Rede sem fio 802.11 A/B/G - Alessandro Coneglian Bianchini

Wireless 802.11
Eng. Alessandro C. Bianchini
[email protected]
1
Apresentação
Alessandro Coneglian Bianchini exerce a função de
engenheiro na NEC Brasil, atuando na elaboração de
projetos e implantação de VoIP, Wireless, Redes e
Segurança da informação; formado em engenharia elétrica
com ênfase em telecomunicações pela Escola de
Engenharia Mauá-SP, pós-graduado em segurança da
informação pelo IBTA-SP e também pós-graduado em
engenharia de rede e sistema de telecomunicações pelo
INATEL-MG; Possui certificações de fabricantes como
Cisco,Allied Telesyn, Fortinet e Vmware.
2
Certificações
VCP 4– Vmware Certified Professional 4.0
VCP 3– Vmware Certified Professional 3.0
ITIL v3 Foundation
CCNP - Cisco Certified Network Professional
CCDP - Cisco Certified Design Professional
CCVP - Cisco Certified Voice Professional
CCSP - Cisco Certified Security Professional
CCNA - Cisco Certified Network Associate
CCDA - Cisco Certified Design Associate
CAWDS – Cisco Advanced Wireless Design Specialist
CAWFS – Cisco Advanced Wireless Field Specialist
CISS - Cisco Information Security Specialist
CIOSSS - Cisco IOS Security Specialist
CFWS - Cisco Firewall Specialist
CIPSS - Cisco IPS Specialist
FCNSA- Fortinet Certified Network Security Administrator
CAIR – Certified Allied installation Router
CAIS – Certified Allied installation switch
CASE – Certified Allied system engineer
4011 Recognition - CNSS (Committee on National Security Systems)
4013 Recognition – CNSS (Committee on National Security Systems)
3
Agenda
Padrão 802.11 A/B/G
Conceitos sobre RF
Requisitos wireless para dados e voz
Paradigmas sobre wireless
Segurança em Wireless
Recomendações de segurança
Melhores práticas
4
O que é Wireless LAN (WLAN) ?
Tecnologia que conecta 2 ou mais computadores
usando protocolos de rede comuns, mas sem o uso de
cabos
Mantem as mesmas características da Rede LAN
Geralmente entra onde não é possível o cabeamento ou como
extensão da rede LAN
Usa radio freqüência para transmitir e receber
informações
Fornece conectividade e mobilidade aos usuários
É padronizada pelo IEEE 802.11
Wi-Fi WECA órgão que certifica a interoperabilidade
entre equipamentos
5
Benefícios do WLAN
Mobilidade
Acessar
as informações em real time, em qualquer
lugar na empresa
Velocidade de Instalação, Simplicidade e
Flexibilidade
Rápida e fácil; elimina a necessidade de cabeamento
Permite que a rede vá onde cabos não vão
Redução de custos de propriedade e prazos de
instalação
Escalabilidade
Pode ser configurada em uma variedade de
topologias, atendendo a uma grande gama de
aplicações diferentes
6
Aplicações típicas
Redes indoor: substituição da infra-estrutura de
cabeamento tradicional por radiofreqüência. Alcance de
até 300m por Ponto de Acesso.
Extensão de redes cabeadas: Alcançar pontos
remotos que normalmente não seriam conectados por
cabeamento tradicional
Ligação entre prédios (Bridge): Alternativa para
ligações entre prédios tradicionalmente feitas com infraestrutura de fibra ótica, microondas ou links dedicados
Ligação em Campus Ponto-Multiponto: Utilização de
uma antena Omnidirecional de alto ganho para
compartilhar recursos de rede entre vários clientes
móveis espalhados em grandes espaços
7
Mercados potenciais
Saúde
Educacionais
Serviços financeiros
Aplicações horizontais (chão de fábrica,
armazéns, etc.)
Eventos
Shoppings
Arquitetura
Prédios históricos (tombados pelo patrimônio)
Hotéis
Aeroportos
8
Topologias de Rede
9
DSSS (Direct Sequence Spread Spectrum)
Com o DSSS a transmissão do sinal é efetuada através de uma
banda permitida (por exemplo 2.4GHz). Um número binário
escolhido aleatoriamente é utilizado para modular o sinal
transmitido, este numero é denominado por código de spread
(spreading code).
Os bits dos dados são codificados num padrão de valores e voltado
a ser descodificado para bit no destino. O número de valores que
representam o bit é a razão de spread (spreading ratio), quanto
maior esta razão, mais o sinal é resistente a interferências externas.
