Congresso Wi-Fi Desenvolvimentos Tecnológicos e Implementações de QOS e Protocolos de Segurança...

31
Congresso Wi-Fi Desenvolvimentos Tecnológicos e Implementações de QOS e Protocolos de Segurança em Redes Wi-Fi André Docena Corrêa Lucinski [email protected] .br andre.correa@pobox

Transcript of Congresso Wi-Fi Desenvolvimentos Tecnológicos e Implementações de QOS e Protocolos de Segurança...

Page 1: Congresso Wi-Fi Desenvolvimentos Tecnológicos e Implementações de QOS e Protocolos de Segurança em Redes Wi-Fi André Docena Corrêa Lucinski andre@lucinski.com.br.

Congresso Wi-Fi

Desenvolvimentos Tecnológicos e Implementações de QOS e Protocolos de Segurança em Redes Wi-Fi

André Docena CorrêaLucinski

[email protected]@pobox.com

Page 2: Congresso Wi-Fi Desenvolvimentos Tecnológicos e Implementações de QOS e Protocolos de Segurança em Redes Wi-Fi André Docena Corrêa Lucinski andre@lucinski.com.br.

Agenda

802.11 – Padrões / Grupos de Trabalho

802.11e - QOS

WEP / WEP 2

802.1x

Riscos associadoas a utilização de redes Wi-Fi e medidas de Segurança

Q&A

Page 3: Congresso Wi-Fi Desenvolvimentos Tecnológicos e Implementações de QOS e Protocolos de Segurança em Redes Wi-Fi André Docena Corrêa Lucinski andre@lucinski.com.br.

802.11 – Padrões e Grupos de Trabalho

802.11a - 5GHz UNIIOFDM (Ortogonal Frequency Division

Multiplexing)6 to 54Mbps

802.11b - 2.4GHzCCK (Complementary Code Keying)1 to 11Mbps

Page 4: Congresso Wi-Fi Desenvolvimentos Tecnológicos e Implementações de QOS e Protocolos de Segurança em Redes Wi-Fi André Docena Corrêa Lucinski andre@lucinski.com.br.

802.11 – Padrões e Grupos de Trabalho

802.11gHigher Rate Extensions na banda de

2.4GHzAumento da velocidade em relação a

802.11b - até 54MbpsOFDM (Frequency Division Multiplexing)RTS / CTSCompatível com 802.11b

Page 5: Congresso Wi-Fi Desenvolvimentos Tecnológicos e Implementações de QOS e Protocolos de Segurança em Redes Wi-Fi André Docena Corrêa Lucinski andre@lucinski.com.br.

802.11 – Padrões e Grupos de Trabalho

802.11c - Bridge Operation Procedures

802.11d - Global HarmonizationRegulamentação: U.S., Europa e Japão

802.11e - MAC Enhancements for QoSQOS focado em aplicações multimídiaCompatível com qualquer 802.11 PHYs

Page 6: Congresso Wi-Fi Desenvolvimentos Tecnológicos e Implementações de QOS e Protocolos de Segurança em Redes Wi-Fi André Docena Corrêa Lucinski andre@lucinski.com.br.

802.11 – Padrões e Grupos de Trabalho

802.11f - Inter Access Point Protocol (IAPP) Roaming entre Access Points APs de fabricantes diferentes podem não operar em

conjunto

802.11h - Spectrum Managed 802.11a Seleção dinâmica de canais (Europa)

802.11i - MAC Enhancements for Enhanced Security Resolução de problemas relativos ao WEP Incorpora o 802.1x e técnicas avançadas de

criptografia

Page 7: Congresso Wi-Fi Desenvolvimentos Tecnológicos e Implementações de QOS e Protocolos de Segurança em Redes Wi-Fi André Docena Corrêa Lucinski andre@lucinski.com.br.

