Palavras-chave: Segurança. WLAN i w. Criptografia

Transcrição

1 IMPLEMENTAÇÃO DE UMA WLAN NO IFMT CAMPUS BELA VISTA COM CRIPTOGRAFIA IEEE W HABILITADA Felipe Cesar Costa Alves Aluno do IFMT, Campus Cuiabá, voluntário Ed Wilson Tavares Ferreira Prof.ª Doutor do IFMT, Campus Cuiabá, orientador Resumo Redes sem fio estão em crescimento no mundo todo, as redes cabeadas convencionais possuem um forte mecanismo que as torna seguras comparadas as WLAN. A propagação de sinais de rádio facilita o acesso as redes sem fio e aumenta a necessidade de utilização de um mecanismo de segurança. Atualmente existem diversas métodos de criptografia que são empregadas para aumentar o nível de segurança nas redes. O padrão WEP apresenta fragilidades e grandes riscos de acesso de agentes maliciosos. O WPA foi sua atualização provisória enquanto uma alternativa concreta estava em desenvolvimento. Assim como a WEP não obteve resultados expressivos, posteriormente surgiu o padrão IEEE i como atualização definitiva e proposta de resolução aos graves problemas relacionados às redes sem fio. Melhorias significativas são observadas, no entanto os complementos criptográficos não contemplam a sub-camada MAC que protege a rede contra ataque do tipo DoS, fazendo com que a disponibilidade da rede seja ameaçada. Diversos trabalhos tem demonstrado a ineficiência do i quando implementados como padrão único de segurança. O padrão IEEE w protege os erros na segurança dos quadros de gestão existentes em IEEE i. A WLAN do Instituto Federal de Educação Ciência e Tecnologia Campus Bela vista, necessita de um padrão de segurança eficiente já que o Instituto frequentemente sedia seminários, congressos ou eventos que demandam grande quantidade de usuários para acesso a internet. A associação dos padrões i e w fornece uma proteção aos quadros de dados e gerenciamento, desde modo foi proposto uma implementação de uma rede abrangendo essas características. A topologia consiste em dois APs modelo Mikrotik RB433 com antenas direcionais de 90, um servidor RADIUS para autenticação na rede, integrado ao AD presente na organização, gerando um ambiente aberto a comunidade acadêmica, aos técnicos administrativos, professores e visitantes. Este trabalho descreve o processo de configuração e implementação e da uma rede acadêmica baseada na utilização dos padrões IEEE i e IEEE w. Palavras-chave: Segurança. WLAN i w. Criptografia 1

2 Introdução Um aumento expressivo e contínuo na utilização das redes sem-fio vem ocorrendo no mundo, especialmente as redes baseadas nos padrões IEEE (IEEE , 1999). Este crescimento deve-se a fatores como facilidade de implementação e baixo custo nos dispositivos compatíveis. Diferente das redes cabeadas convencionais, uma rede sem fio pode ser facilmente identificada já que a transmissão é realizada pela propagação de ondas de rádio e pode ser acessível por qualquer pessoa que possua um equipamento compatível e esteja dentro da área de cobertura da WLAN (Wireless Local Area Network). Devido ao meio físico utilizado estas redes apresentam pouca segurança na transmissão dos dados comparados as redes cabeadas. O perímetro de acesso a rede gerados pelo AP (Access Point) pode ultrapassar o limite físicos de uma instituição, empresa ou universidade facilitando o acesso indevido sem necessidade de estar fisicamente presente no estabelecimento. Tendo em vista a popularização das WLAN é necessário que essas redes possuam um forte mecanismo de segurança. Inicialmente foi desenvolvido pelo IEEE (Institute of Electrical and Eletronic Engineers) a padrão WEP (Wired Equivalent Privacy) com objetivo de tornar a utilização das redes sem fio mais seguras. É utilizado o método de chave compartilhada simétrica com o uso do algoritmo RC4 (RIVEST, 1992) e uma chave secreta de 40 a 104 bits, compartilhados entre clientes da WLAN e os APs. Um vetor de inicialização (Initialization Vector) de 24 bits é anexado ao quadro WEP e assim formado uma chave de 64 bits. Este mecanismo apresentou graves falhas afetando os parâmetros como disponibilidade, autenticidade e integridade dos dados trafegados na rede. Em resposta a estas falhas, o método criptográfico WPA (Wifi Protected Access) foi desenvolvido para utilização temporária até a criação de um método substituto eficiente. O padrão WPA assim como WEP faz uso do algoritmo RC4, acrescidos de um subconjunto de especificações, vetor de inicialização de 48 bits, hierarquia de chaves com Pairwise Master Key (PMK), autenticador WPA-PSK (Pre Shared Key) (RFC 4764) ou EAP (Extensible Authentication Protocol) (RFC 2284) que permite acesso através de um servidor de autenticação, frequentemente o RADIUS (RFC 2865). Por fim surgiu o método i (IEEE Standard i, 2004), que consiste na atualização do WEP. Seu conjunto de protocolos trouxe melhorias significativas. A autenticação ocorre com utilização da chave pública utilizando uma chave mestra (Master Key) que é compartilhada entre autenticador e o cliente e em seguida gerada uma segunda 2