Quanto menor a razão maior é a largura de banda disponível para o
utilizador. Por norma a razão de spread (spreading ratio) deve ser
superior a 10, sendo que a maior parte das implementações tem
uma razão inferior a 20 e a norma IEEE 802.11 define uma razão de
11.
Tanto o transmissor como o receptor devem estar sincronizados
para o mesmo código de spread (spreading code).
10
DSSS (Direct Sequence Spread Spectrum)
11
DSSS (Direct Sequence Spread Spectrum)
Source and
Channel
Coding
Digital Signal (Bits)
Multiplier
X
Frequency
Spectrum
RF
Modulator
f
Code Bits (Chips)
Code
Generator
“Spread” Frequency
Spectrum
O sinal de informação é multiplicado por um
código digital único que espalha o sinal em toda
a banda antes da transmissão Esses códigos
são chamados de “Chips”.
12
f
DSSS (Direct Sequence Spread Spectrum)
Multiplier
RF
Demodulator
Digital Signal (Bits)
X
“Spread” Frequency
Spectrum
f
De-Spread
Signal
Channel
and
Source
Decoding
f
Code Bits (Chips)
Code
Generator
No receptor, o sinal espalhado é multiplicado novamente pelo
código que é sincronizado com o código do transmissor, tendo
nesse processo o sinal reconstituido ou “de-spread”.
Se múltiplos usuários compartilham o mesmo canal de
comunicação, o sinal pode ser reconstituido desde que eles
tenham códigos diferentes.
13
Recuperação do sinal
Noise
22 MHz
22 MHz de banda é utilizado por cada canal
O sinal deve ser pelo menos 10 dB mais forte que o ruído
Ex: Quando o ruído é -80 dBm é necessário -70 dBm de
sinal
14
OFDM
Técnica de transmissão
Surgiu do conceito FDM (frequency division
multiplexing).
Trabalha com uma particular sobreposição de
portadoras.
Sua principal vantagem é trabalhar com uma
segunda dimensão (domínio da freqüência), que
melhora as condições do sinal recebido.
15
OFDM
Um sinal OFDM em banda base é a soma de várias subportadoras ortogonais, com os dados de cada subportadora sendo independentemente modulados usando
alguma forma de QAM ou PSK.
Este sinal em banda base é usado para modular uma
portadora principal, usada para transmissão via rádio
freqüência.
As vantagens da utilização do OFDM são várias,
incluindo elevada eficiência espectral, imunidade contra
multi-percursos e filtragem de ruído simples.
A modulação e demodulação OFDM são típicamente
feitas usando a transformada rápida de Fourier (FFT).
Embora sua complexidade seja elevada, COFDM possui
melhor desempenho sob canais em condições
realmente desafiadoras.
16
OFDM
Combinando OFDM com técnicas de correção de erro,
equalização adaptativa e modulação reconfigurável,
temos a COFDM cujas propriedades são:
resistência contra dispersão
resistência contra distorções lentas de fase e
desvanecimento
resistência contra multi-percursos usando intervalo
de guarda
resistência contra resposta em freqüência nula e
interferências de freqüência constante
resistência contra burst de ruído
COFDM geralmente possui espectro aproximadamente
"branco", o que traz algumas propriedades
eletromagnéticas benignas no que diz respeito a
interferências.
17
OFDM
18
OFDM
É fortemente necessário que exista
sincronismo entre as sub-portadoras, para
que a ortogonalidade seja garantida
(cruzamentos em “ 0 ”).
A economia de banda em relação ao FDM
tradicional chega a 50%.
19
Transmissão OFDM
20
Transmissor OFDM Genérico
OFDM symbol
FEC
bits
Serial to
Parallel
IFFT
Pulse shaper
&
Linear
PA
DAC
add cyclic extension
fc
view this as a time to
frequency mapper
21
Receptor genérico
Slot &
Timing
Sync.
AGC
Sampler
FFT
fc
VCO
fine offset
P/S and
Detection
Error
Recovery
gross offset
Freq. Offset
Estimation
(of all tones sent in one OFDM symbol)
22
Padrões do IEEE 802.11
802.11b
– Publicado em outubro de 1999, foi
o primeiro padrão a ser implementado e
utilizado em larga escala. Possui taxa de
transmissão de 11 Mbps, opera na freqüência
de 2.4 GHz e alcance aproximado de 400
metros para lugares abertos e 50 metros para
ambientes fechados. Suporta até 32
utilizadores por ponto de acesso.
