Capítulo 6. Estudo de casos

Transcrição

1 Capítulo 6 Estudo de casos Você quer encontrar a solução Sem ter nenhum problema Insistir em se preocupar demais Cada escolha é um dilema Como sempre estou mais do seu lado que você Siga em frente em linha reta e não procure o que perder. Capital Inicial, Não olhe pra trás Nos capítulos anteriores foram vistos vários padrões, métodos e ferramentas para uso em redes sem fio. Tomando por base esses conceitos e informações, alguns cenários podem ser construídos, auxiliando a montagem de projetos e/ou topologias. Cabe lembrar também que, por mais simples que seja o ambiente, a segurança não deve ser neglicenciada, pois não é difícil imaginar que muita informação sensível pode trafegar ou estar armazenada em computadores pessoais, mesmo em ambientes domésticos, já que uma quantidade relativamente grande de funcionários leva trabalho para casa e, por vezes, têm acesso remoto a áreas restritas da empresa. Em qualquer cenário, deve-se preservar as tradicionais precupações dos clientes quanto à existência de produtos de segurança (antivírus, firewall pessoal etc.) atualizados, os quais devem evitar compartilhamentos de áreas do disco e demais medidas que visam a manter o equipamento do cliente mais resistente a ataques conhecidos. Este capítulo objetiva soluções possíveis usando padrões abertos, em tecnologias que estejam disponíveis em equipamentos de vários fonecedores. Produtos ou protocolos proprietários também podem ser utilizados nesses ambientes, possivelmente com algumas adaptações. É composto de sugestões de topologias e componentes em função do tamanho da rede sem fio e outras características. 187

2 Segurança em Redes sem Fio 6.1 Cenário doméstico/pequena empresa Uma das utilizações mais usuais para redes sem fio é a doméstica ou em pequenos escritórios, onde existe conexão de banda larga compartilhada por menos de 20 equipamentos/pessoas. Em um cenário assim, gerenciamento de chaves estáticas e filtros é bem factível, a quantidade de componentes necessários poderia restringir-se ao mínimo. Seriam suficientes um concentrador com características de roteamento (para ligação com a banda larga ou com a rede local, no caso de escritórios com uma estrutura maior) e interfaces de rede sem fio para estações, notebooks, impressoras e demais equipamentos que venham integrar essa rede. Em um cenário semelhante ao doméstico, uma ligação convensional poderia ser um concentrador ligado ao roteador/modem ADSL e três ou quatro estações com interfaces sem fio. Vejamos como poderia ser montado esse ambiente. É necessário, primeiramente, adquirir um concentrador e placas que permitam uso de WPA. Atualmente, não há nenhuma razão para adquirir equipamentos wi-fi sem essa funcionalidade. Um meio rápido e com boa segurança é habilitar o WPA na modalidade de chaves previamente compartilhadas. Esforço inicial ocorrerá para configurar equipamentos envolvidos, mas a partir daí nada mais precisará ser alterado, a menos, claro, que uma chave seja descoberta e seja necessário trocá-la. Porém, é importante lembrar que a qualidade da chave-mestra é fundamental para que a quebra seja dificultada; deve-se evitar chaves pequenas ou existentes em dicionários. Outra preocupação presente relaciona-se ao acesso ao concentrador. Em geral, o acesso às configurações do concentrador se dá por meio do serviço HTTP e, às vezes, também TELNET. Em nenhuma das duas possibilidades há criptografia envolvida, fazendo com que as informações trafegadas (incluindo usuário/senha) possam ser capturadas. Porém, a maioria desses equipamentos vem com duas ou mais portas-padrão Ethernet, possibilitando o acesso via rede cabeada. É possível, então, na maioria dos casos, restringir o acesso ao serviço (HTTP e TELNET), deixando-o disponível somente pela rede cabeada. Tal procedimento permite maior controle de quem pode acessar as configurações, já que é necessário estar fisicamente no ambiente e conectar um computador em uma das portas Ethernet disponíveis. 188