3 chave, a chave mestra pareada (Pairwise Master Key), além destas existe também a chave temporal (Temporal Key) que reforça a segurança implementada na camada de enlace. As diversas atualizações nos mecanismos de segurança e seus algoritmos resultaram, portanto, em uma WLAN com uma segurança reforçada verificada principalmente no padrão IEEE i. Entretanto, a maioria das correções obtidas são aplicadas aos quadros de dados da sub-camada MAC, mantendo vulnerável as camadas de gerenciamento e controle. De modo a corrigir a falta de segurança nos quadros de gerenciamento, foi desenvolvido o padrão IEEE w (IEEE Standard w 2009) que corrige as falhas nos quadros e impede ataques do tipo dauthentication na WLAN, garantindo que a rede esteja segura contra incidentes que geram indisponibilidade Bellardo (2003) impossibilitando o cliente de realizar acesso a rede. A WLAN presente no Instituto Federal de Educação Ciência e Tecnologia de Mato Grosso - Campus Bela Vista é utilizado por técnicos administrativos, alunos, professores e visitantes. Frequentemente o campus é sede de encontros, jornadas científicas, seminários ou eventos reunindo grande quantidade de pessoas que necessitam da utilização da rede sem fio para acesso a internet. Desde modo é possível identificar a necessidade de uma rede que ofereça segurança baseada nos parâmetros da segurança da informação: disponibilidade, integridade, autenticidade e confiabilidade. Este trabalho consiste na apresentação dos resultados provisórios obtidos durante a implementação de uma rede sem fio baseada nos padrões IEEE w e IEEE i. Espera-se que com a proteção dos quadros de gestão, a WLAN do Instituto Federal de Educação Ciência - Campus Bela Vista, possa oferecer segurança contra ataques que afetem a disponibilidade da rede. Fundamentação Teórica Diversos trabalhos ao longo dos anos relacionam WLANs a falhas de segurança Linhares (2008), Pastore (2008), Silva (2009), Mendes (2011), demonstram que o risco de incidentes envolvendo redes sem fio sempre estiveram em evidência, e que existe a necessidade da implementação de uma rede que faça proteção tanto dos dados, quanto de gerenciamento da subcamada MAC. Changhua He e John C Mitchell (2005) comentam sobre a insegurança característica em WLANs e facilidade do atacante forjar um ataque DoS (Denial of Service) enviando 3

4 repetidamente quadros de dehautentication até mesmo com proteção i habilitada. Willer (2013) gerou uma base de dados com associação da criptografia WEP, WPA e i para auxílio de treinamento de IDS (Intrusion Detection System) contra ataques de negação de serviço. Foi notada a necessidade de desenvolver uma infraestrutura para geração de uma nova base de dados para treinamento de IDS com uma criptografia que possa oferecer segurança nas subcamadas de gerenciamento. Metodologia A fase inicial foi à definição de equipamentos para o levantamento de estrutura. Optouse pela utilização de equipamentos já existentes e disponíveis no campus, assim, foram empregados os APs da marca Mikrotic RB433, apresentado na Figura 1, juntamente com antenas direcionais de 90, posicionados em locais de grande concentração de pessoas, e que também possuem visada direta entre os equipamentos, permitindo a utilização do WDS (Wireless Distribution System), com a formação de um backbone entre os APs. Na WLAN foi utilizado o servidor RADIUS (Remote Authentication Dial in User Service) que realiza a autenticação e controle dos usuários que acessam a rede wireless, necessário para o controle do acesso a rede sem fio. O servidor foi integrado com o diretório de usuários do campus. A topologia demonstra a presença dos APs, o servidor RADIUS e os clientes é apresentada na Figura 2. O padrão IEEE i foi habilitado nos APs em associação ao IEEE w. A necessidade de junção desses padrões se deve ao fato dos mecanismos de segurança do i não possuir algoritmos eficientes contra ataques DoS Mitchell (2005). Em contrapartida IEEE w pode corrigir esta falha. Ataques de tipo deauthentication podem gerar desassociações de clientes legítimos comuns que desejam acessar a rede Bellardo (2003). Para proteger e evitar esse tipo de incidente foi alterado as proteções ao quadro de gestão habilitando o algoritmo AES-CCMP e o mecanismo MFP (Management frame protection) que são elementos também configurados nos equipamentos. As características de segurança referente ao IEEE w referem-se as funções realizadas por esses algoritmos. Assim a WLAN que contenha segurança adicional nos quadros de gestão da camada MAC possui o padrão IEEE w habilitado.

