Congresso Wi-Fi

download Congresso Wi-Fi

of 31

  • date post

    23-Jan-2016
  • Category

    Documents

  • view

    25
  • download

    0

Embed Size (px)

description

Congresso Wi-Fi. Desenvolvimentos Tecnológicos e Implementações de QOS e Protocolos de Segurança em Redes Wi-Fi. André Docena Corrêa Lucinski andre@lucinski.com.br andre.correa@pobox.com. Agenda. 802.11 – Padrões / Grupos de Trabalho 802.11e - QOS WEP / WEP 2 802.1x - PowerPoint PPT Presentation

Transcript of Congresso Wi-Fi

  • Congresso Wi-Fi Desenvolvimentos Tecnolgicos e Implementaes de QOS e Protocolos de Segurana em Redes Wi-FiAndr Docena CorraLucinskiandre@lucinski.com.brandre.correa@pobox.com

  • Agenda802.11 Padres / Grupos de Trabalho802.11e - QOSWEP / WEP 2802.1xRiscos associadoas a utilizao de redes Wi-Fi e medidas de SeguranaQ&A

  • 802.11 Padres e Grupos de Trabalho802.11a - 5GHz UNIIOFDM (Ortogonal Frequency Division Multiplexing)6 to 54Mbps802.11b - 2.4GHzCCK (Complementary Code Keying)1 to 11Mbps

  • 802.11 Padres e Grupos de Trabalho802.11gHigher Rate Extensions na banda de 2.4GHzAumento da velocidade em relao a 802.11b - at 54MbpsOFDM (Frequency Division Multiplexing)RTS / CTSCompatvel com 802.11b

  • 802.11 Padres e Grupos de Trabalho802.11c - Bridge Operation Procedures802.11d - Global HarmonizationRegulamentao: U.S., Europa e Japo802.11e - MAC Enhancements for QoSQOS focado em aplicaes multimdiaCompatvel com qualquer 802.11 PHYs

  • 802.11 Padres e Grupos de Trabalho802.11f - Inter Access Point Protocol (IAPP)Roaming entre Access PointsAPs de fabricantes diferentes podem no operar em conjunto802.11h - Spectrum Managed 802.11aSeleo dinmica de canais (Europa)802.11i - MAC Enhancements for Enhanced SecurityResoluo de problemas relativos ao WEPIncorpora o 802.1x e tcnicas avanadas de criptografia

  • 802.11eQOS (Quality of Service) em 802.11Trabalha na camada MACDesejvel para aplicaes multimdiaCooperao com IEEE 1394Aplicvel e compatvel com 802.11a, 802.11b e 802.11g (PHY)

  • 802.11eSolues que funcionam em redes cabeadas podem no funcionar em redes wireless pelos seguintes motivos:Taxa de erro pode chegar de 10 a 20%Taxa de transmisso varia de acordo com as condies do canal utilizadoImpossvel determinar a banda exata que pode ser utilizada devido a sua variao

  • 802.11e comum definir como constante o trfego multimdia, mas ele se torna bursty em situaes onde existe elevada taxa de erro.Protocolos da camada MAC somente podem cuidar da priorizao do trfego, no da reserva de banda

  • 802.11eReserva de bandaRedes IP geralmente utilizam RSVPMuitas aplicaes no utilizam esse protocolRSVP est sendo descontinuado por alguns fabricantes (Exemplo: MS Windows XP)802.11e deve suportar 802.1p (priority marking)802.11e no deve assumir a utilizao de RSVP mas deve se beneficiar caso este esteja disponvel

  • 802.11e - DraftFocado em duas aplicaesAudio/vdeo deve suportar: at 3 canais simultneos MPEG-2 em DVD rate; ou um canal MPEG-2 em HDTV rate, em redes 802.11aQOS para redes corporativas, provendo priorizao de trfego e integrao com a infra-estrutura de gerenciamento existenteBackwards compatible com Clientes/APs que no utilizem 802.11eAtua tambm sobre o trfego entre Clientes

  • 802.11eTentativas anteriores para WLAN QOSHiperlan 1 (1996): frgil na presena de erros e clientes hiddenHiperlan 2: frgil em situaes com bursts de trfego. Implementao complexaHomeRF: ineficiente para trfego de vdeo; problemas com a camada PHY

  • 802.11e - HCFTrfegos diferentes necessitam de solues diferentes para QOS802.11e apresenta o conceito: Hybrid Coordination Function802.11e HCF utiliza funcionalidades das tecnologias CSMA/CA e PCF (Point Coordination Function)