3 Capítulo 6 Estudo de casos Em alguns concentradores, essa configuração pode ser realizada com os recursos de filtros de pacotes, restringindo-se o acesso ao equipamento pela rede sem fio, como se vê na figura 6.1. Figura 6.1 Vários concentradores permitem filtragem de tráfego. Quando isso não for possível, pode-se restringir o endereço IP do equipamento que tem acesso autorizado, deixando esse endereço fora do bloco de IPs dinâmicos (DHCP), utilizando-o sem conflito com os demais. No pior dos casos, em que o concentrador não permita nenhum tipo de limitação de acesso, o administrador poderá como medida emergencial desabilitar o acesso ao serviço e, somente após reset do concentrador, ter novamente a possibilidade de acesso recuperada. Trata-se de uma solução drástica, pois na maioria dos casos as configurações feitas anteriormente são perdidas em reset, porém alguns concentradores têm a opção de salvar as configurações e restaurá-las posteriormente. Mesmo quando essa restauração não for possível, se as configurações forem simples (em alguns casos, resume-se a configurar a chave-mestra WPA), a reconfiguração poderá não ser tão traumática. De maneira geral é simples manter segura uma estrutura pequena, com poucos recursos e algum cuidado na configuração. Porém, como ocorre em qualquer cenário, a segurança das estações clientes é que irá garantir a segurança da rede como um todo, pois um ataque bem-sucedido a uma estação terá implicações sérias na segurança do ambiente, já que este foi comprometida e está sob controle do atacante um equipamento que tem credenciais para acessar recursos da rede. Caso o administrador procure uma solução mais robusta, mas sem a complexidade de um servidor RADIUS, pode adotar alternativas como o Tinypeap, 189

4 Segurança em Redes sem Fio que consiste em um servidor RADIUS com funcionalidades bastante reduzidas, as quais podem rodar nos próprios concentradores. A grande vantagem dessa solução é a redução de servidores e elementos de rede a ser configurados e gerenciados. No caso do Tinypeap há limitação quanto ao concentrador suportado: até o momento está disponível apenas para um único -modelo (WRT54G) do fabricante Linksys. 6.2 Cenário média/grande empresa Em ambientes com maior número de usuários, utilizar WPA com chaves compartilhadas previamente pode ser uma tarefa de difícil implementação, até por conta da quantidade de equipamentos a ser configurados. Descartada essa possibilidade, pode-se pensar em formas mais robustas e com menor exigência administrativa. Empresas de meio porte, em geral, possuem autenticação centralizada, quer seja em servidores convencionais com controladores de domínio, quer em servidores RADIUS, bases em padrão LDAP etc. Qualquer que seja o modelo de autenticação, pode ser adaptado para funcionar com o padrão de autenticação 802.1x. Por exemplo, um local que utilize Active Directory poderá utilizar autenticação MSCHAP2, pois dessa maneira não será necessária nenhuma mudança quanto à forma de o usuário informar suas credenciais ao servidor. Neste modelo, bastaria um concentrador com suporte a WPA e 802.1x, além de um servidor RADIUS para consultar o Active Director para determinar se as credenciais apresentadas pelo usuário são válidas ou não. Sugestão de topologia de empresas médias ou grandes pode ser vista na figura 6.2. Figura 6.2 Sugestão de topologia. 190

5 Capítulo 6 Estudo de casos Ao detalhar um pouco melhor essa possibilidade de topologia, o método EAP-MSCHAP2 permite autenticação em ambientes Microsoft, portanto se esse já for o padrão utilizado no ambiente, o usuário será autenticado na rede sem fio da mesma maneira que tem feito até então, na rede cabeada. Se houver necessidade de configuração mais robusta, poderiam ser usados certificados digitais gerados localmente (certificados auto-assinados ou adquiridos em autoridades certificadoras, aderentes ou não à ICP-Brasil, de acordo com a conveniência ou necessidade). Um modelo que inclua certificados digitais pode ocasionar mais segurança, não somente para autenticação do usuário, como também permitir a utilização de todas as possibilidades que um certificado pode proporcionar, tais como assinar e/ou cifrar mensagens enviadas por correio eletrônico, verificar assinaturas de terceiros ou decifrar suas mensagens, criptografar arquivos etc. Em soluções que envolvam certificação, a guarda da chave é o principal problema. Desta maneira, sugere-se que, caso o orçamento permita, a chave privada e demais objetos sejam armazenados em tokens ou smartcards. A topologia para uma solução desse tipo é essencialmente a mesma de outros modelos; a diferença fica por conta das configurações e objetos envolvidos. Caso se adote uma solução doméstica para emissão dos certificados, existirá também o ônus da administração e gerência dos certificados gerados, no que diz respeito à geração, à revogação e à renovação dos certificados. Tal procedimento poderá ser realizado manualmente ou automatizado com a montagem de Infra-estrutura de Chaves Públicas (ICP ou PKI em inglês). Uma equipe já familiarizada com essas tecnologias poderá tornar esse ambiente funcional sem muitos problemas, a um custo relativamente baixo. Por outro lado, a opção por comprar certificados-padrão A3 ou mesmo A1 de uma autoridade certificadora comercial pode ser uma solução de custo aceitável, para não se montar uma estrutura própria. O que deve efetivamente balizar uma decisão como esta é a experiência (e/ou a disposição) para montar uma estrutura particular ou utilizar uma comercial. Os outros elementos que irão compor a solução são os mesmos já discutidos em propostas de ambiente anteriores: o concentrador e o servidor RADIUS. Dependendo da solução de autenticação adotada, poderão existir outros componentes, como servidor LDAP ou similar, entre várias outras possibilidades. 191

