Rede Nacional de Ensino e Pesquisa - RNP Centro de Atendimento a Incidentes de Segurança - CAIS...

Rede Nacional de Ensino e Pesquisa - RNPCentro de Atendimento a Incidentes de Segurança - CAISNovembro de 2006

© 2006 – CAIS/RNP

Seguranca Essencial em Redes Wireless

Guilherme Vênere

Ronaldo Vasconcellos

Rede Nacional de Ensino e PesquisaPromovendo o uso inovador de redes avançadas no Brasil

Segurança Essencial em Redes Wireless

2

Copyright © 2006 CAIS/RNP - Centro de Atendimento a Incidentes de Segurança da

Rede Nacional de Ensino e Pesquisa. Todos os direitos reservados.



3

Introdução

Segurança no cliente Wi-Fi

Configurando uma rede segura

Conclusões

Sumário



4

Alguns conceitos-chave

Wi-Fi – certificação de interoperabilidade da Wi-Fi Alliance (www.wifi.org). Na prática: 802.11a, 802.11b ou 802.11g, padrões IEEE para hardware.

Wireless Access Point – mais conhecido como AP ou WAP, é o elemento da rede Wi-Fi que fornece conectividade de rede a clientes.

Hotspot – redes Wi-Fi públicas, com controle de acesso ou não. Exemplos: Vex, T-Mobile (EUA).

Piggybacker – pessoa que usa uma rede Wi-Fi mal configurada indiscriminadamente

SSID – conjunto de caracteres que identifica uma rede Wi-Fi

Introdução



5

Por que “Segurança Essencial””?

Para Clientes – mínimo que deve ser feito em um notebook ou desktop com Wi-Fi antes de conectá-lo a uma rede sem fio.

Para a configuração de equipamentos Wi-Fi

Segurança suficiente para garantir confidencialidade e evitar o acesso não autorizado

Não é o máximo em segurança, mas é mais do que suficiente para cenários de uso com poucos usuários

Uso doméstico e em pequenas organizações

Introdução (2)



6

Cedo ou tarde você irá usar Wi-Fi

Notebooks cada vez mais populares no Brasil, interface 802.11 é padrão.

Você confia no AP de sua organização ou no que configurou em casa, mas o que fazer em um hotspot ou mesmo avião?

A quais riscos meu notebook está exposto? Não aperte o botão antes de ouvir o que temos a dizer.

Segurança no cliente Wi-Fi



7

Uma vez conectado a um AP o cliente está exposto aos mesmos problemas de uma estação em rede cabeada

Worms, bots, cavalos de tróia, acesso não autorizado, sotware malicioso, etc

Preciso instalar algum software?

Firewall Pessoal (essencial conhecer seufuncionamento básico)

Anti-Vírus

Anti-Spyware

Segurança no cliente Wi-Fi (2)



8

Algumas tarefas de rotina

Mantenha seu Sistema Operacional atualizado, seja Linux ou Windows – atenção aos boletins de segurança do CAIS na “Patch Tuesday”

Mantenha o driver de sua interface Wi-Fi atualizado

Alguns fabricantes oferecem cadastro do equipamento para avisar quando isto acontece

Por que devo me preocupar com isto?




9

Hoje a atenção dos crackers se voltou para os clientes Wi-Fi, está cada vez mais difícil atacar o AP.

Últimas edições das mais importantes conferências hacker do mundo abordaram ataques a clientes

Ferramentas que atacam o driver da interface Wi-Fi

Firewall pessoal não pode fazer nada contra isto

O que é possível fazer para se prevenir?

desativar a interface Wi-Fi quando não estiver em uso, especialmente em ambientes com grande concentração de usuários (aeroportos, avião).

manter drivers atualizados




10

Outro ataques a clientes

Ferramentas para forjar um AP (SSID, canal, etc)

Ferramentas para forçar a desconexão de um cliente

ataque DoS (Denial of Service) por tráfego de desassociação/desautenticação 802.11 forjado

Ferramentas que trocam o conteúdo do tráfego

substitui imagens de site que você visita por outras ofensivas, por exemplo.

Captura do tráfego para obter dados confidenciais em aplicativos como MSN, Google Talk, IRC, Web

Redes abertas, WEP e WPA depois de quebra da chave




11

O que mais posso fazer para me proteger?

Qualquer rede pode ser forjada, em especial abertas, com WEP ou WPA Personal quando a chave é conhecida. Tenha isto sempre em mente.

Ataques DoS não podem ser evitados com os padrões de hoje, apenas mitigados.

Pense positivo e torça que o AP usado na rede seja capaz de mitigar estes ataques (não é um recurso comum).




12

O que mais posso fazer para me proteger? (2)

Sempre use protocolos e mecanismos de segurança para proteger seu tráfego (SSL, VPN, SSH, etc)

O assistente de configuração Wi-Fi do Windows Vista, hoje em versão RC2, já conta com a opção de VPN.

