IMPLEMENTAÇÃO DE UMA WLAN NO IFMT CAMPUS BELA VISTA COM CRIPTOGRAFIA IEEE 802.11W HABILITADA
-
Upload
felipe-cesar-costa -
Category
Documents
-
view
3 -
download
0
description
Transcript of IMPLEMENTAÇÃO DE UMA WLAN NO IFMT CAMPUS BELA VISTA COM CRIPTOGRAFIA IEEE 802.11W HABILITADA
1
IMPLEMENTAÇÃO DE UMA WLAN NO IFMT CAMPUS BELA VISTA COM
CRIPTOGRAFIA IEEE 802.11W HABILITADA
Resumo
Redes sem fio 802.11 estão em crescimento no mundo todo, as redes cabeadas convencionais
possuem um forte mecanismo que as torna seguras comparadas as WLAN. A propagação de
sinais de rádio facilita o acesso as redes sem fio e aumenta a necessidade de utilização de um
mecanismo de segurança. Atualmente existem diversas métodos de criptografia que são
empregadas para aumentar o nível de segurança nas redes. O padrão WEP apresenta
fragilidades e grandes riscos de acesso de agentes maliciosos. O WPA foi sua atualização
provisória enquanto uma alternativa concreta estava em desenvolvimento. Assim como a
WEP não obteve resultados expressivos, posteriormente surgiu o padrão IEEE 802.11i como
atualização definitiva e proposta de resolução aos graves problemas relacionados às redes sem
fio. Melhorias significativas são observadas, no entanto os complementos criptográficos não
contemplam a sub-camada MAC que protege a rede contra ataque do tipo DoS, fazendo com
que a disponibilidade da rede seja ameaçada. Diversos trabalhos tem demonstrado a
ineficiência do 802.11i quando implementados como padrão único de segurança. O padrão
IEEE 802.11w protege os erros na segurança dos quadros de gestão existentes em IEEE
802.11i. A WLAN do Instituto Federal de Educação Ciência e Tecnologia – Campus Bela
vista, necessita de um padrão de segurança eficiente já que o Instituto frequentemente sedia
seminários, congressos ou eventos que demandam grande quantidade de usuários para acesso
a internet. A associação dos padrões 802.11i e 802.11w fornece uma proteção aos quadros de
dados e gerenciamento, desde modo foi proposto uma implementação de uma rede
abrangendo essas características. A topologia consiste em dois APs modelo Mikrotik RB433
com antenas direcionais de 90°, um servidor RADIUS para autenticação na rede, integrado ao
AD presente na organização, gerando um ambiente aberto a comunidade acadêmica, aos
técnicos administrativos, professores e visitantes. Este trabalho descreve o processo de
configuração e implementação e da uma rede acadêmica baseada na utilização dos padrões
IEEE 802.11i e IEEE 802.11w.
Palavras-chave: Segurança. WLAN. 802.11i. 802.11w. Criptografia
2
Introdução
Um aumento expressivo e contínuo na utilização das redes sem-fio vem ocorrendo no
mundo, especialmente as redes baseadas nos padrões IEEE 802.11 (IEEE 802.11, 1999). Este
crescimento deve-se a fatores como facilidade de implementação e baixo custo nos
dispositivos compatíveis. Diferente das redes cabeadas convencionais, uma rede sem fio pode
ser facilmente identificada já que a transmissão é realizada pela propagação de ondas de rádio
e pode ser acessível por qualquer pessoa que possua um equipamento compatível e esteja
dentro da área de cobertura da WLAN (Wireless Local Area Network). Devido ao meio físico
utilizado estas redes apresentam pouca segurança na transmissão dos dados comparados as
redes cabeadas. O perímetro de acesso a rede gerados pelo AP (Access Point) pode ultrapassar
o limite físicos de uma instituição, empresa ou universidade facilitando o acesso indevido sem
necessidade de estar fisicamente presente no estabelecimento. Tendo em vista a popularização
das WLAN é necessário que essas redes possuam um forte mecanismo de segurança.
