Segurana de acesso

Redes Wireless e Cabeadas

MUM Brasil So Paulo Outubro, 2008

Eng. Wardner Maia

Introduo
Nome: Wardner Maia
Engenheiro Eletricista modalidades Eletrotcnica/Eletrnica/Telecomunicaes
Provedor de Internet Service desde 1995
Utilizando rdio frequencia para provimento de acesso desde 2000
Ministra treinamentos em rdio frequencia desde 2002 e em Mikrotik desde 2006
Certificado pela Mikrotik em Wireless, Roteamento e como Trainer desde 2007
Trabalha como engenheiro para a empresa MD Brasil TI & Telecom e para a
Rede Global Info maior rede de provedores independentes do Brasil
2

Introduo
MD Brasil TI & Telecom
Operador de servios de Telecom e de Servios de Valor Adicionado
Distribuidora oficial de Hardware e Software Mikrotik
Parceira da Mikrotik em treinamentos

www.mdbrasil.com.br / www.mikrotikbrasil.com.br
3

Porque segurana em Wireless ?

Wireless muitas vezes a nica soluo para muitas cidades e reas rurais no
cobertas pelas tradicionais e grandes empresas de Telecomunicaes.
Wireless a forma mais fcil e rpida de ganhar participao de mercado em
provimento de acesso.
Boas implementaes tem performance similares s de DSL e Cabo.
Segurana o Calcanhar de Aquiles para redes Wireless baseadas em
equipamentos baseados na tecnologia Wi-Fi (IEEE 802.11).
4

Porque segurana em Redes Ethernet urbanas ?

Muitos pequenos provedores tem migrado para tecnologia ethernet, lanando
cabos UTP, STP e Fibra nas ruas
A despeito de muito questionamento de tcnicos mais tradicionais, esses
empreendedores tem conseguido resultados muito expressivos, seja do ponto de
vista de clientes atendidos como da prpria qualidade do servio prestado.
O mix Wireless + Wired mostra-se uma alternativa impar na competio com
tecnologias tradicionais.
Infelizmente muitas implementaes tem sido feitas sem os devidos cuidados
podendo comprometer/denegrir a evoluo dessa tecnologia.
5

Objetivos da Apresentao
Dar uma viso geral dos conceitos tericos envolvidos na segurana
de links Wi-Fi e como implementa-las na prtica usando o Mikrotik.
Fazer uma anlise crtica dos modelos de segurana adotados
atualmente pelos provedores que usam Wireless e Cabo.
Ataques de camada 2, o que so e os desafios para enfrenta-los.
6

O poder das batatas

Dentre 43 Redes sem fio localizadas no mais
importante centro financeiro de So Paulo, apenas 8
tinham tomado as medidas de segurana
recomendadas
Info Exame - 2002
7

O poder das batatas

Em 2002, de acordo com a matria, as medidas de segurana
recomendadas eram:
Nome de rede escondido
Controle de acesso por MAC
Criptografia WEP
8

Segurana Rudimentar
(O que no segurana)
1 Nome de rede (SSID) escondido
Pontos de Acceso sem fio por padro fazem o
broadcast do seu SSID nos pacotes chamados
beacons. Este comportamiento puede ser
modificado no Mikrotik habilitando a opo
Hide SSID.
Fragilidades:
SSID tem de ser conhecido pelos clientes
Scanners Passivos descobrem facilmente
pelos pacores de probe requestdos clientes.
9

2 Controle de MACs

Segurana Rudimentar
(O que no segurana)

Descobrir MACs que trafegam no ar muito simples com ferramentas

apropriadas
Airopeek (Windows), Kismet, Wellenreiter, (Linux/BSD)
O prprio Mikrotik, com Snooper e Sniffer
`
Spoofar um MAC muito fcil, tanto em Linux como em Windows.
- FreeBSD :
ifconfig <interface> -L <MAC>
- Linux :
ifconfig <interface> hw ether <MAC>
10

