so usados para autenticao 802.1x.

Este um mtodo de autenticao centralizada que pode usar vrios EAP (Extensible Authentication Protocol ), mtodos de autenticao de um cliente para um servidor AAA ( Authentication, Authorization, and Accounting). Os certificados tambm podem ser utilizados para os dados de controlo do protocolo LWAPP. No entanto no o mesmo certificado que o utilizado para o 802.1x.

Alm disso, os certificados so tambm usados para autenticao web, mas, novamente, importante salientar que no o mesmo certificado que o utilizado pelo 802.1x

802.1X e sua Utilizao

802.1x o padro de autenticao definido pelo IEEE.

Tem sido utilizado durante algum tempo do lado das redes com fio, por isso foi uma escolha lgica para redes sem fio.

No seu nvel mais bsico, 802.1x um mtodo de abrir ou fechar uma porta, com base em uma condio:

a condio aqui que um servidor AAA verificou a identidade do cliente. 802.1x um quadro que usa vrios mtodos EAP na sua comunicao.

Analisando o facto de o 802.1x ter sido usado em redes com fio durante algum tempo, podemos ver na figura seguinte que o dispositivo que quer entrar na rede com fio chamado o suplicante. Um suplicante um dispositivo que pode usar um mtodo EAP para provar a sua identidade com o autenticao. servidor de O servidor de autenticao um servidor de AAA que tem uma lista de utilizadores (de uma forma ou outra) de maneira a que possa verificar o suplicante. Entre os dois est o autenticador, que neste exemplo o switch. O switch utiliza EAP over LAN (EAPoL) entre o suplicante entre si. e, em seguida, RADIUS (com EAP) entre si e o servidor de autenticao.

802.1X e sua Utilizao

Agora se o switch for trocado por um AP, como mostra a Figura 17-8, temos o mesmo cenrio que o anterior, excepto que neste caso o protocolo entre o suplicante sem fio e o AP o EAPoWLAN

802.1X e sua Utilizao

O Processo EAP

Servidor de Autenticao
O servidor de autenticao pode ser externo ou pode ser um ACS (Cisco Secure Access Control Server) ou talvez um servidor RADIUS gratuito. Realmente no importa o que se utiliza como servidor de autenticao, desde que suporte o mtodo EAP configurado no controlador e utilizado pelo suplicante/cliente e pelo AP; necessrio definir a localizao do servidor RADIUS no interface do controlador. Observe a figura:

Servidor de Autenticao
Quando se definir o servidor RADIUS, digite o endereo IP do servidor e a shared secret (uma passphrase predeterminada na configurao)

O prximo passo para permitir a autenticao 802.1x definir o mtodo de EAP, conforme descrito nas sees seguintes.

Anda mungkin juga menyukai