1

IMPLEMENTAÇÃO DE UMA WLAN NO IFMT CAMPUS BELA VISTA COM

CRIPTOGRAFIA IEEE 802.11W HABILITADA

Resumo

Redes sem fio 802.11 estão em crescimento no mundo todo, as redes cabeadas convencionais

possuem um forte mecanismo que as torna seguras comparadas as WLAN. A propagação de

sinais de rádio facilita o acesso as redes sem fio e aumenta a necessidade de utilização de um

mecanismo de segurança. Atualmente existem diversas métodos de criptografia que são

empregadas para aumentar o nível de segurança nas redes. O padrão WEP apresenta

fragilidades e grandes riscos de acesso de agentes maliciosos. O WPA foi sua atualização

provisória enquanto uma alternativa concreta estava em desenvolvimento. Assim como a

WEP não obteve resultados expressivos, posteriormente surgiu o padrão IEEE 802.11i como

atualização definitiva e proposta de resolução aos graves problemas relacionados às redes sem

fio. Melhorias significativas são observadas, no entanto os complementos criptográficos não

contemplam a sub-camada MAC que protege a rede contra ataque do tipo DoS, fazendo com

que a disponibilidade da rede seja ameaçada. Diversos trabalhos tem demonstrado a

ineficiência do 802.11i quando implementados como padrão único de segurança. O padrão

IEEE 802.11w protege os erros na segurança dos quadros de gestão existentes em IEEE

802.11i. A WLAN do Instituto Federal de Educação Ciência e Tecnologia – Campus Bela

vista, necessita de um padrão de segurança eficiente já que o Instituto frequentemente sedia

seminários, congressos ou eventos que demandam grande quantidade de usuários para acesso

a internet. A associação dos padrões 802.11i e 802.11w fornece uma proteção aos quadros de

dados e gerenciamento, desde modo foi proposto uma implementação de uma rede

abrangendo essas características. A topologia consiste em dois APs modelo Mikrotik RB433

com antenas direcionais de 90°, um servidor RADIUS para autenticação na rede, integrado ao

AD presente na organização, gerando um ambiente aberto a comunidade acadêmica, aos

técnicos administrativos, professores e visitantes. Este trabalho descreve o processo de

configuração e implementação e da uma rede acadêmica baseada na utilização dos padrões

IEEE 802.11i e IEEE 802.11w.

Palavras-chave: Segurança. WLAN. 802.11i. 802.11w. Criptografia

2

Introdução

Um aumento expressivo e contínuo na utilização das redes sem-fio vem ocorrendo no

mundo, especialmente as redes baseadas nos padrões IEEE 802.11 (IEEE 802.11, 1999). Este

crescimento deve-se a fatores como facilidade de implementação e baixo custo nos

dispositivos compatíveis. Diferente das redes cabeadas convencionais, uma rede sem fio pode

ser facilmente identificada já que a transmissão é realizada pela propagação de ondas de rádio

e pode ser acessível por qualquer pessoa que possua um equipamento compatível e esteja

dentro da área de cobertura da WLAN (Wireless Local Area Network). Devido ao meio físico

utilizado estas redes apresentam pouca segurança na transmissão dos dados comparados as

redes cabeadas. O perímetro de acesso a rede gerados pelo AP (Access Point) pode ultrapassar

o limite físicos de uma instituição, empresa ou universidade facilitando o acesso indevido sem

necessidade de estar fisicamente presente no estabelecimento. Tendo em vista a popularização

das WLAN é necessário que essas redes possuam um forte mecanismo de segurança.

Inicialmente foi desenvolvido pela IEEE (Institute of Electrical and Eletronic

Engineers) a padrão 802.11 WEP (Wired Equivalent Privacy) com objetivo de tornar a

utilização das redes sem fio mais seguras. É utilizado o método de chave compartilhada

simétrica com o uso do algoritmo RC4 (RIVEST, 1992) e uma chave secreta de 40 a 104 bits,

compartilhados entre clientes da WLAN e os APs. Um vetor de inicialização (Initialization

Vector) de 24 bits é anexado ao quadro WEP e assim formado uma chave de 64 bits. Este

mecanismo apresentou graves falhas afetando os parâmetros como disponibilidade,

autenticidade e integridade dos dados trafegados na rede. Em resposta a estas falhas, o método

criptográfico WPA (Wifi Protected Access) foi desenvolvido para utilização temporária até a

criação de um método substituto eficiente. O padrão WPA assim como WEP faz uso do

algoritmo RC4, acrescidos de um subconjunto de especificações, vetor de inicialização de 48

bits, hierarquia de chaves com Pairwise Master Key (PMK), autenticador WPA-PSK (Pre

Shared Key) (RFC 4764) ou EAP (Extensible Authentication Protocol) (RFC 2284) que

permite acesso através de um servidor de autenticação, frequentemente o RADIUS (RFC

2865).

