Segurança em Redes Wireless - IMACRI – Serviços de Redes

E
Protegendo Redes Wireless
WP002.02
www.ProjetodeRedes.kit.net
&ULDGRHP
GH6HWHPEURGH
ÒOWLPDDWXDOL]DomRHP
GH0DUoRGH
$XWRU
Marcelo Mart ins ( m m art ins@m odulo.com .br)
www.ProjetodeRedes.kit.net
ËQGLFH
,QWURGXomR ,PSOHPHQWDomRH$UTXLWHWXUD ,QVHJXUDQoDQR$U $WDTXHV 5HGX]LQGRRV5LVFRV $(VWUDGDGR)XWXUR &RQFOXVmR Este white paper pode ser distribuído livrem ente contanto que sua integridade e autenticidade
sej am preservadas. O autor se reserva o direito de fazer alterações, conform e necessário.
This white paper m ay be freely redistributed and its integrity and authenticity m ust be preserved.
The author has the right to m ake any changes as necessary.
5(6802
Este white paper apresenta inicialm ente as características da tecnologia 802.11b. Esta apresentação
inicial da tecnologia serve com o base para discutir os aspectos de segurança ( ou a falta dela) nas
redes sem fio. Conhecer os problem as de segurança torna possível analisar, planej ar e im plem entar
um a rede wireless com foco em segurança, tópico im portante que deve ser visto com m uita
atenção.
$%675$&7
This white paper initially presents the 802.11b technology features. This initial presentation of the
technology provides us base to discuss the security features ( or the absent of it) in wireless
networks. Knowing the security issues m akes it possible to analyze, plan and im plem ent a wireless
network focusing on security, im portant topic that should be addressed with care.
www.ProjetodeRedes.kit.net
,QWURGXomR
Um a rede sem fio é um conj unto de sistem as conectados por tecnologia de rádio através do ar. Pela
extrem a facilidade de instalação e uso, as redes sem fio estão se difundindo rapidam ente por todo o
m undo, principalm ente na área de saúde e educação. Apesar de os usuários verem apenas o lado
positivo, existem questões de segurança im portantes relacionadas com as redes wireless. Est e
paper busca m ostrar os problem as das redes sem fios nos 3 âm bitos de segurança
( confidencialidade, integridade e disponibilidade) e fornecer recom endações para a redução dos
riscos e das vulnerabilidades.
As Wireless Local Area Networks ( WLANs) j á são populares nos dias de hoj e. A pesquisa de m ercado
do I DC de novem bro de 2001 m ostra que são fabricados 3 m ilhões de com ponentes para WLANs
por t rim estre. Para o Yankee Group, as WLANs substituirão as redes com fio que tem os hoj e, por
causa de sua flexibilidade e Retorno de I nvestim ento que oferecem , através da redução de custos
de im plem entação e suporte, além do ganho de produtividade. Conform e o relatório publicado em
j ulho deste ano, o núm ero de im plem entações de redes wireless no Estados Unidos duplicou nos
últim os 12 m eses e est ão atualm ente em uso cerca de 1.000.000 de Access Points em 700.000
em presas nos EUA. De acordo com o Gartner Group, em 2005 existirão cerca de 137 m ilhões de
usuários de redes sem fio, a m aioria em em presas.
www.ProjetodeRedes.kit.net
,PSOHPHQWDomRH$UTXLWHWXUD
O padr ão m ais usado de redes sem fio no m er cado no m om ent o é o 802.11b, apesar de out ros
padrões j á t erem aparecido, com o o Bluet oot h. O padrão I EEE 802.11b é baseado na
t ecnologia Direct Sequence Spr ead Spect rum ( DSSS) que usa t r ansm issão abert a ( br oadcast )
de rádio e opera na fr eqüência de 2.4000 a 2.4835 GHz com um a capacidade de transferência de
11 Mbps, em am bientes abert os ( ~ 450 m etros) ou fechados ( ~ 50 m et ros) . Esta taxa pode ser
reduzida a 5.5 Mbps ou até m enos, dependendo das condições do am biente no qual as ondas estão
se propagando ( paredes, interferências, etc) . Por ser um a transm issão aberta, qualquer pessoa com
um receptor operando na m esm a freqüência pode captar as ondas. Assim com o em um passeio de
carro, conform e nos afastam os da estação de rádio transm issora o sinal com eça a ficar cada vez
m ais fraco até que não possam os m ais captá- lo. Conform e form os chegando m ais perto da
transm issora, o nosso receptor conseguirá m ais facilm ente captar o sinal até chegarm os no nível de
clareza total na recepção.
Tanto o Access Point quanto o laptop e o PDA transm item e recebem sinais. Este
conceito será usado m ais adiante para entenderm os m étodos de at aque e de
segurança.
