Post on 17-Apr-2015
Congresso Wi-Fi
Desenvolvimentos Tecnológicos e Implementações de QOS e Protocolos de Segurança em Redes Wi-Fi
André Docena CorrêaLucinski
andre@lucinski.com.brandre.correa@pobox.com
Agenda
802.11 – Padrões / Grupos de Trabalho
802.11e - QOS
WEP / WEP 2
802.1x
Riscos associadoas a utilização de redes Wi-Fi e medidas de Segurança
Q&A
802.11 – Padrões e Grupos de Trabalho
802.11a - 5GHz UNIIOFDM (Ortogonal Frequency Division
Multiplexing)6 to 54Mbps
802.11b - 2.4GHzCCK (Complementary Code Keying)1 to 11Mbps
802.11 – Padrões e Grupos de Trabalho
802.11gHigher Rate Extensions na banda de
2.4GHzAumento da velocidade em relação a
802.11b - até 54MbpsOFDM (Frequency Division Multiplexing)RTS / CTSCompatível com 802.11b
802.11 – Padrões e Grupos de Trabalho
802.11c - Bridge Operation Procedures
802.11d - Global HarmonizationRegulamentação: U.S., Europa e Japão
802.11e - MAC Enhancements for QoSQOS focado em aplicações multimídiaCompatível com qualquer 802.11 PHYs
802.11 – Padrões e Grupos de Trabalho
802.11f - Inter Access Point Protocol (IAPP) Roaming entre Access Points APs de fabricantes diferentes podem não operar em
conjunto
802.11h - Spectrum Managed 802.11a Seleção dinâmica de canais (Europa)
802.11i - MAC Enhancements for Enhanced Security Resolução de problemas relativos ao WEP Incorpora o 802.1x e técnicas avançadas de
criptografia
802.11e
QOS (Quality of Service) em 802.11
Trabalha na camada MAC
Desejável para aplicações multimídia
Cooperação com IEEE 1394
Aplicável e compatível com 802.11a, 802.11b e 802.11g (PHY)
802.11e
Soluções que funcionam em redes cabeadas podem não funcionar em redes wireless pelos seguintes motivos:Taxa de erro pode chegar de 10 a 20%Taxa de transmissão varia de acordo com
as condições do canal utilizado Impossível determinar a banda exata que
pode ser utilizada devido a sua variação
802.11e
Ë comum definir como constante o tráfego multimídia, mas ele se torna “bursty” em situações onde existe elevada taxa de erro.
Protocolos da camada MAC somente podem cuidar da priorização do tráfego, não da reserva de banda
802.11e
Reserva de banda Redes IP geralmente utilizam RSVP Muitas aplicações não utilizam esse protocol RSVP está sendo descontinuado por alguns
fabricantes (Exemplo: MS Windows XP)802.11e deve suportar 802.1p (priority marking)802.11e não deve assumir a utilização de RSVP mas deve se beneficiar caso este esteja disponível
802.11e - Draft
Focado em duas aplicações Audio/vídeo – deve suportar: até 3 canais
simultâneos MPEG-2 em DVD rate; ou um canal MPEG-2 em HDTV rate, em redes 802.11a
QOS para redes corporativas, provendo priorização de tráfego e integração com a infra-estrutura de gerenciamento existente
Backwards compatible com Clientes/APs que não utilizem 802.11eAtua também sobre o tráfego entre Clientes
802.11e
Tentativas anteriores para WLAN QOSHiperlan 1 (1996): frágil na presença de
erros e clientes “hidden”Hiperlan 2: frágil em situações com bursts
de tráfego. Implementação complexaHomeRF: ineficiente para tráfego de vídeo;
problemas com a camada PHY
802.11e - HCF
Tráfegos diferentes necessitam de soluções diferentes para QOS
802.11e apresenta o conceito: “Hybrid Coordination Function”
802.11e – HCF utiliza funcionalidades das tecnologias CSMA/CA e PCF (Point Coordination Function)
802.11e - HCF
CSMA/CA (DCF) (Scheduling) Eficiência e baixa latência para tráfego com burst Controle de acesso ao canal por pacote, não utilizando
otimização por previsão de tráfego
PCF (Reservation) Controle de acesso ao canal por “stream” Eficiência na previsão de tráfego
802.11e Utiliza uma combinação das duas tecnologias Eficiente acesso ao canal para tráfego previsível Eficiente para tráfego com bursts e retransmissões
802.11e