23
Padrões do IEEE 802.11
802.11a – Lançado na mesma época que o
802.11b, este padrão é uma tecnologia mais
cara e é incompatível com os demais padrões
IEEE 802.11. Opera com freqüência de 5 GHz,
possui alcance reduzido de ~15 metros em
ambientes fechados e taxa de transmissão de
54 Mbps. Suporta até 64 utilizadores por ponto
de acesso.
24
Padrões do IEEE 802.11
802.11d – Padrão desenvolvido para operar em
regiões em que os demais padrões são
incompatíveis, como alguns países da Europa.
Sua principal diferença é que possui um frame
estendido que inclui campos e tabelas contendo
informações dos países e parâmetros de
freqüência.
25
Padrões do IEEE 802.11
802.11e – Criado inicialmente para atender
aspectos de segurança e qualidade de serviço
(QoS) para a sub-camada MAC, porém mais
tarde as questões de segurança foram
atribuídas ao padrão 802.11i, ficando o 802.11e
responsável por desenvolver os aspectos de
QoS. O QoS pode ser adicionado em redes
WLANs para me permitir e melhorar o uso VoIP.
26
Padrões do IEEE 802.11
802.11f
– Especifica princípios e conceitos
que descrevem conjuntos de funções e o
protocolo IAPP (Inter-Access-Point Protocol),
que garante a interoperabilidade entre Access
Points.
27
Padrões do IEEE 802.11
802.11g – Padrão disponibilizado em 2003, é
tido como sucessor natural do 802.11b por ser
totalmente compatível com este. Possui alcance
de ~30 metros para ambientes fechados e
~160 metros para ambientes abertos. Opera
com taxa de transmissão nominal de 54 Mbps e
freqüência de 2.4 GHz.
28
Padrões do IEEE 802.11
802.11h – Versão do 802.11a regulamentada
para utilização da banda de 5 GHz na Europa.
Adiciona função de seleção dinâmica de
freqüência (DFS – Dynamic Frequency
Selection) e controle de potência de
transmissão (TPC – Transmit Power Control),
que permite que o rádio ajuste a potência do
sinal de acordo com a distância do receptor.
29
Padrões do IEEE 802.11
802.11i – Padrão de segurança finalizado em
2004, que visa implementar segurança em
substituição ao protocolos WEP.
30
Padrões do IEEE 802.11
802.11n – Conhecido como o sucessor do
802.11g, implementa melhorias nos algoritmos
de transmissão e faz uso do MIMO (multipleinput multiple-output), que permite a utilização
de diversos fluxos de transmissão, utilizando
vários conjuntos transmissores, receptores e
antenas, transmitindo os dados de forma
paralela. Com isso a taxa de transmissão pode
variar de 300 Mbps (com 2 transmissores) a 600
Mbps (4 transmissores), e alcance de até 400
metros indoor.
31
Comparativo
32
Frequëncias dos canais
Número do Canal
1
2412
2401
6
2437
2423 2426
11
2462
2448 2451
2473
Fim do Canal
Frequência Central
1
2412
2401
2406
2423
2
2417
2411
2428
3
2422
2416
4
2427
2400 MHz
2441
2438
5
2432
2458
9
2452
2446
2443
Faixa ISM
Início do Canal
2453
8
2447
2436
2433
2421
7
2442
2431
2451
2463
10
2457
11
2462
2468
2473
2483,5 MHz
33
802.11 b/g – 2.4Ghz
34
802.1b e 802.11g
Modulação
802.11b
(Barker / CCK)
802.11g
(OFDM)
Codificação
Data Rate
BPSK
1 Mb/s
QPSK
2 Mb/s
CCK
5.5 & 11 Mb/s
BPSK
6 & 9 Mb/s
QPSK
12 & 18 Mb/s
16-QAM
24 & 36 Mb/s
64-QAM
48 & 54 Mb/s
35
802.11a - 5Ghz
Lower band:
5.15Ghz à 5.25GHz
Uso indoor
4 canais nonoverlapping
Middle band:
5.25Ghz à 5.35GHz
Uso indoor e outdoor
4 canais nonoverlapping
Upper band:
5.725Ghz à 5.825GHz
Uso outdoor
4 canais nonoverlapping
36
802.11a
37
CSMA-CA
Mensagem
ACK
Colisões ainda podem ocorrer
O time-out na recepção do ACK limita a distância
a “ dezenas” de quilômetros entre os links
38
CSMA - CA
Implicações do CSMA
Carrier Sence - Multiplos
Acessos
•CSMA - Somente um rádio
transmite por vez
•Meio Compartilhado - Todas as
estações ouvem todo o tráfego
em um seguimento (Distância que o
sinal de rádio pode cobrir)
•Somente as estações com o
endereço correto de destino
poderam utilizar os dados
enviados , as demais
simplesmente ignoram
39
CSMA-CA
Estação A
Estação B
Estação C
CRS
CRS
defer
defer
defer
CRS
CRS
Os adaptadores Wireless LAN não podem
detectar colisões.
