A Evolução dos Mecanismos de Segurança para Redes sem fio 802.11.

A Evolução dos Mecanismos de Segurança paraRedes sem fio 802.11

Agenda

• Introdução a redes wireless– Requisitos de Segurança

• Recursos de (in)segurança em redes 802.11b– Mecanismos de segurança nativos, controle de acesso– Vulnerabilidades nos protocolos– Problemas comuns de configuração– Problemas nos equipamentos

• Ataques– Ataques de autenticação, Hijacking– Problemas de chave, Wardriving e Warbiking

Agenda

• Defesas– Resposta dos fabricantes– Evolução dos protocolos– WPA– 802.11i– VPNs, criptografia e Controle de acesso– Configurações rígidas– Isolamento e Monitoração

• Conclusões

Objetivos

• Dar uma visão geral da tecnologia sem fio 802.11 e alguns cenários de uso

• Compreender os recursos de segurança providos pelo padrão 802.11b

• Atentar para as fraquezas do padrão, ataques comuns, particularmente fáceis ou especialmente não-intuitivos

• Estabelecer uma ligação com os ataques clássicos• Discorrer sobre as comunidades de exploradores de redes

wireless• Propor e discutir formas práticas de mitigar as

vulnerabilidades

Introdução a Redes Wireless

Redes 802.11b• Camada Física:

– Direct Sequence Spread Spectrum (DSSS)– Frequency Hopping Spread Spectrum (FHSS)– Banda ISM de 2.4 a 2.5GHz

• Velocidades (bitrates):– 1, 2, 5.5, 11Mbps (802.11b), 54Mbps (11a, 11g)

• Alcance típico:– 50 metros em ambientes fechados, 500 metros ao ar livre– Pode variar fortemente dependendo da potência, tipo e disposição

das antenas, cobertura por APs, amplificadores– Antes externas direcionais podem chegar a 400 m– Configurações especiais podem chegar a mais de 20 Km

DSSS

FHSS


Topologias• Modo Infra-Estrutura: estende a cobertura geográfica da

rede LAN convencional (“de infra-estrutura”) através da cobertura da rede sem fio– Access Point (AP): bridge [WLAN] [LAN]– Célula: área coberta por um AP– Basic Service Set (BSS): “conjunto de serviços básicos” de uma

célula– Extended Service Set (ESS): “conjunto de serviços estendido”

oferecido por todas as células de uma rede de infraestrutura• Modo Ad-Hoc:

– Interconexão direta “peer-to-peer” sem APs de dispositivos em uma mesma área (em uma sala, digamos)

– Dispensa a “rede infra-estrutura” (LAN convencional cabeada)


Resumindo

• Filosofia de projeto:

Fácil instalação + Fácil acesso=

Problema de Segurança

(é claro que os engenheiros pensaram em tudo ...)


Requisitos de Segurança• Criptografia e Privacidade

– “dados cifrados não devem decifrados por pessoas não autorizadas”

• Autenticação e Controle de Acesso– Identificar, Autenticar, Autorizar usuários, servidores,

Aps– Framework

Recursos de (in)segurança

Escopo da Segurança em redes sem fio


WEP – Wired Equivalency Privacy• Criptografia e autenticação no nível do link

wireless– Ou seja, não provê segurança fim-a-fim– Em outras palavras, só no trecho wireless– Furadíssimo, como veremos adiante

• Não prescinde outros mecanismos “tradicionais” de segurança– Muito pelo contrário, torna-os muito mais necessários,

dado que introduz vários novos riscos


WEP – Serviços• Autenticação: garantir que apenas estações

autorizadas possam ter acesso à rede– Somente pessoas autorizadas podem se conectar na

minha rede?– Confidencialidade: dificultar que um interceptador

casual compreenda o tráfego capturado– Somente as pessoas autorizadas podem ver meus

dados?• Integridade:

– Temos certeza que os dados transitando na rede não foramadulterados?