802.11e está baseado em mais de uma década de experiência em protocolos WLAN
802.11e foi desenvolvido com foco nas condições reais de utilização de redes wireless. Robusto em condições adversas
Backwards compatible com Clientes e APs 802.11
WEP
WEP (Wired Equivalent Privacy): Opcional para 802.11 - MAC LayerBusca resolver os seguintes problemas: Impedir que intrusos consigam ler os
dados transmitidos Impedir que intrusos consigam modificar
dados transmitidos Impedir que intrusos tenham acesso a
rede wireless
WEP
Como funciona o WEP Shared Secret (WEP Key) – 40/104 bits Criptografia RC4 stream cipher (simétrica) do
payload dos pacotes 802.11 (corpo + CRC) Seed = Shared Secret + Randon 24 bit (IV) IV muda para cada pacote (sequêncial ou
randômico dependendo da implementação) IV é enviado em clear text no cabeçalho do
pacote 802.11
WEP
O que está errado com o WEPShared Key estáticaNão possui necamismo de distribuição ou
renovação de chaves de criptografia IV relativamente pequeno (24 bits) IV sequêncial em diversas implementações
WEP
WEP2
Definições compatível com WEP Força chaves de 128 bits Suporte a Kerberos V
Problemas Permite a reutilização do IV Não possui autenticação mútua Suporte a Kerberos V permite dictionary attacks Possível DOS pois autenticação/desautenticação
não são seguras
802.1x
Controle de acessoAutenticação mútuaUtilização de Servidor de Autenticação centralizada (RADIUS)Distribuição dinâmica de chaves de criptografiaEAP (Extensible Authentication Protocol – RFC2284) permitindo a utilização de diversos métodos de autenticação: Token Cards, Kerberos, one-time passwords, certificados digitais e PKI
802.1x
Componentes:Supplicant (Cliente)Autenticador (AP)Servidor de Autenticação (RADIUS)
Possíveis ataques demonstrados:Session Hijacking Man-in-the-middle
802.1x1. Cliente envia pedido de autenticação ao AP2. AP responde pedindo a identificação do Cliente3. Cliente envia sua identificação que é redirecionada pelo AP
ao servidor de autenticação4. Servidor de autenticação verifica a identidade do Cliente e
envia uma mensagem de aceitação/negação ao AP5. Se a identificação for aceita o AP libera o tráfego do Cliente
802.1x - EAP
EAP – TLS Autenticação mútua baseada em certificados Chaves de criptografia são geradas
EAP – TTLS Cliente não necessita de certificado digital,
mas pode ser autenticado utilizando senhas Servidor de autenticação utiliza certificado
digital Chaves de criptografia são geradas
802.1x - EAP
EAP – SRP Cliente e servidor de autenticação são
autenticados utilizando senhas Chaves de criptografia são geradas
EAP – MD5 Cliente é autenticado através de senha Servidor de autenticação não é autenticado Não são geradas chaves de criptografia
Riscos associados
Perda de confiança dos clientes
Perda de confiança dos acionistas e investidores
Danos a marca
Diminuição dos lucros
Implicações legais
Medidas de Segurança
Habilite WEP como nível mínimo de segurança Utilize chaves de 128 bits Altere a chave WEP frequêntemente Não assuma que o WEP é seguro
Se possível utilize 802.1x
Se possível desabilite broadcast de SSID
Altere o SSID e a senha default dos APs
Medidas de Segurança
Altere os nomes e senhas das comunities SNMP dos APsTrate sua rede wireless como uma rede públicaUtilize filtros por MAC addressColoque sua rede wireless em uma DMZ e de forma isoladaDesabilite compartilhamento de arquivos em clientes wireless
Medidas de Segurança
Se usuários wireless tiverem de utilizar serviços em sua rede local, utilize outros algorítimos de autenticação e criptografia, como por exemplo: VPN, IPSec, SSHPromova regularmente "Access Point Discovery“Utilize IDS na rede wireless
Q&A
Referências
IEEE 802.11 Work Groups
SAMS Reading Room
Cisco
802.11 Planet
Intel
ISS
CWNP
IBM