Segurana Rudimentar
(O que no segurana)
3 Criptografia WEP
Wired Equivalent Privacy foi o sistema de criptografia inicialmente
especificado no padro 802.11 e est baseada no compartilhamento de um
segredo (semente) entre o ponto de Acesso e os clientes, usando o algortimo
RC4 para a criptografia.
Vrias fragilidades da WEP foram reveladas ao longo do tempo e
publicadas na Internet, existindo muitas ferramentas para quebrar a chave,
como:
Airodump
Airreplay
Aircrack
Hoje trivial a quebra da WEP que pode ser feita em poucos minutos com
tcnicas baseadas nas ferramentas acima.
11

Comprometendo a WEP (em definitivo )

Suporte muito vasto para crackear a WEP

You Tube Vdeo ( em espanhol )
http://www.youtube.com/watch?v=PmVtJ1r1pmc

12

IEEE 802.11i
Devido aos problemas apresentados pela WEP o IEEE criou o Grupo de
trabalho 802.11i cuja tarefa principal era fazer a especificao de um padro
de fato seguro.
Antes da concluso do trabalho do grupo 802.11i a indstria lanou padres
intermedirios, como o WEP+, TKIP e o WPA (Wireless Protected Access)
Em junho de 2004 o padro foi aprovado e a indstria deu o nome comercial de
WPA2.

IEEE
Indstria
(Wi-Fi Alliance)

WEP

WEP

802.11i

WEP +
TKIP

WPA

WPA2
13

Fundamentos de Segurana
Privacidade
A informao no pode ser legvel por terceiros
Integridade
A informao no pode ser alterada quando em transito.
Autenticao
AP Cliente: O AP tem que garantir que o cliente quem diz ser.
Cliente AP: O Cliente tem que se certificar que est se conectando no
AP verdadeiro. Um AP falso possibilita o chamado ataque do
homem do meio
14

Privacidade e Integridade
Tanto a privacidade como a integridade so garantidas por tcnicas de
criptografia.
O algortimo de criptografia de dados em WPA o RC4, porm
implementado de uma forma bem mais segura que na WEP. Na WPA2 utiliza-se
o AES.
Para a Integridade dos dados WPA usa TKIP Algoritimo de Hashing
Michael e WPA2 usa CCMP (Cipher Block Chaining Message Authentication
Check CBC-MAC)
Encrypted

802.11

802.11

Header

Header

Data

MIC

15

Autenticao e distribuio de chaves

Autenticao

WPAx-EAP
(modo corporativo)
WPAx-PSK
(modo pessoal)
Mikrotik p/

Mikrotik c/

Mikrotik

Radius

Sem certificados

Certificados 2 lados
16

Fundamentos de Segurana WPAx

Autenticao

Autenticao

WPAx-EAP
(modo corporativo)
WPAx-PSK
(modo pessoal)
Mikrotik p/

Mikrotik c/

Mikrotik

Radius

Sem certificados

Certificados 2 lados
17

Como funciona a WPAx-PSK

AP

Client
Passhrase (PSK)

Passhrase (PSK)

PMK = f ( passphrase, SSID )

PMK = f ( passphrase, SSID )

Uma chave mestra chamada PMK

Pairwise Master Key criada por um
hash entre a semente e o SSID.
A PMK guardada no Registro do

256-bit pairwise master key (PMK)

256-bit pairwise master key (PMK)

A-

Windows on no arquivo supplicant.conf

do Linux

ce
noun

Derive PTK
S-nounce

Derive PTK,

OK, install MIC

Check MIC

Check MIC
Key Installed,
M

Outra chave chamada PTK - Pairwise

Transient Key criada de maneira
dinmica aps um processo de

IC

Install Key

Install Key

Begin encrypting

Begin encrypting

handshake de 4 vias. PTK nica por

sesso
18

Utilizando WPA/WPA2 PSK

muito simples a configurao de
WPA/WPA2-PSK com o Mikrotik
WPA - PSK
Configure o modo de chave dinmico,WPA
PSK, e a chave pr combinada.
WPA2 PSK
Configure o modo de chave dinmico
WPA2, PSK, e a chave pr combinada.
As chaves so alfanumricas de 8 at
63 caracteres

19

WPA / WPA2 PSK segura ?