6 Segurança em Redes sem Fio Em um caso mais simples, o certificado do usuário é a sua garantia de acesso. Desta maneira, a ação correspondente ao cadastramento seria a emissão de um certificado para o usuário e, em seguida, garantir que ele tenha todos os recursos necessários para utilizá-lo. Ao optar por manter o certificado/chaves no disco, o usuário corre o risco de ter essa informação copiada por um atacante, que também pode copiar a senha para acessar a chave secreta, ou por meio de um capturador de teclas digitadas, ou mesmo se a senha constar em um arquivo de configuração. A partir deste momento, o atacante poderá passar-se pelo usuário legítimo, promovendo qualquer ação que este tenha permissão de executar. Contudo, mesmo que a escolha seja por armazenar (ou gerar) o certificado em meios como cartões processados e tokens, ainda assim existe o risco de uso compartilhado, ou seja, no momento em que o usuário realiza o acesso, portanto já foi devidamente autenticado, o atacante que tiver controle desse equipamento poderá utilizar (quer seja de forma ativa, quer construindo ferramentas automatizadas) esse canal previamente autenticado para promover ações como se fosse o usuário legítimo. É importante notar que esse tipo de ataque continua sendo factível mesmo quando um certificado armazenado em cartão/token é combinado com outras tecnologias, como biometria, por exemplo. Porém trata-se de um ataque que, em geral, costuma ser bem específico, ou seja, tem um interesse particular, a menos que seja feito de maneira ativa, com a participação do atacante em tempo real. De qualquer forma, o armazenamento em cartões e tokens diminiu muito o risco de descoberta da senha de acesso à chave privada e deve ser a opção escolhida caso haja possibilidade de aquisição dessa tecnologia. Uma autenticação usando somente certificados digitais utilizará o modelo EAP-TLS, ou seja, cria-se um túnel cifrado, com base na troca de certificados entre o cliente e o servidor RADIUS, os quais são validados mutuamente. O protocolo SSL utiliza o conceito de chaves assimétricas, portanto uma mensagem cifrada gerada pelo cliente, com a chave pública do servidor, só poderá ser decifrada por esse servidor utilizando sua chave privada, que, normalmente, é protegida por uma senha. Em geral, servidores que utilizam senha para acesso à chave fazem uso de duas abordagens: pedem a senha no momento que o serviço entra no ar, e, em caso de queda, o serviço não será automaticamente reiniciado até que a senha seja digitada manualmente, ou 192

7 Capítulo 6 Estudo de casos guardam a senha de alguma forma, sendo a mais comum, infelizmente, sem criptografia, em algum arquivo de configuração. As duas soluções apresentam problemas. No primeiro caso, para garantir o rápido retorno do equipamento, pode ser necessário compartilhar a senha com mais pessoas e, quanto mais pessoas conhecerem um segredo, diminuirão geometricamente as chances de permanecer em sigilo. No segundo caso, o risco é óbvio, pois a senha não está protegida por nenhum mecanismo de cifragem e não resiste a um acesso não autorizado. Por esses motivos, deve-se ter em mente que o servidor RA- DIUS passa a ser um ponto importante de risco e deve ser cercado de todas as proteções disponíveis. Ao seguir essa mesma linha de raciocínio, pode-se usar outros modelos de autenticação baseados em certificados digitais, como EAP-TTLS, que estabelece um túnel criptogrado para permitir a passagem das credenciais de usuário e senha, que podem ser autenticados por meio de vários métodos, desde usuário cadastrados no próprio servidor RADIUS ou em outras bases, como LDAP, por exemplo. Os cenários aqui descritos permitem a visualização de algumas possibilidades em função de características e necessidades de cada ambiente, mas isso não elimina outras possiblidades nem limita a evolução de topologia em função de mudanças no modelo da empresa ou rede em questão. Considere os cenários como sugestões, as quais devem ser questionadas antes de serem implementadas. Referência Tinypeap 193