&DUDFWHUtVWLFD
Cam ada Física
Freqüência
Mét odo de acesso
Taxa de t ransm issão
Propagação
Capacidade
Prós
Cont ras
'HVFULomR
DSSS
2.4 GHz
CSMA/ CA
1 Mbps, 2 Mbps, 5.5 Mbps, 11 Mbps
50 m et r os ( am bient e fechado)
450 m et r os ( am bient e abert o)
11 Mbps ( 54 Mbps planej ados)
Grande quant idade de fornecedor es,
preços cada v ez m ais baixos
Segurança
fraca,
capacidade
de
t ráfego pode vir a sofr er um gargalo
7DEHOD±&DUDFWHUtVWLFDVGDWHFQRORJLDE
www.ProjetodeRedes.kit.net
)LJXUD([HPSORGHXPDUHGHE
:(3
O Wired Equivalency Privacy ( WEP) é o m étodo criptográfico usado nas redes wireless 802.11. O
WEP opera na cam ada de enlace de dados ( data- link layer) e fornece criptografia entre o cliente e o
Access Point. O WEP é baseado no m étodo criptográfico RC4 da RSA, que usa um vetor de
inicialização ( I V) de 24 bits e um a chave secreta com partilhada ( secret shared key) de 40 ou 104
bits. O I V é concatenado com a secret shared key para form ar um a chave de 64 ou 128 bits que é
usada para criptografar os dados. Além disso, o WEP utiliza CRC- 32 para calcular o checksum da
m ensagem , que é incluso no pacote, para garantir a integridade dos dados. O receptor então
recalcula o checksum para garantir que a m ensagem não foi alterada.
!
www.ProjetodeRedes.kit.net
,QVHJXUDQoDQR$U
O I EEE 802.11b define dois m étodos de autenticação: um usando criptografia e outro
não. O m étodo que não usa criptografia se divide em dois: o m étodo aberto e o fechado.
No m étodo aberto, Access Points (APs) e clientes enviam beacons e broadcasts,
respectivam ente, em det erm inados intervalos de tem po para que um possa saber da existência do
outro. Beacons são com o convites para que os clientes saibam da existência do AP, contendo
inform ações sobre que canal devem usar para acessa- lo e o Service Set I D ( SSI D) , que é um a
seqüência de caracteres ( com o um nom e) que identifica um a rede entre outras que estej am
operando na m esm a freqüência. O núm ero do canal vai de 1 a 11 ( 1 a 13 na Europa) . A tabela
2.1.2 contém a num eração dos canais:
&DQDO
1
2
3
4
5
6
7
8
9
10
11
)UHTrQFLD*+]
2.412
2.417
2.422
2.427
2.432
2.437
2.442
2.447
2.452
2.457
2.462
7DEHOD
O m étodo fechado exige que o cliente responda com o nom e correto do SSI D para que possa
acessar a rede. Am bos os m étodos são prim itivos e extrem am ente vulneráveis.
O m ét odo criptográfico utiliza chaves com partilhadas para autenticar o cliente no AP. Através de
chaves WEP pré- definidas no AP e nos clientes, a autenticação é processada e apenas autentica o
cliente no AP. Este m étodo não consegue autenticar o AP para o cliente, fazendo com que o cliente
não tenha a garantia de que está se com unicando com um AP autorizado ou não. A figura 2.1.2
m ostra o m ét odo criptográfico de autenticação.
"
www.ProjetodeRedes.kit.net
)LJXUD±$XWHQWLFDomRGRFOLHQWHIHLWDFRP³VKDUHGNH\V´
Outro problem a é que, para fazer com que as redes sem fio possam ser colocadas em
funcionam ento com rapidez, os m ecanism os de segurança existentes nos equipam entos costum am
vir desabilitados, isso quando existem . Este é o problem a principal das redes sem fio: 80% delas
não usam nem m esm o os m ecanism os básicos de segurança, de acordo com a pesquisas feitas em
2002.
O pouco entendim ento sobre arquitetura de redes faz com que o profissional não entenda
exatam ente com o a rede sem fio funciona e com o ela se encaixa no am biente j á existente. Um a boa
ou m á im plem entação da rede sem fio na corporação poderá fazer a diferença entre riscos
gerenciáveis e riscos inaceitáveis.
Por exem plo, não é trivial especificar com exatidão qual é o alcance de rede wireless. De acordo
1
com o paper Wireless Network Security do NI ST ( National I nstitute of Standards and Technologies) ,
devido às diferenças entre construções de prédios, freqüências e atenuações e antenas de alta
potência, a distância correta para o controle da propagação das ondas pode variar
consideravelm ente, alcançando quilôm etros m esm o que a especificação técnica do equipam ento
m encione apenas poucas centenas de m et ros.
Na rede de fios, existe um , ou alguns pontos de acesso à sua rede, com o a I nternet, por exem plo.
Na rede sem fio, qualquer ponto localizado geograficam ente em um espaço de ~ 50 a ~ 450 m etros
de distância nas 3 dim ensões pode ser usado para acessar a sua rede. Por isso é im prescindível o
uso de m étodos de detecção de Access Points não autorizados na rede.
A facilidade de acesso é t ão grande que há quem diga que im plem entar um a rede WLAN é o m esm o
que “ j ogar 300 m etros de cabeam ento de rede pela j anela” ou “ colocar um hub no estacionam ento
e perm itir que qualquer um se conecte na rede com o se estivesse dentro da em presa” . A realidade
1
Acesse www.nist.gov
$#
www.ProjetodeRedes.kit.net
não é m uito diferente desta analogia, e por este m otivo é extrem am ente im portante que antes da
im plem entação da rede sem fio, quesitos de segurança sej am analisados.