A maneira conhecida hoje para quebrar WPA-PSK somente por ataque de

dicionrio.

Como a chave mestra - PMK combina uma contrasenha com o SSID, escolhendo
palavras fortes torna o sucesso por ataque de fora bruta praticamente
impossvel.

Projeto na Internet para estudo de fragilidades da WPA/WPA2 PSK

Cowpatty http://sourceforge.net/projects/cowpatty

A maior fragilidade no entanto da tcnica de PSK para WISPs que a chave

se encontra em texto plano nos computadores dos clientes.

20

WPA / WPA2 PSK segura ?

Quando o atacante tem a chave possvel:

Ganhar acesso no autorizado

Falsificar um Ponto de acesso e fazer o ataque do homem-do-meio (man-in-themiddle)

Recomendaes para WISPs

Somente use PSK se tem absoluta certeza que as chaves esto protegidas
(somente tem acesso aos equipamentos dos clientes o prprio WISP)

No se esquea que as chaves PSK esto em texto plano nos Mikrotiks (at
para usurios read-only)
21

Fundamentos de Segurana WPAx

Autenticao

Autenticao

WPAx-EAP
(modo corporativo)
WPAx-PSK
(modo pessoal)
Mikrotik p/

Mikrotik c/

Mikrotik

Radius

Sem certificados

Certificados 2 lados
22

Diffie-Hellmann
(Without Certificates)
Side A
Secret
number
x

1.

Cada lado escolhe um nmero

secreto x g p.

3.

Lado A comea selecionando um

nmero primo muito grande (p) e
um pequeno inteiro o gerador
(g)

3.

Lado A calcula usando aritmtica

modular a chave pblica , K(a):
K(a) = g x (mod p)

6.

Lado A manda para o lado B a

chave pblica e o nmero primo
(p), e o gerador (g)
23

Side B
Generator
g

Prime
number
p

K(a) = gx(mod p)
K(a), g, p

Diffie-Hellmann
(Without Certificates)
Side A
Secret
number
x

Side B
Generator
g

1.

Lado B faz um clculo similar com

a sua chave secreta e o nmero
primo e o gerador para obter sua
chave pblica.

3.

Lado B manda para lado A a cahve

pblica.

7.

Agora os dados podem calcular

uma mesma chave pr
compartilhada (que no circulou
pelo meio inseguro)
Shared key = K(b)x (mod p)
Shared key = K(a)y (mod p)

Prime
number
p

K(a) = gx(mod p)
K(a), g, p
Generator
g

Prime
number
p

Secret
number
y

K(b) = gy(mod p)
K(b)

24

Diffie-Hellmann
(Without Certificates)
Side A
Secret
number
x

Side B
Generator
g

1.

Os dois clculos produzem valores

exatamente iguais, graas a
propriedade da aritmtica modular

3.

A chave calculada utilizada como

PMK e inicia o processo de
criptografia normalmente (AES
para WPA2 e RC4 para WPA)

Prime
number
p

K(a) = gx(mod p)
K(a), g, p
Generator
g

Prime
number
p

Secret
number
y

K(b) = gy(mod p)
K(b)
Key = K(b)x(mod p)
Same value

Key = K(a)y(mod p)
25

Setup with EAP-TLS No Certificates

AP Configuration

Security Profile

26

Station Configuration

Setup with EAP-TLS No Certificates

Security Profile

27

EAP-TLS sem Certificados seguro ?