40
CSMA-CA
A
B
C
A envia para B
C não detecta isso, então C também começa
A enviar dados para B
As mensagens colidem em B
Esta situação ocorre em células muito grandes
Perda de performance
Recuperação de erro requerida
41
Canal
RF canal“1”
RF canal “6”
RF canal “11”
42
Roaming
))))
)
))))
)
)
)
))))
)
Recomendado:
inferior 50 ms
))))
))))
)
)))))
))))
))))
)
Intersecção:
Dados: 5% à 10 %
Voz 15% à 25%
43
Requisitos de intersecção para VOIP
44
Posicionamento das Aps
45
Nível de sinal X Relação sinal / ruído
Relação sinal / ruído (DB) = nível de sinal – nível de ruído (interferência)
46
Interferência
Tipos de interferência:
Equipamentos que utilizam a faixa de 2.4
GHz
Telefone
sem fio
Forno micro ondas
Outros
Co-canal
Dispositivos
wireless utilizando o mesmo
canal
47
Premissas de projeto
Nível de
sinal
SNR
Intersecção
Voz
-67 dBm
25 dB
15 – 25 %
Dados
-75 dBm
15 dB
5 – 10 %
48
10º Andar
Nível de sinal
dBm
Relação sinal / ruído
dB
B6.99.7E / CH1
B6.A2.B6 / CH1
B3.C1.78 / CH1
49
Situação Atual
12º Andar
11º Andar
10º Andar
1
1
1
1
11
1
1
1
1
50
Ideal
1
12º Andar
11º Andar
10º Andar
11
11
6
1
6
1
11
6
51
Service Set Identifier (SSID)
Utilizado para permitir separação logica de
redes wireless
Não prove confidencialidade
Não prove autenticação entre o cliente e
AP
Beacon
52
Processo de associação
53
Processo de associação
O processo de associação tem as seguintes etapas:
1. O Cliente envia broadcast utilizando frame em todos os
canais
2. Access points responde com um probe response frame
3. O cliente decide Qual AP é o melhor acesso e envia um
authentication request
4. A AP envia authentication reply
5. Se a autenticação for realizada com sucesso, o cliente
envia um frame association request para a AP
6. A AP responde com um frame association response
7. O cliente pode enviar dados pela AP
54
Probe request
55
Open authentication
•Open authentication is a algoritmo de autenticação nulo
•O AP da Acesso para quem solicitar
•Desenvolvido para permitir a utilização dispositivo 802.11
com baixo poder de processamento
56
Authentication Request
57
Authentication Response
58
Shared authentication
59
Shared Key Authentication
• Shared key Authentication é um segundo metodo de
autenticação utilizando chave WEP
• Processo de autenticação Shared Key
1. O cliente envia um authentication request para AP
requisitando a autenticação shared key
2. O AP responde com um authentication response
contendo um challenge text
3. O Cliente usa a chave WEP para encriptar o
challenge text e envia authentication request
4. Se o AP conseguir decriptar o challenge text, este
responde com authentication response
60
MAC Address Authentication
61
Vulnerabilidades SSID
Desabilitar broadcast
Pode ser identificado no frame de probe
response
Não é indicado a se utilizar como um item
de segurança
62
Vulnerabilidade do SSID
63
Vulnerabilidade Open Authentication
• Não implementa segurança nenhuma
• Indicada em redes publicas
64
Wired Equivalent Privacy - WEP
•
•
•
•
•
•
•
Baseada no RC4
IV tem 24 bits
WEP64 = 40 bits chave + 24 bits IV
WEP128 = 104 bits chave + 24 bits IV
IV é diferente para cada transmissão
Texto cifrado = Texto XOR Chave
Texto = Texto cifrado XOR chave
65
Wired Equivalent Privacy - WEP
66
Vulnerabilidade shared authentication
67
Vulnerabilidade MAC Address
MAC address são enviados em clear conforme a
norma 802.11
MAC address podem ser alterados
68
Ataque WEP
Ataque passivo
Coleta de frames
Suscetível a analise estatística
Researchers at AT&T/Rice University desenvolveu a
aplicação AirSnort aplicação deriva a chave WEP
de 40 ou 128-bit key após analise de 4 milhões de
frames em 4 hora exibe a chave WEP 128 bits.