2
Durante a conferência hacker Defcon X, ocorrida no início de agosto em Las Vegas, foram
3
detectados m ais de 10 novos tipos de ataques, segundo a AirDefense . Um a parte destes ataques
foi identificada com o sendo novos tipos de Denial of Service. A outra parte, m ais preocupante,
revelou ataques m ais sofisticados que exploram falhas dos protocolos 802.11, o que m ostra que os
hackers estão se aprofundando em redes wireless 802.11.
$WDTXHV
:/$16FDQQHUV
Com o foi m encionado, qualquer equipam ento operando na m esm a freqüência pode captar os sinais
transm itidos através do ar. Desabilitar o envio de broadcasts no AP não im pede que scanners com o
4
o NetStum bler ( plataform a Windows) detectem a rede enviando pacotes em todos os canais para
ver em qual o AP responde. Além de captar inform ações da rede, alguns scanners com o o
NetStum bler possuem a capacidade de dizer onde esta localizada a rede através do uso de
equipam entos de GPS. I sto se torna m uito conveniente caso o hacker decida voltar m ais tarde para
capturar pacot es ou quebrar a chave WEP. Os adeptos de PocketPC podem procurar WLANs usando
o MiniStum bler, um a versão não tão poderosa do NetStum bler que está disponível no m esm o site.
:/$16QLIIHUV
5
O Kism et ( plataform a Linux) apesar de não suportar am biente gráfico, além de ser um scanner
tam bém funciona com o sniffer. Enquanto procura Access Points, os pacotes capturados podem ser
arm azenados para um a analise posterior, com o uso de um program a que quebre chaves WEP nos
pacotes que o Kism et detecta que possui chave WEP fraca. Outros program as do gênero são:
Ethereal para Windows e Linux e TcpDum p para Linux.
'HQLDORI6HUYLFH'R6
A freqüência 2.4 GHz é com partilhada com outros dispositivos sem fio com o, por exem plo, telefones
sem fio, dispositivos Bluetooth e equipam entos de m onitoração de bebês – tam bém cham ados de
“babá eletrônica”. Por operarem na m esm a freqüência, estes equipam entos degradam o sinal
fazendo com que a capacidade da rede sej a reduzida. Um indivíduo m al intencionado com o
equipam ento apropriado pode enviar um a grande quantidade de sinais ( flood) na m esm a freqüência
a ponto de fazer com que a rede pare de funcionar.
2
Acesse www.defcon.org
Fonte: www.airdefense.net/eNewsletter/defconx.htm
4
Acesse www.netstumbler.org
5
Acesse www.kismetwireless.net
3
$%
www.ProjetodeRedes.kit.net
Outro problem a relacionado a DoS é o conflito não intencional entre redes próxim as, com o a de um
prédio vizinho. É com um um m esm o fabricante usar o m esm o canal default para todos os
equipam entos fabricados. O que pode acontecer nesta situação é, no m ínim o, um a rede causar DoS
na outra através de interferencia de rádio. Para evitar este problem a, deve- se tentar “enxergar”
outras redes próxim as. Se isto for possível, alterar o núm ero do canal usado para que haj a um a
diferença de 5 canais entre as duas redes.
)DOKDVGR:(3
Jesse Walker, da I ntel, foi um dos prim eiros a dem onstrar que a chave WEP não é segura
6
independente do seu tam anho . Em um a pesquisa feita por Nikita Borisov, I an Goldberg e David
7
Wagner da UC Berkeley , foi possível quebrar um a chave WEP de 40 bits em 4 horas usando 250
com putadores. Tam bém dem onstraram que é possível quebrar chaves de 128 bits.
Após a disponibilização de white papers com o os citados acim a e “Using the Fluhrer, Mantin and
Sham ir attack to break WEP”, ferram entas para a autom atização da quebra de chaves WEP foram
criadas para facilitar a tarefa.
8
Um a destas ferram entas é o AirSnort , um a ferram enta escrita para Linux, que necessita de kernel
versão 2.2 ou 2.4 e um a placa wireless que use o chipset Prism 2. Apesar dos problem as
encontrados para conseguir com pilar a ferram enta, o AirSnort é um a boa ferram enta para a quebra
de chaves WEP. Após colocar a placa wireless em m odo prom iscuo através de um shell script
( doprom isc.sh) que vem j unto com a ferram enta, inicia- se o m odo de captura de pacotes que serão
analisados posteriorm ente. Durante a captura, o AirSnort m ostra o andam ento do processo,
incluindo o núm ero de pacotes “interessantes”. Assim que for capturado um núm ero suficiente
destes pacotes, pode- se iniciar o processo que quebra. De acordo com a docum entação da
ferram enta, são necessários aproxim adam ente 1500 pacotes “interessantes” para quebrar um a
chave WEP de 128 bits. A criptografia WEP utiliza um vetor de inicialização RC4 para criptografar
pacotes com chaves diferentes. Prim eiram ente isto parece seguro. O problem a é que o vetor de
inicialização ( I V) além de ser increm entado seqüencialm ente, possui 24 bits, ou sej a, a cada 2 24
pacotes o I V se repet e ( este é um pacote interessante) . 2 24 pacotes significam 16.8 m ilhões de
pacotes, que são obtidos em um a rede de 5 Mbps congestionada durante algum as horas.