Inicialmente foi desenvolvido pela IEEE (Institute of Electrical and Eletronic
Engineers) a padrão 802.11 WEP (Wired Equivalent Privacy) com objetivo de tornar a
utilização das redes sem fio mais seguras. É utilizado o método de chave compartilhada
simétrica com o uso do algoritmo RC4 (RIVEST, 1992) e uma chave secreta de 40 a 104 bits,
compartilhados entre clientes da WLAN e os APs. Um vetor de inicialização (Initialization
Vector) de 24 bits é anexado ao quadro WEP e assim formado uma chave de 64 bits. Este
mecanismo apresentou graves falhas afetando os parâmetros como disponibilidade,
autenticidade e integridade dos dados trafegados na rede. Em resposta a estas falhas, o método
criptográfico WPA (Wifi Protected Access) foi desenvolvido para utilização temporária até a
criação de um método substituto eficiente. O padrão WPA assim como WEP faz uso do
algoritmo RC4, acrescidos de um subconjunto de especificações, vetor de inicialização de 48
bits, hierarquia de chaves com Pairwise Master Key (PMK), autenticador WPA-PSK (Pre
Shared Key) (RFC 4764) ou EAP (Extensible Authentication Protocol) (RFC 2284) que
permite acesso através de um servidor de autenticação, frequentemente o RADIUS (RFC
2865).
Por fim surgiu o método 802.11i (IEEE Standard 802.11i, 2004), que consiste na
atualização do WEP. Seu conjunto de protocolos trouxe melhorias significativas. A
autenticação ocorre com utilização da chave pública utilizando uma chave mestra (Master
Key) que é compartilhada entre autenticador e o cliente e em seguida gerada uma segunda
3
chave, a chave mestra pareada (Pairwise Master Key), além destas existe também a chave
temporal (Temporal Key) que reforça a segurança implementada na camada de enlace.
As diversas atualizações nos mecanismos de segurança e seus algoritmos resultaram,
portanto, em uma WLAN com uma segurança reforçada verificada principalmente no padrão
IEEE 802.11i. Entretanto, a maioria das correções obtidas são aplicadas aos quadros de dados
da sub-camada MAC, mantendo vulnerável as camadas de gerenciamento e controle. De
modo a corrigir a falta de segurança nos quadros de gerenciamento, foi desenvolvido o padrão
IEEE 802.11w (IEEE Standard 802.11w 2009) que corrige as falhas nos quadros e impede
ataques do tipo dauthentication na WLAN, garantindo que a rede esteja segura contra
incidentes que geram indisponibilidade Bellardo (2003) impossibilitando o cliente de realizar
acesso a rede.
A WLAN presente no Instituto Federal de Educação Ciência e Tecnologia de Mato
Grosso - Campus Bela Vista é utilizado por técnicos administrativos, alunos, professores e
visitantes. Frequentemente o campus é sede de encontros, jornadas científicas, seminários ou
eventos reunindo grande quantidade de pessoas que necessitam da utilização da rede sem fio
para acesso a internet. Desde modo é possível identificar a necessidade de uma rede que
ofereça segurança baseada nos parâmetros da segurança da informação: disponibilidade,
integridade, autenticidade e confiabilidade.
Este trabalho consiste na apresentação dos resultados provisórios obtidos durante a
implementação de uma rede sem fio baseada nos padrões IEEE 802.11w e IEEE 802.11i.
Espera-se que com a proteção dos quadros de gestão, a WLAN do Instituto Federal de
Educação Ciência - Campus Bela Vista, possa oferecer segurança contra ataques que afetem a
disponibilidade da rede.
4
Fundamentação Teórica
Diversos trabalhos ao longo dos anos relacionam WLANs a falhas de segurança
Linhares (2008), Pastore (2008), Silva (2009), Mendes (2011), demonstram que o risco de
incidentes envolvendo redes sem fio sempre estiveram em evidência, e que existe a
necessidade da implementação de uma rede que faça proteção tanto dos dados, quanto de
gerenciamento da subcamada MAC.
