I Workshop do POP-MG Rede sem fio Pollyana do Amaral Ferreira polly@ pop-mg.rnp.br
Sumário Introdução Principais aplicações O padrão IEEE 802.11 Segurança e suas diferentes necessidades Conclusão 2/36 I Workshop do POP-MG Rede sem fio
Introdução Comodidade Aumento da produtividade ROI até 70 minutos por dia APs de baixo custo disponíveis no mercado Instalações inadequadas expõe a rede Administradores devem implantar WLAN com segurança 3/36 I Workshop do POP-MG Rede sem fio
Principais aplicações 4/36 I Workshop do POP-MG Rede sem fio
Padrão IEEE 802.11 802.11a 5GHz, 54Mbps 802.11b 2,4GHz, 11Mbps 802.11c Protocolo para bridges 802.11d Wold Mode (Europa 20dB, EUA/BRA 36dB) 802.11e Qualidade de Serviço (QoS) 802.11f Inter-Access Point Protocol (IAPP) 802.11g 2,4GHz, 54Mbps, modulação digital 802.11h Seleção dinâmica de freqüência 802.11i Autenticação e segurança 5/36 I Workshop do POP-MG Rede sem fio
802.11a 5GHz 54Mbps 8 canais Mais caro 1/3 da área de cobertura Consome mais energia (4 a 5x) 6/36 I Workshop do POP-MG Rede sem fio
802.11b 2,4GHz 11Mbps Canais 11 canais EUA 13 canais Brasil 14 canais Japão Aprovado praticamente no em todo o mundo 7/36 I Workshop do POP-MG Rede sem fio
802.11g 2,4GHz 54Mbps 11 canais: Compatível com 802.11b Mesma modulação do 802.11a: OFDM 8/36 I Workshop do POP-MG Rede sem fio
Segurança (802.11i) Melhorias do WPA: Autenticação: 802.1x Criptografia Substitui WEP por TKIP Feito no firmware Substitui WEP por AES (WPA2) Requer substituição do hardware 9/36 I Workshop do POP-MG Rede sem fio
Níveis de Segurança 10/36 I Workshop do POP-MG Rede sem fio
Acesso Público Necessidade: Facilidade de uso Logo, não utiliza nenhum dos mecanismos de segurança do 802.11 11/36 I Workshop do POP-MG Rede sem fio
Segurança Básica 12/36 I Workshop do POP-MG Rede sem fio
Segurança Padrão 802.11 Autenticação: SSID Autenticação Open Autenticação Mac Privacidade: WEP estática 13/36 I Workshop do POP-MG Rede sem fio
SSID Usado para separar redes wireless logicamente. 14/36 I Workshop do POP-MG Rede sem fio
Criptografia WEP Wired Equivalent Privacy Baseado no protocolo RC4 da RSA Protocolo seguro, utilizado por bancos Chaves de 40, 104 ou 128bits Porém o padrão prevê 40 bits Deve ser configurado em todos os clientes e APs. 15/36 I Workshop do POP-MG Rede sem fio
Autenticação Open Autenticação orientada a dispositivo Utiliza autenticação nula: Toda requisição é aceita Sem WEP, a rede está aberta para qualquer usuário Com WEP, ele é um autenticador indireto. 16/36 I Workshop do POP-MG Rede sem fio
Autenticação MAC Somente os MACs autorizados conseguem conectar-se Não faz parte do padrão 802.11 A implementação é específica de cada fabricante. 17/36 I Workshop do POP-MG Rede sem fio
Segurança Avançada 18/36 I Workshop do POP-MG Rede sem fio
Vulnerabilidades do 802.11 SSID Autenticação MAC WEP Estática 19/36 I Workshop do POP-MG Rede sem fio
Vulnerabilidades: SSID SSID pode ser rastreado com sniffer, mesmo com broadcast desabilitado. Desabilitar broadcast do SSID pode impactar a compatibilidade WiFi. 20/36 I Workshop do POP-MG Rede sem fio
Vulnerabilidades: MAC Endereços MAC são enviados em clear text Podem ser rastreados. 21/36 I Workshop do POP-MG Rede sem fio
Vulnerabilidades: WEP WEP utiliza um protocolo robusto Porém a implementação no padrão 802.11 é vulnerável: Todas as APs e clientes utilizam a mesma chave WEP As chaves são estáticas, não mudam Gerenciamento e distribuição de chaves é problemático 22/36 I Workshop do POP-MG Rede sem fio
Vulnerabilidades: WEP chave texto aberto => texto criptografado chave texto criptografado => texto aberto texto aberto texto criptografado => chave 23/36 I Workshop do POP-MG Rede sem fio
Vulnerabilidades: WEP A chave WEP pode ser derivada, utilizando análise estática, com 1M a 4M de frames O ataque é passivo, apenas escuta a rede wireless Implementado no AirSnort 24/36 I Workshop do POP-MG Rede sem fio
Vulnerabilidades do 802.11 Os mecanismos de segurança foram desenvolvidos em 1997 e são vulneráveis! SSID Autenticação MAC WEP estática OK para o uso residencial, mas NÃO para o uso corporativo! 25/36 I Workshop do POP-MG Rede sem fio
Autenticação e Criptografia Fortes WPA Wi-Fi Protected Access TKIP Key Integrity Protocol AES Advanced Encryption Standart 26/36 I Workshop do POP-MG Rede sem fio
Autenticação Forte 802.1x para 802.11 Mecanismo de autenticação para acesso à redes Criado para redes cabeadas Bloqueia toda a comunicação, permitindo apenas a autenticação Passagem do protocolo EAP (Extensible Authentication Protocol) 27/36 I Workshop do POP-MG Rede sem fio
Tipos de EAP LEAP EAP-TLS PEAP/EAP-FAST 28/36 I Workshop do POP-MG Rede sem fio
Tipos de EAP: LEAP Lightweight EAP Mais usado (aprox. 60%) Suporta principais SOs Proprietário da CISCO 29/36 I Workshop do POP-MG Rede sem fio
Tipos de EAP: EAP-TLS EAP-Transport Layer Security Utilização de cert. Digitais (PKI) Não proprietário Suportado em Win2000,XP, Linux Mac Mais complexo de implementar Certificado Digital em todos os clientes. 30/36 I Workshop do POP-MG Rede sem fio
Tipos de EAP: PEAP PEAP/EAP-FAST Protected EAP Utiliza PKI apenas na infraestrutura Estabelece túnel seguro (similar SSL) 31/36 I Workshop do POP-MG Rede sem fio
Criptografia Forte Temporal Key Integrity Protocol (TKIP) Aumenta segurança da criptografia WEP Chaves novas por pacotes Message Integrity Check Advanced Encryption Standart (AES) Mais novo padrão de criptografia Requer substituição do hardware VPN over Wireless Criptografia Seguro e confiável 32/36 I Workshop do POP-MG Rede sem fio
Segurança Fim a Fim 33/36 I Workshop do POP-MG Rede sem fio
Segurança de Acesso Remoto - VPNs 34/36 I Workshop do POP-MG Rede sem fio
VPN over 802.11 Impacto no desempenho Necessidade de vários concentradores de VPN Suporta apenas Unicast 35/36 I Workshop do POP-MG Rede sem fio
Conclusão Diferentes utilizações para as redes Wireless tem necessidade de segurança diferentes. Sua rede Wireless pode ser tão segura quanto sua necessidade. Políticas e procedimentos de segurança são tão importantes quanto tecnologias. 36/36 I Workshop do POP-MG Rede sem fio