9
Outra ferram enta disponível na I nternet é o WEPCrack . O WEPCrack é com posto por 4 scripts feitos
em Perl que são usados para decodificar pacotes, identificar pacotes fracos e quebrar a chave WEP.
Para usar o WEPCrack é necessário prim eiro capturar o tráfego com um sniffer, pois ao contrário do
10
AirSnort, o WEPCrack não captura pacot es. Um sniffer que pode ser usado é o prism dum p , que é
11
um add- on para o Ethereal , um conhecido capturador de pacotes. Neste ponto o AirSnort leva
6
Jesse Walker, “Unsafe at any key size; An Analysis of the WEP encapsulation”
http://grouper.ieee.org/groups/802/11/Documents/DocumentHolder/0-362.zip
7
Borisov, Nikita; Goldberg, Ian; Wagner, David. “Security of the WEP algorithm”, UC Berkeley.
http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html
8
Veja mais em www.be-secure.com/airsnort.html
9
Acesse http://sourceforge.net/projects/wepcrack
10
Acesse http://developer.axis.com/download/tools/
11
Acesse http://www.ethereal.com/
'&(
www.ProjetodeRedes.kit.net
vantagem sobre o WEPCrack, j á que consegue capturar apenas os pacotes necessários para a
quebra de criptografia, enquanto no caso do WEPCrack é necessário capturar t odo o tráfego
prim eiro para que se possa alim entar os scripts Perl, o que consom e grande espaço de disco
rapidam ente.
Tam bém existe um problem a j á relatado em relação à falha de integridade. O WEP utiliza CRC- 32
para calcular o checksum da m ensagem que é incluso no pacote. De acordo com um relatório da
Universidade de Berkeley, por utilizar um m étodo de CRC linear, é possível alterar a m ensagem e
recalcular a diferença de checksum s entre a m ensagem original e a alterada, fazendo com que o
receptor não identifique a alteração da m ensagem .
$FFHVV3RLQWVQmRDXWRUL]DGRV
Assim com o acontece de um usuário instalar um m odem no com putador para acessar a I nternet ,
pode haver Access Points não autorizados ( e com configuração default ou m al configurados) na rede
da em presa. O custo cada vez m ais baixo deste tipo de equipam ento deve ser um a preocupação
para os adm inistradores. Além do uso inadvertido de Access Points pelos funcionários, pode ter sido
instalado um AP na rede com o propósito de capturar pacotes para depois descriptografá-los. O
invasor pode configurar o AP com um sinal m ais forte do que os dem ais para que ele sej a o prim eiro
AP detectado pelos clientes. Este AP é então utilizado para capturar nom es de usuários, senhas e
outras inform ações.
5RXERGHHTXLSDPHQWR
Em caso de roubo de equipam ento wireless, a rede pode ser acessada sem que os adm inistradores
tenham conhecim ento. I sto acontece porque o equipam ento j á está configurado para acessar a
rede. Nest e caso, pode ser necessário reconfigurar a rede para elim inar esta vulnerabilidade. A
política de segurança deve requerer que os usuários notifiquem os adm inistradores da rede em caso
de perda ou roubo de laptops ou PDAs e os usuários devem ser educados neste sentido.
8VRLQGHYLGRGHUHFXUVRVHSHUGDGHUDVWUHDELOLGDGH
I ndivíduos podem usar redes wireless de terceiros para sim plesm ente:
a) não pagar acesso à I nternet;
b) ter acesso à I nternet na rua;
c) invadir outras redes wireless sem que possa ser rastreado, afinal qualquer inform ação
rastreada levará até a rede que foi invadida.
)*
:DUGULYLQJ:DUFKDONLQJ Da técnica “Wardialing” que consistia em discar um determ inado grupo de núm eros de elefone para
ver qual deles respondia com um m odem , originou- se o nom e “Wardriving”. A técnica “Wardriving”
12
Para mais informações acesse www.warchalking.org
'&&
www.ProjetodeRedes.kit.net
consiste em pegar um laptop com equipam ento wireless, e sair andando pela cidade em busca de
Access Points. Andando de carro a um a velocidade 70 km / h, ainda é possível detectar APs.
A figura 3.1.1 m ostra o “Prophet Wardriving Kit” usado na décim a Defcon, durante a conferência
sobre redes wireless. Com estes equipam entos, que podem ser facilm ente adquiridos, é possível
detectar redes ( APs) , capturar tráfego e até m esm o quebrar a criptografia WEP, obtendo acesso não
autorizado aos dados transm itidos na WLAN.