WEP – Autenticação• Não-criptográfica:

– Modo aberto: SSID nulo– Modo fechado: requer SSID

específico– Trivialmente suscetível a ataque

de replay


Sniffing e SSID


WEP – Autenticação• Criptográfico:

– Desafio-resposta rudimentar para provar que o cliente conhece a chave WEP

– O AP autentica o cliente– O cliente não autentica o AP– Suscetível a vários ataques, inclusive o famoso “man-in-themiddle”


Criptografia do WEP


Criptografia do WEP – RC4• Algoritmo de cifragem proprietário da RSADSI

– Otimizado para implementação rápida em software– Era segredo industrial da RSADSI até ser analisado por

engenharia reversa e postado na rede em 1994.– Implementável de cabeça em pouco mais de um

minuto.– Chave de até 2048 bits– Stream cipher: entrada e saída de 8 bits (1 byte) de

cada vez– Desconfortavelmente simples, mas seguro se usado

com algumas precauções


Críticas a Criptografia do WEP• Gerenciamento de chaves

– Totalmente manual• Chaves raramente são mudadas (quando em absoluto)• Mudar chaves de centenas ou milhares de placas em uma

instalação típica é insano• Tamanho de chaves pequeno

– A maior parte das placas/instalações só suporta 40 bits• Feito, à época, para evitar problemas de exportação• Placas com cripto de 104 bits custam bem mais caro e são

mais raras• Padece de várias fraquezas criptográficas fundamentais


Críticas a Criptografia do WEP• IV de 24 bits é muito pouco

– O padrão WEP não especifica como gerar o IV– Algumas placas o fazem sequencialmente

• Fácil de prever e detectar• E ainda resetam para zero quando o cartão é

reinserido• O IV é repetido a cada 4823 pacotes• O CRC torna trivial descobrir se você acertou o

par (IV, K)


Criptografia: Propriedades• Propriedades do (XOR):⊕

– a a = 0⊕– a 0 = a⊕

• Isso torna perigoso jamais reusar a mesma chave:– c1 = p1 RC4(k,IV) e c2 = p2 RC4(k,IV)⊕ ⊕– c1 c2 = ( p1 RC4(k,IV) ) ( p2 RC4(k,IV) )⊕ ⊕ ⊕ ⊕– = p1 p2 RC4 (k,IV) RC4 (k,IV)⊕ ⊕ ⊕– = p1 p2⊕

• Pacotes IP tem cabeçalhos previsíveis ou fixos que tornam fácil prever ou deduzir p1 p2⊕


Integridade WEP• CRC (Cyclic Redundancy Check) de 32 bits é computado

para cada pacote e anexado ao pacote– CRCs são otimizados para detectar erros de transmissão– São notoriamente inadequados para prover garantias

criptograficamente aceitáveis contra adulteração intencional

• Também burlável:– É viável fazer alterações no texto cifrado e “compensar” o CRC

• Já aconteceu outras vezes, no SSH1 e no PPTP da MS– Deveria ter sido usado um MAC (Message Authentication Code)

com resistencia criptográfica, à base de MD5 ou SHA1


Aps Impostores• Em redes em modo abertas, quem impede um

atacante de instalar seu próprio AP?• Mesmo em redes fechadas, descobrindo-se os

parâmetros e a chave WEP, fica fácil montar ataques man-in-the-middle

• É visível, porém, para alguns softwares de monitoração


Backdoors nos firmwares• Envia-se a string “gstsearch” em um broadcast (!) para a

porta UDP 27155 e o AP responde com:– Senha do administrador– Chave mestra WEP– Filtro de MAC

• Testado como vulnerável: WISECOM GL2422AP-0T• Suspeita-se vulnerável (baseado no mesmo firmware):

– D-Link DWL-900AP+ B1 version 2.1 and 2.2– ALLOY GL-2422AP-S– EUSSO GL2422-AP– LINKSYS WAP11-V2.2

Ataques

Ataques clássicos• Todos os ataques clássicos de TCP/IP se aplicam

normalmente – amplo playground:– ARP spoofing: redirecionar tráfego para o impostor via

falsificação/personificação do endereço MAC– DNS spoofing: redirecionar tráfego para o impostor via adulteração

dos pacotes DNS– Smurf: sobrecarga de broadcasts para negação de

serviço/saturação do canal– DHCP spoofing: servidor DHCP impostor força configuração

imprópria dos clientes• Chaves má escolhidas

– Suscetíveis a ataques clássicos de dicionário– Muitos drivers e/ou admins colocam senhas em ASCII = 7o bit é