Changhua He e John C Mitchell (2005) comentam sobre a insegurança característica em
WLANs e facilidade do atacante forjar um ataque DoS (Denial of Service) enviando
repetidamente quadros de dehautentication até mesmo com proteção 802.11i habilitada.
Willer (2013) gerou uma base de dados com associação da criptografia WEP , WPA e
802.11i para auxílio de treinamento de IDS (Intrusion Detection System) contra ataques de
negação de serviço. Foi notada a necessidade de desenvolver uma infraestrutura para geração
de uma nova base de dados para treinamento de IDS com uma criptografia que possa oferecer
segurança nas subcamadas de gerenciamento.
5
Metodologia
A fase inicial foi à definição de equipamentos para o levantamento de estrutura. Optou-
se pela utilização de equipamentos já existentes e disponível no campus, assim, foram
empregados os APs da marca Mikrotic RB433, apresentado na Figura 1, juntamente com
antenas direcionais de 90°, posicionados em locais que acontecem aglomeração de pessoas, e
que também possuem visada direta entre os equipamentos, permitindo a utilização do WDS
(Wireless Distribution System), com a formação de um backbone entre os APs.
Na WLAN foi utilizado o servidor RADIUS (Remote Authentication Dial in User
Service) que realiza a autenticação e controle dos usuários que acessam a rede wireless,
necessário para o controle do acesso a rede sem fio. O servidor foi integrado com o diretório
de usuários do campus. A topologia demonstra a presença dos APs, o servidor RADIUS e os
clientes é apresentada na Figura 2.
O padrão IEEE 802.11i foi habilitado nos APs em associação ao IEEE 802.11w. A
necessidade de junção desses padrões se se deve ao fato dos mecanismos de segurança do
802.11i não possuir algoritmos eficientes contra ataques DoS Mitchell (2005). Em
contrapartida IEEE 802.11w pode corrigir esta falha. Ataques de tipo deauthentication podem
gerar desassociações de clientes legítimos comuns que desejam acessar a rede Bellardo
(2003). Para proteger e evitar esse tipo de incidente foi alterado as proteções ao quadro de
gestão habilitando o algoritmo AES-CCMP e o mecanismo MFP (Management frame
protection) que são elementos também configurados nos equipamentos. As características de
segurança referente ao IEEE 802.11w referem-se as funções realizadas por esses algoritmos.
Assim a WLAN que contenha segurança adicional nos quadros de gestão da camada MAC
possui o padrão IEEE 802.11w habilitado.
6
Figura 1 – Mikrotik
Fonte: Fotografia retirada pelos autores
Figura 2 – Topologia
Fonte: Construção dos autores
7
Discussões
Durante o projeto de implementação da WLAN no IFMT problemas como
incompatibilidade e dificuldade na atualização de firmwares dos equipamentos provocaram
atrasos inicias. Houve a tentativa de desenvolvimento de um ponto de acesso através de
atualização da firmware, utilizando placa de rede wireless e um desktop. Devido ao
cronograma estabelecido as ações foram voltadas para utilização dos equipamentos já
dispostos no campus que cumprissem a proposta de uma maneira mais rápida. A integração
entre o servidor RADIUS e o OpenLDAP também gerou transtornos dificultando avanços,
devido principalmente as configurações estabelecidas no servidor que geraram
incompatibilidade.
A comunicação entre os APs via WDS apresentou falhas inicialmente em um dos APs
previstos para implementação, posteriormente foi verificado e confirmado que um dos
equipamentos Mikrotik apresentou falhas elétrica sendo necessária exclusão da topologia da
WLAN. Apesar das dificuldades apresentadas principalmente devido à escassez de recursos
físicos o processo de configuração resultou na proposta estabelecida até o momento que
previa o levantamento e configurações iniciais dos equipamentos com habilitação dos padrões
de segurança.