,.-
)LJXUD ±³3URSKHW:DUGULYLQJ.LW´$³SLVWROD´GHVHQFDL[DSDUDIDFLOLWDURFDUUHJDPHQWR
Com base nesses “passeios”, criou- se o hábito de registrar no m apa, no prédio ou na calçada ( nos
dois últim os com giz) , o lugar onde é possível conseguir acesso wireless. Esta prática recebeu o
nom e “Warchalking” ( chalk significa giz) , e é originária da língua dos “hobos” ( vagabundos, na gíria
inglesa) que, durante a grande depressão am ericana de 1929, buscavam lugares onde pudessem
ser acolhidos e com m arcas de giz, inform avam os com panheiros sobre as condições do lugar.
I nform ações
sobre
os
sím bolos
dos
“hobos”
estão
no
endereço
www.worldpath.net/~minstrel/hobosign.htm.
13
Figura do site www.wardriving.info
'&+
www.ProjetodeRedes.kit.net
Em relação à m apas, o site http://mapserver.zhrodague.net oferece um serviço de m apeam ento de
APs em todo o m undo com o uso de GPS. Usuários que tenham inform ações da localização de APs
no form ato do NetStum bler podem fazer upload. Vej a a seguir um outro tipo de m apa, feito no
14
Microsoft MapPoint 2002
com o auxílio da ferram enta Stum bVerter, disponível em
http://www.sonar-security.com/, que im porta os dados capturados pelo NetStum bler. O sinal
verm elho na parte inferior da pirâm ide significa WEP habilitado.
,21
)LJXUD ±0DSDIHLWRFRP$FFHVV3RLQWVGHWHFWDGRVQDiUHDGD&DOLIyUQLD
5HGX]LQGRRV5LVFRV
Vam os discutir agora as m edidas de segurança que elim inam ou reduzem os riscos e as
vulnerabilidades das redes wireless. As m edidas podem ser aplicadas separadam ente ou em
conj unto.
7URFDUR66,'
Todos os APs propagam o SSI D em broadcast para que os clientes saibam quais redes estão
disponíveis para acesso. O SSI D não é criptografado pelo WEP. SSI Ds default dos fabricantes não
14
15
Acesse www.microsoft.com/mappoint
Figura do site www.wardriving.info
'&0/
www.ProjetodeRedes.kit.net
devem ser usados por serem de conhecim ento público, e serão os prim eiros a serem testados pelo
invasor. Recom enda- se o uso de um SSI D que não sej a de fácil dedução.
'HVDELOLWDURHQYLRGHSDFRWHVEHDFRQ
Alguns APs possuem a opção de desabilitar o envio de beacons periódicos, fazendo com que o
dispositivo wireless do cliente só consiga se conectar se estiver utilizando o m esm o SSI D no início
da conexão. Caso exista, essa opção deve ser ativada para evitar a captura do SSI D feita pelos
scanners.
)LOWUDUHQGHUHoRV0$&
Muitos fabricantes fornecem em seus equipam entos a capacidade filtrar endereços MAC criando um a
lista de controle de acesso ( ACL) que é distribuída entre os APs16 . A lista fornece ou nega o acesso
do equipam ento baseado no endereço MAC. Com o o endereço MAC trafega sem criptografia pelo ar,
não representa um bom m ecanism o de defesa. Tudo que o hacker precisa é capturar o tráfego, e
falsificar ( spoof) o seu próprio endereço MAC para ter acesso à rede. O esforço adm inistrativo
necessário para m anter um a lista atualizada de endereços MAC ( assum indo que um a lista sej a
usada) dependendo do núm ero de clientes pode não com pensar a pouca segurança fornecida por
este filtro.
Pode tam bém ser usada a ferram enta arpwatch 17 para restringir o acesso. Esta ferram enta foi
inicialm ente desenvolvida para redes com fio, m as tam bém pode ser usada em WLANs. Arpwatch
funciona m onitorando os endereços MAC que ent ram e saem da rede. Quando surge um endereço
desconhecido, é gerado um alerta para os adm inistradores.
8VDU:(3
Os especialistas recom endam que não se confie no WEP para criptografia de tráfego por ser
inseguro por natureza. Use- o para dificultar o acesso não autorizado na rede. É m elhor usar WEP do
que não usar nada. Melhor ainda é com bina-lo com VPN ou algum m étodo de criptografia de
aplicação ( com o o PGP) e RADI US.
As chaves criptográficas usadas pelo WEP devem ser t rocadas periodicam ente, j á que um hacker
pode quebrá- la em quest ão de horas. O fat o de trocar as chaves im plica em reconfiguração de todos
os Access Points e clientes wireless, o que pode consum ir m uito tem po. Atualm ente alguns
fabricantes fornecem soluções próprias de criptografia que devem ser usadas quando possível. É
im portante lem brar que soluções proprietárias cost um am não funcionar entre fabricantes diferentes.
Os fabricantes de dispositivos wireless estão desenvolvendo m étodos de criptografia que evitam os
pacotes com “chave fraca”, que são utilizados por ferram entas com o AirSnort. Estes m étodos são
atualizados através de firm ware. Para que est e m étodo funcione, todos os dispositivos wireless
devem ser atualizados.