Como resultado da negociao anonima resulta uma PMK que de conhecimento

exclusivo das duas partes e depois disso toda a comunicao criptografada por
AES (WPA2) o RC4 (WPA)

Seria um mtodo muito seguro se no houvesse a possibilidade de um atacante

colocar um Mikrotik com a mesma configurao e negociar a chave normalmente
como se fosse um equipamento da rede

Esse mtodo possui um problema de implementao em multiponto que o alto

consumo de processamento durante o processo de negociao das chaves.
28

Fundamentos de Segurana WPAx

Autenticao

Autenticao

WPAx-EAP
(modo corporativo)
WPAx-PSK
(modo pessoal)
Mikrotik p/

Mikrotik c/

Mikrotik

Radius

Sem certificados

Certificados 2 lados
29

Trabalhando com Certificados

Un certificado digital um arquivo que identifica de forma
inequvoca o seu proprietrio.
Certificados so criados por instituies emissoras chamadas
de CA (Certificate Authorities)
Os Certificados podem ser :

Assinados por uma instituio acreditada (Verisign,

Thawte, etc)

ou

Certificados auto-assinados
30

Passos para implementao de EAP-TLS com Certificados

auto assinados
Passo A Criar a entidade Certificadora (CA)
Passo B Criar as requisies de Certificados
Passo C Assinar as requisies na CA
Passo D Importar os Certificados assinados para os Mikrotiks
Passo E Se necessrio, criar os Certificados para mquinas Windows
Tutoriais detalhados de como fazer isso:
http://wiki.mikrotik.com/images/2/20/AR_2007_MB_Wireless_security_Argentina_Maia.pdf
http://mum.mikrotik.com/presentations/PL08/mdbrasil.pdf
31

Mtodo EAP-TLS sem Radius (em APs e Clientes)

32

Security Profiles Mtodos de EAP

EAP-TLS
Usa Certificados

33

Security Profiles TLS Mode

verify certificates
Requer um certificado e verifica se foi
firmado por uma ~CA
dont verify certificates
Requer um Certificado, porm no verifica
no certificates
Certificados so negociados dinmicamente
com o el algortmo de Diffie-Hellman
(explicado anteriormente
34

Autenticao e distribuio de chaves

Autenticao

WPAx-EAP
(modo corporativo)
WPAx-PSK
(modo pessoal)
Mikrotik p/

Mikrotik c/

Mikrotik

Radius

Sem certificados

Certificados 2 lados
35

WPAx com Radius

Porta controlada
INTERNET

AP/NAS

Client station

Authenticator

Supplicant

Radius Server
Authentication
Server

EAP
Porta no controlada
36

EAP
EAP um protocolo para identificao de hosts ou usurios originalmente
projetado para Protocolo Ponto a Ponto (PPP)

Client station

AP/NAS

Radius Server

Authenticator

Supplicant

Authentication
Server

EAP na LAN

EAP sobre RADIUS

Suporta diferentes tipos de autenticao. Os mais comuns so:

EAP-TLS, EAP-TTLS, EAP-PEAP, EAP-LEAP, EAP-MD5 etc
37

Tipos de EAP

Authenticator

Key
Material

User
Name
In Clear

Certificate

Certificate

Yes

Yes

Yes

Username/Pwd

Certificate

Yes

No

Open

Yes

Username/Pwd

Certificate

Yes

No

Proprietary

Yes

Username/Pwd

Yes

Yes

Authentication Credentials

EAP
Type

Open/
Proprietary

Mutual
Auth

Supplicant

TLS

Open

Yes

TTLS

Open

PEAP
LEAP

38

Tipos de EAP
LEAP: (Lightweight EAP)
um protocolo proprietrio da Cisco patenteado antes mesmo da 802.11i e WPA/
baseado em nome de usurio e senha que se envia sem proteo.
Este mtodo no cuida da proteo das credenciais durante a fase de
autenticao do usurio com o servidor.
Trabalha com variados tipos de clientes, porm somente com APs da Cisco.
Ferramente para crackear LEAP: Asleap - http://asleap.sourceforge.net/
OBS: Mikrotik no suporta LEAP.