sempre zero

Ataques

Man-in-the-middle

Ataques

Chosen-Plaintext Attack

Ataques

Bit Flipping

Ataques

Warchalking• Marcas com giz identificando

locais onde há conectividade wireless e os parâmetros da rede

http://www.blackbeltjones.com/warchalking/index2.html

Ataques

NodeDB.com - Warchalking• Warchalking via web: DB de APs

http://www.nodedb.com/

Ataques

Warchalking.com.br• Agora também em português

https://www.warchalking.com.br/com/index2.htm

Ataques

WorldWideWarDriving.org• Esforço para mapear Aps

http://www.worldwidewardrive.org/

http://www.worldwidewardrive.org/wwwd2/north_america/north_america.html

Defesas

Resposta dos Fabricantes (Wi-Fi)• Aumentar o tamanho da chave WEP Compartilhada

(Agere 152 bits, US Robotics 256 bits) apenas adia a descoberta

• Problemas com performance• Troca dinâmica de chaves (Cisco e Microsoft)• Overhead na transmissão (802.11b)• Falta de Interoperabilidade• Wi-Fi propõe o WPA• IEEE Task Group “I” standard 802.11i

Defesas

WPA – Wi-Fi Protected Access• Novo padrão de autenticação mútua - EAP• TKIP – Temporal Key Integrity Protocol• Michael Message Integrity Check

Defesas

WPA – EAP• Novo padrão de autenticação mútua

– Suplicante, Autenticador, Servidor de Autenticação RADIUS– Atualização de Firmware– Compatibilidade com Hardwares legados

Defesas

WPA – EAP• Procedimentos de Autenticação:

– Um suplicante inicia uma conexão com um autenticador. O autenticador detecta a ocorrência e habilita uma porta para o suplicante. Entretanto, excluindo o trafego definido pelo 802.1X, todos os outros estão bloqueados.

– O autenticador requer a identificação do suplicante.– O suplicante responde com a identificação que é imediatamente

repassada para o servidor de autenticação.– O servidor autentica a identidade do suplicante e envia uma

mensagem do tipo ACCEPT para o autenticador. O autenticador muda o estado da porta para autorizado.

– O suplicante requisita a identificação do servidor. O servidor atende.– O suplicante valida a identificação do servidor e todo trafego é

liberado.

Defesas

WPA – EAP

Defesas

WPA – EAP• EAP – LEAP usuário e senha / Cisco Systems• EAP – TLS (RFC2716) utiliza certificados digitais X.509• EAP – TTLS like EAP – TLS; suplicate utiliza senha

para se autenticar / Funk Software• EAP – PEAP evolução do EAP• Pre – Shared Key like WEP; manter compatibilidade

Defesas

WPA – TKIP Temporal Key Integrity Protocol• Chave Compartilhada de 128 bits• Um IV de 48 bits• MAC Address

• Mantém o RC4 Compatibilidade• Trocas de chave a cada 10.000 pacotes

Defesas

WPA – Michael Message Integrity Check• Substitui o CRC• MIC (Message) - Redundância de 64 bits calculada com o

algoritmo “Michel”• Verifica erros na transmissão• Detecta manipulação deliberada

Defesas

WPA – Conclusão• Resolve diversos problemas conhecidos do WEP:

– Autenticação Mútua– TKIP– Michael Message Integrity Check

• Entretando, WPA ainda não é a solução definitiva:– Criptografia Fraca– WPA2 substituição do RC4 pelo AES.– Queda de Performance

Defesas

802.11i• Resolve problemas conhecidos do WPA:

– Novo Padrão IEEE – Draft 3– Poucos hardwares compatíveis– Autenticação Mútua – EAP – Mantém TKIP Compatibilidade– Introduz o CCMP (Counter Mode with Cipher Block Chaning

Message Authentication Code Protocol) AES – Necessidade de uso de co-processadores criptográficos devido a

utilização do algoritmo AES.– Novos Protocolos

• RSN (Substituo padronizado do WEP) – Robust Security Network (EAP, CCMP, Michael)

• WRAP – Wireless Robust Authentication Protocol– Suporta Roaming

Defesas

Procedimentos

Defesas

Procedimentos• Segmentação e contenção usando firewalls• Configuração minuciosa dos Aps• Blindagem e firewalling dos clientes• Monitoração• VPNs (Redes Virtuais Privadas)• Blindagem do Aps• Controle o serviço IP

Defesas

Firewalls• Elimina o bridging

– Contém os broadcasts– Só permite tráfego IP

• Objetivo primário– Defender a rede cabeada “Infrastructure Network”

• Firewalling avançado– Controle de banda/QoS– Autenticação dinâmica– Bridge firewalling

Defesas

Configuração minuciosa dos APs• Permite gerenciamento e oferecimento de

serviços mais granular– Firewalling, DHCP, VPN, etc.