802.11e

QOS (Quality of Service) em 802.11

Trabalha na camada MAC

Desejável para aplicações multimídia

Cooperação com IEEE 1394

Aplicável e compatível com 802.11a, 802.11b e 802.11g (PHY)

Page 8: Congresso Wi-Fi Desenvolvimentos Tecnológicos e Implementações de QOS e Protocolos de Segurança em Redes Wi-Fi André Docena Corrêa Lucinski andre@lucinski.com.br.

802.11e

Soluções que funcionam em redes cabeadas podem não funcionar em redes wireless pelos seguintes motivos:Taxa de erro pode chegar de 10 a 20%Taxa de transmissão varia de acordo com

as condições do canal utilizado Impossível determinar a banda exata que

pode ser utilizada devido a sua variação

Page 9: Congresso Wi-Fi Desenvolvimentos Tecnológicos e Implementações de QOS e Protocolos de Segurança em Redes Wi-Fi André Docena Corrêa Lucinski andre@lucinski.com.br.

802.11e

Ë comum definir como constante o tráfego multimídia, mas ele se torna “bursty” em situações onde existe elevada taxa de erro.

Protocolos da camada MAC somente podem cuidar da priorização do tráfego, não da reserva de banda

Page 10: Congresso Wi-Fi Desenvolvimentos Tecnológicos e Implementações de QOS e Protocolos de Segurança em Redes Wi-Fi André Docena Corrêa Lucinski andre@lucinski.com.br.

802.11e

Reserva de banda Redes IP geralmente utilizam RSVP Muitas aplicações não utilizam esse protocol RSVP está sendo descontinuado por alguns

fabricantes (Exemplo: MS Windows XP)802.11e deve suportar 802.1p (priority marking)802.11e não deve assumir a utilização de RSVP mas deve se beneficiar caso este esteja disponível

Page 11: Congresso Wi-Fi Desenvolvimentos Tecnológicos e Implementações de QOS e Protocolos de Segurança em Redes Wi-Fi André Docena Corrêa Lucinski andre@lucinski.com.br.

802.11e - Draft

Focado em duas aplicações Audio/vídeo – deve suportar: até 3 canais

simultâneos MPEG-2 em DVD rate; ou um canal MPEG-2 em HDTV rate, em redes 802.11a

QOS para redes corporativas, provendo priorização de tráfego e integração com a infra-estrutura de gerenciamento existente

Backwards compatible com Clientes/APs que não utilizem 802.11eAtua também sobre o tráfego entre Clientes

Page 12: Congresso Wi-Fi Desenvolvimentos Tecnológicos e Implementações de QOS e Protocolos de Segurança em Redes Wi-Fi André Docena Corrêa Lucinski andre@lucinski.com.br.

802.11e

Tentativas anteriores para WLAN QOSHiperlan 1 (1996): frágil na presença de

erros e clientes “hidden”Hiperlan 2: frágil em situações com bursts

de tráfego. Implementação complexaHomeRF: ineficiente para tráfego de vídeo;

problemas com a camada PHY

Page 13: Congresso Wi-Fi Desenvolvimentos Tecnológicos e Implementações de QOS e Protocolos de Segurança em Redes Wi-Fi André Docena Corrêa Lucinski andre@lucinski.com.br.

802.11e - HCF

Tráfegos diferentes necessitam de soluções diferentes para QOS

802.11e apresenta o conceito: “Hybrid Coordination Function”

802.11e – HCF utiliza funcionalidades das tecnologias CSMA/CA e PCF (Point Coordination Function)

Page 14: Congresso Wi-Fi Desenvolvimentos Tecnológicos e Implementações de QOS e Protocolos de Segurança em Redes Wi-Fi André Docena Corrêa Lucinski andre@lucinski.com.br.

802.11e - HCF

CSMA/CA (DCF) (Scheduling) Eficiência e baixa latência para tráfego com burst Controle de acesso ao canal por pacote, não utilizando

otimização por previsão de tráfego

PCF (Reservation) Controle de acesso ao canal por “stream” Eficiência na previsão de tráfego

802.11e Utiliza uma combinação das duas tecnologias Eficiente acesso ao canal para tráfego previsível Eficiente para tráfego com bursts e retransmissões

Page 15: Congresso Wi-Fi Desenvolvimentos Tecnológicos e Implementações de QOS e Protocolos de Segurança em Redes Wi-Fi André Docena Corrêa Lucinski andre@lucinski.com.br.