39

Tipos de EAP
PEAP: (Protected EAP) and EAP-TTLS (EAP tunneled TLS)
PEAP y TTLS so dois mtodos bastante parecidos e fazem uso de Certificados
Digitais do lado do Servidor e usurio e senha no lado cliente.
O processo segue a seguinte ordem:
1 O Servidor manda uma requisio EAP
2 Criado um tnel criptografado atravs do envio do Certificado
3 O usurio e senha passado de forma criptografada
O problema com TTLS e PEAP que possvel o ataque do homem-do-meio
OBS: A diferena entre TTLS e PEAP que PEAP compatvel com outros protocolos
como LEAP

40

Tipos de EAP
EAP-TLS (EAP Transport Layer Security)
O Mikrotik suporta EAP-TLS tanto como cliente como AP e ainda repassa esse mtodo
para um Servidor Radius
Prov o maior nvel de segurana e necessita de Certificados nos lados do Cliente e
do Servidor Radius
Os passos de como configurar e instalar certificados em um Servidor RADIUS
podem ser obtidos em:
http://wiki.mikrotik.com/images/2/20/AR_2007_MB_Wireless_security_Argentina_Maia.pdf
http://mum.mikrotik.com/presentations/PL08/mdbrasil.pdf
41

Station Configuration

Setup with EAP-TLS + Radius

Client Configuration
Security Profile

Certificate

42

AP Configuration

Setup with EAP-TLS + Radius

AP Configuration
Security Profile

43

O mtodo EAP-TLS + Radius seguro ?

No se discute que o EAP-TLS o mtodo mais seguro que se pode obter, porm h
Um ponto que se pode levantar como uma possvel fragilidade:
Client station

AP/NAS
Authenticator

Supplicant

Existem ataques conhecidos contra o protocolo Radius.

Se um atacante tem acesso fsico ao link entre o AP e o Radius

Radius Server
Authentication
Server

Atacando la entrega
da PMK

ele pode fazer ataque de fora bruta para descobrir a PMK.

Para evitar isso h vrias formas como proteger esse trecho
com um tunel L2TP ou PPtP
44

Resumo dos mtodos possveis de

implantao e seus problemas

WPA-PSK:

Chaves presentes nos clientes e acessveis aos operadores

Mtodo Sem Certificados:

Passvel de invaso por equipamento que tambem opere desse modo

Problemas com processamento

Mikrotik com Mikrotik com EAP-TLS

Mtodo seguro porm invivel economicamente e de implantao

praticamente impossvel em redes existentes.
45

Resumo dos mtodos possveis de

implantao e seus problemas

Mikrotik com Radius:

EAP-TTLS e EAP-PEAP:

Sujeito ao homem do meio e pouco disponvel nos atuais

equipamentos.

EAP-TLS

Mtodo seguro, porm tambm no disponvel na maioria dos

equipamentos. Em plaquinhas possvel implementa-los.

46

Mtodo alternativo Mikrotik

O Mikrotik na verso V3 oferece a possibilidade de distribuir uma chave WPA2

por cliente . Essa chave configurada no Access List do AP e vinculada ao
MAC address do cliente, possibilitando que cada cliente tenha sua chave.

Cadastrar porm nos access lists, voltamos ao problema da chave ser visvel a
usurios do Mikrotik !
47

Mtodo alternativo Mikrotik

Felizmente porm o Mikrotik permite que a chave seja atribuda por Radius o que
torna muito interessante esse mtodo.

Para configurar precisamos:

Criar um perfil WPA2 qualquer
Habilitar a autenticao via MAC no AP
Ter a mesma chave configurada tanto no cliente como no Radius.

