Capítulo 5 Métodos de Defesa Ricardo Antunes Vieira 29/05/2012
Neste trabalho serão apresentadas técnicas que podem proporcionar uma maior segurança em redes Wi-Fi.
O concentrador se trata de um ponto muito importante na rede, pois, é através dele que os clientes conseguem acesso a rede, em casos de invasão, o meliante tem acesso pleno a rede podendo alterar trafego dos usuários para locais inseguros ou até mesmo impossibilitar o acesso a rede.
No caso do concentrador, a defesa deve ser bem pensada, pois, existem duas interfaces para a conexão, sendo, sem fio e com fio.
Este recurso esta em todos os manuais de boas praticas, sua utilização é muito importante pelo fato de esconder o nome da rede, dessa forma a rede só esta acessível para quem souber o nome da rede. Este recurso também é conhecido pela denominação de Segurança por obscuridade
A respeito desse método de defesa, ele tem alguma eficiência quando combinado a outros métodos, pois, apenas ele, deixa algumas brecha de segurança, ex. BEACONs; Busca por concentrador ativos; Requisição de associação; Requisição de reassociação;
Portanto mesmo que não existam BEACONs enviando o nome do ponto de rede, alguns pacotes vão porta-lo, dessa forma podendo ser capturados por algum atacante que terá acesso a este nome. Esta ação não costuma ser a melhor solução para garantir segurança na rede sem fio.
Este método também é baseado em segurança por obscuridade, seu problema é quando toda segurança é baseada na obscuridade. Esse método atrasa o atacante porem quando ele tem acesso a essas informações tem o caminho aberto para a rede.
Ao substituir as informações, o administrador escolher dados que apresentem alguma ligação com aparelho ou a empresa. Estes parâmetros devem receber atenção pois existem fermentas que conseguem capturar todas as informações disponíveis.
Esta medida também leva como base a obscuridade, dessa forma o administrador ao instalar o condensador, define quais endereços vão ter acesso a rede, dessa forma o atacante encontra mais dificuldades para descobrir as características da rede.
Este método é utilizado quando o administrador não tem como bloquear o acesso a rede, ele funciona de forma que o aparelho trabalha em conjunto com outro equipamento, não existindo um endereço IP, dessa forma impossibilitando o acesso remoto.
Este método apresenta alguns parâmetros que devem ser configurados, a falta de acesso remoto pode ser resolvida com a adoção de ponte com endereço IP de serviço. Outro problema é que alguns aparelhos não suportam protocolos TKIP, AES e RADIUS.
Este método apresenta algumas características contrarias, no caso de invasão ao cliente o atacante consegue informações de segurança de toda rede.
Conhecido como PSPF, este método impossibilita ataques de usuários contra usuários na mesma rede, um exemplo é que o atacante não consegue nem PINGAR para o outro usuário. Uma falha é que o trafego pode ser capturado pois a bareiraesta apenas no rote amento. Quanto a informações que trafegam no ar única coisa que pode ser feita é criptografar os dados.
Uma possibilidade é feita com um concentrador (AP), de forma que ele associe um endereço IP a um endereço MAC. Dessa maneira não será possível um atacante usar um clone de MAC. Pode sem implementado em Windows e Linux.
A utilização de um servidor RADIUS possibilita a utilização de vários protocolos de segurança em conjunto. Após configurado os parâmetros de segurança devem ser configurados os padrões para clientes.
Mesmo sendo frágil a utilização de WEP ainda é a única possibilidade de aumentar a segurança em algumas redes. Sua fragilidade se da por possuir chaves de no Maximo 64bits. Sua utilização nos casos em que não existem outras alternativas deve ser combinada com outros métodos, como por exemplo o servidor RADIUS.
A autenticação no modelo TLS, é realizada co a troca de chaves ao iniciar a conexão, também é utilizado em conjunto com RADIUS.
Um método um pouco mais robusto de segurança é a utilização de WAP ele apresenta maior suporte na conexão 802.11x em redes Ad-Hocele não consegue dar total suporte. Ele funciona com chaves compartilhadas, as chaves predefinidas são alteradas periodicamente de forma configurável.
Também conhecida como WPA pessoal, tem um grau de dificuldade na utilização menor que a WPA, sua configuração consiste de selecionar (WPA-PSK) em ambos cliente e concentrador e definir uma chave mestra um pouco complexa para que não seja fácil de descobrir em um ataque de força bruta por exemplo.
No método WPA-PSK qualquer usuário que tenha acesso a estação terá automaticamente acesso rede. No WPA- Interpriseum dos métodos mais simples para serem utilizados e o EAP_TTLS, ou seja cria um túnel cifrado para a autenticação, pode ser do tipo MD5, MSCHAP,OTP etc.
Uma VPN funciona no intuito de criar um túnel seguro entre redes remotas, ou seja, ela funciona de forma a garantir que a troca de informações entre maquinas que não estão na mesma rede seja possível, direta e segura. Um exemplo é o SSH, através dele é possível estabelecer uma conexão segura e rápida entre maquinas remotas.
Independente da infra estrutura ou protocolo, a utilização de criptografia é muito importante, pois, dessa forma mesmo que os dados sejam capturados o atacante não terá acesso as informações. Para uma maior eficácia é preciso saber qual o problema para escolher o método que mais se encaixa a situação para resolver o real problema.
Uma das soluções mais simples e eficientes é a utilização de senhas descartáveis, funciona de forma que a cada conexão do usuário ele informa uma nova senha. Este serviço pode ser implementado em variosmetodosde conexão como FTP, TELNET, POP3, ETC.
Este meto se trata de um dos meios mais seguros, pois alem de poder ser combinado com diversos outros métodos que aumente a segurança, cada certificados só é valido quando autenticado por algum órgão conhecido e confiável.
Também existe a possibilidade de criar um servidor de certificados, tendo então a auto certificação, não é completamente seguro, porem, é uma opção.
Este fermenta possibilita a detecção de varreduras e ataques, possui um recurso de alert, este pode ter saídas SNMP e SMS. Podem ainda existir vários níveis de alertas. Ele detecta mau funcionamento ou pacotes estranhos que estejam trafegando na rede.
Trata se de uma fermenta bastante robusta, que facilita a criação e mudança das assinaturas de pacotes suspeitos. Sua limitação é que só tem suporte em placas aironet. Outra funcionalidade interessante desse programa é a integração com o MySQL.
Snorté uma ferramenta tradicional para a detecção de ataques baseada em assinaturas, pacotes mau-formados ou trafego estranho. Porem ele não consegue dar suporte a todas as características da rede. Hoje ele apresenta funções de até identificar a conexão de concentradores não autorizados.
Sem duvidas é essencial identificar concentradores falsos, já que estes não se movimentam dentro de um ambiente, ou seja devem ser salvos logsde acessos de cada concentrador no intuito de saber a intensidade do sinal com isso tendo uma base de sua distancia, assim é possível saber se um clone de algum concentrador foi ligado em algum lugar pela diferença de sinal.
Nos tempos é hoje devem ser explorados todos os recursos disponíveis para garantir uma conexão o tão quanto segura for possível, para garantir a integridade e segurança da conexão de todos os usuários ligados a uma determinada rede.