16
17
Dave Molta, “WLAN Security On The Rise” www.networkcomputing.com
Ferramenta desenvolvida por Lawrence Berkeley National Laboratory – http://ee.lbl.gov/
'&3
www.ProjetodeRedes.kit.net
/RFDOL]DomRFHQWUDOL]DGDGR$3
Recom enda- se instalar os Access Points no centro da área que deve ter acesso à rede. É im portante
lem brar que os sinais não se propagam apenas horizontalm ente, m as sim nas 3 dim ensões. Faça de
tal m aneira que as áreas que necessitam de acesso consigam se com unicar com o Access Point,
m as evite que o sinal chegue no estacionam ento ou no prédio vizinho. Para conseguir essa
inform ação, o adm inistrador pode fazer um scan ao redor da área desej ada.
6HJPHQWDQGRDVUHGHVFRPXP)LUHZDOO
Por serem inseguras por natureza, redes sem fios apresentam am eaças diferentes das da rede com
fios. Um firewall deve ser usado para segm entar as duas redes, perm itindo acesso entre as
interfaces através de autenticação. Os equipam entos que fazem parte da WLAN j unto com o AP
devem ser colocados em um a DMZ 18 . Recom enda- se tam bém que o cliente sej a protegido através
de um firewall pessoal ( firecell) .
$GPLQLVWUDomRYLD7HOQHWFRQVROH566103+773
Alguns cuidados a m ais devem ser t om ados se o AP suporta adm inistração via telnet, SNMP e HTTP,
além do console. Estes cuidados incluem a desativação do m ét odo caso não sej a usado, alteração
das configurações default, uso de senha com plexa, entre outros. No caso dos Access Points que
usam agentes SNMP, deve alterar o nom e da com unidade que costum a ser “public” e possui
perm issão de leitura ou de leitura e escrita, para um nom e de difícil dedução. Caso o único tipo de
acesso feito via SNMP sej a som ente de leitura, deve- se configurar o agent e apenas para leitura. Se
o SNMP não será utilizado, deve ser desabilitado. No caso da adm inistração via telnet, recom endase o uso do SSH19 ( secure shell) , que substitui o rlogin e telnet do UNI X, que são conhecidos por
serem facilm ente explorados. O SSH é visto com o um a “VPN sim ples” e na sua versão atual se
integra a soluções de PKI , sm art cards, LDAP e AES ( Advanced Encryption Standard) , que substitui
o DES ( Data Encryption Standard) . O HTTP pode ser substituído pelo SSL20 , que faz criptografia na
cam ada 6 do m odelo OSI .
931
O uso de VPNs21 ( Virtual Private Networks) é recom endado para dar proteção adicional à criptografia
do tráfego. A m aioria das VPNs hoj e em dia, utiliza o protocolo I PSec, que é independente do
m étodo de criptografia do WEP, possibilitando o uso de am bos na rede. O I PSec opera na cam ada
de rede ( cam ada 3) do m odelo OSI , criptografando os dados que vem das cam adas superiores,
com o a cam ada de aplicação e t ransport e ( cam adas 7 e 4) , por exem plo. O WEP trabalha na
cam ada de enlace de dados ( data-link – cam ada 2) . Tam bém é possível habilitar o log de atividades
no VPN Gat eway, para um a posterior auditoria e interpretação de quais usuários estão se logando
18
De-Militarized Zone – um termo usado na área de redes que descreve um segmento de rede onde usuários externos
são permitidos acessar recursos sem ter acesso à rede interna.
19
Uma versão open source do SSH pode ser encontrada em http://www.openssh.org/
Acesse http://www.openssl.org/
21
Para uma lista de fabricantes, visite o VPN Consortium ou VPNC em http://www.vpnc.org/. Este site é de
uma organização comercial criada por diferentes fabricantes.
20
'&
www.ProjetodeRedes.kit.net
na rede. A im plem entação de VPNs pode se tornar com plexa, devido à incom patibilidade entre
fabricantes.
8VDU5$',86DXWHQWLFDomR
O RADI US ( Rem ot e Authentication Dial-in User Service) pode ser usado para centralizar a base de
contas usadas para autenticar usuários na WLAN. Além disso, o RADI US tam bém suporta a
autenticação de clientes VPN. Deve- se consultar o m anual do Access Point para saber se há suporte
a autenticação via RADI US.
'+&3HP:/$1V
Se possível, o DHCP deve ser evitado na WLAN. Após o usuário conectar seu laptop ao Access Point,
ele precisa de um I P válido para poder se com unicar. O servidor DHCP fornece então
autom aticam ente um endereço I P e outras configurações da rede. Por não saber quais são os
dispositivos wireless autorizados na rede, o DHCP autom aticam ente atribuirá um endereço I P válido
ao intruso. A rem oção do serviço DHCP na WLAN não im pedirá que o hacker consiga trafegar na
rede. Esta m edida é tom ada para dificultar o acesso do hacker, que para descobrir a faixa de
endereços I P válidos, pode passar algum tem po capturando e analisando pacotes. Ou ainda pode
tentar se conectar fazendo um “brute force” de endereços privados, j á que as faixas disponíveis são
lim itadas. Endereços I Ps estáticos devem utilizados sem pre que possível.