• OpenBSD e Linuxes fazem bons APs• Possivelmente não provê alguns recursos

avançados de alguns APs– Roaming, etc.

Defesas

“Blindagem” das estações• Firewalls em cada nó móvel• Objetivo primário

– Defender os nós móveis uns dos outros• Trabalhoso de manter

– Requer procedimentos operacionais rígidos e sempre atualizados.

Defesas

Monitoração: ARP Watch• Sniffer especializado em pacotes ARP

– Reporta mudanças nos MACs <-> IPs via e-mail adm.

Defesas

VPN – Vitual Private Network• Encapsulamento IP-IP com criptografia

– IPSec em modo túnel:• IPSec nativo no OpenBSD, Free S/WAN no Linux

– Outras soluções de VPN: PPTP, vtun em vários Unixes, L2TP– Integração com o firewall no cliente e/ou desktop policies– Requerem infra-estruturas de gerenciamento de chaves

• Requer Certificados digitais, shared secrets, etc.– Potencialmente introduz criptografia forte nas camadas IP e acima

• Não protege ARP e outros protocolos layer 2– Alguns probleminhas sempre aparecem

• Timeout na primeira conexão por causa de negociação de chaves

Defesas

Blindagens de APs• Troque todas as configurações de fábrica e mantenhanas• assim

– Troque as senhas padrão e os nomes das comunidades SNMP

• De preferência, troque-as frequentemente• Se você não usa SNMP, desabilite-o

– Mude os SSIDs– Mude o canal padrão

• Controle a função de reset do AP– Evitar volta às configurações padrão de fábrica

Defesas

Blindagens de APs• Procure usar as versões do firmware mais recentes

– Mas no modelo de código fechado, não há garantias de que não haja backdoors

• Use criptografia WEP– Ela não resolve, mas dificulta, ainda que por poucas horas

• Use MAC-filtering/ACLs onde apropriado– Também não resolve, mas ajuda– Pode se tornar um fardo maior que um benefício se as ACLs

ficarem grande

• Gerencie– Reinventarie e audite a base instalada regularmente

Defesas

Controle o serviço IP• DHCP

– Restrito por MAC: mesmo overhead de gerenciamento por não escalar para um grande número de estações

– DHCP Honeypots/Visitor service: serviço diferenciado para “visitantes” e “internos”

• “Se não pode vencê-los, junte-se a eles”... ou melhor, deixe que se juntem a você, mas de forma limitada e controlada

• Monitoraçao/QoS diferenciado imposto para os visitantes• Arpwatches em todo lugar• Links redundantes e roteamento dinâmico

– Resistência a ataques a quedas naturais e ataques de negação de serviço

Conclusão

Redes 802.11• A tecnologia 802.11 é prática, cômoda, “cool”, mas seus

recursos de segurançã são mal projetados em vários aspectos, expondo inaceitavelmente o trafego.

• Como sempre, sobra para o administrador de rede combinar múltiplas tecnologias para prover segurança em profundidade– Segurança não é plug-and-play– Intelectualmente oneroso– Fatores culturais e a atitude de segurança

• • Há várias tecnologias e estratégias bem estabelecidas que podem ser aplicadas para mitigar as vulnerabilidades introduzidas pelas redes wireless

Conclusão

Redes 802.11• O WPA é melhor que WEP mas ainda usa o RC4• O 802.11i é um padrão que surge como solução,

mas demanda desenvolvimento de novos hardwares

• Enquanto aguardamos, devemos desenvolver soluções compostas:– WEP com trocas de chaves, se possível– VPN– Monitoração (ARP Watch)

Fim

Roberto Miyano [email protected]

Obrigado!

mailto:[email protected]

A Evolução dos Mecanismos de Segurança para Redes sem fio 802.11.

Documents

Transcript of A Evolução dos Mecanismos de Segurança para Redes sem fio 802.11.