Escolar Documentos
Profissional Documentos
Cultura Documentos
11
Eng. Alessandro C. Bianchini alessanc@gmail.com
Apresentao
Alessandro Coneglian Bianchini exerce a funo de engenheiro na NEC Brasil, atuando na elaborao de projetos e implantao de VoIP, Wireless, Redes e Segurana da informao; formado em engenharia eltrica com nfase em telecomunicaes pela Escola de Engenharia Mau-SP, ps-graduado em segurana da informao pelo IBTA-SP e tambm ps-graduado em engenharia de rede e sistema de telecomunicaes pelo INATEL-MG; Possui certificaes de fabricantes como Cisco,Allied Telesyn, Fortinet e Vmware.
Certificaes
VCP 4 Vmware Certified Professional 4.0 VCP 3 Vmware Certified Professional 3.0 ITIL v3 Foundation CCNP - Cisco Certified Network Professional CCDP - Cisco Certified Design Professional CCVP - Cisco Certified Voice Professional CCSP - Cisco Certified Security Professional CCNA - Cisco Certified Network Associate CCDA - Cisco Certified Design Associate CAWDS Cisco Advanced Wireless Design Specialist CAWFS Cisco Advanced Wireless Field Specialist CISS - Cisco Information Security Specialist CIOSSS - Cisco IOS Security Specialist CFWS - Cisco Firewall Specialist CIPSS - Cisco IPS Specialist FCNSA- Fortinet Certified Network Security Administrator CAIR Certified Allied installation Router CAIS Certified Allied installation switch CASE Certified Allied system engineer 4011 Recognition - CNSS (Committee on National Security Systems) 4013 Recognition CNSS (Committee on National Security Systems)
3
Agenda Padro 802.11 A/B/G Conceitos sobre RF Requisitos wireless para dados e voz Paradigmas sobre wireless Segurana em Wireless Recomendaes de segurana Melhores prticas
Usa radio freqncia para transmitir e receber informaes Fornece conectividade e mobilidade aos usurios padronizada pelo IEEE 802.11 Wi-Fi WECA rgo que certifica a interoperabilidade entre equipamentos
Benefcios do WLAN
Mobilidade Acessar as informaes em real time, em qualquer lugar na empresa Velocidade de Instalao, Simplicidade e Flexibilidade Rpida e fcil; elimina a necessidade de cabeamento Permite que a rede v onde cabos no vo Reduo de custos de propriedade e prazos de instalao Escalabilidade Pode ser configurada em uma variedade de topologias, atendendo a uma grande gama de aplicaes diferentes
Aplicaes tpicas
Redes indoor: substituio da infra-estrutura de cabeamento tradicional por radiofreqncia. Alcance de at 300m por Ponto de Acesso. Extenso de redes cabeadas: Alcanar pontos remotos que normalmente no seriam conectados por cabeamento tradicional Ligao entre prdios (Bridge): Alternativa para ligaes entre prdios tradicionalmente feitas com infraestrutura de fibra tica, microondas ou links dedicados Ligao em Campus Ponto-Multiponto: Utilizao de uma antena Omnidirecional de alto ganho para compartilhar recursos de rede entre vrios clientes mveis espalhados em grandes espaos
Mercados potenciais
Sade Educacionais Servios financeiros Aplicaes horizontais (cho de fbrica, armazns, etc.) Eventos Shoppings Arquitetura Prdios histricos (tombados pelo patrimnio) Hotis Aeroportos
8
Topologias de Rede
10
11
O sinal de informao multiplicado por um cdigo digital nico que espalha o sinal em toda a banda antes da transmisso Esses cdigos so chamados de Chips.
12
No receptor, o sinal espalhado multiplicado novamente pelo cdigo que sincronizado com o cdigo do transmissor, tendo nesse processo o sinal reconstituido ou de-spread. Se mltiplos usurios compartilham o mesmo canal de comunicao, o sinal pode ser reconstituido desde que eles tenham cdigos diferentes.