6LPXODomRGH$3V
O program a Fake AP da Black Alchem y 22 cria beacons falsos de 802.11b com ESSI D, BSSI D ( MAC)
aleatórios em vários canais, fazendo com que ferram entas de wardriving com o o Netstum bler e
Kism et identifiquem m ilhares de APs. Access Points falsos podem ser usados com o parte de um a
solução de segurança ou de um sistem a de honeypot. Esta ferram enta roda em Linux e necessita de
um a placa wireless com chipset Prism 2/ 2.5/ 3 além dos drivers HostAP23 . A ferram enta tam bém
suporta WEP e a opção variar a capacidade de propagação.
&RPSDUWLOKDPHQWRGH$UTXLYRV
Se não for necessário com partilhar pastas e im pressoras na rede sem fio, o com partilham ento de
arquivos ( File Sharing) deve ser desabilitado. Esta é um a m edida de segurança adicional.
$FFHVV3RLQWVQmRDXWRUL]DGRV
A m elhor m aneira de identificar APs não autorizados na rede é pegar um laptop com um a placa
wireless e fazer um a “busca aérea” usando scanners. Esta busca deve ser feita periodicam ente.
3UREOHPDVGR7&3,3MiFRQKHFLGRV
22
23
http://www.blackalchemy.to/Projects/fakeap/fake-ap.html
http://hostap.epitest.fi/
'&0!
www.ProjetodeRedes.kit.net
Além de todos os problem as j á m encionados, ficam os suj eitos aos problem as de segurança
inerentes do TCP/ I P que j á são bem conhecidos, com o flooding, spoofing, sniffing, m an-in- them iddle, poisoning, entre outros.
6HJXUDQoD)tVLFD
O conceito de segurança física deve ser revisto, afinal estes conceitos sim plesm ente não se aplicam
às redes wireless. Não é necessário entrar na em presa para ter acesso à rede. A partir do
estacionam ento ao lado é possível se conectar, ou até m esm o a m uito m etros de distância,
dependendo das condições do am biente e da força do sinal. Manter um guarda vigiando os
visitantes o tem po todo pode não trazer resultados, afinal, é possível capturar dados usando um
PocketPC ou um iPaq no bolso da j aqueta. Com a aj uda do GPS, o hacker pode voltar m ais tarde
aos lugares m apeados e a partir de um lugar público, se conectar à rede.
Já nos foi relatado um caso em que a rede wireless foi usada porque não era possível alterar a
construção do prédio, em virtude de o m esm o ser tom bado pelo patrim ônio histórico. Com o havia a
preocupação com segurança, a m edida escolhida foi selar o am biente com placa de chum bo,
evitando assim que o sinal do AP fosse det ectado fora do am biente.
De qualquer form a, esforços podem ser em pregados para reduzir este risco. Se o sinal puder ser
detectado fora do prédio, considere o uso de câm eras ou guardas no local para tentar detectar
ataques “wardriving” ou “warwalking”.
Além das recom endações descritas acim a, deve- se considerar o uso de I DSs, principalm ente no
m om ento de im plem entação, registrando todas as atividades. O AP deve ser desligado quando não
estiver sendo usado, e um inventário com pleto dos APs e dispositivos wireless deve ser feito.
'&0"
www.ProjetodeRedes.kit.net
)LJXUD±([HPSORGHXPDUHGHEFRPDOJXQVPHFDQLVPRVGHVHJXUDQoD
'&#
www.ProjetodeRedes.kit.net
$(VWUDGDGR)XWXUR
7.,3
O relatório 802.11i especifica o uso do Tem poral Key I ntegrity Protocol ( TKI P) , para elim inar as
24
falhas j á conhecidas do WEP. O TKI P é um a t entativa do I EEE de dar m ais segurança as redes
wireless enquanto m antém a com patibilidade com os equipam entos j á fabricados.
$(6
O uso de AES em substituição ao uso do WEP est á sendo considerado pelo 802.11i, j á que o TKI P é
um a solução im ediata e o WEP precisa ser substituído por com pleto. O AES suporta chaves de at é
256 bits e utiliza “block ciphers” m aiores.
[
A força- tarefa de segurança 802.11i define o uso de Extensible Authentication Protocol ( EAP) over
LANs ( EAPOL) para aum entar o nível de segurança no 802.1x. O EAPOL será usado para autenticar
25
clientes quando eles se conectarem a rede . Deste m odo, hackers não conseguiriam acessar a rede
apenas identificando o canal e o SSI D da rede utilizando um I P válido para capturar pacot es de
m odo passivo. O 802.1x foi padronizado recentem ente pelo I EEE e é suportado apelos m aiores
fabricantes de software e hardware, com o Microsoft, que j á o im plem entou no Windows XP, e Cisco,
que j á im plem entou o 802.1x nos seu equipam entos wireless. O padrão 802.1x suporta além do
EAP, o RADI US com o m étodo de autenticação.
&DSDFLGDGHGRPHLRDpUHR
Os avanços na rede sem fio ocorrem m uito lentam ente, se com parados aos avanços da rede de fios.
O próxim o passo é chegar a 22 Mbps enquanto redes com fios falam a 1 Gbps. Por enquanto, com
um núm ero lim itado de usuários, 11 Mbps está sendo suficiente. Mas com um núm ero m aior de
usuários, conform e as previsões de crescim ento da rede, pode haver um gargalo no fluxo. Já
existem equipam entos no m ercado que suportam 22 Mbps. Alguns suportam am bos os padrões.