Ataque ativo
Envia frame para AP
Explora o ICV
Ataque bit-flipping
69
Principais ataque WEP
Initialization Vector Replay Attacks
"Growing" a Key Stream
Bit-Flipping Attacks
70
Initialization Vector Replay Attacks
71
Growing" a Key Stream
72
Bit-Flipping Attacks
73
ICV Weakness
74
WEP é seguro ????????
Assista esse video tutorial mostra como quebrar chave
WEP usando fragmentação de pacotes sem conexão
pelo lado do cliente (clientless attack)
http://www.milw0rm.com/video/watch.php?id=59
A suite Aircrack-ng pode ser baixada em
http://www.aircrack-ng.org/
OBS. Injecao de pacotes-> voce tem que ter uma placa
compativel (Prism2, PrismGT (FullMAC), Atheros,
RTL8180, RTL8187 ou Ralink) com o devido patch.
75
Recomendações
Autenticação
802.1x
Criptografia
WPA
WPA2
76
802.1x
Rede cabeada
Suplicante
Autenticador
Rede sem fio
Servidor de
autenticação
Suplicante
Servidor de
autenticação
Autenticador
77
Definições
Suplicante: a entidade que quer ter
acesso
Autenticador: a entidade que controla o
acesso
Servidor de autenticação: a entidade
que autoriza ou nega o acesso
78
Vantagens
Padrão aberto
Baseado na identificação do usuário
Gerenciamento dinâmico de chaves
Administração centralizada do usuário
Suporte a vários tipos de autenticação
79
EAP
Extensible Authentication Protocol
RFC2284
Criado para aumentar os métodos de
autenticação (expandir)
Modo que o suplicante prova sua identidade
para o servidor de autenticação
Autenticador faz o encaminhamento das
mensagens EAP para o servidor de
autenticação
80
Tipos de EAP
EAP-MD5
EAP-TLS
EAP-PEAP
EAP-LEAP
EAP-TTLS
Entre outros
Obs. Em nosso projeto piloto utilizamos
PEAP e ao TLS
81
EAP-TLS Authentication Process
82
PEAP Authentication
PEAP Authentication
83
WPA
Chave dinâmica com 802.1x
Chave estática por SSID
Utiliza algoritmo de criptografia RC4
Temporal Key Integrity Protocol (TKIP)
Função de message integrity check (MIC) para WEPencrypted data frames
Per-packet keying para WEP-encrypted data frames
Message Integrity Check (MIC)
Initialization vector/base key reuse—MIC adiciona
o campo numero de seqüência para os frames
wireless, a AP descarta pacote fora de ordem.
Frame tampering/bit flipping—a funcionalidade MIC
feature adiciona um campo MIC para o frame
wireless. O campo MIC prove check de integridade e
84
não tem a mesma vulnerabilidade do ICV.
Comparação dos frames
85
Message Integrity Check - MIC
86
Temporal Key Integrity Protocol - TKIP
87
WPA2
Chave dinâmica com 802.1x
Chave estática por SSID
Utiliza algoritmo de criptografia AES
88
AES
89
Frame criptografado com AES
90
WPA2
91
Resumindo
92
CISCO AIRONET 1130AG ACCESS POINT
93
CISCO AIRONET 1130AG ACCESS POINT
Hardware
94
Dúvidas?