13
Recuperao do sinal
Noise
22 MHz
22 MHz de banda utilizado por cada canal O sinal deve ser pelo menos 10 dB mais forte que o rudo Ex: Quando o rudo -80 dBm necessrio -70 dBm de sinal
14
OFDM
Tcnica de transmisso Surgiu do conceito FDM (frequency division multiplexing). Trabalha com uma particular sobreposio de portadoras. Sua principal vantagem trabalhar com uma segunda dimenso (domnio da freqncia), que melhora as condies do sinal recebido.
15
OFDM
Um sinal OFDM em banda base a soma de vrias subportadoras ortogonais, com os dados de cada subportadora sendo independentemente modulados usando alguma forma de QAM ou PSK. Este sinal em banda base usado para modular uma portadora principal, usada para transmisso via rdio freqncia. As vantagens da utilizao do OFDM so vrias, incluindo elevada eficincia espectral, imunidade contra multi-percursos e filtragem de rudo simples. A modulao e demodulao OFDM so tpicamente feitas usando a transformada rpida de Fourier (FFT). Embora sua complexidade seja elevada, COFDM possui melhor desempenho sob canais em condies realmente desafiadoras.
16
OFDM
Combinando OFDM com tcnicas de correo de erro, equalizao adaptativa e modulao reconfigurvel, temos a COFDM cujas propriedades so: resistncia contra disperso resistncia contra distores lentas de fase e desvanecimento resistncia contra multi-percursos usando intervalo de guarda resistncia contra resposta em freqncia nula e interferncias de freqncia constante resistncia contra burst de rudo COFDM geralmente possui espectro aproximadamente "branco", o que traz algumas propriedades eletromagnticas benignas no que diz respeito a interferncias.
17
OFDM
18
OFDM fortemente necessrio que exista sincronismo entre as sub-portadoras, para que a ortogonalidade seja garantida (cruzamentos em 0 ). A economia de banda em relao ao FDM tradicional chega a 50%.
19
Transmisso OFDM
20
OFDM symbol
FEC
bits
Serial to Parallel
IFFT
Linear PA
fc
21
Receptor genrico
Slot & Timing AGC
Sync.
Sampler
FFT
fc
VCO gross offset
Error
Recovery
fine offset
23
24
25
26
27
28
29
30
31
Comparativo
32
2411
3 2422 2416
2400 MHz
Faixa ISM
33
34
802.1b e 802.11g
Modulao Codificao
BPSK 802.11b (Barker / CCK) QPSK CCK BPSK QPSK 16-QAM 64-QAM
Data Rate
1 Mb/s 2 Mb/s 5.5 & 11 Mb/s 6 & 9 Mb/s 12 & 18 Mb/s 24 & 36 Mb/s 48 & 54 Mb/s
802.11g (OFDM)
35
802.11a - 5Ghz
Lower band: 5.15Ghz 5.25GHz Uso indoor 4 canais nonoverlapping Middle band: 5.25Ghz 5.35GHz Uso indoor e outdoor 4 canais nonoverlapping Upper band: 5.725Ghz 5.825GHz Uso outdoor 4 canais nonoverlapping
36
802.11a
37
CSMA-CA
Mensagem ACK
Colises ainda podem ocorrer O time-out na recepo do ACK limita a distncia a dezenas de quilmetros entre os links
38
CSMA - CA
39
CSMA-CA
CRS
defer
CRS
defer
CRS
40
CSMA-CA
A B C
A envia para B C no detecta isso, ento C tambm comea A enviar dados para B As mensagens colidem em B
Esta situao ocorre em clulas muito grandes Perda de performance Recuperao de erro requerida
41
Canal
RF canal1 RF canal 6 RF canal 11
42
Roaming
Recomendado: inferior 50 ms
))))
))))
)))))
))))
))))
))))
))))
))))
43
44
45
46
Interferncia
Tipos de interferncia: Equipamentos que utilizam a faixa de 2.4 GHz
Telefone sem fio Forno micro ondas Outros
Co-canal
Dispositivos wireless utilizando o mesmo canal
47
Premissas de projeto
Nvel de sinal Voz Dados -67 dBm -75 dBm SNR 25 dB 15 dB Interseco 15 25 % 5 10 %
48
10 Andar
Nvel de sinal
dBm
Situao Atual
12 Andar
11 Andar
11
10 Andar
50
Ideal
12 Andar
11
11 Andar
11