48

Configurando o Perfil

49

Configurando a Interface Wireless

50

Arquivo users: (/etc/freeradius)

# Sintaxe:
# MAC Cleartext-Password := MAC
#
Mikrotik-Wireless-Psk = Chave_PSK_de_8_a_63_caracteres
001DE05A1749

Cleartext-Password := "001DE05A1749
Mikrotik-Wireless-Psk = "12345678912

001B779ADD5D Cleartext-Password := "001B779ADD5D"

Mikrotik-Wireless-Psk = "12345678911
001B77AF82C9

Cleartext-Password := "001B77AF82C9"
Mikrotik-Wireless-Psk = "12345678911"
51

Radius (dictionary)
/usr/share/freeradius/dictionary.mikrotik

52

Laboratrio de PSK por cliente

O aluno que quiser participar, crie um arquivo texto no formato abaixo e
coloque no FTP com a identificao XY-PSK, onde XY seu nmero.
# Sintaxe:
# MAC Cleartext-Password := MAC
#
Mikrotik-Wireless-Psk = Chave_PSK_de_8_a_63_caracteres
#Exemplo:
001DE05A1749

Cleartext-Password := "001DE05A1749
Mikrotik-Wireless-Psk = "12345678912

53

Criptografia
x
WISPs

54

Pesquisa realizada em setembro de 2007

Provedores que responderam Pesquisa: 74
Nmero de Clientes atendidos: 52.385
Total de Link contratado: 585.6 mbps
Os resultados foram compilados de maneira ponderada resultados
foram compilados de manera ponderada utilizando o critrio do
nmero de clientes atendidos.

55

Pesquisa realizada en setembro de 2007

Criptografia

56

Pesquisa realizada en setembro de 2007

Autenticao

OBS: De todos que usam autenticao PPPoE ou Hotspot somente 4% usam tambm
criptografia (96% usam somente PPPoE ou Hotspot como medida de segurana)

57

Spoof de MAC e ou IP

58

Solues (no 80211i) para a ltima milha

A concluso da pesquisa que a grande maioria tenta dar segurana a suas redes
com as solues:
Tneis PPPoE
Autenticao Hotspot
Vamos fazer a seguie uma anlise crtica desses modelos em particular com
relao segurana

59


Recorte de tela efetuado: 10/17/2008, 10:48 AM

Consideraes acerca de PPPoE e Hotspot

quando utilizados por provedores para segurana

60

Tuneis PPPoE
aspectos gerais
PPPoE : originalmente desenvolvido para redes cabeadas
O PPPoE Server (PPPoEd) escuta as requisies de clientes PPPoE que por
sua vz utilizam o protocolo PPPoE discovery tudo feito na camada 2
PPPoE por padro no criptografado pode ser configurado com criptografia
MPPE se o cliente suporta esse mtodo.
O mtodo CHAP protege apenas o nome de usurio e senha e nada alm disso.

61

Tneis PPPoE
aspectos gerais

A interface que escuta as requisies PPPoE no deve ter configurado Ip que

seja roteado ou para o qual esteja sendo feito NAT. Se isso ocorre possvel
burlar a autenticao PPPoE.
Como outros tneis os valores de MTU e MRU devem ser modificados.
PPPoE sensivel a variaes de sinal.
Em mquinas Windows necessrio a instalao de um discador, o que representa
trabalho administrativo.

62

PPPoE e Segurana
Un atacante que falsifique um endereo MAC em uma planta onde se rode
PPPoE no consegue navegar, porem causa muitos problemas aos usurios
verdadeiros.
.
Existem ataques a PPPoE quando falsos clientes disparam sucessivas
requisies de conexo (PPPoE discovery) causando negao de servio.
O mais grave no entanto que no PPPoE o usurio no autentica o
Servidor. Por esse motivo um ataque do tipo do homem-do-meio pode ser
facilmente implementado. Basta que o atacante ponha um AP falso em uma
posio privilegiada e configure um PPPoE Server para capturar as requisies
dos clientes. Isso pode ser usado para negar servio ou para capturar senhas.
63

Hotspots
aspectos gerais
Originalmente foram desenvolvidos para dar servio de conexo Internet em
Hotis, Shoppings, etc. Com o tempo tem sido utilizados como plataforma para
autenticar usurios de WISPs.
A interface configurada para ouvir o hotspot captura a tentativa de navegao e
pede usurio e senha.
Existem vrios mtodos de autenticao, inclusive com Certificados digitais
possvel fazea a autenticao por HTTPS.