Desabilite sempre que possível o compartilhamento de arquivos no Windows, bem como outros serviços de acesso remoto. Quanto mais serviços seu notebook oferece maior o número de portas de entrada e o risco de vulnerabilidades.




13

O que mais posso fazer para me proteger? (3)

Use redes 802.11a quando disponíveis. A grande maioria dos atacantes tem apenas interfaces 802.11b/g, padrões incompatíveis entre si e que impedem ataques e captura de tráfego. (“Segurança por Obscuridade”).

Configure seu cliente Windows de forma que ele se associe apenas a redes Wi-Fi Infra-estrutura, ou seja, um AP. Há ataques que tiram proveito do modo como o Windows trata conexões Ad-Hoc, normalmente usadas para conectar clientes entre si.




14




15

Redes sem fio já são seguras, mas precisam de clientes seguros como já vimos.

Diferente do mundo selvagem em que os clientes Wi-Fi vivem um AP precisa ser apenas bem configurado e mantido com seu firmware atualizado.

Há vulnerabilidades no firmware (software que gerencia o AP), que permitem acesso não autorizado, por exemplo.

Configurando uma rede segura



16

Principal configuração: mecanismo de segurança

Use pelo menos WPA Personal (Wi-Fi Protected Access), com AES ou TKIP, se possível WPA2.

Redes sem fio ficaram famosas por ser inseguras pelos problemas de WEP (Wired Equivalent Privacy), todos sanados com a introdução de WPA.

Escolha uma chave forte, tão bem selecionada como uma senha. É possível descobrir a chave de uma rede WPA-TKIP por ataque de dicionário.

WEP em último caso ou quando o equipamento não oferece suporte. Este mecanismo de segurança foi comprometido de diversas formas.

Configurando uma rede segura (2)



17




18

Outras configurações para apoiar WPA

Desabilitar broadcast do SSID

Na prática consiste em transmitir pacotes “beacon” com o nome da rede vazio

Filtro por endereço MAC

Reduzir a potência de transmissão, quando possível

Registrar log da atividade do AP, quando o recurso for disponível.




19

Troque o SSID, o nome da rede.

SSID padrão é indicador de um AP possivelmente mal configurado para um atacante.

Dê nomes neutros para sua rede. Evite nome da empresa, nome do dono, número do apartamento e outros nomes que carregam informações e possam atrair a atenção de atacantes.

Troque a senha de administração

Todo AP é configurado de fábrica com um par SSID/senha padrão. Altere a senha imediatamente após ligar o dispositivo. Exemplo: linksys/admin




20




21

Configure acesso à interface administrativa somente por HTTP com TLS/SSL

Tráfego cifrado entre cliente Wi-Fi usado para administrar o AP

Desabilitar acesso à interface administrativa a partir da WAN

Normalmente a WAN é a ligação entre o AP e a Internet

Um AP mal configurado com acesso pela Internet é uma porta de entrada para sua rede




22

AP Isolation

Quando habilitado impede a comunicação entre clientes

Impede a propagação de worms entre clientes, entre outras atividades maliciosas.

Implementado pela criação de uma VLAN (Virtual LAN) para cada cliente associado

Pode também ser implementado por filtro entre VLANs, tráfego com origem em um cliente da WLAN pode ter como destino apenas a Internet




23




24

Redes Wi-Fi já contam com uma segurança respeitável, clientes se tornaram um alvo mais fácil de ataques.

É bem provável que a oferta de ferramentas e técnicas de exploração de vulnerabilidades em drivers de interfaces Wi-Fi aumente.

Conclusões



25

Informações de Contato

Centro de Atendimento a Incidentes de Segurança – CAIShttp://www.rnp.br/cais

Guilherme Vê[email protected]

Ronaldo [email protected]



26

Incidentes de segurança envolvendo redes conectadas ao backbone da RNP podem ser encaminhadas ao CAIS através de:

1. E-mail: [email protected].

Para envio de informações criptografadas, recomenda-se o uso da chave PGP pública do CAIS, disponível em: http://www.rnp.br/cais/cais-pgp.key

2. Web: Através do Formulário para Notificação de Incidentes de Segurança, disponível em: http://www.rnp.br/cais/atendimento_form.html

INOC-DBAPara entrar em contato com o CAIS através da hotline INOC-DBA (Inter-NOC Dial-By-ASN): INOC-DBA: 1916*800

Atendimento EmergencialContatos emergenciais fora do horário comercial (09:00-18:00) devem ser feitos através do telefone: (61) 3217-6355

Alertas do CAISO CAIS mantém a lista [email protected]. Assinatura aberta à comunidadeatuante na área. Inscrições através do formulário disponível em:

http://www.rnp.br/cais/alertas

Contato com o CAIS: Notificação de Incidentes

Rede Nacional de Ensino e Pesquisa - RNP Centro de Atendimento a Incidentes de Segurança - CAIS...

Documents

Transcript of Rede Nacional de Ensino e Pesquisa - RNP Centro de Atendimento a Incidentes de Segurança - CAIS...