10 Andar
11
51
Service Set Identifier (SSID) Utilizado para permitir separao logica de redes wireless No prove confidencialidade No prove autenticao entre o cliente e AP Beacon
52
Processo de associao
53
Processo de associao
O processo de associao tem as seguintes etapas: 1. O Cliente envia broadcast utilizando frame em todos os canais 2. Access points responde com um probe response frame 3. O cliente decide Qual AP o melhor acesso e envia um authentication request 4. A AP envia authentication reply 5. Se a autenticao for realizada com sucesso, o cliente envia um frame association request para a AP 6. A AP responde com um frame association response 7. O cliente pode enviar dados pela AP
54
Probe request
55
Open authentication
Open authentication is a algoritmo de autenticao nulo O AP da Acesso para quem solicitar Desenvolvido para permitir a utilizao dispositivo 802.11 com baixo poder de processamento
56
Authentication Request
57
Authentication Response
58
Shared authentication
59
60
61
Vulnerabilidades SSID Desabilitar broadcast Pode ser identificado no frame de probe response No indicado a se utilizar como um item de segurana
62
Vulnerabilidade do SSID
63
64
Baseada no RC4 IV tem 24 bits WEP64 = 40 bits chave + 24 bits IV WEP128 = 104 bits chave + 24 bits IV IV diferente para cada transmisso Texto cifrado = Texto XOR Chave Texto = Texto cifrado XOR chave
65
66
67
MAC address so enviados em clear conforme a norma 802.11 MAC address podem ser alterados
68
Ataque WEP
Ataque passivo
Coleta de frames Suscetvel a analise estatstica Researchers at AT&T/Rice University desenvolveu a aplicao AirSnort aplicao deriva a chave WEP de 40 ou 128-bit key aps analise de 4 milhes de frames em 4 hora exibe a chave WEP 128 bits.
Ataque ativo
Envia frame para AP Explora o ICV Ataque bit-flipping
69
Principais ataque WEP Initialization Vector Replay Attacks "Growing" a Key Stream Bit-Flipping Attacks
70
71
72
Bit-Flipping Attacks
73
ICV Weakness
74
75
Recomendaes Autenticao
802.1x
Criptografia
WPA WPA2
76
Autenticador
Servidor de autenticao
Suplicante
Autenticador
Servidor de autenticao
77
Definies Suplicante: a entidade que quer ter acesso Autenticador: a entidade que controla o acesso Servidor de autenticao: a entidade que autoriza ou nega o acesso
78
Vantagens Padro aberto Baseado na identificao do usurio Gerenciamento dinmico de chaves Administrao centralizada do usurio Suporte a vrios tipos de autenticao
79
EAP
Extensible Authentication Protocol RFC2284 Criado para aumentar os mtodos de autenticao (expandir) Modo que o suplicante prova sua identidade para o servidor de autenticao Autenticador faz o encaminhamento das mensagens EAP para o servidor de autenticao
80
Tipos de EAP
EAP-MD5 EAP-TLS EAP-PEAP EAP-LEAP EAP-TTLS Entre outros Obs. Em nosso projeto piloto utilizamos PEAP e ao TLS
81
82
PEAP Authentication
PEAP Authentication
83
WPA
Chave dinmica com 802.1x Chave esttica por SSID Utiliza algoritmo de criptografia RC4 Temporal Key Integrity Protocol (TKIP) Funo de message integrity check (MIC) para WEPencrypted data frames Per-packet keying para WEP-encrypted data frames Message Integrity Check (MIC) Initialization vector/base key reuseMIC adiciona o campo numero de seqncia para os frames wireless, a AP descarta pacote fora de ordem. Frame tampering/bit flippinga funcionalidade MIC feature adiciona um campo MIC para o frame wireless. O campo MIC prove check de integridade e 84 no tem a mesma vulnerabilidade do ICV.