$XWHQWLFDomR
Soluções de autenticação incluem o uso de logins com senha, biom étrica, sm art cards e PKI ( Public
Key I nfrastructure) . Quando a autenticação for baseada em nom es de usuário com senha, deve- se
usar um núm ero m ínim o de caracteres, um tem po m áxim o de expiração da senha, entre outras
configurações. Em futuro próxim o poderá ser adotada um a solução de PKI onde o usuário precisa
prim eiro destravar o seu certificado digital X.509 através de senha para depois poder usar est e
certificado para acessar a rede. Pode- se considerar o uso de PKI com sm art cards caso sej am
necessários níveis adicionais de segurança.
24
Jesse Walker, “802.11 Security Series – Part II: The Temporal Key Integrity Protocol (TKIP)” em
http://cedar.intel.com/media/pdf/security/80211_part2.pdf
25
Paul Goransson, “802.1x provides user authentication”, www.nwfusion.com/news/tech/2002/0325tech.html
'&%
www.ProjetodeRedes.kit.net
$YDQoRQDWHFQRORJLDVHPILR
No princípio, telefones celulares e PDAs possuiam poucas funcionalidades em função do seu
tam anho e requerim entos de energia. No entanto, com os avanços constantes da tecnologia, estes
aparelhos estão se tornando cada vez m ais leves, m enos exigentes em relação à energia, m enores
e m ais poderosos. Para se t er um a idéia deste avanço, a próxim a geração de telefones celulares
chega ao m ercado incorporando funçoes de PDA, infraverm elho ( I R) , I nternet sem fio e GPS.
Tecnologias baseadas no GSM, com o General Packet Radio Service ( GPRS) , Enhanced Data GSM
Envirom ent ( EDGE) e Universal Mobile Telecom m unications Services ( UMTS) contribuirão para o
aum ento da taxa de transm issão e capacidade de trabalho em rede e devem trazer novas
vulnerabilidades e riscos que precisam ser identificados.
+(
www.ProjetodeRedes.kit.net
&RQFOXVmR
Do m odo com o os j ornais e a I nternet t ratam a nova tecnologia podem os perceber que as redes
sem fios j á foram aceitas pelos usuários. No entanto, é vital que m edidas de segurança sej am
postas em prática. Apesar de parecer um desafio prover segurança para equipam entos sem fio,
profissionais de Segurança da I nform ação podem reutilizar m uitas das m edidas usadas nas redes
com fios, assim com o foi na época do laptop com m odem para acesso discado à em presa.
Não devem ser usadas as configurações default nos equipam entos wireless. Será com o um convite
para hackers entrarem na rede. Deve- se considerar o uso de m ecanism os de alta segurança com o
controle de acesso, criptografia ponto- a- ponto, EAP e RADI US e VPNs, especialm ente em am bientes
corporativos. WEP por si só não deve ser considerado com o um a solução de segurança.
A política de segurança deve definir com clareza as restrições sobre a com unicação em WLANs
( quais equipam entos são perm itidos, que tipo de dados podem ser transferidos na rede e se é
obrigatório o uso de m étodos de criptografia e autenticação, etc) e o uso indevido de Access Points.
Os usuários devem ser alertados sobre os perigos da rede sem fio e a auditoria deve estar habilitada
e os registros sendo verificados.
Em conj unto com as m edidas de segurança citadas neste docum ento, outras devem ser
consideradas para garantir a segurança da rede sem fio e tam bém da rede com fio j á existente no
am biente. Segurança é um trabalho dinâm ico, que deve fazer parte do dia- a- dia.
A evolução veloz da tecnologia introduz novas vulnerabilidades. Por est e m otivo, recom enda- se que
sej a feita um a análise periódica dos riscos da infra- estrutura de TI , sobretudo das que j á
disponibilizam as facilidades da com unicação sem fio para seus usuários.
+&
www.ProjetodeRedes.kit.net
Copyright © 2002 Módulo Security, Rua da Quitanda, 106 - Centro, Rio de Janeiro - RJ 20091-005 – Brasil
4576598:57; <=; >?@A68:5CB3DCE<2FHG3@7>I5IJELKNMOMQPSRTP7PCUOVOWYXAVOUOUZ@7[T5CG3E<3<E9>@C<<3@=\]E^<; IJE7_
ht t p: / / www.m odulo.com .br/ Ibanking Security Check-up, E-Gov Security Check-up, SPB Security Check-up, data Center Security Check-up ,Telecom Switch
Security Check-up, Call Center Security Check-up, Wireless Security Check-up, Billing I nfrastructure Security Check-up, Ecommerce
Security Check-up são todas marcas registradas ou em vias de registro de Módulo Security Solutions.
As informações existentes neste documento são para uso restrito, sendo seu sigilo protegido por lei. Caso queira utilizar total ou
parcialmente, entre em contato com Módulo Security. Todas as especificações, citações, performance, etc, estão sujeitas a alteração
sem prévia notificação pela própria dinâmica das soluções.
++