802.11e

802.11e está baseado em mais de uma década de experiência em protocolos WLAN

802.11e foi desenvolvido com foco nas condições reais de utilização de redes wireless. Robusto em condições adversas

Backwards compatible com Clientes e APs 802.11

Page 16: Congresso Wi-Fi Desenvolvimentos Tecnológicos e Implementações de QOS e Protocolos de Segurança em Redes Wi-Fi André Docena Corrêa Lucinski andre@lucinski.com.br.

WEP

WEP (Wired Equivalent Privacy): Opcional para 802.11 - MAC LayerBusca resolver os seguintes problemas: Impedir que intrusos consigam ler os

dados transmitidos Impedir que intrusos consigam modificar

dados transmitidos Impedir que intrusos tenham acesso a

rede wireless

Page 17: Congresso Wi-Fi Desenvolvimentos Tecnológicos e Implementações de QOS e Protocolos de Segurança em Redes Wi-Fi André Docena Corrêa Lucinski andre@lucinski.com.br.

WEP

Como funciona o WEP Shared Secret (WEP Key) – 40/104 bits Criptografia RC4 stream cipher (simétrica) do

payload dos pacotes 802.11 (corpo + CRC) Seed = Shared Secret + Randon 24 bit (IV) IV muda para cada pacote (sequêncial ou

randômico dependendo da implementação) IV é enviado em clear text no cabeçalho do

pacote 802.11

Page 18: Congresso Wi-Fi Desenvolvimentos Tecnológicos e Implementações de QOS e Protocolos de Segurança em Redes Wi-Fi André Docena Corrêa Lucinski andre@lucinski.com.br.

WEP

O que está errado com o WEPShared Key estáticaNão possui necamismo de distribuição ou

renovação de chaves de criptografia IV relativamente pequeno (24 bits) IV sequêncial em diversas implementações

Page 19: Congresso Wi-Fi Desenvolvimentos Tecnológicos e Implementações de QOS e Protocolos de Segurança em Redes Wi-Fi André Docena Corrêa Lucinski andre@lucinski.com.br.

WEP

Page 20: Congresso Wi-Fi Desenvolvimentos Tecnológicos e Implementações de QOS e Protocolos de Segurança em Redes Wi-Fi André Docena Corrêa Lucinski andre@lucinski.com.br.

WEP2

Definições compatível com WEP Força chaves de 128 bits Suporte a Kerberos V

Problemas Permite a reutilização do IV Não possui autenticação mútua Suporte a Kerberos V permite dictionary attacks Possível DOS pois autenticação/desautenticação

não são seguras

Page 21: Congresso Wi-Fi Desenvolvimentos Tecnológicos e Implementações de QOS e Protocolos de Segurança em Redes Wi-Fi André Docena Corrêa Lucinski andre@lucinski.com.br.

802.1x

Controle de acessoAutenticação mútuaUtilização de Servidor de Autenticação centralizada (RADIUS)Distribuição dinâmica de chaves de criptografiaEAP (Extensible Authentication Protocol – RFC2284) permitindo a utilização de diversos métodos de autenticação: Token Cards, Kerberos, one-time passwords, certificados digitais e PKI

Page 22: Congresso Wi-Fi Desenvolvimentos Tecnológicos e Implementações de QOS e Protocolos de Segurança em Redes Wi-Fi André Docena Corrêa Lucinski andre@lucinski.com.br.

802.1x

Componentes:Supplicant (Cliente)Autenticador (AP)Servidor de Autenticação (RADIUS)

Possíveis ataques demonstrados:Session Hijacking Man-in-the-middle

Page 23: Congresso Wi-Fi Desenvolvimentos Tecnológicos e Implementações de QOS e Protocolos de Segurança em Redes Wi-Fi André Docena Corrêa Lucinski andre@lucinski.com.br.

