O Desafio
Numa rede sem fios no existe o conceito de rede privada, qualquer individuo com equipamento wireless pode ligar-se desde que tenha sinal
Consideraes
Controlar quem pode aceder Controlar Access Points invlidos Garantir que todo o trfego est protegido Que a informao no alterada Gesto dos Acess Points
Ameaas
Divulgao de informao confidencial Acesso desautorizado a dados Personificao de um cliente autorizado Interrupo de servio Acesso desautorizado Internet Acessos wireless domsticos inseguros Implementaes de Access Points no autorizados
Tipos de Ameaas
Ad hoc networks (Redes Ad hoc): Uma rede ad hocuma rede sem fiosformado entredois clientes.O riscode segurana est relacionado com a ignorao das polticas de segurana corporativas.
Um invasor/atacante podeformaruma rede adhoc com um clienteconfivel,roubar informaes,e at mesmous-lo comoum meiode atacar a rede corporativa devido a conseguir uma ligao segura com a LAN sem fios
Tipos de Ameaas
ROGUE AP
Umrogue APno faz parteda infra-estruturacorporativa.Pode trazido decasaou umAPque est emuma redevizinha.
Alguma coisa a considerarquando se olha paraAPso que acontece comclientes que podem conectarosAPs.Se um clientese conecta a umrogue AP, deveser considerado um clientedesonesto.A razo queAPsnormalmenteso instalados comconfiguraes padro, o que significa quequalquercliente que se conectaignora qualquerpoltica de segurana corporativa.
Tipos de Ameaas
Missassociated Client Quando um clientese conecta a umAP,utilitrios do sistema operacionalnormalmente permitir ao cliente salvar oSSID.No futuro,quando oSSID vistonovamente, o clientepode criar uma conexo automaticamente. Considerar o seguinte cenrio:
Um atacanteaprende oSSIDda rede da empresa.Utilizando esta informao, eleenviabeacons a anunciar seuSSID.Aestao sem fiono alcance doAPno autorizado (rogue AP)se conecta aoAP.OAPpermitea conectividade com a Internet, mas no est realmente na sua rede corporativacom fio.Usando as ferramentasque esto facilmente disponveisna Internet, um outrocliente conectado aomesmorogueAPataca omisassociated client e roubavaliososdados corporativos.
Ataques Wireless
No novidadeque as redesem geral, soconstantemente bombardeadas com ataque; Alguns destes ataquesso nicos pararedes sem fios,como o casoda falsificao de quadros de gesto spoofing (management frame spoofing).Coma falsificaode quadrosde gesto,um rogue APanuncia umSSID conhecido para o clienteem uma tentativa conseguir com que o cliente se conecte ao falso AP. Existem outros tipos de ataques que tanto se aplicam s redes cabladas como s redes sem fios:
Ataquesde reconhecimento (reconnaissance attacks) : um invasortentaobter informaessobre sua rede. Inicialmente, o mtodode combater este tipo de ataques consistia em esconder oSSIDno o transmitindo em quadros/tramas de sinalizao; Ataquesde acesso:um invasor tentaobter acesso a dados, dispositivos e/ou da rede. Inicialmente, omtodode prevenir o acesso redeenvolvia a utilizao de autenticao baseada em MAC bem comoa utilizao do WEP (Wired Equivalent Privacy).O problema com a utilizao do WEP actualmente que as chaves podem serquebradasem 4a 7 minutos; Ataques DOS - Denial-of-Service (DoS)attacks : uminvasor tentamanter os utilizadoreslegtimos para que obtenhamserviosde que necessitam.Hoje em dia,o uso de sistemasde deteco/preveno de intruso(IDS /IPS)na redecom fio podeajudar a mitigar este tipo de ataques.
Open Authentication:
Autenticao Aberta to simples como o prprio nome indica.O termo"autenticao" usado livrementeaqui porque parte do processo deassociao, emborarealmente no existaqualquer tipo de autenticao:
O cliente enviauma solicitao de autenticaopara oAP,e oAPresponde com um confirmao eregista o cliente. Em seguida, opedidode associao e de confirmaotoma lugar.Este tipo deautenticao aberta comum ser usadoem hot spots. Normalmente nas configuraes de uma WLAN escolhe-se a opo None no guia segurana, como podemos observar na figura
ComWEPesttico os utilizadores no so autenticados. Simplesmente verificado se eles tm uma chave. No sabemos quem so os utilizadores. Apenas sabemos que eles sabem a chave. O processo deautenticao WEP como se segue
contm as seguintes informaes: Nome de Utilizador Chave pblica O nmero de srie As datas de validade A informao da Autoridade Certificadora (CA )
Cada dispositivo que deseja se comunicar usa o certificado CA para verificar a assinatura do certificado da outra parte . Se a assinatura corresponde, consegue-se a autenticao.. Como alternativa, pode ser utilizado um certificado auto-assinado; Esses certificados so usados para autenticao 802.1x.
Este um mtodo de autenticao centralizada que pode usar vrios EAP (Extensible Authentication Protocol ), mtodos de autenticao de um cliente para um servidor AAA ( Authentication, Authorization, and Accounting). Os certificados tambm podem ser utilizados para os dados de controlo do protocolo LWAPP. No entanto no o mesmo certificado que o utilizado para o 802.1x.
Alm disso, os certificados so tambm usados para autenticao web, mas, novamente, importante salientar que no o mesmo certificado que o utilizado pelo 802.1x
Tem sido utilizado durante algum tempo do lado das redes com fio, por isso foi uma escolha lgica para redes sem fio.
No seu nvel mais bsico, 802.1x um mtodo de abrir ou fechar uma porta, com base em uma condio:
a condio aqui que um servidor AAA verificou a identidade do cliente. 802.1x um quadro que usa vrios mtodos EAP na sua comunicao.
Analisando o facto de o 802.1x ter sido usado em redes com fio durante algum tempo, podemos ver na figura seguinte que o dispositivo que quer entrar na rede com fio chamado o suplicante. Um suplicante um dispositivo que pode usar um mtodo EAP para provar a sua identidade com o autenticao. servidor de O servidor de autenticao um servidor de AAA que tem uma lista de utilizadores (de uma forma ou outra) de maneira a que possa verificar o suplicante. Entre os dois est o autenticador, que neste exemplo o switch. O switch utiliza EAP over LAN (EAPoL) entre o suplicante entre si. e, em seguida, RADIUS (com EAP) entre si e o servidor de autenticao.
Agora se o switch for trocado por um AP, como mostra a Figura 17-8, temos o mesmo cenrio que o anterior, excepto que neste caso o protocolo entre o suplicante sem fio e o AP o EAPoWLAN
O Processo EAP
Servidor de Autenticao
O servidor de autenticao pode ser externo ou pode ser um ACS (Cisco Secure Access Control Server) ou talvez um servidor RADIUS gratuito. Realmente no importa o que se utiliza como servidor de autenticao, desde que suporte o mtodo EAP configurado no controlador e utilizado pelo suplicante/cliente e pelo AP; necessrio definir a localizao do servidor RADIUS no interface do controlador. Observe a figura:
Servidor de Autenticao
Quando se definir o servidor RADIUS, digite o endereo IP do servidor e a shared secret (uma passphrase predeterminada na configurao)
O prximo passo para permitir a autenticao 802.1x definir o mtodo de EAP, conforme descrito nas sees seguintes.