Considerações Parciais
É fácil perceber a necessidade em aumentar o nível de segurança em redes sem fio. Isto
é reforçado pelo número crescente de usuários, especialmente o grupo formado por alunos
que possuem notebooks e telefones inteligentes.
A ausência de preocupação com segurança, nos antigos padrões de rede sem fio
disponibilizados pelo IEEE, prejudica as redes atuais. As ementas recentes surgem com
tentativa de melhorar a disponibilidade do acesso nos dias atuais.
A pesquisa, que está em fase inicial, possibilitou experimentar a dificuldade em habilitar
os novos recursos de segurança, pois parte dos fabricantes não disponibilizam equipamentos
com capacidade e software adequados para este novo cenário de rede.
Em continuidade deste trabalho, será avaliado o impacto das novas implementações nos
acessos disponibilizados aos usuários, e espera-se a melhoria significativa da disponibilidade
os serviços, com a redução de ataques conhecidos nas redes sem fio tradicionais.
8
Referências Bibliográficas
MITCHELL, Changhua He John C. Security Analysis and Improvements for IEEE 802.11
i. In: The 12th Annual Network and Distributed System Security Symposium (NDSS'05)
Stanford University, Stanford. 2005. p. 90-110.
BELLARDO, John; SAVAGE, Stefan. 802.11 denial-of-service attacks: Real vulnerabilities and practical solutions. In: Proceedings of the USENIX Security Symposium. 2003. p. 15-28.
IEEE COMPUTER SOCIETY LAN MAN STANDARDS COMMITTEE et al. Wireless
LAN medium access control (MAC) and physical layer (PHY) specifications. 1997.
RIVEST, R. L. The RC4 Encryption Algorithm, RSA Data Security Inc. This document
has not been made public, 1992.
VILELA, Douglas Willer Ferrari Luz et al. Construção de Bases de Dados para Auxiliar a
Avaliação de Sistemas de Detecção de Intrusos em uma Rede IEEE 802.11 com
Criptografia WEP, WPA e WPA2 Habilitada. 2013
MITCHELL, Changhua He John C. Security Analysis and Improvements for IEEE 802.11
i. In: The 12th Annual Network and Distributed System Security Symposium (NDSS'05)
Stanford University, Stanford. 2005.
LINHARES, André Guedes; GONÇALVES, Paulo André da S. Uma análise dos
mecanismos de segurança de redes IEEE 802.11: WEP, WPA, WPA2 e IEEE 802.11w∗ .
2008. Disponível em: http://homes.dcc.ufba.br/~joaotj/OUTROS/Pdf_italo/UFPEAGL.pdf.
Acesso em: 30 de junho de 2013.
PASTORE, Alexandre. Segurança em redes sem fio padrão IEEE802.11i. TCC, Curso de
especialização em gerenciamento e segurança de rede de computadores. Universidade de
Caxias do Sul, 2008.
SILVA, Eduardo Alves. Estudo sobre as vulnerabilidades em redes sem fio 802.11(Wi-fi) e
formas de defesa. TCC, Curso de graduação em Sistemas de informação. Faculdade Sete de
Setembro, 2009.
RFC 2284 L. Blunk e J. Vollbrecht PPP Extensible Authentication Protocol (EAP), RFC
228, mar 1998.
9
RFC 2865 C. Rigney, S. Willens, A. Rubens, W. Simpson, Remote Authentication Dial In
User Service (RADIUS) jun 2000.
RFC 4764 F. Bersani, H. Tschofenig The EAP-PSK Protocol: A Pre-Shared Key
Extensible Authentication Protocol (EAP) Method jan 2007.
IEEE Standard for Information technology - Telecommunications and information exchange
between systems - Local and metropolitan area networks - Specific requirements. Part
11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY)
Specifications Amendment 4: Protected Management Frames, IEEE Std 802.11w-2009 ,
vol., no., pp.1,111, Sept. 30 2009