802.1x1. Cliente envia pedido de autenticação ao AP2. AP responde pedindo a identificação do Cliente3. Cliente envia sua identificação que é redirecionada pelo AP

ao servidor de autenticação4. Servidor de autenticação verifica a identidade do Cliente e

envia uma mensagem de aceitação/negação ao AP5. Se a identificação for aceita o AP libera o tráfego do Cliente

Page 24: Congresso Wi-Fi Desenvolvimentos Tecnológicos e Implementações de QOS e Protocolos de Segurança em Redes Wi-Fi André Docena Corrêa Lucinski andre@lucinski.com.br.

802.1x - EAP

EAP – TLS Autenticação mútua baseada em certificados Chaves de criptografia são geradas

EAP – TTLS Cliente não necessita de certificado digital,

mas pode ser autenticado utilizando senhas Servidor de autenticação utiliza certificado

digital Chaves de criptografia são geradas

Page 25: Congresso Wi-Fi Desenvolvimentos Tecnológicos e Implementações de QOS e Protocolos de Segurança em Redes Wi-Fi André Docena Corrêa Lucinski andre@lucinski.com.br.

802.1x - EAP

EAP – SRP Cliente e servidor de autenticação são

autenticados utilizando senhas Chaves de criptografia são geradas

EAP – MD5 Cliente é autenticado através de senha Servidor de autenticação não é autenticado Não são geradas chaves de criptografia

Page 26: Congresso Wi-Fi Desenvolvimentos Tecnológicos e Implementações de QOS e Protocolos de Segurança em Redes Wi-Fi André Docena Corrêa Lucinski andre@lucinski.com.br.

Riscos associados

Perda de confiança dos clientes

Perda de confiança dos acionistas e investidores

Danos a marca

Diminuição dos lucros

Implicações legais

Page 27: Congresso Wi-Fi Desenvolvimentos Tecnológicos e Implementações de QOS e Protocolos de Segurança em Redes Wi-Fi André Docena Corrêa Lucinski andre@lucinski.com.br.

Medidas de Segurança

Habilite WEP como nível mínimo de segurança Utilize chaves de 128 bits Altere a chave WEP frequêntemente Não assuma que o WEP é seguro

Se possível utilize 802.1x

Se possível desabilite broadcast de SSID

Altere o SSID e a senha default dos APs

Page 28: Congresso Wi-Fi Desenvolvimentos Tecnológicos e Implementações de QOS e Protocolos de Segurança em Redes Wi-Fi André Docena Corrêa Lucinski andre@lucinski.com.br.

Medidas de Segurança

Altere os nomes e senhas das comunities SNMP dos APsTrate sua rede wireless como uma rede públicaUtilize filtros por MAC addressColoque sua rede wireless em uma DMZ e de forma isoladaDesabilite compartilhamento de arquivos em clientes wireless

Page 29: Congresso Wi-Fi Desenvolvimentos Tecnológicos e Implementações de QOS e Protocolos de Segurança em Redes Wi-Fi André Docena Corrêa Lucinski andre@lucinski.com.br.

Medidas de Segurança

Se usuários wireless tiverem de utilizar serviços em sua rede local, utilize outros algorítimos de autenticação e criptografia, como por exemplo: VPN, IPSec, SSHPromova regularmente "Access Point Discovery“Utilize IDS na rede wireless

Page 30: Congresso Wi-Fi Desenvolvimentos Tecnológicos e Implementações de QOS e Protocolos de Segurança em Redes Wi-Fi André Docena Corrêa Lucinski andre@lucinski.com.br.

Q&A

Page 31: Congresso Wi-Fi Desenvolvimentos Tecnológicos e Implementações de QOS e Protocolos de Segurança em Redes Wi-Fi André Docena Corrêa Lucinski andre@lucinski.com.br.

Referências

IEEE 802.11 Work Groups

SAMS Reading Room

Cisco

802.11 Planet

Intel

ISS

CWNP

IBM