85
86
87
WPA2 Chave dinmica com 802.1x Chave esttica por SSID Utiliza algoritmo de criptografia AES
88
AES
89
90
WPA2
91
Resumindo
92
93
Hardware
94
Dvidas?
95
Recomendaes
Recomendaes de gerenciamento Recomendaes tcnicas Recomendaes operacionais
As recomendaes so baseadas no documento` Wireless Network Security for IEEE 802.11a/b/g and Bluetooth` 80048 revision 1 (draft)
Publicado por: Computer Security Division Information Technology Laboratory National Institute of Standards and Technology Gaithersburg, MD 20899-8930 August 2007
96
Recomendaes de gerenciamento
Recomendao Recomendao de segurana Poltica de segurana para a utilizao de tecnologia 802.11 Treinamento dos usurios sobre os riscos associados a tecnologia wireless Analise de risco para o entendimento do valor do ativo na empresa e sua necessidade de proteo Suporte a atualizao e patch de segurana na APs Analise de segurana em intervalos regulares e randmicos para validar a exposio da rede Segurana perimetral Controle de acesso as dependncias da empresa Site survey para avaliao da cobertura Inventario de todos os dispositivos 802.11 Garantir que utilizao da rede wireless est em conformidade com a poltica de segurana da empresa Garantir que o posicionamento das APs em reas externas ou prximas de janelas Instalao das APs em reas seguras, para evitar acesso no autorizado e manipulao da mesma. Recomenda do X X X X X X X X X X X X X 97 Considerar Checklist Observao
Recomendaes tcnicas
Recomendao Recomendao de segurana Teste de cobertura, para determinao da rea coberta pela rede wireless Certificar que quando no utilizada as Aps devem estar desligadas Reset da Ap s deve ser realizado por pessoa autorizada Restaurar as ultimas configuraes de segurana aps o reset Alterar o ssid default do equipamento SSID no pode refletir caracterstica da empresa como nome, departamento etc. Atribuio de canal diferente entre as AP vizinhas Alterao dos parmetros default do device wireless Desabilitar todos os protocolos inseguros que no esto sendo utilizado. Habilitar todas as funcionalidades de segurana forte para o ambiente WLAN Utilizar chave de criptografia com chave de pelo menos 128 bits Se utilizar chaves estticas, estas devem ser trocadas periodicamente Recomendado X X X X X X X X X X X X 98 X Considerar Checklist status
100
Recomendaes operacionais
Recomendao Recomendao de segurana Configurao SNMP somente leitura quando no precisar escrever Utilize SNMP V3 para gerenciamento com criptografia Considerar outras formas de Autenticao como Radius e Kerberos Implementar IDS/IPS wireless para detectar comportamento suspeito ou um acesso ou atividade no autorizada. Implementar uma tecnologia para analisar os registros produzidos pelo Radius para identificar comportamento suspeito. Implementar outros produto de segurana 802.11 que reforce a segurana criptografiace e de autenticao do usurio. Implementar atribuio dinmica de chave de sesso ao invs de chave estticas Compreenda plenamente os recurso de segurana disponvel no dispositivo antes da sua implementao. Designar um responsvel para acompanhar as evolues de segurana do padro 802.11, bem como as sua vulnerabilidades Desenvolver e implementar uma poltica de migrao e substituio da infra-estrutura wireless para suporte FIPS 140-2 validado pelo 802.11i Quando a AP no estiver sendo utilizada deve-se deixar sem configurao Habilitar a funcionalidade de LOGs X X X 101 X X X Recomendado X X X X X X Checklist Considerar status
Dvidas?
102