64

Hotspots e Segurana
Uma vez que um usurio tenha sido autenticado e seu par IP + MAC seja
descoberto e falsificado por um atacante, este ganha acesso sem usurio e senha.
O ponto de acesso no v os dois, porm somente um usurio. O servio fica
precrio mas h a navegao de ambos.
Usar DHCP reduz o trabalho dos hackers a menos da metade, pois descoberto o
MAC, o DHCP d o IP de presente
O mtodo de criptografia MD5 presente na autenticao chap somente protege o
momento da autenticao, de nada adiantando para o trfego da sesso que pode
ser sniffado
Trabalhando com Certificados Digitais e HTTPS, dr-se-ia ao usurio a
possibilidade deste autenticar o ponto de acesso, evitando assim o ataque do
homem-do-meio. No entanto dificilmente o usurio estar devidamente orientado
para tanto e a maioria deles aceitar um Certificado falso.
65

PPPoE & Hotspot & segurana - concluses

PPPoE tem muitas vantagens porque elimina uma srie de problemas
comuns de redes wireless como broadcasts, trafegos causados por vrus, etc.
Hotspots apresentam muitas facilidades interessantes como mandar
mensagens, criar rotas, etc.
Ambos so excelentes ferramentas para auxiliar na administrao e controle
de rede, pricipalmete quando implementados em conjunto com Radius.
PPPoE e Hotspot ajudam muito, porm no podem ser encarados como
plataformas de segurana como tem sido at ento !
Segurana em Wireless se faz somente com criptografia bem
implementada e em redes cabeadas com dispositivos com isolao de
portas.
66

Porque os WISPs no utilizam Criptografia em Wireless ?

WISPs dizem que no utilizam Criptografia pelos seguintes motivos:
Muita Complexidade
No fato. Com Mikrotik as implementaes so muito fceis

Equipamentos antigos no aceitam criptografia.

verdade, mas no Mikrotik possvel ter diversos perfis, com vrios tipos de
criptografia.

Antigos problemas da WEP fazem WPA no confivel

As tcnicas empregadas so muito diferentes e no h comparao.

Problemas de performance com a criptografia

Novos Chipsets Atheros fazem criptografia em hardware no h problemas
de performance
67

Segurana concluses (quase) finais

Segurana em meio wireless que cumpra os requisitos de:
- Autenticao mtua
- Confidencialidade
- Integridade de dados
Somente se consegue com a utilizao de uma estrutura baseada em
802.11i (WPA2) com EAP-TLS implementada con Certificados Digitais +
Radius.
Um excelente approach a utilizao de chaves Privadas WPA2-PSK
quando distribuidas pelo Radius.
Outras implementaes como a formao de VPNs entre os clientes e um
concentrador antes que seja dado o acesso rede tambem uma soluo
possvel que no foi abordada aqui pois em escala sua implementao pode se
mostrar invivel.

68

Implementao de WPA2 por cliente com Radius na MD Brasil

69

Case MD Brasil
Pontos de acesso:
Mikrotik RB133 somente como AP Bridge c/ 3 cartes R52, mdia 25 clientes p/ carto
100% clientes com WPA2 atribuda por Radius

70

Case MD Brasil
Clientes primeiro autenticam-se por MAC + PSK individual (transaparente p/ cliente
Em seguida pedida autenticao Hotspot para cada cliente.
A opo por Hotspot nada tem a ver com a segurana. somente uma opo de negcio

OBS destaque para o uptime !

71

Case MD Brasil
Hotspot + Web Proxy rodam localmente em todos pontos de acesso com mais
concentrao de clientes.
Web-Proxys dos pontos de acesso armazenam objetos pequenos
Web-Proxy central (no Mikrotik) armazena objetos grandes.

72

Obrigado !
Wardner Maia maia@mikrotikbrasil.com.br

73