95
Recomendações
Recomendações de gerenciamento
Recomendações técnicas
Recomendações operacionais
As recomendações são baseadas no documento` Wireless
Network Security for IEEE 802.11a/b/g and Bluetooth` 80048 revision 1 (draft)
Publicado por:
Computer Security Division
Information Technology Laboratory
National Institute of Standards and Technology
Gaithersburg, MD 20899-8930
August 2007
96
Recomendações de gerenciamento
Recomendação
Recomendação de segurança
Checklist
Recomenda
do
Política de segurança para a utilização de tecnologia
802.11
X
Treinamento dos usuários sobre os riscos associados a
tecnologia wireless
X
Analise de risco para o entendimento do valor do ativo
na empresa e sua necessidade de proteção
X
Suporte a atualização e patch de segurança na APs
X
Analise de segurança em intervalos regulares e
randômicos para validar a exposição da rede
X
Segurança perimetral
X
Controle de acesso as dependências da empresa
X
Site survey para avaliação da cobertura
X
Inventario de todos os dispositivos 802.11
X
Garantir que utilização da rede wireless está em
conformidade com a política de segurança da empresa
X
Garantir que o posicionamento das APs em áreas
externas ou próximas de janelas
X
Instalação das APs em áreas seguras, para evitar
acesso não autorizado e manipulação da mesma.
X
Considerar
Observação
X
97
Recomendações técnicas
Recomendação
Recomendação de segurança
Checklist
Recomendado
Teste de cobertura, para determinação da
área coberta pela rede wireless
X
Certificar que quando não utilizada as Aps
devem estar desligadas
X
Reset da Ap só deve ser realizado por pessoa
autorizada
X
Restaurar as ultimas configurações de
segurança após o reset
X
Alterar o ssid default do equipamento
X
SSID não pode refletir característica da
empresa como nome, departamento etc.
X
Atribuição de canal diferente entre as AP
vizinhas
X
Alteração dos parâmetros default do device
wireless
X
Desabilitar todos os protocolos inseguros que
não estão sendo utilizado.
X
Habilitar todas as funcionalidades de
segurança forte para o ambiente WLAN
X
Utilizar chave de criptografia com chave de
pelo menos 128 bits
X
Se utilizar chaves estáticas, estas devem ser
trocadas periodicamente
X
Considerar
status
X
98
Recomendações técnicas cont.
Configura um firewall entre a rede wireless e a rede wired
X
Instalar software de antivírus no clientes wireless
X
Instalar personal firewall nos clientes wireless
X
Desabilitar o compartilhamento de arquivo em cliente wireless
X
Utilizar controle de acesso por MAC address
Utilizar switches ao invés de HUB para conexão da AP
X
X
Utilizar conexão VPN para prover maior segurança
X
Garantir que a criptografia utilizada seja suficiente dada a
sensibilidade do dado na rede e ao processamento do
computador
X
Realizar testes dos upgrades e patch antes de colocar o
equipamento em produção
X
Garantir que todas as AP possua senha forte
X
Garantir que todas as senha sejam alteradas regularmente
X
Utilização de autenticação como PKI, Biométrica, smart cards e
autenticação por dois fatores
X
Garantir que AD-HOC seja desabilitado para o ambiente
X
Utiliza endereçamento estático
X
X
99
Recomendações técnicas cont.
Habilitar mecanismo de autenticação para gerenciamento
do dispositivo wireless
X
Habilitado por default
Garantir que o trafego de gerenciamento das Aps esteja
em subnet separada
X
No projeto piloto, foi utilizada
esta premissa.
Utilizar SNMP V3 e SSL/TLS para gerenciamento
X
Wireless controller suporta, e no
projeto piloto fui utilizado.
100
Recomendações operacionais
Recomendação
Recomendação de segurança
Configuração SNMP somente leitura quando não precisar escrever
Checklist
Recomendado
Considerar
status
X
Utilize SNMP V3 para gerenciamento com criptografia
X
Considerar outras formas de Autenticação como Radius e Kerberos
X
Implementar IDS/IPS wireless para detectar comportamento
suspeito ou um acesso ou atividade não autorizada.
X
Implementar uma tecnologia para analisar os registros produzidos
pelo Radius para identificar comportamento suspeito.
X
Implementar outros produto de segurança 802.11 que reforce a
segurança criptografiace e de autenticação do usuário.
X
Implementar atribuição dinâmica de chave de sessão ao invés de
chave estáticas
X
Compreenda plenamente os recurso de segurança disponível no
dispositivo antes da sua implementação.
X
Designar um responsável para acompanhar as evoluções de
segurança do padrão 802.11, bem como as sua vulnerabilidades
X
Desenvolver e implementar uma política de migração e substituição
da infra-estrutura wireless para suporte FIPS 140-2 validado pelo
802.11i
X
Quando a AP não estiver sendo utilizada deve-se deixar sem
configuração
X
Habilitar a funcionalidade de LOGs
X
101
Dúvidas?
102