5 Figura 1 Mikrotik Fonte: Fotografia retirada pelos autores Figura 2 Topologia Fonte: Construção dos autores 5

6 Discussões Durante o projeto de implementação da WLAN no IFMT problemas como incompatibilidade e dificuldade na atualização de firmwares dos equipamentos provocaram atrasos inicias. Houve a tentativa de desenvolvimento de um ponto de acesso através de atualização da firmware, utilizando placa de rede wireless e um desktop. Devido ao cronograma estabelecido as ações foram voltadas para utilização dos equipamentos já dispostos no campus que cumprissem a proposta de uma maneira mais rápida. A integração entre o servidor RADIUS e o OpenLDAP também gerou transtornos dificultando avanços, devido principalmente as configurações estabelecidas no servidor que geraram incompatibilidade. A comunicação entre os APs via WDS apresentou falhas inicialmente em um dos APs previstos para implementação, posteriormente foi verificado e confirmado que um dos equipamentos Mikrotik apresentou falhas elétrica sendo necessária exclusão da topologia da WLAN. Apesar das dificuldades apresentadas principalmente devido à escassez de recursos físicos o processo de configuração resultou na proposta estabelecida até o momento que previa o levantamento e configurações iniciais dos equipamentos com habilitação dos padrões de segurança. Considerações Parciais Foi percebido a grande necessidade em ampliar o nível de segurança em redes sem fio. Isto é reforçado pelo número crescente de usuários que adotam essa tecnologia, especialmente alunos que possuem notebooks e telefones inteligentes. A ausência de preocupação com segurança, nos antigos padrões de rede sem fio disponibilizados pelo IEEE, prejudica as redes atuais. As ementas recentes surgem como tentativa de melhorar a disponibilidade do acesso nos dias atuais. A pesquisa, que está em fase inicial, possibilitou experimentar a dificuldade em habilitar os novos recursos de segurança, pois parte dos fabricantes não disponibilizam equipamentos com capacidade e software adequados para este novo cenário de rede. Em continuidade deste trabalho, será avaliado o impacto das novas implementações nos acessos disponibilizados aos usuários, e espera-se a melhoria significativa da disponibilidade dos serviços, com a redução de ataques conhecidos nas redes sem fio tradicionais. 6

7 Referências Bibliográficas MITCHELL, Changhua He John C. Security Analysis and Improvements for IEEE i. In: The 12th Annual Network and Distributed System Security Symposium (NDSS'05) Stanford University, Stanford p BELLARDO, John; SAVAGE, Stefan denial-of-service attacks: Real vulnerabilities and practical solutions. In: Proceedings of the USENIX Security Symposium p IEEE COMPUTER SOCIETY LAN MAN STANDARDS COMMITTEE et al. Wireless LAN medium access control (MAC) and physical layer (PHY) specifications RIVEST, R. L. The RC4 Encryption Algorithm, RSA Data Security Inc. This document has not been made public, VILELA, Douglas Willer Ferrari Luz et al. Construção de Bases de Dados para Auxiliar a Avaliação de Sistemas de Detecção de Intrusos em uma Rede IEEE com Criptografia WEP, WPA e WPA2 Habilitada MITCHELL, Changhua He John C. Security Analysis and Improvements for IEEE i. In: The 12th Annual Network and Distributed System Security Symposium (NDSS'05) Stanford University, Stanford LINHARES, André Guedes; GONÇALVES, Paulo André da S. Uma análise dos mecanismos de segurança de redes IEEE : WEP, WPA, WPA2 e IEEE w Disponível em: Acesso em: 30 de junho de PASTORE, Alexandre. Segurança em redes sem fio padrão IEEE802.11i. TCC, Curso de especialização em gerenciamento e segurança de rede de computadores. Universidade de Caxias do Sul, SILVA, Eduardo Alves. Estudo sobre as vulnerabilidades em redes sem fio (Wi-fi) e formas de defesa. TCC, Curso de graduação em Sistemas de informação. Faculdade Sete de Setembro, RFC 2284 L. Blunk e J. Vollbrecht PPP Extensible Authentication Protocol (EAP), RFC 228, mar

8 RFC 2865 C. Rigney, S. Willens, A. Rubens, W. Simpson, Remote Authentication Dial In User Service (RADIUS) jun RFC 4764 F. Bersani, H. Tschofenig The EAP-PSK Protocol: A Pre-Shared Key Extensible Authentication Protocol (EAP) Method jan IEEE Standard for Information technology - Telecommunications and information exchange between systems - Local and metropolitan area networks - Specific requirements. Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications Amendment 4: Protected Management Frames, IEEE Std w-2009, vol., no., pp.1,111, Sept