Por fim surgiu o método 802.11i (IEEE Standard 802.11i, 2004), que consiste na

atualização do WEP. Seu conjunto de protocolos trouxe melhorias significativas. A

autenticação ocorre com utilização da chave pública utilizando uma chave mestra (Master

Key) que é compartilhada entre autenticador e o cliente e em seguida gerada uma segunda

3

chave, a chave mestra pareada (Pairwise Master Key), além destas existe também a chave

temporal (Temporal Key) que reforça a segurança implementada na camada de enlace.

As diversas atualizações nos mecanismos de segurança e seus algoritmos resultaram,

portanto, em uma WLAN com uma segurança reforçada verificada principalmente no padrão

IEEE 802.11i. Entretanto, a maioria das correções obtidas são aplicadas aos quadros de dados

da sub-camada MAC, mantendo vulnerável as camadas de gerenciamento e controle. De

modo a corrigir a falta de segurança nos quadros de gerenciamento, foi desenvolvido o padrão

IEEE 802.11w (IEEE Standard 802.11w 2009) que corrige as falhas nos quadros e impede

ataques do tipo dauthentication na WLAN, garantindo que a rede esteja segura contra

incidentes que geram indisponibilidade Bellardo (2003) impossibilitando o cliente de realizar

acesso a rede.

A WLAN presente no Instituto Federal de Educação Ciência e Tecnologia de Mato

Grosso - Campus Bela Vista é utilizado por técnicos administrativos, alunos, professores e

visitantes. Frequentemente o campus é sede de encontros, jornadas científicas, seminários ou

eventos reunindo grande quantidade de pessoas que necessitam da utilização da rede sem fio

para acesso a internet. Desde modo é possível identificar a necessidade de uma rede que

ofereça segurança baseada nos parâmetros da segurança da informação: disponibilidade,

integridade, autenticidade e confiabilidade.

Este trabalho consiste na apresentação dos resultados provisórios obtidos durante a

implementação de uma rede sem fio baseada nos padrões IEEE 802.11w e IEEE 802.11i.

Espera-se que com a proteção dos quadros de gestão, a WLAN do Instituto Federal de

Educação Ciência - Campus Bela Vista, possa oferecer segurança contra ataques que afetem a

disponibilidade da rede.

4

Fundamentação Teórica

Diversos trabalhos ao longo dos anos relacionam WLANs a falhas de segurança

Linhares (2008), Pastore (2008), Silva (2009), Mendes (2011), demonstram que o risco de

incidentes envolvendo redes sem fio sempre estiveram em evidência, e que existe a

necessidade da implementação de uma rede que faça proteção tanto dos dados, quanto de

gerenciamento da subcamada MAC.

Changhua He e John C Mitchell (2005) comentam sobre a insegurança característica em

WLANs e facilidade do atacante forjar um ataque DoS (Denial of Service) enviando

repetidamente quadros de dehautentication até mesmo com proteção 802.11i habilitada.

Willer (2013) gerou uma base de dados com associação da criptografia WEP , WPA e

802.11i para auxílio de treinamento de IDS (Intrusion Detection System) contra ataques de

negação de serviço. Foi notada a necessidade de desenvolver uma infraestrutura para geração

de uma nova base de dados para treinamento de IDS com uma criptografia que possa oferecer

segurança nas subcamadas de gerenciamento.

5

Metodologia

A fase inicial foi à definição de equipamentos para o levantamento de estrutura. Optou-

se pela utilização de equipamentos já existentes e disponível no campus, assim, foram

empregados os APs da marca Mikrotic RB433, apresentado na Figura 1, juntamente com

antenas direcionais de 90°, posicionados em locais que acontecem aglomeração de pessoas, e

que também possuem visada direta entre os equipamentos, permitindo a utilização do WDS

(Wireless Distribution System), com a formação de um backbone entre os APs.

Na WLAN foi utilizado o servidor RADIUS (Remote Authentication Dial in User

Service) que realiza a autenticação e controle dos usuários que acessam a rede wireless,

necessário para o controle do acesso a rede sem fio. O servidor foi integrado com o diretório

de usuários do campus. A topologia demonstra a presença dos APs, o servidor RADIUS e os

clientes é apresentada na Figura 2.

O padrão IEEE 802.11i foi habilitado nos APs em associação ao IEEE 802.11w. A

necessidade de junção desses padrões se se deve ao fato dos mecanismos de segurança do

802.11i não possuir algoritmos eficientes contra ataques DoS Mitchell (2005). Em

contrapartida IEEE 802.11w pode corrigir esta falha. Ataques de tipo deauthentication podem

gerar desassociações de clientes legítimos comuns que desejam acessar a rede Bellardo

(2003). Para proteger e evitar esse tipo de incidente foi alterado as proteções ao quadro de

gestão habilitando o algoritmo AES-CCMP e o mecanismo MFP (Management frame

protection) que são elementos também configurados nos equipamentos. As características de

segurança referente ao IEEE 802.11w referem-se as funções realizadas por esses algoritmos.

Assim a WLAN que contenha segurança adicional nos quadros de gestão da camada MAC

possui o padrão IEEE 802.11w habilitado.