  • 802.11e - HCFCSMA/CA (DCF) (Scheduling)Eficincia e baixa latncia para trfego com burstControle de acesso ao canal por pacote, no utilizando otimizao por previso de trfegoPCF (Reservation)Controle de acesso ao canal por streamEficincia na previso de trfego802.11eUtiliza uma combinao das duas tecnologiasEficiente acesso ao canal para trfego previsvelEficiente para trfego com bursts e retransmisses

  • 802.11e802.11e est baseado em mais de uma dcada de experincia em protocolos WLAN802.11e foi desenvolvido com foco nas condies reais de utilizao de redes wireless. Robusto em condies adversasBackwards compatible com Clientes e APs 802.11

  • WEPWEP (Wired Equivalent Privacy): Opcional para 802.11 - MAC LayerBusca resolver os seguintes problemas:Impedir que intrusos consigam ler os dados transmitidosImpedir que intrusos consigam modificar dados transmitidosImpedir que intrusos tenham acesso a rede wireless

  • WEPComo funciona o WEPShared Secret (WEP Key) 40/104 bitsCriptografia RC4 stream cipher (simtrica) do payload dos pacotes 802.11 (corpo + CRC)Seed = Shared Secret + Randon 24 bit (IV)IV muda para cada pacote (sequncial ou randmico dependendo da implementao)IV enviado em clear text no cabealho do pacote 802.11

  • WEPO que est errado com o WEPShared Key estticaNo possui necamismo de distribuio ou renovao de chaves de criptografiaIV relativamente pequeno (24 bits)IV sequncial em diversas implementaes

  • WEP

  • WEP2Definiescompatvel com WEPFora chaves de 128 bitsSuporte a Kerberos VProblemasPermite a reutilizao do IVNo possui autenticao mtuaSuporte a Kerberos V permite dictionary attacksPossvel DOS pois autenticao/desautenticao no so seguras

  • 802.1xControle de acessoAutenticao mtuaUtilizao de Servidor de Autenticao centralizada (RADIUS)Distribuio dinmica de chaves de criptografiaEAP (Extensible Authentication Protocol RFC2284) permitindo a utilizao de diversos mtodos de autenticao: Token Cards, Kerberos, one-time passwords, certificados digitais e PKI

  • 802.1xComponentes:Supplicant (Cliente)Autenticador (AP)Servidor de Autenticao (RADIUS)Possveis ataques demonstrados:Session Hijacking Man-in-the-middle

  • 802.1xCliente envia pedido de autenticao ao APAP responde pedindo a identificao do ClienteCliente envia sua identificao que redirecionada pelo AP ao servidor de autenticaoServidor de autenticao verifica a identidade do Cliente e envia uma mensagem de aceitao/negao ao APSe a identificao for aceita o AP libera o trfego do Cliente

  • 802.1x - EAPEAP TLSAutenticao mtua baseada em certificadosChaves de criptografia so geradasEAP TTLSCliente no necessita de certificado digital, mas pode ser autenticado utilizando senhasServidor de autenticao utiliza certificado digitalChaves de criptografia so geradas

  • 802.1x - EAPEAP SRPCliente e servidor de autenticao so autenticados utilizando senhasChaves de criptografia so geradasEAP MD5Cliente autenticado atravs de senhaServidor de autenticao no autenticadoNo so geradas chaves de criptografia

  • Riscos associadosPerda de confiana dos clientesPerda de confiana dos acionistas e investidoresDanos a marcaDiminuio dos lucrosImplicaes legais

  • Medidas de SeguranaHabilite WEP como nvel mnimo de seguranaUtilize chaves de 128 bitsAltere a chave WEP frequntementeNo assuma que o WEP seguroSe possvel utilize 802.1xSe possvel desabilite broadcast de SSIDAltere o SSID e a senha default dos APs

  • Medidas de SeguranaAltere os nomes e senhas das comunities SNMP dos APsTrate sua rede wireless como uma rede pblicaUtilize filtros por MAC addressColoque sua rede wireless em uma DMZ e de forma isoladaDesabilite compartilhamento de arquivos em clientes wireless

  • Medidas de SeguranaSe usurios wireless tiverem de utilizar servios em sua rede local, utilize outros algortimos de autenticao e criptografia, como por exemplo: VPN, IPSec, SSHPromova regularmente "Access Point DiscoveryUtilize IDS na rede wireless

  • Q&A

  • RefernciasIEEE 802.11 Work GroupsSAMS Reading RoomCisco802.11 PlanetIntelISSCWNPIBM