6

Figura 1 – Mikrotik

Fonte: Fotografia retirada pelos autores

Figura 2 – Topologia

Fonte: Construção dos autores

7

Discussões

Durante o projeto de implementação da WLAN no IFMT problemas como

incompatibilidade e dificuldade na atualização de firmwares dos equipamentos provocaram

atrasos inicias. Houve a tentativa de desenvolvimento de um ponto de acesso através de

atualização da firmware, utilizando placa de rede wireless e um desktop. Devido ao

cronograma estabelecido as ações foram voltadas para utilização dos equipamentos já

dispostos no campus que cumprissem a proposta de uma maneira mais rápida. A integração

entre o servidor RADIUS e o OpenLDAP também gerou transtornos dificultando avanços,

devido principalmente as configurações estabelecidas no servidor que geraram

incompatibilidade.

A comunicação entre os APs via WDS apresentou falhas inicialmente em um dos APs

previstos para implementação, posteriormente foi verificado e confirmado que um dos

equipamentos Mikrotik apresentou falhas elétrica sendo necessária exclusão da topologia da

WLAN. Apesar das dificuldades apresentadas principalmente devido à escassez de recursos

físicos o processo de configuração resultou na proposta estabelecida até o momento que

previa o levantamento e configurações iniciais dos equipamentos com habilitação dos padrões

de segurança.

Considerações Parciais

É fácil perceber a necessidade em aumentar o nível de segurança em redes sem fio. Isto

é reforçado pelo número crescente de usuários, especialmente o grupo formado por alunos

que possuem notebooks e telefones inteligentes.

A ausência de preocupação com segurança, nos antigos padrões de rede sem fio

disponibilizados pelo IEEE, prejudica as redes atuais. As ementas recentes surgem com

tentativa de melhorar a disponibilidade do acesso nos dias atuais.

A pesquisa, que está em fase inicial, possibilitou experimentar a dificuldade em habilitar

os novos recursos de segurança, pois parte dos fabricantes não disponibilizam equipamentos

com capacidade e software adequados para este novo cenário de rede.

Em continuidade deste trabalho, será avaliado o impacto das novas implementações nos

acessos disponibilizados aos usuários, e espera-se a melhoria significativa da disponibilidade

os serviços, com a redução de ataques conhecidos nas redes sem fio tradicionais.

8

Referências Bibliográficas

MITCHELL, Changhua He John C. Security Analysis and Improvements for IEEE 802.11

i. In: The 12th Annual Network and Distributed System Security Symposium (NDSS'05)

Stanford University, Stanford. 2005. p. 90-110.

BELLARDO, John; SAVAGE, Stefan. 802.11 denial-of-service attacks: Real vulnerabilities and practical solutions. In: Proceedings of the USENIX Security Symposium. 2003. p. 15-28.

IEEE COMPUTER SOCIETY LAN MAN STANDARDS COMMITTEE et al. Wireless

LAN medium access control (MAC) and physical layer (PHY) specifications. 1997.

RIVEST, R. L. The RC4 Encryption Algorithm, RSA Data Security Inc. This document

has not been made public, 1992.

VILELA, Douglas Willer Ferrari Luz et al. Construção de Bases de Dados para Auxiliar a

Avaliação de Sistemas de Detecção de Intrusos em uma Rede IEEE 802.11 com

Criptografia WEP, WPA e WPA2 Habilitada. 2013

MITCHELL, Changhua He John C. Security Analysis and Improvements for IEEE 802.11

i. In: The 12th Annual Network and Distributed System Security Symposium (NDSS'05)

Stanford University, Stanford. 2005.

LINHARES, André Guedes; GONÇALVES, Paulo André da S. Uma análise dos

mecanismos de segurança de redes IEEE 802.11: WEP, WPA, WPA2 e IEEE 802.11w∗ .

2008. Disponível em: http://homes.dcc.ufba.br/~joaotj/OUTROS/Pdf_italo/UFPEAGL.pdf.

Acesso em: 30 de junho de 2013.

PASTORE, Alexandre. Segurança em redes sem fio padrão IEEE802.11i. TCC, Curso de

especialização em gerenciamento e segurança de rede de computadores. Universidade de

Caxias do Sul, 2008.

SILVA, Eduardo Alves. Estudo sobre as vulnerabilidades em redes sem fio 802.11(Wi-fi) e

formas de defesa. TCC, Curso de graduação em Sistemas de informação. Faculdade Sete de

Setembro, 2009.

RFC 2284 L. Blunk e J. Vollbrecht PPP Extensible Authentication Protocol (EAP), RFC

228, mar 1998.

9

RFC 2865 C. Rigney, S. Willens, A. Rubens, W. Simpson, Remote Authentication Dial In

User Service (RADIUS) jun 2000.

RFC 4764 F. Bersani, H. Tschofenig The EAP-PSK Protocol: A Pre-Shared Key

Extensible Authentication Protocol (EAP) Method jan 2007.

IEEE Standard for Information technology - Telecommunications and information exchange

between systems - Local and metropolitan area networks - Specific requirements. Part

11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY)

Specifications Amendment 4: Protected Management Frames, IEEE Std 802.11w-2009 ,

vol., no., pp.1,111, Sept. 30 2009